Sicherheitshandbuch V3-1-001

Österreichisches Informationssicherheitshandbuch

Version 3.1.001 22. November 2010

1

Inhalt
Zum Geleit ..................................................................................................... 19 Vorwort und Management Summary .......................................................... 21
Zur Version 3 des Informationssicherheitshandbuchs ................................................... 21 Management Summary ...................................................................................................... 22 Hauptquellen und Danksagungen .................................................................................... 26

1 Einführung ................................................................................................... 28
1.1 Das Informationssicherheitshandbuch ....................................................................... 28 1.1.1 Ziele des Informationssicherheitshandbuchs ............................................................. 28 1.1.1.1 Ziele der Version 3 ................................................................................................ 29 1.1.2 Scope ......................................................................................................................... 29 1.1.3 Neuheiten der Version 3 ........................................................................................... 30 1.1.4 Quellen, Verträglichkeiten, Abgrenzungen ............................................................... 32 1.1.5 Informations- versus IT-Sicherheit ........................................................................... 35 1.2 Informationssicherheitsmanagement .......................................................................... 36 1.2.1 Ziele des Informationssicherheitsmanagements ........................................................ 36 1.2.2 Aufgaben des Informationssicherheitsmanagements ................................................. 37

2 Informationssicherheits-Management-System (ISMS) ............................ 39
2.1 Der Informationssicherheitsmanagementprozess ...................................................... 39 2.1.1 Entwicklung einer organisationsweiten Informationssicherheitspolitik .................... 41 2.1.2 Risikoanalyse ............................................................................................................. 41 2.1.3 Erstellung eines Sicherheitskonzeptes ....................................................................... 42 2.1.4 Umsetzung des Informationssicherheitsplans ............................................................ 42 2.1.5 Informationssicherheit im laufenden Betrieb ............................................................ 43 2.2 Erstellung von Sicherheitskonzepten ......................................................................... 44 2.2.1 Auswahl von Maßnahmen ......................................................................................... 44 2.2.1.1 Klassifikation von Sicherheitsmaßnahmen ............................................................. 45 2.2.1.2 Ausgangsbasis für die Auswahl von Maßnahmen ................................................. 47 2.2.1.3 Auswahl von Maßnahmen auf Basis einer detaillierten Risikoanalyse .................. 48 2.2.1.4 Auswahl von Maßnahmen im Falle eines Grundschutzansatzes ............................ 49 2.2.1.5 Auswahl von Maßnahmen im Falle eines kombinierten Risikoanalyseansatzes .............................................................................................................................................. 49

2

2.2.1.6 Bewertung von Maßnahmen .................................................................................. 50 2.2.1.7 Rahmenbedingungen .............................................................................................. 51 2.2.2 Risikoakzeptanz ......................................................................................................... 51 2.2.3 Sicherheitsrichtlinien ................................................................................................. 53 2.2.3.1 Aufgaben und Ziele ................................................................................................ 53 2.2.3.2 Inhalte ..................................................................................................................... 53 2.2.3.3 Fortschreibung der Sicherheitsrichtlinien ............................................................... 54 2.2.3.4 Verantwortlichkeiten .............................................................................................. 54 2.2.4 Informationssicherheitspläne für jedes System ......................................................... 55 2.2.5 Fortschreibung des Sicherheitskonzeptes .................................................................. 56 2.3 Umsetzung des Informationssicherheitsplans ............................................................ 57 2.3.1 Implementierung von Maßnahmen ........................................................................... 57 2.3.2 Sensibilisierung (Security Awareness) ...................................................................... 60 2.3.3 Schulung .................................................................................................................... 61 2.3.4 Akkreditierung ........................................................................................................... 63 2.4 Informationssicherheit im laufenden Betrieb ............................................................ 64 2.4.1 Aufrechterhaltung des erreichten Sicherheitsniveaus ................................................ 64 2.4.2 Wartung und administrativer Support von Sicherheitseinrichtungen ........................ 65 2.4.3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) ....................................... 66 2.4.4 Fortlaufende Überwachung der IT-Systeme (Monitoring) ........................................ 67

3 Managementverantwortung und Aufgaben beim ISMS .......................... 69
3.1 Verantwortung der Managementebene ..................................................................... 69 3.1.1 Generelle Managementaufgaben beim ISMS ............................................................ 69 3.2 Ressourcenmanagement .............................................................................................. 71 3.2.1 Bereitstellung von Ressourcen .................................................................................. 71 3.2.2 Schulung und Awareness .......................................................................................... 74 3.3 Interne ISMS Audits ................................................................................................... 78 3.3.1 Planung und Vorbereitung interner Audits ............................................................... 79 3.3.2 Durchführung interner Audits ................................................................................... 81 3.3.3 Ergebnis und Auswertung interner Audits ................................................................ 83 3.4 Management-Review des ISMS .................................................................................. 86 3.4.1 Management-Review Methoden ................................................................................ 87 3.4.1.1 Review der Strategie und des Sicherheitskonzepts ................................................ 88 3

3.4.1.2 Review der Sicherheitsmaßnahmen ....................................................................... 89 3.4.2 Management-Review Ergebnis und Auswertung ...................................................... 90 3.5 Verbesserungsprozess beim ISMS .............................................................................. 91 3.5.1 Grundlagen für Verbesserungen ................................................................................ 91 3.5.2 Entscheidungs- und Handlungsbedarf ....................................................................... 92

4 Risikoanalyse ............................................................................................... 95
4.1 Risikoanalysestrategien ................................................................................................ 95 4.2 Detaillierte Risikoanalyse ............................................................................................ 96 4.2.1 Abgrenzung des Analysebereiches ............................................................................ 98 4.2.2 Identifikation der bedrohten Objekte (Werte, assets) ................................................ 99 4.2.3 Wertanalyse (Impact Analyse) ................................................................................ 100 4.2.3.1 Festlegung der Bewertungsbasis für Sachwerte ................................................... 100 4.2.3.2 Festlegung der Bewertungsbasis für immaterielle Werte ..................................... 101 4.2.3.3 Ermittlung der Abhängigkeiten zwischen den Objekten ...................................... 101 4.2.3.4 Bewertung der bedrohten Objekte ........................................................................ 102 4.2.4 Bedrohungsanalyse .................................................................................................. 102 4.2.4.1 Identifikation möglicher Bedrohungen ................................................................. 103 4.2.4.2 Bewertung möglicher Bedrohungen ..................................................................... 104 4.2.5 Schwachstellenanalyse ............................................................................................ 105 4.2.6 Identifikation bestehender Sicherheitsmaßnahmen ................................................. 106 4.2.7 Risikobewertung ...................................................................................................... 107 4.2.8 Auswertung und Aufbereitung der Ergebnisse ....................................................... 108 4.3 Grundschutzansatz ..................................................................................................... 108 4.3.1 Die Idee des IT-Grundschutzes ............................................................................... 109 4.3.2 Grundschutzanalyse und Auswahl von Maßnahmen ............................................... 110 4.3.2.1 Modellierung ........................................................................................................ 110 4.3.2.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen ........... 112 4.3.3 Vorgehen bei Abweichungen .................................................................................. 112 4.3.4 Dokumentation der Ergebnisse ............................................................................... 113 4.4 Kombinierter Ansatz ................................................................................................. 113 4.4.1 Festlegung von Schutzbedarfskategorien ................................................................ 115 4.4.2 Schutzbedarfsfeststellung ........................................................................................ 119 4.4.2.1 Erfassung aller vorhandenen oder geplanten IT-Systeme .................................... 120 4

4.4.2.2 Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen IT-Systemen ............................................................................................................................................ 120 4.4.2.3 Schutzbedarfsfeststellung für jedes IT-System .................................................... 121 4.4.3 Durchführung von Grundschutzanalysen und detaillierten Risikoanalysen ............ 121 4.5 Akzeptables Restrisiko .............................................................................................. 122 4.6 Akzeptanz von außergewöhnlichen Restrisiken ...................................................... 122

5 Informationssicherheits-Politik ................................................................ 124
5.1 Aufgaben und Ziele einer Informationssicherheits-Politik .................................... 124 5.2 Inhalte der Informationssicherheits-Politik ............................................................. 125 5.2.1 Informationssicherheitsziele und -strategien ........................................................... 125 5.2.2 Management Commitment ...................................................................................... 127 5.2.3 Organisation und Verantwortlichkeiten für Informationssicherheit ........................ 128 5.2.3.1 Die/der IT-Sicherheitsbeauftragte ........................................................................ 129 5.2.3.2 Das Informationssicherheits-Management-Team ................................................. 130 5.2.3.3 Die Bereichs-IT-Sicherheitsbeauftragten .............................................................. 130 5.2.3.4 Applikations-/Projektverantwortliche ................................................................... 131 5.2.3.5 Die/der Informationssicherheitsbeauftragte .......................................................... 132 5.2.3.6 Weitere Pflichten und Verantwortungen im Bereich Informationssicherheit ....... 132 5.2.3.7 Informationssicherheit und Datenschutz .............................................................. 133 5.2.4 Risikoanalysestrategien, akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken ........................................................................................ 133 5.2.5 Klassifizierung von Informationen .......................................................................... 135 5.2.5.1 Definition der Sicherheitsklassen ......................................................................... 135 5.2.5.2 Festlegung der Verantwortlichkeiten und der Vorgehensweise für klassifizierte Informationen .................................................................................................................... 137 5.2.5.3 Erarbeitung von Regelungen zum Umgang mit klassifizierten Informationen 137 ..... 5.2.6 Klassifizierung von IT-Anwendungen und IT-Systemen, Grundzüge der Business Continuity Planung ........................................................................................................... 138 5.2.7 Überprüfung und Aufrechterhaltung der Sicherheit ................................................ 140 5.2.8 Dokumente zur Informationssicherheit ................................................................... 140 5.3 Life Cycle der Informationssicherheits-Politik ....................................................... 140 5.3.1 Erstellung der Informationssicherheits-Politik ........................................................ 140 5.3.2 Offizielle Inkraftsetzung der Informationssicherheits-Politik ................................. 141 5.3.3 Regelmäßige Überarbeitung .................................................................................... 141 5

6 Organisation .............................................................................................. 143
6.1 Interne Organisation .................................................................................................. 143 6.1.1 Management - Verantwortung ................................................................................ 143 6.1.1.1 Zusammenwirken verantwortliches Management - Mitarbeiter/innen - Gremien ............................................................................................................................................ 144 6.1.2 Koordination ............................................................................................................ 146 6.1.3 Definierte Verantwortlichkeiten für Informationssicherheit .................................... 147 6.1.4 Benutzungsgenehmigung für Informationsverarbeitung ......................................... 148 6.1.5 Vertraulichkeitsvereinbarungen ............................................................................... 150 6.1.6 Kontaktpflege mit Behörden und Gremien ............................................................. 151 6.1.7 Unabhängige Audits der Sicherheitsmaßnahmen .................................................... 152 6.1.8 Berichtswesen .......................................................................................................... 156 6.2 Zusammenarbeit mit Externen ................................................................................. 157 6.2.1 Outsourcing ............................................................................................................. 157 6.2.2 Gefährdungen beim Outsourcing ............................................................................ 158 6.2.3 Outsourcing Planungs- und Betriebsphasen ............................................................ 160

7 Vermögenswerte und Klassifizierung von Informationen ..................... 171
7.1 Vermögenswerte ......................................................................................................... 171 7.1.1 Inventar der Vermögenswerte (Assets) mittels Strukturanalyse .............................. 171 7.1.1.1 Erfassung Geschäftsprozessen, Anwendungen und Informationen ...................... 173 7.1.1.2 Erfassung von Datenträgern und Dokumenten ..................................................... 174 7.1.1.3 Erhebung der IT-Systeme ..................................................................................... 175 7.1.1.4 Netzplan ................................................................................................................ 176 7.1.1.5 Erfassung der Gebäude und Räume ..................................................................... 177 7.1.1.6 Aktualisierung der Strukturanalyse ...................................................................... 178 7.1.2 Eigentum von Vermögenswerten ............................................................................ 179 7.1.2.1 Verantwortiche für Vermögenswerte (Assets) ..................................................... 180 7.1.2.2 Aufgaben der Eigentümer und Verantwortlichen ................................................. 180 7.1.3 Zulässige Nutzung von Vermögenswerten .............................................................. 181 7.1.3.1 Herausgabe einer PC-Richtlinie ........................................................................... 181 7.1.3.2 Einführung eines PC-Checkheftes ........................................................................ 182 7.1.3.3 Geeignete Aufbewahrung tragbarer IT-Systeme .................................................. 183

6

7.1.3.4 Mitnahme von Datenträgern und IT-Komponenten ............................................. 185 7.1.3.5 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Videokameras ................................................................................................................... 186 7.1.3.6 Absicherung von Wechselmedien ........................................................................ 187 7.2 Klassifizierung von Informationen ........................................................................... 188

8 Personelle Sicherheit ................................................................................. 190
8.1 Regelungen für Mitarbeiter/innen ............................................................................ 190 8.1.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ........................................................................................... 190 8.1.2 Aufnahme der sicherheitsrelevanten Aufgaben und Verantwortlichkeiten in die Stellenbeschreibung .......................................................................................................... 191 8.1.3 Vertretungsregelungen ............................................................................................. 191 8.1.4 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeiterinnen/Mitarbeitern ............................................................................................................................................ 192 8.1.5 Geregelte Verfahrensweise bei Versetzung eines Mitarbeiters ............................... 193 8.1.6 Gewährleistung eines positiven Betriebsklimas ...................................................... 194 8.1.7 Clear Desk Policy ................................................................................................... 194 8.1.8 Benennung eines vertrauenswürdigen Administrators und Vertreterin/Vertreters ............................................................................................................................................ 195 8.1.9 Verpflichtung der PC-Benutzer/innen zum Abmelden ............................................ 195 8.1.10 Kontrolle der Einhaltung der organisatorischen Vorgaben ................................... 196 8.1.11 Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen .................... 196 8.2 Regelungen für den Einsatz von Fremdpersonal .................................................... 197 8.2.1 Regelungen für den kurzfristigen Einsatz von Fremdpersonal ................................ 197 8.2.2 Verpflichtung externer Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ........................................................................................... 197 8.2.3 Beaufsichtigung oder Begleitung von Fremdpersonen ............................................ 197 8.2.4 Information externer Mitarbeiter/innen über die IT-Sicherheitspolitik ................... 198 8.3 Sicherheitssensibilisierung und -schulung ............................................................... 198 8.3.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter/innen .................................. 198 8.3.2 Schulung vor Programmnutzung ............................................................................. 199 8.3.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ................................ 199 8.3.4 Betreuung und Beratung von IT-Benutzerinnen/IT-Benutzern ............................... 202 8.3.5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne) ........ 203 8.3.6 Schulung des Wartungs- und Administrationspersonals ......................................... 203 7

8.3.8 Einweisung in die Regelungen der Handhabung von Kommunikationsmedien...... 204 8.3.9 Einweisung in die Bedienung von Schutzschränken ............................................... 205

9 Physische und umgebungsbezogene Sicherheit ...................................... 207
9.1 Bauliche und infrastrukturelle Maßnahmen ........................................................... 208 9.1.1 Geeignete Standortauswahl ..................................................................................... 208 9.1.2 Anordnung schützenswerter Gebäudeteile .............................................................. 208 9.1.3 Einbruchsschutz ....................................................................................................... 209 9.1.4 Zutrittskontrolle ....................................................................................................... 210 9.1.5 Verwaltung von Zutrittskontrollmedien .................................................................. 212 9.1.6 Portierdienst ............................................................................................................. 213 9.1.7 Einrichtung einer Postübernahmestelle ................................................................... 213 9.1.8 Perimeterschutz ....................................................................................................... 214 9.2 Brandschutz ................................................................................................................ 215 9.2.1 Einhaltung von Brandschutzvorschriften und Auflagen .......................................... 215 9.2.2 Raumbelegung unter Berücksichtigung von Brandlasten ........................................ 215 9.2.3 Organisation Brandschutz ....................................................................................... 216 9.2.4 Brandabschottung von Trassen ............................................................................... 216 9.2.5 Verwendung von Brandschutztüren und Sicherheitstüren ....................................... 217 9.2.6 Brandmeldeanlagen ................................................................................................. 218 9.2.7 Brandmelder ............................................................................................................ 218 9.2.8 Handfeuerlöscher (Mittel der Ersten und Erweiterten Löschhilfe) .......................... 219 9.2.9 Löschanlagen ........................................................................................................... 220 9.2.10 Brandschutzbegehungen ........................................................................................ 221 9.2.11 Rauchverbot ........................................................................................................... 221 9.2.12 Rauchschutzvorkehrungen ..................................................................................... 221 9.3 Stromversorgung, Maßnahmen gegen elektrische und elektromagnetische Risiken ............................................................................................................................... 222 9.3.1 Angepasste Aufteilung der Stromkreise .................................................................. 222 9.3.2 Not-Aus-Schalter ..................................................................................................... 222 9.3.3 Zentrale Notstromversorgung .................................................................................. 223 9.3.4 Lokale unterbrechungsfreie Stromversorgung ........................................................ 223 9.3.5 Blitzschutzeinrichtungen (Äußerer Blitzschutz) ...................................................... 224 9.3.6 Überspannungsschutz (Innerer Blitzschutz) ............................................................ 225 8

9.3.7 Schutz gegen elektromagnetische Einstrahlung ...................................................... 225 9.3.8 Schutz gegen kompromittierende Abstrahlung ....................................................... 226 9.3.9 Schutz gegen elektrostatische Aufladung ................................................................ 228 9.4 Leitungsführung ......................................................................................................... 228 9.4.1 Lagepläne der Versorgungsleitungen ...................................................................... 228 9.4.2 Materielle Sicherung von Leitungen und Verteilern ............................................... 229 9.4.3 Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen ..................... 230 9.4.4 Auswahl geeigneter Kabeltypen .............................................................................. 230 9.4.5 Schadensmindernde Kabelführung .......................................................................... 231 9.4.6 Vermeidung von wasserführenden Leitungen ......................................................... 231 9.5 Geeignete Aufstellung und Aufbewahrung .............................................................. 232 9.5.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems ............................................ 233 9.5.2 Geeignete Aufstellung eines Servers ....................................................................... 233 9.5.3 Geeignete Aufstellung von Netzwerkkomponenten ................................................ 234 9.5.4 Nutzung und Aufbewahrung mobiler IT-Geräte ..................................................... 235 9.5.5 Sichere Aufbewahrung der Datenträger vor und nach Versand .............................. 236 9.5.6 Serverräume ............................................................................................................. 236 9.5.7 Beschaffung und Einsatz geeigneter Schutzschränke .............................................. 237 9.6 Weitere Schutzmaßnahmen ...................................................................................... 240 9.6.1 Einhaltung einschlägiger Normen und Vorschriften ............................................... 240 9.6.2 Regelungen für Zutritt zu Verteilern ....................................................................... 240 9.6.3 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile ........................ 241 9.6.4 Geschlossene Fenster und Türen ............................................................................. 241 9.6.5 Alarmanlage ............................................................................................................. 242 9.6.6 Fernanzeige von Störungen ..................................................................................... 242 9.6.7 Klimatisierung ......................................................................................................... 243 9.6.8 Selbsttätige Entwässerung ....................................................................................... 243 9.6.9 Videounterstützte Überwachung ............................................................................. 243 9.6.10 Aktualität von Plänen ............................................................................................ 244 9.6.11 Vorgaben für ein Rechenzentrum ......................................................................... 244

10 Sicherheitsmanagement in Kommunikation und Betrieb ................... 245
10.1 IT-Sicherheitsmanagement ...................................................................................... 245 10.1.1 Etablierung eines IT-Sicherheits-Management-Prozesses ..................................... 245 9

10.1.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik ................ 247 10.1.3 Erarbeitung von IT-Systemsicherheitspolitiken .................................................... 247 10.1.4 Festlegung von Verantwortlichkeiten .................................................................... 248 10.1.5 Funktionstrennung ................................................................................................. 250 10.1.6 Einrichtung von Standardarbeitsplätzen ................................................................ 250 10.1.7 Akkreditierung von IT-Systemen .......................................................................... 252 10.1.8 Change Management ............................................................................................. 252 10.1.8.1 Reaktion auf Änderungen am IT-System ........................................................... 253 10.1.8.2 Software-Änderungskontrolle ............................................................................. 254 10.2 Dokumentation ........................................................................................................ 254 10.2.1 Dokumentation von Software ................................................................................ 254 10.2.2 Sourcecodehinterlegung ......................................................................................... 256 10.2.3 Dokumentation der Systemkonfiguration .............................................................. 257 10.2.4 Dokumentation der Datensicherung ...................................................................... 258 10.2.5 Dokumentation und Kennzeichnung der Verkabelung .......................................... 259 10.2.6 Neutrale Dokumentation in den Verteilern ........................................................... 260 10.3 Dienstleistungen durch Dritte (Outsourcing) ....................................................... 261 10.3.1 Festlegung einer Outsourcing-Strategie ................................................................ 262 10.3.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben ................... 266 10.3.3 Wahl eines geeigneten Outsourcing-Dienstleisters ............................................... 268 10.3.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister ......................................... 270 10.3.5 Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben .............. 275 10.3.6 Notfallvorsorge beim Outsourcing ........................................................................ 279 10.4 Schutz vor Schadprogrammen und Schadfunktionen ......................................... 281 10.4.1 Erstellung eines Virenschutzkonzepts ................................................................... 282 10.4.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall .................................. 282 10.4.3 Empfohlene Virenschutzmaßnahmen auf Firewall-Ebene .................................... 283 10.4.4 Empfohlene Virenschutzmaßnahmen auf Server-Ebene ....................................... 284 10.4.5 Empfohlene Virenschutzmaßnahmen auf Client-Ebene und Einzelplatzrechnern ............................................................................................................................................ 284 10.4.6 Vermeidung bzw. Erkennung von Viren durch den Benutzer ............................... 285 10.4.7 Erstellung von Notfallplänen im Fall von Vireninfektionen ................................. 287 10.4.8 Auswahl und Einsatz von Virenschutzprogrammen .............................................. 288 10

10.4.9 Verhaltensregeln bei Auftreten eines Virus .......................................................... 290 10.4.10 Warnsystem für Computerviren – Aktualisierung von Virenschutzprogrammen ............................................................................................................................................ 291 10.4.11 Schutz vor aktiven Inhalten ................................................................................. 291 10.4.12 Sicherer Aufruf ausführbarer Dateien ................................................................. 294 10.4.13 Vermeidung gefährlicher Dateiformate ............................................................... 296 10.5 Datensicherung ......................................................................................................... 298 10.5.1 Regelmäßige Datensicherung ................................................................................ 298 10.5.2 Entwicklung eines Datensicherungskonzeptes ...................................................... 300 10.5.3 Festlegung des Minimaldatensicherungskonzeptes ............................................... 300 10.5.4 Datensicherung bei Einsatz kryptographischer Verfahren .................................... 301 10.5.5 Geeignete Aufbewahrung der Backup-Datenträger ............................................... 303 10.5.6 Sicherungskopie der eingesetzten Software .......................................................... 303 10.5.7 Beschaffung eines geeigneten Datensicherungssystems ....................................... 304 10.5.8 Datensicherung bei mobiler Nutzung eines IT-Systems ....................................... 305 10.5.9 Verpflichtung der Mitarbeiter/innen zur Datensicherung ...................................... 307 10.6 Netzsicherheit ........................................................................................................... 307 10.6.1 Sicherstellung einer konsistenten Systemverwaltung ............................................ 307 10.6.2 Ist-Aufnahme der aktuellen Netzsituation ............................................................. 308 10.6.3 Analyse der aktuellen Netzsituation ...................................................................... 309 10.6.4 Entwicklung eines Netzkonzeptes ......................................................................... 310 10.6.5 Entwicklung eines Netzmanagementkonzeptes ..................................................... 312 10.6.6 Sicherer Betrieb eines Netzmanagementsystems .................................................. 313 10.6.7 Sichere Konfiguration der aktiven Netzkomponenten .......................................... 314 10.6.8 Festlegung einer Sicherheitsstrategie für ein Client-Server-Netz .......................... 315 10.6.9 Wireless LAN (WLAN) ........................................................................................ 318 10.6.10 Remote Access (VPN) - Konzeption .................................................................. 321 10.6.10.1 Durchführung einer VPN-Anforderungsanalyse .............................................. 323 10.6.10.2 Entwicklung eines VPN-Konzeptes ................................................................. 325 10.6.10.3 Auswahl einer geeigneten VPN-Systemarchitektur .......................................... 331 10.6.11 Remote Access (VPN) - Implementierung .......................................................... 340 10.6.11.1 Sichere Installation des VPN-Systems ............................................................. 341 10.6.11.2 Sichere Konfiguration des VPN-Systems ......................................................... 342 11

10.6.12 Sicherer Betrieb des VPN-Systems ..................................................................... 343 10.6.13 Entwicklung eines Firewallkonzeptes ................................................................. 346 10.6.14 Installation einer Firewall .................................................................................... 350 10.6.15 Sicherer Betrieb einer Firewall ........................................................................... 351 10.6.16 Firewalls und aktive Inhalte ................................................................................ 353 10.6.17 Firewalls und Verschlüsselung ............................................................................ 354 10.6.18 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation ....................... 355 10.7 Betriebsmittel und Datenträger .............................................................................. 358 10.7.1 Betriebsmittelverwaltung ....................................................................................... 358 10.7.2 Datenträgerverwaltung ........................................................................................... 360 10.7.3 Datenträgeraustausch ............................................................................................. 361 10.8 Informationsaustausch / E-Mail ............................................................................. 363 10.8.1 Richtlinien beim Datenaustausch mit Dritten ....................................................... 363 10.8.2 Festlegung einer Sicherheitspolitik für E-Mail-Nutzung ....................................... 364 10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten ...... 366 10.8.4 Sicherer Betrieb eines Mail-Servers ...................................................................... 369 10.8.5 Einrichtung eines Postmasters ............................................................................... 371 10.8.6 Geeignete Auswahl eines E-Mail-Clients/Server .................................................. 371 10.8.7 Sichere Konfiguration der Mailclients .................................................................. 373 10.8.8 Verwendung von WebMail externer Anbietern .................................................... 373 10.9 Internet-, Web, E-Commerce, E-Government ...................................................... 375 10.9.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet) .................................... 375 10.9.2 Erstellung einer Internet-Sicherheitspolitik ........................................................... 376 10.9.3 Festlegung einer WWW-Sicherheitsstrategie ........................................................ 379 10.9.4 Sicherer Betrieb eines WWW-Servers .................................................................. 380 10.9.5 Sicherheit von WWW-Browsern ........................................................................... 382 10.9.6 Schutz der WWW-Dateien .................................................................................... 388 10.9.7 Einsatz von Stand-alone-Systemen zur Nutzung des Internets .............................. 390 10.9.8 Sichere Nutzung von E-Commerce bzw. E-Government Applikationen ............... 390 10.9.9 Portalverbundsystem in der öffentlichen Verwaltung ........................................... 392 10.10 Protokollierung und Monitoring .......................................................................... 393 10.10.1 Erstellung von Protokolldateien .......................................................................... 393 10.10.2 Datenschutzrechtliche Aspekte bei der Erstellung von Protokolldateien ............. 395 12

10.10.3 Kontrolle von Protokolldateien ........................................................................... 396 10.10.4 Rechtliche Aspekte bei der Erstellung und Auswertung von Protokolldateien zur E-Mail- und Internetnutzung ...................................................................................... 397 10.10.5 Audit und Protokollierung der Aktivitäten im Netz ............................................ 399 10.10.6 Intrusion Detection Systeme ............................................................................... 402 10.10.7 Zeitsynchronisation .............................................................................................. 403

11 Zugriffskontrolle, Berechtigungssysteme, Schlüssel- und Passwortverwaltung ...................................................................................... 404
11.1 Zugriffskontrollpolitik ............................................................................................. 404 11.1.1 Grundsätzliche Festlegungen zur Rechteverwaltung ............................................. 404 11.2 Benutzerverwaltung ................................................................................................. 405 11.2.1 Vergabe und Verwaltung von Zugriffsrechten ...................................................... 405 11.2.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ..................................................................................................................... 406 11.2.3 Organisatorische Regelungen für Zugriffsmöglichkeiten in Vertretungs- bzw. Notfällen ........................................................................................................................... 408 11.3 Verantwortung der Benutzer / Benutzerinnen ...................................................... 409 11.3.1 Regelungen des Passwortgebrauches .................................................................... 409 11.3.2 Bildschirmsperre .................................................................................................... 410 11.4 Fernzugriff ................................................................................................................ 411 11.4.1 Nutzung eines Authentisierungsservers beim Fernzugriff ..................................... 412 11.4.2 Einsatz geeigneter Tunnel-Protokolle für die VPN-Kommunikation .................... 414 11.4.3 Einsatz von Modems und ISDN-Adaptern ............................................................ 415 11.4.4 Geeignete Modem-Konfiguration .......................................................................... 417 11.4.5 Aktivierung einer vorhandenen Callback-Option .................................................. 418 11.5 Zugriff auf Betriebssysteme .................................................................................... 419 11.5.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung ................................ 419 11.5.2 Nutzung der BIOS-Sicherheitsmechanismen ........................................................ 420 11.6 Zugriff auf Anwendungen und Informationen ...................................................... 421 11.6.1 Wahl geeigneter Mittel zur Authentisierung ......................................................... 422 11.6.2 Regelungen des Gebrauchs von Chipkarten .......................................................... 424 11.6.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen 426 .... 11.7 Mobile Computing und Telarbeit ........................................................................... 428 11.7.1 Mobile IT-Geräte ................................................................................................... 430 11.7.1.1 Laptop, Notebook ............................................................................................... 432 13

7............................1........................... 460 12....5 Entwicklung eines Testplans für Standardsoftware ... 440 11.........4 Regelung des Dokumenten................................................. 478 12.... 469 12............. 459 12 Sicherheit in Entwicklung. 448 11.... 474 12....... 459 11..und Datenträgertransports zwischen häuslichem Arbeitsplatz und Institution ............................................1.....1.................... 457 11..................................................................8 Installation und Konfiguration von Software ................................................................... 481 14 .............................................9 Sicherstellen der Integrität von Software .....6 Testen von Software ............ Betrieb und Wartung eines IT-Systems ............................................. 436 11...............1............................................. 472 12........1..1.............7..... 461 12................12 Vertretungsregelung für Telearbeit ..........1............................1..................... 454 11..........6 Betreuungs..............11 Deinstallation von Software ...8 Regelung der Zugriffsmöglichkeiten von Telearbeiter/innen ......................................................................3 IT-Sicherheit in Design und Implementierung ................ 467 12.....1..1...............7.............11.... DVDs) .............................7.........................................................................1....................und Wartungskonzept für Telearbeitsplätze ..........................................7.7....................................................7................ 450 11..................... 456 11....................7.............3 Mobiltelefon.......................4 Entwicklungsumgebung ........... 476 12............................... 465 12......................5 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger . 451 11.........................7 Abnahme und Freigabe von Software .....1 Sicherheit im gesamten Lebenszyklus eines IT-Systems .9 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner.......7.............................7 Geregelte Nutzung der Kommunikationsmöglichkeiten ....................................................1................................. 452 11..................Institution ............10 Sicherheitstechnische Anforderungen an den Kommunikationsrechner .................................... 448 11.................3 Regelungen für Telearbeit ..............................13 Entsorgung von Datenträgern und Dokumenten ... 445 11...................1....................2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes ..................................11 Informationsfluss..............................................10 Lizenzverwaltung und Versionskontrolle von Standardsoftware ....... 454 11....................... 471 12.............7.... Smart Phone .7....................................................................................... 451 11...............4 Wechselmedien und externe Datenspeicher (USB-Sticks...........7....... Meldewege und Fortbildung .......1..... -Platten...........7...................................................2 Durchführung einer Risikoanalyse und Festlegung der ITSicherheitsanforderungen ..............................7...... 480 12.......2 PDA (Personal Digital Assistant) ....1 IT-Sicherheit in der System-Anforderungsanalyse .. CDs.. 479 12..........7....

....................................4 Wartung und administrativer Support von Sicherheitseinrichtungen ............................6........................ 513 12............2 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte... 519 13 Sicherheitsvorfälle bzw........................2..4 Auswahl eines geeigneten kryptographischen Produktes ........ 515 12............7......................................3..............7................................................2 Evaluierung und Zertifizierung ............1 Beachtung des Beitrags der Zertifizierung für die Beschaffung ...........9 Zertifizierungsdienste ...............................................................6........................6 Physikalische Sicherheit von Kryptomodulen ............1 Überlegungen zu Informationssicherheits-Ereignissen ............ 489 12...............................................................................................3 Fernwartung ...........................................und Software-Komponenten ................................... 487 12.........................6...2 Sorgfältige Durchführung von Konfigurationsänderungen ................und Hardware im Netzbereich ..............7 Schlüssel-Management ......... 484 12.................................. 505 12... 483 12...............................3...................5...5 Sicherheit von Systemdateien ....6.......................... 484 12........ 504 12....................................................und -Änderungskonzept ........................................ 493 12............................... Informationssicherheits-Ereignisse (Incident Handling) .......................................... 495 12....................................... 481 12............................. 517 12.......................... 511 12.... 489 12.......4 Korrekte Verarbeitung ................ 521 13.6....................3 Auswahl eines geeigneten kryptographischen Verfahrens .......................................8 Einsatz elektronischer Signaturen ............. 481 12................2 Regelungen für externe Wartungsarbeiten .................................. 514 12............ 498 12.2 Nutzungsverbot privater Hard..............................................7 Wartung ................................ 491 12...1 Regelungen für Wartungsarbeiten im Haus ..........................................................................1 Entwicklung eines Kryptokonzepts ....5 Regelung des Einsatzes von Kryptomodulen ...3 Überprüfung des Software-Bestandes ...............................4 Update von Software ....... sicherheitsrelevante Ereignisse (Incident Handling) ..................................................................................1 Nutzungsverbot nicht-freigegebener Software ................................................6..6 Einsatz kryptographischer Maßnahmen ..................................5.......... 483 12... 501 12...........................................1.....................6..............1 Reaktion auf Sicherheitsvorfälle bzw........... 489 12...........................................3 Einsatz von Software ... 516 12..............................................7............... 485 12...............................................6.....................................................6.1 Systemdateien .........1 Verifizieren der zu übertragenden Daten vor Weitergabe ..................7..3.................. 487 12.....................4.........................................................................................5 Update/Upgrade von Soft......3................................ 521 15 ..... 486 12........3...........12.................6 Software-Pflege................................ 506 12. 485 12....3.. 521 13...

............... 560 16 .............................................................................................................. 546 14.........................................2 Festlegung von Verantwortlichkeiten bei Informationssicherheits-Ereignissen .......1.......................................................... 548 14................................................5 Definition des eingeschränkten IT-Betriebs (Notlaufplan) ...........................................1......................................................1..................................................................................1.... 554 14.................................................5 Meldewege bei Sicherheitsvorfällen ..............1..........................2 Überprüfung auf Einhaltung der Sicherheitspolitiken ...............8 Alarmierungsplan ........................................................................................1...................1..9 Computer Emergency Response Team (CERT) ......1 Security Compliance Checking und Monitoring ..........13..1.........1........................................................................................................... 546 14.. 555 14.......... 559 15........................ 547 14.......................................................... 548 14...2 Umsetzung und Test .................................1..............4 Erstellung eines Disaster Recovery Handbuches .........7 Untersuchung interner und externer Ausweichmöglichkeiten ............................ 556 14...................................................1.. 533 13....1..1 Definition von Verfügbarkeitsklassen ........................................6 Regelung der Verantwortung im Notfall ..1................................................................... 544 14....1...............1........4 Prioritäten bei der Behandlung von Sicherheitsvorfällen ......9 Erstellung eines Wiederanlaufplans ....................1........ 551 14............................. 539 14 Disaster Recovery und Business Continuity ...........8 Nachbereitung von Sicherheitsvorfällen (Lessons Learned) . 531 13................7 Eskalation von Sicherheitsvorfällen ...1... 552 14...............................................................................1........ 543 14.........................................2 Übungen zur Datenrekonstruktion .........................................1 Durchführung von Disaster Recovery Übungen ...............................3 Benennung einer/eines Notfall-Verantwortlichen .........................1...........................1........ 559 15..................6 Behebung von Sicherheitsvorfällen .................. 557 15 Security Compliance ................................. 526 13............11 Lieferantenvereinbarungen ........... 556 14...............3 Erstellung eines Incident Handling Plans und Richtlinien zur Behandlung von Sicherheitsvorfällen ................. 543 14.1...1....2 Erstellung einer Übersicht über Verfügbarkeitsanforderungen ........................1............. 552 14......14 Redundante Auslegung der Netzkomponenten ................. 543 14....................10 Ersatzbeschaffungsplan ..1....... 523 13...................1 Einhaltung von rechtlichen und betrieblichen Vorgaben ............. 529 13..... 559 15..................................1 Security Compliance Checking und Monitoring .........12 Abschließen von Versicherungen ...... 549 14.......... 537 13..................... 550 14.......................... 528 13................................................2.........................................13 Redundante Leitungsführung ......................2..

....3...1..............2 Kryptographische Grundziele ...................1..6 Digitale Signaturen.............................1.........................................................................4 Kontrolle bestehender Verbindungen ...........Amtssignatur ........ 563 15.................................1.........1.....1 Industrielle Sicherheit ....................1.................1..1....................................1 Kryptographische Methoden ............................... 599 A.............. 586 A...........8 Schlüsselverteilungszentralen ................. 567 A........1....... Elektronische Signaturen ......1....................................................................... 586 A....................................1...............................1.... 584 A.................. 586 A...3...2 Österreichische Sicherheits.............................. 567 A.......................................................................2....... 587 A.............................2 Sicherheitstechnologien ... 575 A.....6 Kontrollgänge ......... 586 A....................................................Signaturerstellung am Server ...................1...............3 Ausstellung einer Sicherheitsunbedenklichkeitsbescheinigung .......... 584 A...... 578 A.....................................................4......... 594 A........................... 595 A.......................................................................1................1........ 598 A......2 Tunneling ......................................7 Schlüsselmanagement .......................1...........5 Authentizitätsnachweise ...............................................................................................................und Verteidigungsdoktrin – Teilstrategie IKTSicherheit ....4 Integritätsschutz ..........................................................................................5 Durchführung von Sicherheitskontrollen in Client-Server-Netzen ...................................................1.....4 Module für Online Applikationen (MOA) .......2.....................................1 MOA-ID Identifikation ......... 567 A.. 564 15.......................................................... 571 A....................................1............Signaturprüfung (MOA SP) / MOA SS .1....................................1......................2......1........................ 580 A.........................................3.....................................4 MOA AS ...............3....................2..................1.....2.........................3......... 565 A..............1.2 Personenkennzeichen und Stammzahlen ............................3 Vollmachten ..................................3 Auswertung von Protokolldateien ...1............2... 583 A..................2 MOA SP ...............4.........3 MOA ZS .................................7 Fortlaufende Überwachung der IT-Systeme (Monitoring) .....................................................4........................................2.............. 573 A.............Zustellung ........................1... 580 A............1 Sicherheitsszenarien ..... 592 A............ 568 A...3..............2............................................15...........4...3 Sicherheitsfunktionen für E-Government in Österreich .......................1..........1......1 Konzept und Funktionen der Bürgerkarte ......3............1 Beschreibung der generellen Anforderungen .................................3.... 581 A..............................5 Portalverbund ....................1......................................2.3...... 562 15................................................1.......................................2......1.......................1............. 574 A........................... 600 17 .2 Rechtlicher Hintergrund ...........................1 Elemente der Kryptographie ........... 583 A................................. 560 15.....3 Verschlüsselung .

...................1 Tunnel-Protokolle für die VPN-Kommunikation ..1 Wichtige Normen ...................................10 Erstellung eines Notfallplans für den Ausfall von Virtualisierungskomponenten ............... 609 A. 625 C.................2 Anwendungen der Virtualisierungstechnik ........................ 616 A.3...............................................3............ 603 A........................................................... 639 E Referenzierte IKT-Board Beschlüsse und Gesetze ..............................................A...........2...................................3 Gefährdungen in Zusammenhang mit Virtualisierung ...................................2......................2................2............2............................... 617 A...................2 Referenzdokumente ....................................................2....3..........................................................3 Virtualisierung .............................................. Sicherheitstüren und einbruchhemmende Türen ................................8 Sichere Konfiguration virtueller IT-Systeme ......... 645 F Wichtige Adressen .................................................................................7 Aufteilung der Administrationstätigkeiten bei Virtualisierungsservern .............................................3................................... 643 Gesetzestexte ....3...................................................................2........ 626 Brandschutz .......... 626 628 628 629 629 C....................................................................... 611 A......2........2.....................................................................................................................................................9 Sicherer Betrieb virtueller Infrastrukturen ........................1 Einführung in die Virtualisierung ......... Vernichtung von Akten und Daten .3. 600 A......... Wertbehältnisse ..4 Planung ..............................................................................6 Anpassung der Infrastruktur im Zuge der Virtualisierung .... 649 18 ..................2.2....2.................... 614 A.................... 615 A........... 603 A..3.................3.............. Informationssicherheit und IT-Sicherheit .................................................................................................. 643 IKT-Board Beschlüsse ................................2.............5 Rollen und Verantwortlichkeiten bei der Virtualisierung ............... 621 B Muster für Verträge................................................... 619 A............................................. 605 A...............................................................................................3..................... Verpflichtungserklärungen und Dokumentationen ...........................3.......

eine eigenständige. die gerade in der Informationsverarbeitung besonders wichtig ist. Die grundlegende Überarbeitung und Aktualisierung seit der letzten Fassung aus 2007 führte das Bundeskanzleramt in Kooperation mit dem Zentrum für sichere Informationstechnologie . Diese Überarbeitung basiert einerseits auf aktuellen internationalen Entwicklungen im Bereich der Informationssicherheit und andererseits auf Kooperationen mit dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem schweizerischen Informatikstrategieorgan des Bundes (ISB). ISO/IEC 27001 und 27002) in der öffentlichen Verwaltung und der Privatwirtschaft. die sowohl von der öffentlichen Verwaltung als auch der Wirtschaft zielgruppenorientiert und einfach verwendet werden können. weiter ausgebaut. denen Informationen ausgesetzt sind und Gegenmaßnahmen. Der Aufbau des neuen Informationssicherheitshandbuchs ermöglicht auch die Berücksichtigung von Querschnittsmaterien nach Vorgabe durch Fachbereiche aus Verwaltung und Wirtschaft. 19 . Unterstützt werden auch eigene. Dabei wird die bisherige Stärke des Österreichischen Sicherheitshandbuchs. Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener Informationssicherheit unerlässlich. welche für österreichische Institutionen relevant sind. Zusätzlich eignet sich das neue Informationssicherheitshandbuch auf Grund seiner neuen Struktur als konkrete Implementierungshilfe für nationale (E-Government) und internationale Normen (z. lokale Versionen.B. Aufbau und Inhalt orientieren sich nun nach internationalen Vorgaben und erleichtern damit die Umsetzung von Vorgaben aus der ISO/IEC 27000 Normenreihe.Austria (A-SIT) durch. dass weite Bereiche des täglichen Lebens ohne den Einsatz von informationstechnischen Systemen heute nicht mehr funktionsfähig sind. Das nun neu überarbeitete und neu strukturierte „Österreichische Informationssicherheitshandbuch“ beschreibt und unterstützt die Vorgehensweise zur Etablierung eines umfassenden Informationssicherheits-Managementsystems in Unternehmen und der öffentlichen Verwaltung.Zum Geleit Die Tatsache. umfassende und dennoch kompakte Darstellung von Risken. Die nun erstmals ausschließlich elektronische Umsetzung in Verbindung mit einer kontinuierlichen Wartung durch definierte Autorengruppen mit fachspezifischen Anforderungen ermöglicht eine Tagesaktualität. Dazu wurden Maßnahmenbausteine entwickelt. rückt die Frage nach der Sicherheit der Informationen und der Informationstechnologie zunehmend in den Brennpunkt des Interesses. wobei weiterentwickelte zentrale Bausteine mit Hilfe automatischer Updates eingespielt werden können.

das sich an internationalen Vorgaben orientiert und durch seine Kompaktheit auszeichnet. Es leistet einen wesentlichen Beitrag zur Erstellung und Implementierung von umfangreichen Sicherheitskonzepten in der öffentlichen Verwaltung und versteht sich als Hilfestellung für die Wirtschaft.Österreich besitzt mit dem "Österreichischen Informationssicherheitshandbuch" ein anerkanntes Standardwerk zur Informationssicherheit. 20 .

Die inhaltliche Wartung erfolgt nun kontinuierlich. Sie sehen hier das Ergebnis eines ehrgeizigen internationalen Projekts mit dem Ziel. Eine moderne Web-Benutzeroberfläche erleichtert die Erarbeitung von lokal erzeugten Auswahl. bestehend aus Bausteinen der bisherigen zweiteiligen Version und neu verfassten Inhalten. dem bewährten Österreichischen Informationssicherheitshandbuch nicht nur neue Inhalte. Damit kann das Sicherheitshandbuch international genutzt werden. um die Aktualität sicherzustellen.1 ist die erste Auflage in der neuen Struktur und bietet eine vollständige Wissensbasis. Gleichermaßen werden unterschiedliche Textversionen zum gleichen thematischen Inhalt für verschiedene Zielgruppen unterstützt und entwickelt. Damit können "eigene" Sicherheitshandbücher und -policies erarbeitet werden. jeweils aktuelle Themen und Aspekte in das Informationssicherheitshandbuch einzubringen. Damit wird der Einsatz als Implementierungshilfe für ein ISMS gemäß ISO/IEC 27001 erleichtert. Die markantesten Neuheiten sind: • • • • • • Die bisherige Struktur mit 2 Teilen wurde an die Struktur der Normen ISO/IEC 27001 und 27002 angepasst: Es gibt jetzt einen Teil mit 15 Abschnitten und einer Reihe von Anhängen. Feedbacks zum Sicherheitshandbuch können Sie ganz einfach per E-Mail senden an: siha@a-sit.Vorwort und Management Summary Zur Version 3 des Informationssicherheitshandbuchs Herzlich willkommen bei der Lektüre der Version 3 des Österreichischen Informationssicherheitshandbuchs. sondern auch neue Einsatzgebiete mit Hilfe von interaktiven Funktionalitäten zu geben. Die technische Realisierung unterstützt nun unterschiedliche Sprachen. Ein Update-Mechanismus vergleicht lokal ergänzte Themen mit allfälligen Änderungen in der zentralen Wissensbasis. Die nun vorliegende Version 3. Auf Grund der fortschreitenden Entwicklung der Informationstechnologie wird es ein andauender Prozess sein. Unbeschadet dessen sind wir für Feedbacks der Leser und Anwender dankbar.at 21 .und Checklisten mit eigenen Kommentaren.

Bleibt noch. dann erleiden wir Schaden . Wir besitzen sie aus unterschiedlichen Gründen . weil wir aus ihnen einen Vorteil ziehen. Wir.Austria (A-SIT) . dass wir damit einen richtigen Weg einschlagen.die Palette reicht von geringfügig bis existenzbedrohend. weil ihre Kenntnis uns vor Schaden bewahrt und noch viel mehr. das sind die Projektpartner: • • • Bundeskanzleramt Österreich (BKA) Informatikstrategieorgan des Bundes (ISB). welche für ein spezielles Szenario beachtet werden sollen bzw. war von Beginn an die Zielsetzung dieses Handbuchs.weil wir für ihre Verwahrung oder Verarbeitung Verantwortung tragen. dennoch ist es der zentrale und immer wichtiger werdende Aspekt der Informationssicherheit. müssen.als Projektverantwortliche Manfred Holzbach. Schweiz Zentrum für sichere Informationstechnologie . Gehen sie uns verloren. Aus der Fülle möglicher Bedrohungen und der Fülle möglicher Gegenmaßnahmen methodisch diejenigen identifizieren zu helfen. wurde beim „Österreichischen Informationssicherheitshandbuch“ zunehmend dem steigenden Interesse aus der Wirtschaft Rechnung getragen. Das ist zwar nichts Neues. aber wie viel sind wir bereit. dass Sie auch der Meinung sind. 22 . wenn wir sie benötigen. Niemand bestreitet das. das zeigen entsprechende Umfragen immer wieder. redaktioneller Leiter Management Summary Mehr denn je ist uns bewusst: Informationen sind Werte. Ausgehend von seiner ersten Version („IT-Sicherheitshandbuch für die öffentliche Verwaltung“). in den Schutz unserer Informationen zu investieren und was ist im speziellen Fall die optimale Lösung? Hier wird es schon differenzierter. werden sie gestohlen. Ihnen für Ihr Interesse an der neuen Version zu danken und zu hoffen. die sich am Sicherheitsbedürfnis öffentlicher Einrichtungen orientiert hat. sind sie falsch oder einfach nicht auffindbar.

wie schnell ein zunächst harmlos erscheinendes Phänomen zu einem massiven Problem wurde.und Checklisten ( "eigene" Sicherheitshandbücher und -policies. der besonderes Augenmerk zu schenken ist . ergänzt und ggf. Zugleich steigt das Risikopotenzial weiter. um die Aktualität sicherzustellen. Ein solches ist in ISO/IEC 27001 definiert als: 23 . Die steigende Vernetzung führt dazu. wenn es regelmäßig der aktuellen Entwicklung Rechnung trägt und daher immer wieder überarbeitet. neu ausgerichtet wird. Daher wurde die Kapitelstruktur weitgehende diesen Normen angepasst.obwohl die Mehrheit der Benutzer über die Gefahren Bescheid weiß.B. aber auch eigene Auswahl. auf „typische“ Verhaltensmuster ist Verlass . Ein vorläufiger Höhepunkt dieser Entwicklung wird erreicht sein. Ein Sicherheitshandbuch erfüllt seinen Zweck nur.sonst wären E-MailWürmer oder Phishing-Angriffe nicht so problematisch . Es werden unterschiedliche Sprachen unterstützt. Und schließlich ist es immer noch die Person. welche sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft zu bemerkenswerten Innovationsschüben führt. Kernelemente des Informationssicherheitshandbuchs sind der Aufbau. Mit einer modernen Benutzeroberfläche kann sowohl einfach durch die Themen geblättert. und es wird in den Texten auf passende Normvorschriften hingewiesen. wenn "Cloud Computing" die geschäftliche und auch private Nutzung der Informationstechnologie durchdrungen haben wird. sondern auch völlig neue Anwendungsgebiete wie z.sie entwickelt sich nicht so rasant weiter wie die Technik.es ist unerheblich wo sich der/die Nutzer/in gerade physisch befindet. Am Beispiel der Spam-E-Mails kann man erkennen.Weiterentwicklungen betreffen primär die Inhalte: Ist es doch die rasante Entwicklung im Bereich der Informationstechnologie (IT). Die inhaltliche Wartung erfolgt ab jetzt nun kontinuierlich. E-Government. Mit dieser Motivation wurden mit der nun vorliegenden Version 3 neue Wege beschritten: • • • • Ein wesentliches Einsatzgebiet ist die Implementierung der für Informationssicherheit wichtigen Normen ISO/IEC 27001 und 27002. Es gibt nicht nur immer wieder neue Technologien. Schulungsunterlagen ) erzeugt werden. sowohl für die rechtmäßigen Besitzer/innen der Information wie auch für die potenziell unrechtmäßigen. dass Information „ortslos“ wird . die Umsetzung und die Aufrechterhaltung eines InformationssicherheitsManagementsystems (ISMS).

Verantwortung. also Sicherheitsmaßnahmen realisieren. Prüfen (Check): Überwachen und Überprüfen des ISMS auf seine Wirksamkeit. Daher sind auch kontinuierlich Anstrengungen und Kosten für Informationssicherheit in Kauf zu nehmen. Inhalt und Struktur des Informationssicherheitshandbuchs sind an die ISO/IEC Normen 27001 und 27002 angepasst: • ISO/IEC 27001 (Informationssicherheits-Managementsysteme – Anforderungen) beschreibt die für Einrichtung.7) Informationssicherheit entsteht nicht von selbst aus Technik oder Know-How. aber auch Kenntnis über Vorfälle sowie üblicher Good-Practices zu erlangen. Sinnhaftigkeit. Durchführung. Es ist aber auch bei der Informationssicherheit nicht sinnvoll. Schwachstellen und veränderte Umfeldbedingungen reagieren und die Ursachen für Gefährdungen beseitigen. enthält das Managementsystem die Struktur. Prozesse und Ressourcen der Organisation. Verfahren. (ISO/IEC 27001. Überprüfung. der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung. um sie zu erhalten. also relevante Sicherheitsziele und strategien ermitteln. Instandhaltung und Verbesserung der Informationssicherheit abdeckt" bzw. Dies bedingt erneutes Planen. Grundsätze. das bedeutet Vorhandensein."Teil des gesamten Managementsystems. für ihre Einhaltung sorgen und Informationssicherheit im laufenden Betrieb inklusive in Notfällen zu gewährleisten. sondern zunächst aus dem Bewusstsein des Managements und der Mitarbeiter/innen einer Organisation. Im Informationssicherheitshandbuch wird darauf in den Kapiteln 2 und 24 . Überprüfung. Praktiken. Durchführen (Do): Umsetzen und Betreiben des ISMS. Überwachung. Planungsaktivitäten. Einhaltung der Sicherheitsmaßnahmen zu überprüfen. das bedeutet auf erkannte Fehler. eine organisationsspezifische Informationssicherheits-Politik zu erstellen und spezifisch geeignete Sicherheitsmaßnahmen auswählen. womit sich ein ständiger Kreislauf schließt. Durchführung. über das Ziel zu schießen: 100 % Sicherheit ist nicht erreichbar. Instandhaltung und Verbesserung eines Informationssicherheits-Managementsystems relevanten Anforderungen. Überwachung. wie viel man auch investiert. Begriffe 3. Handeln (Act): Instandhalten und Verbessern des ISMS. dass Informationen schützenswerte und gefährdete Werte für alle Beteiligten darstellen. Die für das Informationssicherheits-Managementsystem (ISMS) relevante Norm ISO/IEC 27001 beschreibt Informationssicherheit als "Kontinuierlichen Verbesserungsprozess" (KVP): • • • • Planen (Plan): Festlegen des ISMS. Implementierung. Umsetzung.

und Szenariobeschreibungen sowie Musterdokumente. EU. die nicht in den ISO Normen abgedeckt sind. Regelungen und Rahmenbedingungen. Ausrichtung und Umfang Von der Ausrichtung versteht sich das Informationssicherheitshandbuch nach wie vor als Sammlung von Leitlinien und Empfehlungen für die Praxis. Es wird auch besonders auf die spezifisch österreichischen Anforderungen.) darstellen und setzt diese weder außer Kraft noch steht es zu ihnen im Widerspruch. ISO/IEC 27002 (Leitfaden für das Informationssicherheits-Management) beschreibt konkrete Empfehlungen für Aktivitäten zur Realisierung der Maßnahmenziele.und NATO-Bereich. 25 . um sie auch in der Tiefe zu verstehen und Maßnahmen implementieren (etwa Produkte auswählen. . Organisation bzw. eingegangen. In den Anhängen finden sich schließlich ausgewählte Technologie. Dies wird auch durch die Online-Funktionalitäten wie Checklisten unterstützt. Amtsgeheimnis. personeller. Ein eigener Abschnitt im Anhang A beschreibt national relevante Sicherheitsmaßnahmen. von der Entwicklung bis zur Beendigung des Betriebs. Informationssicherheitsgesetz. aber auch auf die durchgängige Einbeziehung des gesamten Lebenszyklus der jeweiligen Systeme. einem Unternehmen zu etablieren und bieten konkrete Anleitungen den umfassenden und kontinuierlichen Sicherheitsprozess zu entwickeln. Literaturhinweise und Hilfsmittel wie Referenzen. Sein Umfang soll nach wie vor zwei an sich gegenläufige Aspekte vereinen: • Die Themen sollen ausreichend konkret und detailliert dargestellt werden. Im Informationssicherheitshandbuch beziehen sich die Kapitel 4 bis 15 darauf und entsprechen in ihrer Thematik auch den Kapiteln der Norm.dargestellt wird hier die Unterstützung für die Erstellung einer Sicherheitsunbedenklichkeitsbescheinigung und eine Übersicht aller für industrielle Sicherheit relevanten Vorgabedokumente aus dem nationalen.. Vorgaben entwickeln) zu können. Informationssicherheit in einer Behörde.. wie beispielsweise die "Industrielle Sicherheit" . Damit können den spezifischen Bedrohungen angemessene Standardsicherheitsmaßnahmen für Informationssysteme und Informationen entgegengesetzt werden. die entsprechend den spezifischen Anforderungen und Bedürfnissen in einer Einsatzumgebung angepasst werden müssen. Es soll eine Ergänzung zu den bestehenden Regelungen und Vorschriften (Datenschutzgesetz. Es werden hier konkrete und detaillierte Einzelmaßnahmen mit Anleitungen zu ihrer korrekten Implementierung auf organisatorischer. Verschlusssachenvorschriften.• 3 Bezug genommen: sie beschreiben den grundlegenden Vorgang. infrastruktureller und technischer Ebene beschrieben.

einheitliche methodische Vorgehensweisen zur Etablierung von Informationssicherheit sowie Standard-Maßnahmenkataloge zu erarbeiten. Ausgesprochenen Dank sprechen wir den Organisationen und ihren maßgeblichen Partnern aus. Im Informationssicherheitshandbuch wurde diesen internationalen Entwicklungen so weit wie möglich Rechnung getragen und auf einige dieser bewährten Quellen gegriffen.• Es soll aber auch möglich bleiben. Deutschland. Ebenso etabliert ist die Arbeit von MELANI (Melde. Wegen der immer höheren Abhängigkeit von Information gilt dies besonders für Risiken aus fehlender oder mangelhafter Informationssicherheit. . einen systematischen und dauerhaften Sicherheits-Managementprozess zu etablieren. Luxembourg ) in Luxemburg. Davon sind die Normenreihe ISO/IEC 27000 und der Grundschutz des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) wohl die bekanntesten und bedeutendsten. Schweiz. zu steuern und zu kontrollieren" "Ein angestrebtes Sicherheitsniveau macht nur dann Sinn. die uns nicht nur ihre Zustimmung zur Nutzung ihrer Unterlagen gegeben. eingeschätzt. zeitlichen und finanziellen Ressourcen auch erreicht werden kann. sondern uns bei der Erarbeitung immer wieder mit Rat und Ermunterung unterstützt haben: • • 26 Bundesamt für Sicherheit in der Informationstechnik (BSI). wenn es sich wirtschaftlich vertreten lässt und mit den verfügbaren personellen. bewertet und durch Setzen geeigneter und nachhaltiger Maßnahmen auf einen minimalen und akzpetierten Rest reduziert werden. das Gesamtwerk oder größere Teile am Stück zu lesen. Abschließend drei Management-relevante Passagen (aus Kapitel 3): • • • "Zur Verantwortung der Management-Ebene gehört neben der Erreichung der geschäftlichen wie unternehmenspolitischen Ziele auch der angemessene Umgang mit Risiken. wie dann in den einzelnen Textbausteinen auch angeführt. Bern. Informatikstrategieorgan des Bundes (ISB)." "Es ist daher eine Management-Verantwortung. Bonn. Weiters waren auch die Vorgabedokumente der EU und NATO für Informationssicherheit maßgeblich.und Analysestelle Informationssicherung) in der Schweiz und CASES (Cyberworld Awareness Security Enhancement Structure. Sie müssen so früh als möglich erkannt." Hauptquellen und Danksagungen Schon lange wurden und werden auf nationaler und internationaler Ebene immer mehr Anstrengungen unternommen.

• Ministére de l'Economie et du Commerce extérieur. Luxembourg 27 .

ein "maßgeschneidertes" Sicherheitshandbuch abzuleiten und in Kommentaren die tatsächlich notwendigen Maßnahmen zu beschreiben.1. umgesetzt und und eingehalten werden sollen . -medien. Implementierungshilfe zu ISO/IEC 27001: Viele Organisationen müssen oder wollen IT-Sicherheit gemäß der Norm ISO/IEC 27001 und nachgelagerter Normen etablierten bzw. worauf ist zu achten" Hier ermöglicht es die Auswahl.und Checklistenfunktionalität etwa. welche Aktivitäten sind zu planen und zu entscheiden.1 Das Informationssicherheitshandbuch 1. Einerseits ist es durchaus im Stil einer Vorschrift formuliert. eignet sich auch zum Lesen bzw. Das Sicherheitshandbuch bietet dazu: • • Gemäß der Norm geordnete Interpretation der Vorgaben und Prozessbeschreibungen. hat das Potenzial zielgruppengerecht unterschiedlicher Textierungen. auch zertifizieren lassen. um notwendige Überlegungen und Maßnahmen klar und unzweifelhaft zu darzustellen. wie wird es gemacht. Instrument zur Schulung und Weiterbildung: • • • • 28 Die Wissensbasis stellt insgesamt ein ganzheitliches und dennoch kompaktes und ganzheitliches Werk zur Informationssicherheit dar. um den Sicherheitsmanagement-Prozess zu etablieren und aufrecht zu erhalten: .1 Ziele des Informationssicherheitshandbuchs Das Österreichische Informationssicherheitshandbuch positioniert sich in der Mitte zwischen den normativen Vorgaben der ISO/IEC Normen 27001 / 27002 und verwandter Standards sowie der Fülle an sehr detaillierten Leitfäden und Handbüchern zur Informationssicherheit. sowohl modular wie im Ganzen. andererseits bietet es eine Auswahl an Möglichkeiten und Entscheidungskriterien für die Implementierung in der Praxis. ."was gibt es dazu. sicherstellen und ggf. wo ist Kontrolle nötig" einen Katalog von konkreten Sicherheitsmaßnahmen.1 Einführung 1. und eignet sich daher sowohl als Basis für Schulungs. Durcharbeiten "am Stück". die ausgewäht."welche Überlegungen sind anzustellen.und Weiterbildungsmaßnahmen bzw. Dabei wurde allerdings auf die die gebotene Kompaktheit geachtet. beispielsweise den GrundschutzStandards und -Bausteinen des BSI.

1.2 Scope Inhaltlich behandelt das vorliegende Handbuch den gesamten Bereich der Informationssicherheit.wobei Basiswissen gemeinsam verwaltet werden soll .und Checklistenfunktionalität auf die relevanten Themen eingeschränkt und in den Kommentaren etwa Fragen und Antworten dargestellt weren.1. 29 .und Darstellungsmodulen wurde dem Rechnung getragen. gesprochene oder bildhaft dargestellte Informationen. aber auch einfach zur Selbstkontrolle können die notwendigen Schritte und Maßnahmen ausgewählt und dann mit der Checklistenfunktion der Grad der Erfüllung mitsamt Begründungen festgehalten werden. zum anderen von Erfahrungen und Wünschen der Benutzer/Benutzerinnen der bisherigen Version 2. gilt sinngemaß auch beispielsweise für Schulen. wird Information dennoch umfassend gesehen: in elektronisch gespeicherter oder übertragener Form. Hilfsmittel für Self-Checks: Als Hilfsmittel für Audits. sowie auch als schriftliche. Wichtigstes Ziel der Neuauflage ist selbstverständlich. Wenn auch ein Schwerpunkt auf IT-gestützter Information liegt. Somit kam es auch zur Mitwirkung des schweizerischen ISB am Relaunch-Projekt. Letzteres wurde vor allem als Wunsch der Wirtschaft geäußert. Mit einer Neugestaltung der Datenstruktur und neu entwickelten Zugriffs. Speziell aus der Schweiz kam der Vorschlag. 1.3 nach flexiblerer Themenauswahl sowie der Möglichkeit zur Formulierung zielgruppengerechter Textierungen.1 Ziele der Version 3 Der Relaunch als Version 3 ist motiviert einerseits von der Entwicklung und steigenden Bedeutung der Normenreihe ISO/IEC 27001 / 27002. Damit verknüpft ist konsequenterweise die Mehrsprachigkeit. Es hat sich gezeigt. dass das Österreichische Informationssicherheitshandbuch auch in anderen Ländern beachtet wird. die Verwendung und Verbreitung des Informationssicherheitshandbuchs zu fördern.zu schaffen. die Möglichkeit für länderspezifische Varianten . 1.1.Dafür kann der Inhalt mit der Auswahl.

7. einem Unternehmen zu etablieren und bieten konkrete Anleitungen. der Aktivitäten zu ihrer Umsetzung und Einhaltung . Abschnitte 4 bis 15 beschreiben die konkreten Sicherheitsmaßnahmen. Sicherheit von kritischen Infrastrukturen oder Datenschutz kann nicht immer eindeutig sein.1. personeller. kostenlos angeboten wird. Problem. Empfehlungen für bestimmte Produkte werden nicht gegeben. und nach Möglichkeit werden Produkt. den umfassenden und kontinuierlichen Sicherheitsprozess zu entwickeln. dem Anhang zu ISO/IEC 27001 . Es wird allerdings auch auf spezifisch österreichische Anforderungen.allerdings keine 1:1 Entsprechung auf der Ebene der einzelnen Details (Textbausteine). Überwachung.3 Neuheiten der Version 3 Struktur Anpasssung an ISO/IEC 27001 / 27002: Anstelle der bisher 2 Hauptteile (Sicherheitsmanagement und Sicherheitsmaßnahmen) gibt es jetzt nach dem Management-Summary 15 Abschnitte und eine Reihe von Anhängen: • • • Abschnitt 1 ist eine Einführung sowohl für die Handhabung des Handbuchs als auch in die grundsätzliche Thematik. Die Abgrenzung zu verwandten Gebieten. Ist es doch ein Zeil des Handbuchs. Informationssicherheit in einer Behörde.und Lösungspotenzial aus der und für die Praxis zu geben. wo die Durchdringung so groß ist. 8): es handelt sich um den grundlegenden Vorgang. wie Brandschutz. oft gibt es Überschneidungen zwischen den einzelnen Themen. Sie erörtern konkrete und detaillierte Einzelmaßnahmen und Anleitungen zu ihrer korrekten Implementierung wärend ihres gesamten Lebenszyklus auf organisatorischer. Überprüfung. Objektsicherheit. 1. bauliche und personelle Fragen. Regelungen und Rahmenbedingungen eingegangen. Verarbeitung und Übertragung von Informationen dient. Durchführung.Betrachtet werden dabei auch die Sicherheit von Hardware und Software. die zur Speicherung. Instandhaltung und Verbesserung eines Informationssicherheits-Managementsystems relevanten Anforderungen gemäß ISO/IEC 27001 4. Abschnitte 2 und 3 beschreiben die für Einrichtung. Organisation bzw. 6. sowie organisatorische. soweit sie in direktem Zusammenhang mit der Sicherheit von IKT-Systemen und den von ihnen verarbeiteten Informationen stehen.und Markennamen vermieden. infrastruktureller und technischer Ebene. 30 . oder ein Produkt ausgesprochen spezifische Sicherheitseigenschaften aufweist bzw. Ausnahmen gibt es allerdings dort. Umsetzung. 5. dass das Produkt schon ein Synonym für die Implementierung darstellt. Sie entsprechen in ihrer Reihenfolge und generellen Thematik den Empfehlungen gemäß ISO/IEC 27002 bzw. inkl.

Funktionalität (Online Viewer) Der neu entwickelte Online Viewer läuft in einem Standard-Browser und benötigt abgesehen vom Vorhandensein einer Javascript-Unterstützung keine Installation. sondern Gegenstand von Vereinbarungen (in zentralen Autorengruppen oder individuellen Impelementierungen) und damit flexibel für Erweiterungen. gibt es nun neue Kapitel bzw. Vereinfachungen) vorhanden sein und mittels Filteroptionen ausgewählt werden. Mit Filteroptionen werden auch unterschiedliche Sprachen ermöglicht. Inhalte • • Um alle Themen laut ISO/IEC 27001 / 27002 abzudecken.(HTML) oder Textformate (RTF. Er bietet als Hauptfunktionalitäten: 31 . Gesetzen und verwandter Literatur sowie Quellenhinweise.B. "Internen Audits".• • In den einzelnen Themenbausteinen werden . "Umgang mit Vermögenswerten". Datenbasis (Online Version) • • • • • Jeder Textbaustein kann künftig in mehreren unterschiedlichen Ausprägungen (Formulierungen. Damit werden zielgruppenorientierte Darstellungen unterstützt. Management / Watungspersomal / Benutzer/innen) entwickelt. Filteroptionen werden sowohl für Einsatzgebiete (z. bzw. Die Datenbasis besteht aus einem Satz von XML (extended Markup Language) Dateien.Bezüge zu den jeweils zugehörigen Kapiteln der ISO/IEC Normen 27001 und 27002 dargestellt. Themenbausteine etwa zu "Outsourcing". obsolete eleminiert. PDF) umgewandelt werden können. "Verbesserungsprozess" Neue und geänderte Themenbausteine zu veränderten Technologien oder Gefährdungen werden nunmehr kontinuierlich eingearbeitet. die mittels geeigneter Transformationen in andere gängige Darstellungs. Government / Wirtschaft ) als auch für Rollen Leserkreise(z. Die Filterregeln sind nicht a priori festgeschrieben. Referenzen zu Normen.soferne zutreffend . Anweisungen.B. Damit geht eine neue Nummerierung der Kapitel und Textbausteine einher. Muster für Verträge. In den Anhängen finden sich ausgewählte Szenarien und Technologien losgelöst von zu setzenden Maßnahmen. Links zu österreichischen Gesetzen führen direkt zum entsprechenden Gesetzestext im Rechtsinformationssystem ( RIS).

oder Checklisten sind beispielsweise das Erstellen eigener Policies. Zusammenstellung einer Checkliste. Leserkreise sowie unterschiedliche Sprachen. Begriffe und Definitionen für solche Managementsysteme. Schulungsunterlagen. aber auch durch gezielten Sprung auf Kapitel oder Textbausteine erfolgen. Statusberichte (Erfüllungsgrad von Maßnahmen).oder Checklisten aktuell gehalten werden: • • • Die lokale Liste enthält mehrere Kapitel oder Bausteine aus der Wissensbasis. 32 . Wenn gewünscht. 1.1. Verträglichkeiten. SelfChecks und Querschnittsmaterien. Beim Blättern in der Liste wird ein entsprechender Warnhinweis gegeben. Branchen. Rollen. Druck von Auswahl.Es finden sich hier die grundlegenden Prinzipien. das ist eine individuelle Auswahl mit der Möglichkeit. Update Funktion Mit ihrer Hilfe können lokal abgespeicherte und verwendete Auswahl. Unterkapitel oder Textbausteine) . Filteroptionen für Einsatzgebiete. Abgrenzungen Normenfamilie ISO/IEC 27000 Aufgrund der Komplexität von Informationstechnik und der Nachfrage nach Zertifizierung sind in den letzten Jahren zahlreiche Anleitungen.oder Checklisten (Online Version). Zusammenstellung einer Liste. die sich inzwischen geändert haben könnten (anhand ihrer jeweiligen Versionsnummer).• • • • • • Blättern (Browse) im Sicherheitshandbuch: Das kann seriell vom Anfang bis zum Ende.oder Checklisten in PDF-Textdateien. pro Textbaustein Checkboxen anzukreuzen sowie Kommentare zu verfassen und lokal abzuspeichern. Einsatzgebiete für Auswahl. Sie kann lokal abgespeichert und wieder geladen werden. Konzepte.4 Quellen. das heißt einer individuelle Auswahl von Themen (ganze Kapitel. können die neuen Versionen aus der Wissensbasis in die lokale Liste übernommen werden. Standards und nationale Normen zur Informationssicherheit entstanden. Transformation von Auswahl. Die internationale Normenfamillie ISO/IEC 27000 gibt einen allgemeinen Überblick über Managementsysteme für Informationssicherheit (ISMS) und über die Zusammenhänge ihrerverschiedenen Einzelnormen.

Information security management systems requirements specification" ist der erste internationale Standard zum Informationssicherheitsmanagement. bietet allerdings in einer kompakten Form auch technische und organisatorische Hinweise und Ratschläge zur Implementierung. ISO/IEC 27001 bietet keine Hilfe für die praktische Umsetzung. Ein normativer Anhang verweist auf die Umsetzung gemäß ISO/IEC 27002. ISO/IEC 27001 gibt in 5 konkreten Kapiteln (4. ISO/IEC 27005 löst den bisherigen Standard ISO 13335-2 ab.• • • • Der Standard ISO/IEC 27001 "Information technology . um ein ISMS zu planen. Die Empfehlungen sind für Management-Ebenen formuliert und enthalten nur wenige konkrete technische Hinweise. etablieren. Weitere Standards der ISO/IEC 27000 Reihe: Langfristig wird die Normenreihe ISO/IEC 27000 voraussichtlich langfristig aus den Standards 27000 – 27019 und 27030-27044 bestehen. Ihre Umsetzung ist auch nur eine von vielen Möglichkeiten. 6. 7. der auch eine Zertifizierung ermöglicht. 100 Seiten skizzert angerissen. also der Messbarkeit von Risiken oder mit Methoden zum Risikomanagement. zu überwachen und laufend zu verbessern. die Anforderungen des ISO/IECStandards 27001 zu erfüllen. Alle Standards dieser Reihe behandeln verschiedene Aspekte des Sicherheitsmanagements und beziehen sich auf die Anforderungen der ISO/IEC 27001. um ein funktionierendes Informationssicherheitsmanagement aufzubauen und in der Organisation zu verankern. Es wird allerdings keine spezifische Methode für das Risikomanagement vorgegeben. 33 . 5. Das Informationssicherheitshandbuch geht in Aufbau. Unter anderem unterstützt er bei der Umsetzung der Anforderungen aus ISO/IEC 27001.Security techniques . zu betreiben. Die erforderlichen Informationssicherheitsmaßnahmen werden eher kurz auf ca. ISO/IEC 27002 (vormals ISO 17799) "Information technology – Code of practice for information security management" befasst sich als Rahmenwerk für das Informationssicherheitsmanagement hauptsächlich mit den erforderlichen Schritten. Die weiteren Standards sollen zum besseren Verständnis und zur praktischen Anwendbarkeit der ISO/IEC 27001 beitragen und beschäftigen sich beispielsweise mit der praktischen Umsetzung der ISO/IEC 27001. Struktur und Abhandlung der generellen Themen konform mit ISO/IEC 27001 und 27002. ISO/IEC 27005 "Information security risk management" enthält Rahmenempfehlungen zum Risikomanagement für Informationssicherheit. 8) allgemeine Empfehlungen für Management-Aktivitäten.

sämtliche relevanten Themen anszusprechen. Das Informationssicherheitshandbuch behandelt zum Teil eine ähnliche Thematik. und das BSI bietet ISO/IEC 27001 Zertifzierungen nach ITGrundschutz an. Lageberichte und Schulungsmaßnahmen geboten. wobei keine ausgesprochenen Zielgruppen definiert sind. denen Banken und Finanzinstitutionen ausgesetzt sind. Teilweise grenzt es sich diesen gegenüber vor allem durch eine kompaktere Darstellungsweise ab. positioniert sich dabei stark an der Implementierung und muss dem Anspruch. So richtet sich etwa "BSI für Bürger" mit kurzen und einfach formulierten Darstellungen an Privatpersonen und KMU's. 34 . Unterschiedliche Zielgruppen werden durch jeweils separate Entwicklungen unterstützt.und Analysestelle Informationssicherung) Im Rahmen von MELANI wird in der Schweiz ein CERT (Computer Emergency Response Team) betrieben. Checklisten. breiter Raum gegeben. Seine neuen Funktionalitäten wie unterschiedlich formulierte Textbausteine verfolgen auf eigene Weise das Ziel der Ansprache unterschiedlicher Zielgruppen. später mit den GrundschutzStandards und Maßnahmenbausteinen eine umfassende und äußerst detaillierte Informationsbasis und daraus etablierte Methoden für eine Vorgehensweise zum Aufbau einer Sicherheitsorganisation sowie für die Risikobewertung. die mittleren und kleineren Organisationseinheiten entgegenkommt und das Durcharbeiten des Informationssicherheitshandbuchs "am Stück" nach wie vor ermöglicht. aber auch auf einer Homepage Informationen über Gefahren und Maßnahmen.BSI Grundschutz Standards und Maßnahmenbausteine • • Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet seit 1994 zunächst mit dem Grundschutzhandbuch. genügen. MELANI (Melde. Der Anspruch richtet sich auf gezielte und aktuelle Darstellung vor allem von Gefahren und Fehlverhalten. Das Österreichische Informationssicherheitshandbuch wird auf Basis einer gelebten Kooperation mit dem BSI immer wieder mit neuen Entwicklungen bei den Grundschutz-Standards und -Bausteinen abgeglichen. beispielsweise wird den Problemen. Sie hat sich als ganzheitliches Konzept für Informationssicherheit und als Standard etabliert. die Überprüfung des vorhandenen Sicherheitsniveaus und die Implementierung der angemessenen Informationssicherheit.

Auf sehr einfachen und anschaulichen Webseiten wird eine umfassende Darstellung der wesentlichsten Gefahren und Sicherheitsmaßnahmen geboten. aber vorschriftähnlicher Darstellung angesprochen.und Kommunikationstechnologie-) Systeme nicht zu erreichen ist. während umgekehrt die Sicherheit von elektronisch gespeicherten und verarbeiteten Informationen ohne die technische Sicherung der zugrunde liegenden IKT.daher auch der Name "Informationssicherheitshandbuch". Mit Hilfe seiner neuen Funktionalitäten wie unterschiedlich formulierbarer Textbausteine und einer informell bereits aufgenommenen Kooperation werden sich nunmehr auch einige Inhalte von CASES im Informationssicherheutshandbuch finden. Die Grenzen sind also fließend.5 Informations.(Informations.und Mittelbetriebe. [Q: BSI Leitfaden Informationssicherheit] 35 . 1. schriftlich. Das Informationssicherheitshandbuch hat sich aus dem "IT-Sicherheitshandbuch für die öffentliche Verwaltung" entwickelt und hat somit bisher als Zielgruppen mittlere bis größere Institutionen mit Bedarf nach knapper.versus IT-Sicherheit Die Definition dieser beiden Begriffe und ihrer Abgrenzung voneinander war in den vergangenen Jahren oft Gegenstand lebhafter Diskussionen. zum anderen an Schüler und deren Eltern. Basistechnologien anschaulich beschrieben und auch Anleitungen zur Ausarbeitung einer Sicherheitspolitik speziell für kleine Organisationen gegeben.CASES (Cyberworld Awareness Security Enhancement Structure Die vom luxemburgischen Ministerium für Wirtschaft und Außenhandel betriebene Homepage "CASES" ist in deutscher und französischer Sprache verfügbar und richtet sich zum einen an Klein. International und nicht zuletzt in den Normen hat sich in den letzten Jahren eher der Begriff “Informationssicherheit” als der umfassendere etabliert . wie Information an sich geschützt werden kann (etwa wie mit Papierausdrucken von vertraulichen Informationen umzugehen ist).1. so sind diese beiden Begriffe mittlerweile fast synonym zu sehen: auch in der ITSicherheit sind Fragen zu behandeln. bildhaft oder gesprochen). Dabei ist auch ein gewisser Bedeutungswandel bei diesen Begriffen festzustellen: Verstand man von einigen Jahren unter “IT-Sicherheit” im Wesentlichen den Schutz von IT-Systemen (und damit den auf ihnen verarbeiteten Informationen) und unter “Informationssicherheit” den Schutz von Informationen unabhängig von ihrer Darstellungsform (also elektronisch.

2. 4 Informationssicherheit entsteht nicht von selbst aus Technik oder Know-How. Dabei darf sich Sicherheit nicht auf einzelne Teilaspekte. rückt die Frage nach der Sicherheit der Informationen und der Informationstechnologie zunehmend in den Brennpunkt des Interesses. Daher sind auch kontinuierlich Anstrengungen und Kosten für Informationssicherheit in Kauf zu nehmen. also elektronisch gespeicherte und verarbeitete Information genauso wie Information in schriftlicher oder gesprochener Form.1 Ziele des Informationssicherheitsmanagements ISO Bezug: 27001 0.und Kommunikationstechnologie-) Konzeptes sein. dass weite Bereiche des täglichen Lebens ohne den Einsatz von informationstechnischen Systemen heute nicht mehr funktionsfähig sind. als Bild oder in gesprochener Form. wie die Verschlüsselung vertraulicher Daten oder die Installation von Firewalls beschränken. Ziel muss es also sein. [eh Teil 1 .1. für die Privatwirtschaft zur Anwendung empfohlen. dass 100 % Sicherheit nicht erreicht werden kann. Dabei wird Information unabhängig von ihrer Darstellungsform betrachtet.1] 1. Das gegenständliche Handbuch beschreibt die Vorgehensweise zur Etablierung eines umfassenden Informationssicherheits-Management-Systems (ISMS). sondern zunächst aus dem Bewußtsein des Management und der Mitarbeiter/ Mitarbeiterinnen einer Organisation. ein angemessenes Sicherheitsniveau zu erreichen und dauerhaft zu erhalten. wie viel man auch investiert. geschrieben.2 Informationssicherheitsmanagement Information stellt heute sowohl für die öffentliche Verwaltung als auch für Organisationen der Privatwirtschaft einen wichtigen Wert dar. Die Tatsache. Information kann dabei in unterschiedlicher Form existieren – elektronisch gespeichert oder übertragen. 36 . um sie zu erhalten. sondern muss integraler Bestandteil eines modernen IKT(Informations. Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener Informationssicherheit unerlässlich. dass Informationen schützenswerte und gefährdete Werte für alle Beteiligten darstellen. Die hier dargestellte Vorgehensweise wird für die österreichische Bundesverwaltung sowie für andere Bereiche der öffentlichen Verwaltung bzw. Vertraulichkeit und Verfügbarkeit der Informationen oft nicht mehr möglich. Die Erfüllung der Geschäftsprozesse ist ohne die Korrektheit. Es muss allerdings ebeso bewusst sein.

Durchführen (Do): Umsetzen und Betreiben des ISMS. Handeln"): • • Planen (Plan): Festlegen des ISMS. Die für das Informationssicherheitsmanagement relevante Norm 27001 beschreibt Informationssicherheit als Kontinuierlichen Verbesserungsprozess (KVP) in einem Informationssicherheits-Managementsystem (ISMS) nach dem "Plan-Do-Check-Act"Modell (PDCA – "Planen. also Sicherheitsmaßnahmen realisieren. wenn diese sie benötigen Das klingt selbstverständlich und einfach. die Vertraulichkeit durch Spionageaktivitäten. aber auch bewußten Denial-of-Service Attacken bis zum Stillstand . ist in der Praxis allerdings eine Herausfoderungen für die Organisation. aber ebenso von Fehlern und Schlamperei gefährdet.Durch Etablieren und Erhalten eines Informationssicherheits-Managementsystems (ISMS) sollen die grundlegenden Ziele der Informationssicherheit erreicht werden: • • • Integrität: Informationen dürfen nur von den vorgesehenen Personen und Prozessen verändert werden. Fahrlässigkeit. die Verfügbarkeit kann von kleineren und größeren Systemausfällen bis zu Bränden und Katastrophen. Datenmißbrauch. unbefugten Manipulationsversuchen (auch etwa Viren. 37 . etc.2 Aufgaben des Informationssicherheitsmanagements ISO Bezug: 27001 0. Prüfen. Durchführen. eine organisationsspezifische Informationssicherheitspolitik zu erstellen und spezifisch geeignete Sicherheitsmaßnahmen auswählen. bedroht. also relevante Sicherheitsziele und strategien ermitteln. da die Informationen den vielfäligen Gefahren ausgesetzt sind: • • • So ist Integrität von technischen Fehlern. [eh Teil 1 . 4 Informationssicherheit ist immer eine Management-Aufgabe. Vertraulichkeit: Informationen dürfen nur für die vorgesehenen Personen und Prozesse offen gelegt werden.reduziert werden.2. Würmer). kann diese Aufgabe erfolgreich wahrgenommen werden.1] 1. Verfügbarkeit: Informationen müssen für die vorgesehenen Personen und Prozesse bereitgestellt sein.1. für ihre Einhaltung sorgen und Informationssicherheit im laufenden Betrieb inklusive in Notfällen zu gewährleisten. Nur wenn die Leitung einer Organisation voll hinter den Sicherheitszielen und den damit verbundenen Aktivitäten steht.

Durchführungs-. Informationssicherheitsmanagement ist also ein kontinuierlicher Prozess. womit sich ein ständiger Kreislauf schließt. In den folgenden Kapiteln wird dargestellt. das bedeutet auf erkannte Fehler. Durch die Planungs-. das bedeutet Vorhandensein. Festlegung geeigneter Sicherheitsmaßnahmen.und Verbesserungsprozesse bzw. Sinnhaftigkeit. Prüf. aber auch Kenntnis über Vorfälle sowie üblicher Good-Practices zu erlangen. welche Aufgaben eines ISMS umgesetzt und welche Sicherheitsmaßnahmen implementiert werden können zur: • • • • • • Festlegung der Sicherheitsziele und -strategien der Organisation. Überwachung der Implementierung und des laufenden Betriebes der ausgewählten Maßnahmen. Ermittlung und Bewertung der Informationssicherheitsrisiken (information security risk assessment). Am Beginn stehen Sicherheitsziele. [eh Teil 1 . Förderung des Sicherheitsbewusstseins innerhalb der Organisation sowie Entdecken von und Reaktion auf sicherheitsrelevante Ereignisse (information security incident handling).1. Handeln (Act): Instandhalten und Verbessern des ISMS. -handlungen werden sie erfüllt . Dies bedingt erneutes Planen.das schließlich akzeptierte Sicherheitsniveau wird erreicht.• • Prüfen (Check): Überwachen und Überprüfen des ISMS auf seine Wirksamkeit. Einhaltung der SIcherheitsmaßnahmen zu überprüfen. also Erwartungen und Anforderungen der Verantwortlichen und Beteiligten.1] 38 . Schwachstellen und veränderte Umfeldbedingungen reagieren und die Ursachen für Gefährdungen beseitigen.

39 .1 Der Informationssicherheitsmanagementprozess Informationen und die sie verarbeitenden Prozesse. Er kann sowohl auf eine gesamte Organisation als auch auf Teilbereiche Anwendung finden. Authentizität und Zuverlässigkeit bestehen. Integrität und Verfügbarkeit der Informationen und der sie verarbeitenden Systeme gewährleisten. Zentrale Aktivitäten im Rahmen des ISMS sind: • • • • • • die Entwicklung einer organisationsweiten Informationssicherheitspolitik die Durchführung einer Risikoanalyse die Erstellung eines Sicherheitskonzeptes die Umsetzung der Sicherheitsmaßnahmen die Gewährleistung der Informationssicherheit im laufenden Betrieb die kontinuierliche Überwachung und Verbesserung des ISMS Der nachfolgend dargestellte Prozess basiert auf internationalen Standards und Leitlinien zum Informationssicherheitsmanagement. Fallweise können auch weitere Anforderungen wie Zurechenbarkeit. sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft. sowie auch noch den "Guidelines on the Management of IT Security (GMITS)" ([ISO/IEC TR 13335]) ( [ISO/IEC 13335]).2 Informationssicherheits-ManagementSystem (ISMS) Dieses Kapitel nimmt vor allem Bezug auf ISO/IEC 27001 4 "Informationssicherheits-Managementsystem" sowie ISO/IEC 27002 4 "Risikobewertung und -behandlung". insbesondere den ISO/IEC 27001( [ISO/IEC 27001]). Informationssicherheitsmanagement ist ein kontinuierlicher Prozess. Systeme und Netzwerke sind wichtige Werte jeder Organisation. 2. dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind. Informationssicherheitsmanagement (ISM) soll die Vertraulichkeit.

40 .zu entscheiden. Abteilungen. wobei aber zu beachten ist. Unternehmen. dass damit unterschiedliche Organisationseinheiten (Behörden. Abteilungen oder anderer Organisationseinheiten ist dann im spezifischen Zusammenhang .. allgemein der Begriff "Organisation" (oder synonym dazu "Institution") verwendet. wenn nicht ausdrücklich anders angeführt.Über die Anwendung auf Ebene einzelner Behörden.) gemeint sein können. Das nachfolgende Bild zeigt die wichtigsten Aktivitäten im Rahmen des Informationssicherheitsmanagements und die eventuell erforderlichen Rückkopplungen zwischen den einzelnen Stufen. Im Folgenden wird.abhängig vom ITKonzept und den bestehenden Sicherheitsanforderungen ..

1 Eine wesentliche Aufgabe des Informationssicherheitsmanagements ist das Erkennen und Einschätzen von Sicherheitsrisiken und deren Reduktion auf ein tragbares Maß. Abhängig vom IT-Konzept und den Sicherheitsanforderungen kann es auch notwendig werden. Die Informationssicherheitspolitik ist eingebettet in eine Hierarchie von Regelungen und Leitlinien. . nachgeordnete Dienststellen..2] 2.) zu erstellen. die unter Berücksichtigung gegebener Randbedingungen grundlegende Ziele.1 Entwicklung einer organisationsweiten Informationssicherheitspolitik ISO Bezug: 27001 4.1.. auf dessen Basis die Informationssicherheit einer Organisation aufgebaut wird.1 Als organisationsweite Informationssicherheitspolitik (Corporate Information Security Policy) bezeichnet man die Leitlinien und Vorgaben innerhalb einer Organisation. sondern sind im Rahmen einzelner systemspezifischer Sicherheitsrichtlinien zu behandeln. Details zu Sicherheitsmaßnahmen und deren Umsetzung sind nicht Bestandteil der organisationsweiten Informationssicherheitspolitik. Strategien. Verantwortlichkeiten und Methoden für die Gewährleistung der Informationssicherheit festlegen.2 Risikoanalyse ISO Bezug: 27001 4. 41 . Dieses "Informationsrisikomanagement" oder auch "Informationssicherheitsrisikomanagement" sollte Teil des generellen Risikomanagements einer Organisation und mit der dort gewählten Vorgehensweise kompatibel sein. Die organisationsweite Informationssicherheitspolitik (im Folgenden der Einfachheit halber als "Informationssicherheitspolitik" bezeichnet) stellt ein langfristig orientiertes Grundlagendokument dar. eine Hierarchie von Informationssicherheitspolitiken für verschiedene Organisationseinheiten (etwa Abteilungen. [eh Teil 1 .Abbildung 1: Aktivitäten im Rahmen des Informationssicherheitsmanagements Informationssicherheitsmanagement umfasst damit die folgenden Schritte: 2.1.

einer Anwendung vorgeben sowie konkrete Sicherheitsmaßnahmen und ihre Umsetzung beschreiben. der Begriff "Risiko" stets im Sinne von "Informationssicherheitsrisiko" verwendet. Im Anschluss daran ist das verbleibende Restrisiko zu ermitteln und zu prüfen. [eh Teil 1 . Für wichtige IT-Systeme und Anwendungen wird die Erstellung eigener Sicherheitsrichtlinien (auch als "IT-Systemsicherheitspolitiken" bezeichnet) empfohlen. die zur Umsetzung der ausgewählten Maßnahmen erforderlich sind.1 Abhängig von den Ergebnissen der Risikoanalyse werden in einem nächsten Schritt Maßnahmen ausgewählt. Grundschutzansatz und Kombinierter Ansatz. Der Vorgang wird im Detail in Kapitel 2. ebenso Risikoanalyse und Risikomanagement im Sinne von Informationssicherheitsrisikoanalyse und –management. ob dieses für die Organisation tragbar ist oder weitere Maßnahmen zur Risikoreduktion erforderlich sind.2] 2. [eh Teil 1 . die die Risiken auf ein definiertes und beherrschbares Maß reduzieren sollen.2] 2.1.3 Erstellung eines Sicherheitskonzeptes ISO Bezug: 27001 4. Die Sicherheitsrichtlinien müssen mit der organisationsweiten Informationssicherheitspolitik kompatibel sein.Aus Gründen der besseren Lesbarkeit wird im Folgenden.1 42 . um ein organisationsweit einheitliches Vorgehen zu gewährleisten. Die Festlegung einer geeigneten Risikoanalysestrategie sollte im Rahmen der Informationssicherheitspolitik erfolgen. Im Rahmen des vorliegenden Handbuchs werden drei Risikoanalysestrategien behandelt (s. mittel. Diese sollen die grundlegenden Leitlinien zur Sicherheit eines konkreten IT-Systems bzw. In einem Informationssicherheitsplan werden alle kurz-.1. Abschnitt 4 Risikoanalyse): Detaillierte Risikoanalyse. wenn nicht explizit anders erwähnt.4 Umsetzung des Informationssicherheitsplans ISO Bezug: 27001 4.2 Erstellung von Sicherheitskonzepten behandelt.und langfristigen Aktionen festgehalten.

Dies erfolgt durch die Definition geeigneter Kennzahlen. um vollständig wirksam zu sein.1 Umfassendes Informationssicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe. wie die Effizienz und Effektivität der ausgewählten Sicherheitsmaßnahmen beurteilt werden kann. Unabdingbare Voraussetzung für eine erfolgreiche Umsetzung des Informationssicherheitsplans in der Praxis sind auch entsprechende Sensibilisierungs.Bei der Implementierung der ausgewählten Sicherheitsmaßnahmen ist zu beachten. dass die meisten technischen Sicherheitsmaßnahmen ein geeignetes organisatorisches Umfeld brauchen. Zu den erforderlichen Follow-Up-Aktivitäten zählen (s.5 Informationssicherheit im laufenden Betrieb ISO Bezug: 27001 4.3 Umsetzung des Informationssicherheitsplanes des vorliegenden Handbuchs behandelt diese Umsetzungsfragen.1.2] 43 . Kapitel 2. [eh Teil 1 . die Sicherheit im laufenden Betrieb aufrechtzuerhalten und gegebenenfalls veränderten Bedingungen anzupassen.2] 2.und Schulungsmaßnahmen. Weiters ist festzulegen.4 Informationssicherheit im laufenden Betrieb): • Die Aufrechterhaltung des erreichten Sicherheitsniveaus Dies umfasst: • • • • • • Wartung und administrativen Support von Sicherheitseinrichtungen die Messung der Effektivität der ausgewählten Sicherheitsmaßnahmen anhand definierter Kennzahlen (Information Security Measurement) die Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) sowie die fortlaufende Überwachung der IT-Systeme (Monitoring) umfassendes Change-Management eine angemessene Reaktion auf sicherheitsrelevante Ereignisse (Incident Handling) [eh Teil 1 . Das Kapitel 2.

2. 27002 4. Dies erfolgt durch die Auswahl geeigneter Maßnahmen.2.2. 7.1 Ausgehend von den in der Risikoanalyse ermittelten Sicherheitsanforderungen wird ein Sicherheitskonzept erstellt.2. die die Risiken auf ein akzeptables Maß reduzieren und unter dem Gesichtspunkt von Kosten und Nutzen eine optimale Lösung darstellen.1.und Ressourcenplanung für die Umsetzung Die Erstellung eines Sicherheitskonzeptes erfolgt in vier Schritten: • • • • Schritt 1: Auswahl von Maßnahmen Schritt 2: Prüfung von Restrisiken und Risikoakzeptanz Schritt 3: Erstellung von Sicherheitsrichtlinien Schritt 4: Erstellung eines Informationssicherheitsplans Diese vier Schritte werden in den folgenden Kapiteln näher beschrieben. Ein Sicherheitskonzept enthält: • • • • • • die Beschreibung des Ausgangszustands einschließlich der bestehenden Risiken (Ergebnisse der vorangegangenen Risikoanalyse) die Festlegung der durchzuführenden Maßnahmen die Begründung der Auswahl unter Kosten/Nutzen-Aspekten und hinsichtlich des Zusammenwirkens der einzelnen Maßnahmen eine Abschätzung des Restrisikos sowie eine verbindliche Aussage über die Akzeptanz des verbleibenden Restrisikos die Festlegung der Verantwortlichkeiten für die Auswahl und Umsetzung der Maßnahmen sowie für die regelmäßige Überprüfung des Konzeptes eine Prioritäten-. 7. 2.1.1 Auswahl von Maßnahmen ISO Bezug: 27002 4.2.2 Erstellung von Sicherheitskonzepten ISO Bezug: 27001 4.1. Termin.1 44 .

Klassifikation nach Art der Maßnahmen Dies ist die "klassische" Einteilung der Sicherheitsmaßnahmen.2. Man unterscheidet: • • • • (informations-)technische Maßnahmen bauliche Maßnahmen organisatorische Maßnahmen personelle Maßnahmen Klassifikation nach Anwendungsbereichen Man unterscheidet: Maßnahmen. Sicherheitsmechanismen können: • • • • • • Risiken vermeiden Bedrohungen oder Schwachstellen verkleinern unerwünschte Ereignisse entdecken die Auswirkung eines unerwünschten Ereignisses eingrenzen Risiken überwälzen es möglich machen. die die Sicherheit von Informationen und der sie verarbeitenden IT-Systeme erhöhen.1 Klassifikation von Sicherheitsmaßnahmen ISO Bezug: 27002 4.2. die organisationsweit (oder in Teilen der Organisation) einzusetzen sind.Sicherheitsmaßnahmen sind Verfahrensweisen. Dies kann auf unterschiedliche Arten erreicht werden. Prozeduren und Mechanismen. einen früheren Zustand wiederherzustellen [eh Teil 1 . 45 .2.1 Je nach Betrachtungsweise kann eine Klassifikation von Sicherheitsmaßnahmen hinsichtlich nachfolgender Kriterien getroffen werden.1] 2.1.

) werden die typischen Gefährdungen ermittelt. Die Auswahl systemspezifischer Maßnahmen hängt in hohem Maße vom Typ des zu schützenden IT-Systems ab. Integrität. Rollentrennung) Überprüfung der IT-Sicherheitsmaßnahmen auf Übereinstimmung mit den Informationssicherheitspolitiken (Security Compliance Checking).B. Dokumentation. Man unterscheidet daher: • • • • • • 46 Maßnahmen zur Gewährleistung der Vertraulichkeit (confidentiality) Maßnahmen zur Gewährleistung der Integrität (integrity) Maßnahmen zur Gewährleistung der Verfügbarkeit (availability) Maßnahmen zur Gewährleistung der Zurechenbarkeit (accountability) Maßnahmen zur Gewährleistung der Authentizität (authenticity) Maßnahmen zur Gewährleistung der Zuverlässigkeit (reliability) . Kontrolle von Betriebsmitteln.Dazu gehören: • • • • • • • Etablierung eines ISMS-Prozesses und Erstellung von Informationssicherheitspolitiken organisatorische Maßnahmen (z. Schulung und Bildung von Sicherheitsbewusstsein) bauliche Sicherheit und Infrastruktur Notfallvorsorge Systemspezifische Maßnahmen. Man unterscheidet etwa: • • • Nicht-vernetzte Systeme (Stand-Alone-PCs) Workstations in einem Netzwerk Server in einem Netzwerk Klassifikation nach Gefährdungen und Sicherheitsanforderungen Ausgehend von den Grundbedrohungen gegen ein IT-System (Verlust der Vertraulichkeit. Verfügbarkeit. Auditing Reaktion auf sicherheitsrelevante Ereignisse (Incident Handling) personelle Maßnahmen (incl. etc.

.2.als auch aus Wirtschaftlichkeitsüberlegungen effizienteste Lösung zu finden. Ergebnisse der Risikobewertung: Die Auswahl der Sicherheitsmaßnahmen.1. die die Risiken auf ein definiertes und beherrschbares Maß reduzieren.der Risikoanalyse . ein direkter Vergleich einzelner Sicherheitsmaßnahmen ( trade-off analysis) notwendig sein. 47 . geplanter Sicherheitsmaßnahmen: Bei der Auswahl von Sicherheitsmaßnahmen zur Verminderung der Risiken wird vorausgesetzt.2.1] 2.die bereits existierenden Sicherheitsmaßnahmen aufgelistet wurden. Erkennen von Verletzungen.1. . wobei auf die Ausgewogenheit von technischen und nicht-technischen Maßnahmen zu achten ist.1 Liste existierender bzw. die als Ergebnis eine Aufstellung aller existierenden oder bereits geplanten Schutzmaßnahmen mit Angaben über ihren Implementierungsstatus und ihren Einsatz liefern soll.Wirksame Informationssicherheit verlangt im Allgemeinen eine Kombination von verschiedenen Sicherheitsmaßnahmen. Diese Auswahl wird von einer Reihe von Faktoren beeinflusst: • • • der Stärke der einzelnen Maßnahmen ihrer Benutzerfreundlichkeit und Transparenz für die Anwender/innen der Art der Schutzfunktion (Verringerung von Bedrohungen.. Um die sowohl aus Sicherheits. 4.2 Ausgangsbasis für die Auswahl von Maßnahmen ISO Bezug: 27002 4.3.6 Identifikation bestehender Sicherheitsmaßnahmen).2. Im Fall einer detaillierten Risikoanalyse erfolgt dies im Rahmen der "Identifikation bestehender Schutzmaßnahmen" (vgl.) In der Regel stehen verschiedene mögliche Sicherheitsmaßnahmen zur Auswahl. 4. [eh Teil 1 . muss auf den Ergebnissen der Risikobewertung basieren.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen) ermittelt. kann im Einzelfall eine Kosten-/Nutzen-Analyse bzw.5. dass im vorhergehenden Schritt . Bei einer Grundschutzanalyse werden die vorhandenen Maßnahmen im Rahmen des Soll-Ist-Vergleiches (vgl.

dass die Gesamtheit der ausgewählten Maßnahmen ein ausgewogenes Verhältnis der einzelnen Aspekte aufweist. so stehen für die Auswahl von geeigneten Sicherheitsmaßnahmen detailliertere und spezifischere Informationen zur Verfügung als im Fall einer Grundschutzanalyse. Je genauer und aufwändiger die Risikoanalyse durchgeführt wurde.2] 2. die sich jedoch hinsichtlich ihrer Effizienz und ihrer Kosten unterscheiden. 48 . hängt von den speziellen Umständen ab. In der Regel wird man Maßnahmen bevorzugen. wünschenswert ist.[eh Teil 1 . Es ist aber auch darauf zu achten. dass Sicherheitsmaßnahmen einen oder mehrere der folgenden Aspekte abdecken können: • • • • • • • Vorbeugung (präventive Maßnahmen) Aufdeckung (detektive Maßnahmen) Abschreckung Schadensbegrenzung Wiederherstellung eines früheren Zustandes Bildung von Sicherheitsbewusstsein Risikoüberwälzung Welche dieser Eigenschaften notwendig bzw.1.3 Auswahl von Maßnahmen auf Basis einer detaillierten Risikoanalyse ISO Bezug: 27002 4. Welche der in Frage kommenden Maßnahmen tatsächlich ausgewählt und implementiert werden. In der Mehrzahl der Fälle wird es verschiedene Maßnahmen zur Erfüllung einer bestimmten Sicherheitsanforderung geben.1 Wurde eine detaillierte Risikoanalyse durchgeführt. ist vom spezifischen Fall abhängig. desto qualifizierter ist im Allgemeinen die für den Auswahlprozess zur Verfügung stehende Information. Generell ist festzuhalten. Umgekehrt kann eine Maßnahme gleichzeitig mehrere Sicherheitsanforderungen abdecken. dass also nicht beispielsweise ausschließlich detektive oder ausschließlich präventive Maßnahmen zum Einsatz kommen.5. die mehrere dieser Aspekte abdecken.1.2.

1.4 Auswahl von Maßnahmen im Falle eines Grundschutzansatzes ISO Bezug: 27002 4. Standardwerke zur Auswahl von Maßnahmen: In diesem Sicherheitshandbuch werden die wichtigsten Grundschutzmaßnahmen für die öffentliche Verwaltung in Österreich angeführt. Alternativ kann auch auf andere bestehende Kataloge zurückgegriffen werden.4] 2. die kontinuierlich weiterentwickelt werden.1. [eh Teil 1 . In Maßnahmenkatalogen wird eine Reihe von Schutzmaßnahmen gegen die meisten üblichen Bedrohungen angeführt. Die noch nicht existierenden bzw. findet sich etwa in den IT-Grundschutz-Standards und -Maßnahmenkatalogen des BSI (vgl.[eh Teil 1 .5.1 Grundsätzlich ist die Auswahl von Sicherheitsmaßnahmen im Falle eines Grundschutzansatzes relativ einfach.1.1 49 .h. ohne weitere Risikoanalyse.2.2. Kapitel 4.5. Die betreffenden Bedrohungen werden a priori. geplanten Maßnahmen werden in eine Liste von noch zu realisierenden Maßnahmen zusammengefasst. d.5 Auswahl von Maßnahmen im Falle eines kombinierten Risikoanalyseansatzes ISO Bezug: 27002 4. Eine sehr umfangreiche Sammlung von Grundschutzmaßnahmen.3 Grundschutzansatz dieses Handbuchs). Die empfohlenen Maßnahmen werden mit den existierenden oder bereits geplanten Maßnahmen verglichen.3] 2.1. als relevant für die durchführende Organisation angenommen.

1. Die Akzeptanz von Maßnahmen steigt. Anschließend werden die noch fehlenden Sicherheitsmaßnahmen für IT-Systeme mit hohen bis sehr hohen Sicherheitsanforderungen ausgewählt.2. In diesem Stadium ist auch die Einbeziehung der betroffenen Benutzer/innen zu empfehlen. dass sie einander ergänzen und unterstützen und sich nicht etwa gegenseitig behindern oder in ihrer Wirkung schwächen.5] 2. dem des BSI entsprechende Schutzmaßnahmen ausgewählt und umgesetzt.Im Falle eines kombinierten Ansatzes werden zunächst anhand dieses Handbuchs oder eines Grundschutzkataloges wie z. Zur Bewertung von Sicherheitsmaßnahmen ist wie folgt vorzugehen: • • • • • • 50 Erfassung aller Bedrohungen. [eh Teil 1 . ob und inwieweit die Maßnahmen zu Behinderungen beim Betrieb des IT-Systems führen können Überprüfung der Vereinbarkeit der Maßnahmen mit geltenden rechtlichen Vorschriften und Richtlinien Bewertung. in welchem Ausmaß die Maßnahmen eine Reduktion der Risiken bewirken . d.h.1. in welchem Maß sie akzeptiert oder aber abgelehnt oder umgangen werden. dass die zusätzlichen Maßnahmen mit dem ITGesamtkonzept und den bereits bestehenden Sicherheitsmaßnahmen verträglich sind. gegen die die ausgewählten Maßnahmen wirken Beschreibung der Auswirkung der Einzelmaßnahmen Beschreibung des Zusammenwirkens der ausgewählten und der bereits vorhandenen Sicherheitsmaßnahmen Überprüfung.1 Unabhängig von der verfolgten Strategie ist es in jedem Fall notwendig. Damit soll gewährleistet werden.B. die Auswirkungen der ausgewählten Maßnahmen zu analysieren. die einerseits ein adäquates Sicherheitsniveau für Systeme der Schutzbedarfsklasse "niedrig bis mittel" gewährleisten. andererseits auch für hochschutzbedürftige Systeme bereits ein gewisses Maß an Schutz bieten.6 Bewertung von Maßnahmen ISO Bezug: 27002 4. da die Wirksamkeit von Sicherheitsmaßnahmen stark davon abhängt.5. wenn ihre Notwendigkeit für die Benutzer/innen einsichtig ist.

1.1 Bei der Auswahl und Umsetzung von Sicherheitsmaßnahmen sind stets auch Rahmenbedingungen (constraints) zu berücksichtigen. wie etwa die Lage eines Gebäudes.1.1.und/oder Software Weitere Einschränkungen können organisatorischer. sollte die Leitungsebene entscheiden.B. [eh Teil 1 .2. durch soziale Veränderungen oder durch Veränderungen im technischen oder organisatorischen Umfeld. Technische Rahmenbedingungen z. personeller.6] 2.5. gesetzlicher oder sozialer Natur sein. die entweder durch das Umfeld vorgegeben oder durch das Management festgelegt werden.2 Risikoakzeptanz 51 .5. einem Wandel unterliegen und sind daher regelmäßig zu überprüfen und zu hinterfragen. Beispiele für solche Rahmenbedingungen sind: • • • • Zeitliche Rahmenbedingungen Etwa: Wie schnell ist auf ein erkanntes Risiko zu reagieren? Wann kann/muss eine Maßnahme realisiert sein? Finanzielle Rahmenbedingungen Im Allgemeinen werden budgetäre Einschränkungen existieren.Bevor die Maßnahmen umgesetzt werden. ob die Kosten für die Realisierung der Maßnahmen im richtigen Verhältnis zur Reduzierung der Risiken stehen und ob die Risiken auf ein akzeptables Maß beschränkt werden. Umweltbedingungen Auch durch das Umfeld vorgegebene Rahmenbedingungen. Kompatibilität von Hard.2. [eh Teil 1 . Die Kosten für Sicherheitsmaßnahmen müssen in einem angemessenen Verhältnis zum Wert der zu schützenden Objekte stehen. Auch Rahmenbedingungen können im Laufe der Zeit.7] 2.7 Rahmenbedingungen ISO Bezug: 27002 4. klimatische Bedingungen und Platzangebot können die Auswahl von Sicherheitsmaßnahmen beeinflussen.

Das Vorgehen dabei und die Verantwortlichkeiten dafür sind in der Informationssicherheitspolitik festzulegen (vgl. 4.5 Akzeptables Restrisiko sowie 4.1 Risikoanalysestrategien. Kapitel 4. Die Entscheidungsgrundlage dafür sollte in der (organisationsweiten) Informationssicherheitspolitik festgelegt sein (vgl. Dabei bedient man sich am besten der Verfahren und Erkenntnisse aus der vorangegangenen Risikoanalyse.6 Akzeptanz von außergewöhnlichen Restrisiken).5. und zusätzliche.auch nach Auswahl und Umsetzung aller angemessenen Sicherheitsmaßnahmen verbleibt im Allgemeinen ein Restrisiko. Es besteht die Möglichkeit.2 Absolute Sicherheit ist nicht erreichbar . 4. wie weit und mit welchen Kosten nicht-akzeptable Restrisiken weiter verringert werden können. nicht-akzeptable bedürfen einer weiteren Analyse.ISO Bezug: 27002 4. Schritt 4: Akzeptanz von außergewöhnlichen Restrisiken Ist eine weitere Reduktion des Restrisikos nicht möglich.5 Akzeptables Restrisiko sowie 4. Schritt 3: Entscheidung über nicht-akzeptable Restrisiken Die weitere Behandlung von nicht-akzeptablen Restrisiken sollte stets eine Managemententscheidung sein. [eh Teil 1 . akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken.1.1 Risikoanalysestrategien.1. 14. so besteht in begründeten Ausnahmefällen die Möglichkeit einer bewussten Akzeptanz dieses erhöhten Restrisikos. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken.6 Akzeptanz von außergewöhnlichen Restrisiken ). Die Alternative dazu ist eine bewusste und dokumentierte Akzeptanz des erhöhten Restrisikos. Akzeptable Restrisiken können in Kauf genommen werden. Kapitel 4. Um zu entscheiden. eventuell mit hohen Kosten verbundene Maßnahmen auszuwählen. unwirtschaftlich oder aufgrund gegebener Rahmenbedingungen nicht wünschenswert. 14.2.1. ob dieses für die betreffende Organisation tragbar ist oder weitere Maßnahmen zu veranlassen sind.2] 52 . zu untersuchen. Schritt 2: Bewertung der Restrisiken Die verbleibenden Restrisiken sind als "akzeptabel" oder "nicht-akzeptabel" zu klassifizieren. ist wie folgt vorzugehen: Schritt 1: Quantifizierung des Restrisikos In diesem ersten Schritt ist das Restrisiko so exakt wie möglich zu ermitteln.

dabei ist zu untersuchen. [eh Teil 1 . sollen für jeweils spezifische Sicherheitsrichtlinien auf die einzelnen wichtigen Systeme eingehen.3. Beschreibung der wichtigsten Komponenten Definition der wichtigsten Ziele und Funktionalitäten des Systems Festlegung der Informationssicherheitsziele des Systems Abhängigkeit der Organisation vom betrachteten IT-System.5. Typische Beispiele sind etwa eine PC-Sicherheitsrichtlinie. Beschaffungs.3.2. [eh Teil 1 .2 Inhalte ISO Bezug: 27001 4. Investitionen in das System (Entwicklungs-.2. Verfügbarkeit oder Integrität des Systems oder darauf verarbeiteter Information gefährdet wird.3.2. wie weit die Aufgabenerfüllung der Organisation durch eine Verletzung der Vertraulichkeit.3 Sicherheitsrichtlinien ISO Bezug: 27001 4.1 Aufgaben und Ziele ISO Bezug: 27001 4.1 Eine Sicherheitsrichtlinie sollte Aussagen zu den sicherheitsrelevanten Bereichen eines Systems treffen: • • • • • Definition und Abgrenzung des Systems.2.5.2. Kosten für den laufenden Betrieb) 53 .1 Für alle komplexen oder stark verbreiteten IT-Systeme sollten spezifische Sicherheitsrichtlinien erarbeitet werden.2.1] 2.und Wartungskosten.1 Während das Sicherheitsskonzept ganzheitlich Maßnahmen darstellt. eine Netzsicherheitsrichtlinie.3] 2. um die Risiken auf ein definiertes und beherrschbares Maß zu bringen.2. eine InternetSicherheitsrichtlinie oder eine Richtlinie zum Einsatz mobiler Geräte.

Bedrohungen und Schwachstellen lt.3.3. Insbesondere ist es von Bedeutung. Risikoanalyse Sicherheitsrisiken Beschreibung der bestehenden und der noch zu realisierenden Sicherheitsmaßnahmen Gründe für die Auswahl der Maßnahmen Kostenschätzungen für die Realisierung und den laufenden Betrieb (Wartung) der Sicherheitsmaßnahmen Verantwortlichkeiten [eh Teil 1 .2. unveränderbares Dokument dar.4 Verantwortlichkeiten ISO Bezug: 27001 4.1 Auch eine Sicherheitsrichtlinie stellt kein einmal erstelltes.3 Fortschreibung der Sicherheitsrichtlinien ISO Bezug: 27001 4. sondern ist regelmäßig auf Aktualität zu überprüfen und bei Bedarf entsprechend anzupassen.1 54 .2.2.• • • • • • • Risikoanalysestrategie Werte. noch umzusetzenden Sicherheitsmaßnahmen stets dem tatsächlich aktuellen Stand entspricht. dass die Liste der existierenden bzw.2.3] 2.5.3.3.2] 2.5. [eh Teil 1 .

Er enthält eine Prioritäten. die Verbesserung bestehender Maßnahmen eine Kosten. dass die einzelnen Sicherheitsrichtlinien mit der organisationsweiten Informationssicherheitspolitik kompatibel sind und auch untereinander ein einheitliches. Letztere/r hat dafür Sorge zu tragen. für jede dieser Maßnahmen sollte eine Aussage über ihre Wirksamkeit sowie möglicherweise notwendige Verbesserungen oder Verstärkungen getroffen werden eine Prioritätenreihung für die Implementierung der ausgewählten Sicherheitsmaßnahmen bzw.4 Informationssicherheitspläne für jedes System ISO Bezug: 27001 4. [eh Teil 1 . wie die ausgewählten Sicherheitsmaßnahmen umgesetzt werden. vergleichbares Niveau aufweisen.3 Ein Informationssicherheitsplan beschreibt.und Sensibilisierungsmaßnahmen 55 . Im Allgemeinen wird diese Verantwortung bei der/dem für das gegenständliche System zuständigen Bereichs-IT-Sicherheitsbeauftragten liegen.4] 2.3. die/der sie mit der/dem IT-Sicherheitsbeauftragten abstimmen wird.2.3 Organisation und Verantwortlichkeiten für Informationssicherheit). abhängig von Prioritäten und Ressourcen Budget Verantwortlichkeiten Schulungs.2.Die Verantwortlichkeiten für die Erstellung und Fortschreibung der Sicherheitsrichtlinien sind im Einzelnen in der Informationssicherheitspolitik festzulegen (vgl.und Ressourcenplanung sowie einen Zeitplan für die Umsetzung der Maßnahmen.und Aufwandsschätzung für Implementierung und Wartung der Maßnahmen Detailplanung für die Implementierung Diese soll folgende Punkte umfassen: • • • • • Prioritäten Zeitplan. Im Detail sind für jedes System zu erstellen: • • • • eine Liste der vorhandenen sowie eine Liste der noch zu implementierenden Sicherheitsmaßnahmen. dazu Kapitel 5.5.

und Möglichkeiten des Eingriffes bei Abweichungen vom vorgesehenen Prozess oder bei notwendigen Änderungen definieren.und Abnahmeverfahren und -termine Nachfolgeaktivitäten eine Bewertung des nach der Implementierung aller Maßnahmen zu erwartenden Restrisikos Weiters sollte der Sicherheitsplan auch die Kontrollmechanismen festlegen.2.4] 2. etwa aufgrund von Preisänderungen oder der Verfügbarkeit neuer Technologien Voraussetzungen für eine effiziente und zielgerichtete Fortschreibung des Sicherheitskonzeptes sind: • • 56 die laufende Überprüfung von Akzeptanz und Einhaltung der Sicherheitsmaßnahmen die Protokollierung von Schadensereignissen . Änderungen am Markt oder die Einführung neuer Applikationen Ereignisse. die die Eintrittswahrscheinlichkeit von Bedrohungen verändern. die die Bedrohungslage verändern.• • • Test. um an veränderte System. Anlässe für eine neue Untersuchung und das Fortschreiben des Konzeptes können sein: • • • • • Ablauf eines vorgeschriebenen oder vereinbarten Zeitraumes (z. IT-Ausstattung.5 Fortschreibung des Sicherheitskonzeptes ISO Bezug: 27001 4.4 Das Sicherheitskonzept muss laufend fortgeschrieben werden.) neue Möglichkeiten für Sicherheitsmaßnahmen.5. die den Fortschritt der Implementierung der ausgewählten Maßnahmen bewerten. Umfeldeigenschaften angepasst zu bleiben. wie etwa die Änderungen von Organisationszielen oder Aufgabenbereichen.2.bzw. [eh Teil 1 . wie etwa politische oder gesellschaftliche Entwicklungen oder das Bekanntwerden neuer Attacken Eintritt von Ereignissen. jährliches Update) Eintritt von Ereignissen. die die Werte verändern können. wie etwa die Entwicklung neuer Techniken oder veränderte Einsatzbedingungen (Einsatzort...B. .

2. die Kosten sich in dem vorher abgeschätzten Rahmen halten.5] 2. dass • • • • • Verantwortlichkeiten rechtzeitig und eindeutig festgelegt werden.2 57 . Es empfiehlt sich. finanzielle und personelle Ressourcen rechtzeitig zugewiesen werden.3 Umsetzung des Informationssicherheitsplans Die korrekte und effiziente Implementierung von Sicherheitsmaßnahmen und ihr zielgerichteter Einsatz hängen in hohem Maße von der Qualität des im vorangegangenen Schritt erstellten Informationssicherheitsplans ab. hängt vom Ausmaß der eingetretenen Veränderungen ab.3. Gleichzeitig mit der Implementierung der Sicherheitsmaßnahmen sollten auch entsprechende Schulungs. [eh Teil 1 . um die optimale Einhaltung und Akzeptanz der Maßnahmen bei den Anwenderinnen/ Anwendern zu erreichen.und Sensibilisierungsmaßnahmen gesetzt werden.5. genau dokumentiert und den tatsächlichen Anforderungen der betroffenen Institution angepasst sein.• die Kontrolle der Wirksamkeit und Angemessenheit der Maßnahmen Ob eine neuerliche Risikoanalyse erforderlich ist oder lediglich die Auswahl der Maßnahmen überarbeitet wird.5. Bei der Umsetzung des Plans ist zu beachten. der Zeitplan eingehalten wird.5] 2. die Maßnahmen korrekt umgesetzt werden. [eh Teil 1 . Dieser muss gut strukturiert. die Umsetzung des Informationssicherheitsplans im Rahmen eines Projektes abzuwickeln.1 Implementierung von Maßnahmen ISO Bezug: 27001 4. Als letzter Schritt der Umsetzung des Informationssicherheitsplans sind die implementierten Maßnahmen in ihrer tatsächlichen Einsatzumgebung auf ihre Auswirkungen zu testen und abzunehmen (Akkreditierung).

Die Abstimmung der einzelnen systemspezifischen Informationssicherheitspläne für die Gesamtorganisation obliegt in der Regel der/dem IT-Sicherheitsbeauftragten. Es wird empfohlen. 58 . dazu auch 2.2. dass die Implementierung korrekt durchgeführt und abgeschlossen wurde. ein anderer Teil aber organisationsweit einzusetzen ist (vgl. Die Verantwortlichkeiten dafür sind im Detail festzulegen. entsprechend der vorgegebenen Zeitpläne und Prioritäten.1 Auswahl von Maßnahmen). Sie/ er hat dafür Sorge zu tragen. organisationsweiten Maßnahmen vollständig und angemessen. für die Tests einen Testplan zu erstellen. Dabei ist zu beachten. korrekte und aktuelle Dokumentation dieser Implementierungen zu legen. sowie nicht redundant oder widersprüchlich sind die systemspezifischen Maßnahmen kompatibel sind und ein einheitliches. angemessenes Sicherheitsniveau haben Besonderer Wert ist auf eine detaillierte. Schritt 2: Testplan und Tests Tests sollen sicherstellen. sind die einzelnen Maßnahmen zu implementieren. dass • • die systemübergreifenden. zu erfolgen.Sobald der Informationssicherheitsplan erstellt und verabschiedet wurde. der • • • die Testmethoden die Testumgebung die Zeitpläne für die Durchführung der Tests beinhaltet. auf ihre Übereinstimmung mit der Sicherheitspolitik zu überprüfen (Security Compliance Checking) und auf Korrektheit und Vollständigkeit zu testen. Die durchgeführten Tests sind im Detail zu beschreiben und die Ergebnisse in einem standardisierten Testbericht festzuhalten. Schritt 1: Implementierung der Sicherheitsmaßnahmen Die Implementierung der ausgewählten Sicherheitsmaßnahmen hat anhand des Informationssicherheitsplans. dass ein Teil der Maßnahmen systemspezifisch sein wird.

Schritt 3: Prüfung der Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) Security Compliance Checks sind sowohl im Rahmen der Implementierung der Maßnahmen als auch als wiederholte Aktivität zur Gewährleistung der Informationssicherheit im laufenden Betrieb (s. Verteilung. dass zum einen eventuell bestehende Sicherheitslücken erkannt werden können. Dabei sind zu prüfen: • • • die vollständige und korrekte Umsetzung der Sicherheitsmaßnahmen der korrekte Einsatz der implementierten Sicherheitsmaßnahmen die Einhaltung der organisatorischen Sicherheitsmaßnahmen im täglichen Betrieb Dokumentation Die Dokumentation der implementierten Maßnahmen stellt einen wichtigen Teil der gesamten Sicherheitsdokumentation dar und ist notwendige Voraussetzung für die Kontinuität und Konsistenz des Informationssicherheitsprozesses. 15. dazu 5.Abhängig von der speziellen Bedrohungslage und der Art der Maßnahmen kann die Durchführung von Penetrationstests erforderlich sein. zum anderen ausreichend Information für einen korrekten und effizienten Einsatz der Maßnahmen zur Verfügung steht. dazu auch Kap. Die wichtigsten Anforderungen an die Dokumentation sind: • • • Aktualität: Alle Sicherheitsmaßnahmen sind stets auf dem aktuellen Stand der Realisierung zu beschreiben. Vollständigkeit Hoher Detaillierungsgrad: Die Sicherheitsmaßnahmen sind so detailliert zu beschreiben.5 Klassifizierung von Informationen). Gewährleistung der Vertraulichkeit: Dokumentation über Sicherheitsmaßnahmen kann unter Umständen sehr vertrauliche Information enthalten und ist daher entsprechend zu schützen.1 Security Compliance Checking und Monitoring) durchzuführen. Aufbewahrung und Vernichtung von sicherheitsrelevanter Dokumentation zu entwickeln. Benutzung. Diese Verfahrensweisen sind ebenfalls entsprechend zu dokumentieren. So weit wie möglich sollte bei der Klassifizierung und Behandlung solcher Dokumente auf die Vorgaben im Rahmen der Informationssicherheitspolitik der Organisation zurückgegriffen werden (vgl. 59 • . weitere Verfahrensweisen zur Erstellung.2. Es kann im Einzelfall notwendig sein.

Es ist Aufgabe der dafür verantwortlichen Person . das zum Ziel hat. Um das Sicherheitsbewusstsein aller Mitarbeiter/innen zu fördern und den Stellenwert der Informationssicherheit innerhalb einer Organisation zu betonen.die Anforderungen aus den einzelnen Teilbereichen und systemspezifische Anforderungen hier einfließen zu lassen und entsprechend zu koordinieren. Informationssicherheit zu einem integrierten Bestandteil der täglichen Arbeit zu machen.2. 8. Schwachstellen.6.) die Pläne zur Implementierung und Überprüfung der Sicherheitsmaßnahmen . Risiken.• Konfigurations.2.und Integritätskontrolle: Es ist sicherzustellen.2 Nur durch Verständnis und Motivation ist eine dauerhafte Einhaltung und Umsetzung der Richtlinien und Vorschriften zur Informationssicherheit zu erreichen. die für die gesamte Organisation Gültigkeit haben) die wichtigsten Ergebnisse der Risikoanalysen (Bedrohungen.. die eine .3. Das Sensibilisierungsprogramm sollte folgende Punkte umfassen: • Information aller Mitarbeiter/innen über die Informationssicherheitspolitik der Organisation.2.2 Sensibilisierung (Security Awareness) ISO Bezug: 27002 5.1] 2. . [eh Teil 1 .beabsichtigte oder unbeabsichtigte Beeinträchtigung der implementierten Maßnahmen nach sich ziehen könnten.dies wird in der Regel die/der ITSicherheitsbeauftragte sein . dass keine unauthorisierten Änderungen der Dokumentation erfolgen. Das Sensibilisierungsprogramm sollte systemübergreifend sein. sollte ein umfassendes.. organisationsweites Sensibilisierungsprogramm erstellt werden. Im Rahmen einer Einführung sollten insbesondere folgende Punkte erläutert werden: • • • • • • die Informationssicherheitsziele und -politik der Organisation sowie deren Erläuterung die Bedeutung der Informationssicherheit für die Organisation Organisation und Verantwortlichkeiten im Bereich der Informationssicherheit die Risikoanalysestrategie die Sicherheitsklassifizierung von Daten • • 60 ausgewählte Sicherheitsmaßnahmen (insbesondere solche.

8.1.a.. beförderte oder versetzte Mitarbeiter/in so weit in Fragen der Informationssicherheit geschult werden. Darüber hinaus sollte jede/r neue. folgende Maßnahmen beitragen: • • • regelmäßige Veranstaltungen zum Thema Informationssicherheit Publikationen schriftliche Festlegung der Berichtswege und Handlungsanweisungen im Falle eines vermuteten Sicherheitsproblems (z.2.) Das Sensibilisierungsprogramm sollte jede/n Mitarbeiter/in der Institution auf ihre/ seine Verantwortlichkeit für Informationssicherheit hinweisen. .1.3 Schulung ISO Bezug: 27002-5.B. [eh Teil 1 .6. z.1. 61 . Angriff von außen ("Hacker").. im Arbeitsablauf.• • • die Auswirkungen von sicherheitsrelevanten Ereignissen für einzelne Anwender und für die gesamte Institution die Notwendigkeit. wenn sich durch Sicherheitsmaßnahmen einschneidende Veränderungen.3. Die organisationsweite Planung dieser Veranstaltungen sollte die/der IT-Sicherheitsbeauftragte übernehmen.2. 8.5 Über das allgemeine Sensibilisierungsprogramm hinaus sind spezielle Schulungen zu Teilbereichen der Informationssicherheit erforderlich. wann und wo solche Veranstaltungen nötig sind.2. wie es der neue Arbeitsplatz verlangt. 15. Das Sensibilisierungsprogramm ist regelmäßig auf seine Wirksamkeit und Aktualität zu überprüfen und laufend an Veränderungen in der Informationssicherheitspolitik sowie an neue Technologien anzupassen.2. Dabei ist insbesondere die Verantwortung des Managements für Informationssicherheit zu betonen ("Informationssicherheit als Managementaufgabe"). Die Veranstaltungen zum Sensibilisierungsprogramm sollten in regelmäßigen Zeitabständen wiederholt werden.2] 2.2. um das vorhandene Wissen aufzufrischen und neue Mitarbeiter/innen zu informieren.2. 6. Sicherheitsverstöße zu melden und zu untersuchen die Konsequenzen bei Nichteinhaltung von Sicherheitsvorgaben Zur Sensibilisierung der Mitarbeiter/innen können u. Auftreten eines Virus. Gegebenenfalls liefern Bereichs-IT-Sicherheitsbeauftragte Informationen. ergeben.B.

Berechtigungssysteme. sind: • • • • • • Sicherheitspolitik und -infrastruktur: Rollen und Verantwortlichkeiten. Inter-/Intranets. die in besonderem Maße mit Informationssicherheit zu tun haben. Dazu zählen etwa: • • • • • • die/der IT-Sicherheitsbeauftragte und die Bereichs-IT-Sicherheitsbeauftragten die Mitglieder des Informationssicherheitsmanagement-Teams Mitarbeiter/innen. Zugangs.B. Protokollierung.B. die mit Aufgaben der IT-Sicherheitsverwaltung betraut sind (z. Behandlung von sicherheitsrelevanten Vorfällen. LANs. Wiederaufbereitung und Virenschutz. 62 . Organisation des Informationssicherheitsmanagements. die im Rahmen von Schulungsveranstaltungen behandelt werden sollten. digitale Signaturen u.und Sensibilisierungsveranstaltungen zum Thema Informationssicherheit müssen zeitgerecht geplant und umgesetzt werden.Personen. Business Continuity Planung Schulungs.und Softwaresicherheit: Dazu gehören etwa Identifikation und Authentisierung.B. Büroräumen und Versorgungseinrichtungen mit besonderer Betonung der Verantwortung der einzelnen Mitarbeiter/innen (z. Serverräumen. Applikationsverantwortliche) Mitarbeiter/innen. die zu VERTRAULICH. Brandschutz) Personelle Sicherheit Hardware.ä. Netzwerksicherheit: Netzwerkinfrastruktur. Handhabung von Zutrittskontrollmaßnahmen. Besondere Betonung ist dabei auf die Schulung der korrekten Implementierung und Anwendung von Sicherheitsmaßnahmen zu legen. um keine Sicherheitslücken durch mangelndes Wissen oder Sicherheitsbewusstsein entstehen zu lassen. Vergabe von Zutritts-. Projektleiter/innen) Mitarbeiter/innen mit spezieller Verantwortung für den Betrieb eines IT-Systems oder einer wichtigen Applikation (z. GEHEIM oder STRENG GEHEIM eingestuften Informationen Zugang haben Mitarbeiter/innen mit spezieller Verantwortung für die Systementwicklung (z. Typische Beispiele für die Themen. regelmäßige Überprüfung von Sicherheitsmaßnahmen und ähnliches Bauliche Sicherheit: Schutz von Gebäuden.und Zugriffsrechten) Das Schulungsprogramm ist von jeder Organisation spezifisch für ihren Bedarf eigenen zu entwickeln. Verschlüsselung.B. sind speziell dafür auszubilden und zu schulen.

auch 2.oder eine spezifische Anwendung davon .3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) Tests Evaluation und Zertifizierung von Systemen Änderungen der eingesetzten Sicherheitsmaßnahmen oder der Betriebsumgebung können eine neuerliche Akkreditierung des Systems erforderlich machen.[eh Teil 1 . Erst nach erfolgter Akkreditierung kann ein solches System . dass seine Sicherheit • • • in einer definierten Betriebsumgebung unter definierten Einsatzbedingungen für eine definierte vorgegebene Zeitspanne gewährleistet ist.3. sollten in den zugehörigen Sicherheitsrichtlinien festgelegt werden. Wir ein IT-System akkreditiert.1 Implementierung von Maßnahmen und 2.6.und Zustandsbeschreibungen sowie standardisierter Vorgaben für Erfüllung und Dokumentation. Wesentlich bei der Akkreditierung ist die Anwendung standardisierter und damit vergleichbarer Vorgehens. [eh Teil 1 . dass dieses den Anforderungen der Informationssicherheitspolitik und der Sicherheitsrichtlinien genügt.3] 2.4] 63 . Die Kriterien.3. ist insbesondere darauf zu achten.4.4 Akkreditierung Unter Akkreditierung eines IT-Systems versteht man die durch eine unabhängige Instanz formal dokumentierte Sicherstellung. Techniken zur Akkreditierung sind: • • • Prüfung der Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking).6.in Echtbetrieb gehen. wann eine Neuakkreditierung durchzuführen ist. vgl.

6. wenn Support. unveränderbares Dokument.4 Informationssicherheit im laufenden Betrieb Umfassendes Informationssicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe. 2.liegen sollte. 64 . die Verantwortung für organisationsweite Sicherheitsmaßnahmen sowie die Gesamtverantwortung bei der/ dem IT-Sicherheitsbeauftragten. Ziel aller Follow-Up-Aktivitäten ist es. die Informationssicherheit im laufenden Betrieb aufrechtzuerhalten.4. in den einzelnen Sicherheitsrichtlinien detailliert festgelegt werden. Ein Sicherheitskonzept ist kein statisches. weiter zu erhöhen. die realisierten Maßnahmen müssen regelmäßig auf ihre Übereinstimmung mit der Informationssicherheitspolitik geprüft werden (Security Compliance Checking) und die IT-Systeme fortlaufend überwacht werden (Monitoring).4. Die Verantwortlichkeiten für diese Aktivitäten müssen im Rahmen der organisationsweiten Informationssicherheitspolitik bzw. Monitoring sichergestellt sind: • • • Wartung und administrativer Support der Sicherheitseinrichtungen müssen gewährleistet sein.2.sollen erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. 8 Das nach der Umsetzung des Informationssicherheitsplans erreichte Sicherheitsniveau lässt sich nur dann aufrechterhalten.1 Aufrechterhaltung des erreichten Sicherheitsniveaus ISO Bezug: 27001 4. das erreichte Sicherheitsniveau zu erhalten bzw.sei es durch eine Veränderung der Bedrohungslage oder durch falsche Verwendung der implementierten Sicherheitsmaßnahmen .2. Verschlechterungen der Wirksamkeit von Sicherheitsmaßnahmen . Weiters muss eine angemessene Reaktion auf alle sicherheitsrelevanten Änderungen sowie auf sicherheitsrelevante Ereignisse gewährleistet sein. Generell gilt auch hier. sondern muss stets auf seine Wirksamkeit. Compliance. dass die Verantwortung für systemspezifische Maßnahmen bei den einzelnen BereichsIT-Sicherheitsbeauftragten . Aktualität und die Umsetzung in der täglichen Praxis überprüft werden.soweit definiert .

4.und Supportaufgaben können im Einzelfall beträchtlich sein und sollten daher bereits bei der Auswahl der Sicherheitsmaßnahmen bekannt sein und in den Entscheidungsprozess mit einfließen. Zu diesen Aufgaben zählen etwa die regelmäßige Auswertung und Archivierung von Protokollen. Um die Aufrechterhaltung eines einmal erreichten Sicherheitsniveaus zu gewährleisten.2 Sensibilisierung (Security Awareness)). die die Aufrechterhaltung der Informationssicherheitsmaßnahmen im laufenden Betrieb ermöglichen und unterstützen die Verantwortungen im laufenden Betrieb klar zugewiesen werden die Maßnahmen regelmäßig daraufhin geprüft werden.und Supportaktivitäten sollten nach einem detailliert festgelegten Plan erfolgen und regelmäßig durchgeführt werden. wenn verfügbar (besonders.2 Wartung und administrativer Support von Sicherheitseinrichtungen ISO Bezug: 27001 4.1] 2. im Bereich Virenschutz).Von besonderer Wichtigkeit für die Aufrechterhaltung oder weitere Erhöhung eines einmal erreichten Sicherheitsniveaus ist eine permanente Sensibilisierung aller betroffenen Mitarbeiter/innen für Fragen der Informationssicherheit (vgl. ob sie wie beabsichtigt funktionieren 65 . 8 Viele Sicherheitsmaßnahmen erfordern zur Gewährleistung ihrer einwandfreien Funktionsfähigkeit Wartung und administrativen Support.4. aber nicht ausschließlich. 6. Alle Wartungs.7. Die Kosten für Wartungs.3.1. dazu auch 2. dass • • • • die erforderlichen finanziellen und personellen Ressourcen zur Wartung von Sicherheitseinrichtungen zur Verfügung stehen organisatorische Regelungen existieren. Backup und Restore sowie die Wartung von sicherheitsrelevanten Komponenten. ist sicherzustellen. zu erfolgen und darf nur durch dafür autorisierte Personen vorgenommen werden. [eh Teil 1 . Die Wartung von Sicherheitseinrichtungen hat in Abstimmung mit den Verträgen. die mit den Lieferfirmen geschlossen wurden. die Reinitialisierung von Startwerten oder Zählern sowie Updates der Sicherheitssoftware.2. die Überprüfung der Parametereinstellungen und eventueller Rechte auf mögliche nichtautorisierte Änderungen.

Der regelmäßigen Auswertung dieser Protokolle kommt besondere Bedeutung für die gesamte Informationssicherheit zu.4.• Maßnahmen verstärkt werden. falls sich neue Schwachstellen zeigen Alle Wartungs.1 Zielsetzung Zur Gewährleistung eines angemessenen und gleich bleibenden Sicherheitsniveaus ist dafür Sorge zu tragen. wie es im Sicherheitskonzept und im Informationssicherheitsplan vorgesehen ist.4. Die Prüfungen können durch externe oder interne Auditoren/Auditorinnen durchgeführt werden und sollten soweit möglich auf standardisierten Tests und Checklisten basieren.7. ob • • • die Sicherheitsmaßnahmen vollständig und korrekt umgesetzt werden der korrekte Einsatz der implementierten Sicherheitsmaßnahmen gewährleistet ist (Stichproben!) die organisatorischen Sicherheitsvorgaben im täglichen Betrieb eingehalten und akzeptiert werden Weiters sind die getroffenen Maßnahmen regelmäßig auf Übereinstimmung mit gesetzlichen und betrieblichen Vorgaben zu überprüfen.2. Dabei ist zu prüfen.3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) ISO Bezug: 27001 4.1] 2. bei Eintreten folgender Ereignisse durchgeführt werden: 66 . Zeitpunkte Security Compliance Checks sollten zu folgenden Zeitpunkten bzw. -Projekte und Applikationen sowohl während der Planungsphase als auch im laufenden Betrieb und letztlich auch bei der Außerbetriebnahme sichergestellt sein. [eh Teil 1 .1. 15.2. Dies muss für alle IT-Systeme. dass alle Maßnahmen so eingesetzt werden.und Supportaktivitäten im Sicherheitsbereich sollten protokolliert werden.

1. Mögliche Gründe dafür sind eine Änderung der IT-Sicherheitsziele. die Sicherheitsanforderungen an das Gesamtsystem können im Laufe des Lebenszyklus eines IT-Projektes oder -Systems erheblichen Änderungen unterliegen. sollte das Monitoring durch die Ermittlung von Kennzahlen unterstützt werden.4. ob das IT-System. in den Sicherheitsrichtlinien vorzugebenden Zeitspanne (z. daraus resultierend. Alle Änderungen der potentiellen Bedrohungen.2. neue Applikationen oder die Verarbeitung von Daten einer höheren Sicherheitsklasse auf existierenden Systemen oder Änderungen in der Hardware-Ausstattung. Wo technisch möglich und sinnvoll. seine Benutzer/innen und die Systemumgebung das im Informationssicherheitsplan festgelegte Sicherheitsniveau beibehalten. 15.• • für neue IT-Systeme oder relevante neue Anwendungen: nach der Implementierung (vgl. Bedrohungen und Schwachstellen: 67 . dazu auch Kap. zu schützenden Werte und Sicherheitsmaßnahmen können möglicherweise signifikante Auswirkungen auf das Gesamtrisiko haben. die Zahl der Hacking-Versuche über Internet oder die Wirksamkeit des Passwortmechanismus betreffen. jährlich) sowie bei signifikanten Änderungen. zu überprüfen.2] 2. Aus diesem Grund ist eine fortlaufende Überwachung folgender Bereiche erforderlich: • • Wert der zu schützenden Objekte: Sowohl die Werte von Objekten als auch. Dazu wird ein Plan für eine kontinuierliche Überwachung der IT-Systeme im täglichen Betrieb erstellt.4 Monitoring ist eine laufende Aktivität mit dem Ziel. Solche Kennzahlen können beispielsweise die Systemverfügbarkeit. [eh Teil 1 .B.1 Security Compliance Checking und Monitoring) für bereits in Betrieb befindliche IT-Systeme oder Applikationen: nach einer bestimmten. Schwachstellen.4 Fortlaufende Überwachung der IT-Systeme (Monitoring) ISO Bezug: 27002 4.7. die eine rasche und einfache Erkennung von Abweichungen von den Sollvorgaben ermöglichen.

den Bedrohungen und den Schwachstellen. können die Wirksamkeit der Sicherheitsmaßnahmen nachhaltig beeinflussen.3] 68 .7.• Organisatorisch oder technologisch (hier insbesondere durch neue Technologien in der Außenwelt) bedingt können sowohl die Wahrscheinlichkeit des Eintritts einer Bedrohung als auch die potentielle Schadenshöhe im Laufe der Zeit starken Änderungen unterliegen und sind daher regelmäßig zu evaluieren. so sind entsprechende Gegenmaßnahmen zu setzen. [eh Teil 1 . Sicherheitsmaßnahmen: Die Wirksamkeit der implementierten Sicherheitsmaßnahmen ist laufend zu überprüfen. Werden im Rahmen des kontinuierlichen Monitoring signifikante Abweichungen des tatsächlichen Risikos von dem im Sicherheitskonzept festgelegten akzeptablen Restrisiko festgestellt.1. Neue potentielle Schwachstellen sind so früh wie möglich zu erkennen und abzusichern. dass sie einen angemessenen und den Vorgaben der Sicherheitsrichtlinien entsprechenden Schutz bieten. was durch die Sicherheitsmaßnahmen erreicht wurde (Soll-/IstVergleich). ob die Ergebnisse den Sicherheitsanforderungen der Institution genügen sowie über den Erfolg einzelner spezifischer Aktivitäten zur Informationssicherheit. Es ist sicherzustellen. Änderungen in den Werten der bedrohten Objekte. aber auch durch den Einsatz neuer Technologien. Durch ein kontinuierliches Monitoring soll die Leitung der Institution ein klares Bild darüber bekommen.

des ISMS Schaffung von Awareness und Motivation für die Notwendigkeit der Einhaltung der Sicherheitsregeln Schaffung von Awareness und Motivation. eingeschätzt.1 Generelle Managementaufgaben beim ISMS ISO Bezug: 27001 5. zu steuern und zu kontrollieren. Zur Verantwortung der Managementebene gehört neben der Erreichung der geschäftlichen wie unternehmenspolitischen Ziele auch der angemessene Umgang mit Risiken. über Schwachstellen und Sicherheitsvorfälle zu informieren und Verbesserungen vorzuschlagen 69 . Wegen der immer höheren Abhängigkeit von Information gilt dies besonders für Risiken aus fehlender oder mangelhafter Informationssicherheit. Dies bedeutet.1 Verantwortung der Managementebene 3.1. einen systematischen und dauerhaften Sicherheitsmanagementprozess zu etablieren. zu betreiben sowie zu kontrollieren und zu verbessern. 3. Einschätzung. Festlegung von Kriterien für akzeptable Restrisiken Schaffung von Awareness für die Bedeutung und den Nutzen eines angemessenen Informationssicherheitsniveaus bzw. Sie müssen so früh als möglich erkannt.1 Es ist eine Managementverantwortung.3 Managementverantwortung und Aufgaben beim ISMS Dieses Kapitel nimmt Bezug auf ISO/IEC 27001 5 bis 8 . Bewertung der Risiken. Wird ein Informationssicherheits-Management-System (ISMS) eingerichtet. so ist es zu planen. zu implementieren. bewertet und durch Setzen geeigneter und nachhaltiger Maßnahmen auf einen minimalen und akzeptierten Rest reduziert werden. dass die Managementebene für die Umsetzung folgender Aufgaben zu sorgen hat: • • • • • • • Erarbeitung einer Sicherheitspolitik Erarbeitung der Zielsetzungen und Detailaufgaben des ISMS Benennung von Rollen und verantwortlichen Personen Darstellung.

Verfahren des ISMS noch wirksam bzw. welche mit Sicherheitsaufgaben betraut werden und diese ausschließlich oder zusätzlich zu anderen Aufgaben ausüben. ob und welche Sicherheitsmaßnahmen zu adaptieren sind und welche Verbesserungsmöglichkeiten umgesetzt werden. Unbeschadet davon bleibt die Gesamtverantwortung jedoch immer bei der Managementebene. wird ein/e Sicherheitsbeauftragte/r oder mehrere Sicherheitsbeauftragte benannt. die sich aus gesetzlichen oder vertraglichen Verpflichtungen ableiten Aktuelle Sicherheitsrisiken mitsamt ihren möglichen .etwa bei großen Organisationen oder solchen.• • • Bereitstellung ausreichender finanzieller und personeller Ressourcen für Einrichtung und dauerhaften Betrieb des ISMS sowie der Sicherheitsmaßnahmen Durchführung von Audits und Management-Reviews im Rahmen des ISMS Herbeiführung von Entscheidungen über Verbesserungsvorschläge.im Rahmen einer eigenen Sicherheitsorganisation erfolgen. diese wiederum von Größe und Aufgaben der Organisation. 70 . im positiven Fall jeweils auch Sicherstellung von deren Umsetzung Wie der Sicherheitsprozess organisiert wird. dass sie mit Geschäftskennzahlen versorgt werden muss): • • • • • • Sicherheitsanforderungen. hängt von seiner Komplexität ab. Dies kann auch . für die Sicherheit zum Geschäftsmodell gehört . Sie kann diese Verantwortung allerdings nur dann effizient wahrnehmen. vergleichbaren Organisationen. bei größeren Einheiten wird sich ein Mitglied der Managementebene persönlich um das ISMS kümmern bzw. Arbeitsgruppen Es muss laufend überprüft werden. wenn sie stetig mit den essentiellen Informationen versorgt wird (analog dazu. sowie ihre voraussichtliche Entwicklung Aufgetretene Schwachstellen oder Sicherheitsvorfälle Auswirkungen von tatsächlichen oder potenziellen Sicherheitsvorfällen auf kritische Geschäftsprozesse Potenzielle Gefährdungen aus veränderten Rahmenbedingungen und zukünftigen Entwicklungen Brauchbare Vorgehensweisen zur Informationssicherheit aus allgemeinen oder branchenüblichen Standards. ob und welche Sicherheitsmaßnahmen bzw.auch finanziellen Auswirkungen. Aus diesen Informationen sind von der Managementebene laufend Schlussfolgerungen zu ziehen und Entscheidungen zu treffen: welche Schwachstellen behoben wurden. angemessen sind. Sehr kleine Organisationen werden fallweise unter der Leitung des Geschäftsführers/ der Geschäftsführerin punktuell externe Berater heranziehen.

Daher macht es Sinn. dass Sicherheitsmaßnahmen .2. Es muss ebenso klar sein.1 Bereitstellung von Ressourcen ISO Bezug: 27001 5.Kosten verursachen. Es können Verkettungen von Vorfällen auftreten. dann muss die Sicherheitsstrategie oder aber die Geschäftsprozesse bzw. die niemand vorhersagen kann und die ein höheres Schadenspotenzial als das akzeptierte Restrisiko nach sich ziehen. werden diese auch gelebt und Informationen über Schwachstellen gegeben bzw. Grenzen der Sicherheit: • • • Es muss klar sein. zeitlichen und finanziellen Aufwand erreicht werden können. die nie fertig wird. sondern nur ein akzeptiertes Restrisiko. ist gar keine. die ihnen zugehörige Informationsverarbeitung geändert werden. Eine "starke" Sicherheitsmaßnahme. dass sie zwar die Risiken auf das akzeptierte Maß senken. 71 .1 Aufwand und Nutzen bei der Informationssicherheit Ein angestrebtes Sicherheitsniveau macht nur dann Sinn. zeitlichen und finanziellen Ressourcen auch erreicht werden kann.2 Ressourcenmanagement 3. dass es keine 100%ige Sicherheit geben kann. Verbesserungsvorschläge gemacht.336] 3. Diesen sind jene gegenüberstellen.und Awarenessmaßnahmen zu sorgen. werden sie auch von sich aus Ideen einbringen und die Tauglichkeit von Sicherheitsmaßnahmen aus Sicht der täglichen Praxis beurteilen.Die Managementebene hat die Aufgabe. die Mitarbeiter/innen zur aktiven Mitwirkung am Sicherheitsprozess zu motivieren und für diesbezüglich ausreichende Ausbildungs.2. Werden die Anwender/innen in die Planung und Umsetzung von Maßnahmen einbezogen. Nur wenn der Sinn von Sicherheitsmaßnahmen bzw. die als Folge eines schweren Sicherheitsvorfalls anfallen würden. Ist das nicht möglich. -vorgaben und -anweisungen verstanden wird. wenn es sich wirtschaftlich vertreten lässt und mit den verfügbaren personellen.oft erhebliche . die Sicherheitsziele so zu definieren. aber mit vertretbarem personellen. [Q: BSI M 2.

( siehe dazu 10. aber nur innerhalb eines geeigneten organisatorischen Rahmens und bedient von qualifizierten Menschen. da der tatsächliche Gewinn an Sicherheit immer geringer wird. dass er/sie die Sicherheitsaufgaben neben den eigentlichen Tätigkeiten ausübt. zusammenstellen.8. Mit einem solchen Team werden unterschiedliche Organisationseinheiten in den Sicherheitsprozess einbezogen und Kompetenzen gebündelt. Weit verbreitet ist die Ansicht.zumindest ein Teil von ihnen . Ihm/ihr muss allerdings ausreichend Zeit für seine diesbezügliche Tätigkeit zugestanden werden. Daher ist es eher in kleineren Organisationen möglich.und Arbeitsaufwand für alle mit der Informationssicherheit befassten Mitarbeiter/innen. Selbstverständlich ist Sicherheitstechnik eine wichtige Lösung und häufig unentbehrlich.Ab einem bestimmten Niveau rechnet sich der steigende Aufwand für angestrebte noch höhere Sicherheitsniveaus nicht mehr.organisatorische Maßnahmen in vielen Fällen am effektivsten sind. Die Erfahrung zeigt allerdings. In einem solchen Fall muss auf den Schutz der Informationen gegenüber Externen geachtet werden. kurzfristig externe Sicherheitsexperten heranzuziehen. bis er gar nicht mehr zunimmt. der dennoch in einem eher straffen Terminplan zu erledigen ist.oft sehr einfache .insbesondere IT-Sicherheit . werden entweder hauptamtliche Sicherheitsbeauftragte beschäftigen oder ISManagement-Teams aus mehreren Mitarbeitern/Mitarbeiterinnen. Wenn möglich sollten diese als IS-Management-Team formiert und . Für ad-hoc Beratungen. bei der die Anzahl an Sicherheitsvorfällen signifikant zurückgeht.vor allem durch technische Maßnahmen bewerkstelligen lässt. dass sich Informationssicherheit . Überprüfungen oder Implementierungen kann es sich auch für kleine Organisationen lohnen.während dieser Zeit von ihren sonstigen Aufgaben so weit als möglich freigestellt werden. Die Informationssicherheit wird dadurch schneller in allen Organisationseinheiten umgesetzt und es gibt weniger Konflikte.1 Richtlinien beim Datenaustausch mit Dritten ) Ressourcen für die Einrichtung des ISMS: IS-Management-Team Die sorgfältige Einrichtung und Planung des ISMS bedeutet einen erheblichen Zeit. Ressourcen für die Organisation Erfahrungsgemäß ist die Benennung eines/einer IT-Sicherheitsbeauftragten eine sehr effiziente Sicherheitsmaßnahme. dass personelle Ressourcen und geeignete . welche dies neben ihren eigentlichen Aufgaben wahrnehmen können. Größere Organisationen oder solche mit hohen Ansprüchen an Informationssicherheit. 72 .

mangelhaft gewartete IT-Einrichtungen. Daher sollte sich die Managementebene immer wieder vom Ablauf des Betriebs und der Situation der Mitarbeiter/innen überzeugen und bei Mängeln für deren rasche Behebung sorgen. Ressourcen für Betrieb und Überprüfung Ein reibungsloser IT-Betrieb ist zwar eine Voraussetzung für Informationssicherheit. Überlastete IT-Mitarbeiter/innen. um die Wirksamkeit und Eignung der Sicherheitsmaßnahmen systematisch überprüfen zu können. welche Alternativen eingesetzt werden könnten. 73 . welche die ohnehin problematische Situation verschärfen. Datenschutz Personal Betriebsrat Finanz / Controlling Rechtsabteilung Für eine kontinuierliche Steuerung des Prozesses sollte ein solches IS-ManagementTeam regelmäßig zusammenkommen. ob die verwendeten Sicherheitsmaßnahmen die zugehörigen Geschäftsprozesse noch unterstützen. in vielen Fällen aus Ressourcenmangel aber nicht gegeben. zeitliche und finanzielle Ressourcen erforderlich und bereitzustellen. sind Quellen für plötzlich auftretende Fehler. Weiters sind personelle.aus den Bereichen zusammensetzen: • • • • • • • • • Informationssicherheit Fachabteilungen Haustechnik Revision IT. fehlende Ausbildung. Zusätzlich kann es zu schleichender Demotivierung mit allen negativen Folgen führen. Dabei ist auch laufend zu bewerten: • • • ob der Aufwand jeweils noch im Einklang zum Sicherheitsnutzen steht.je nach Größe und Art der Organisation .Das IS-Management-Team kann sich etwa . etc.

Schulung und positive Bewußtseinsbildung vermittelt Kompetenz und ermöglicht den Mitarbeitern/Mitarbeiterinnen. Die mitgebrachten Kenntnisse und Erfahrungen decken jedoch nur einen Teil des Benötigten für die nunmehrige Tätigkeit ab und werden mit der Zeit weniger aktuell. dass Informationssicherheit ein Erfolgsfaktor ist Überzeugung aller Mitarbeiter/innen. dass und warum bestimmte Sicherheitsmaßnahmen notwendig und sinnvoll sind Wissen bei den Mitarbeitern/innen über Erwartungen hinsichtlich Informationssicherheit Wissen bei den Mitarbeitern/innen.2. 74 . ManagementReviews) und ggf.2. ausgeprägtes Sicherheitsbewußtsein bei den Mitarbeitern und Mitarbeiterinnen und deren ausreichende und weiterentwickelte Qualifikation. [Q: BSI Standard 100-2] 3. unterlassen sollen Ausreichende Kenntnisse und Fertigkeiten zur Durchführung ihrer Aufgaben Kenntnis der betrieblichen Abläufe Kenntnis der Ansprechpartner für Sicherheitsfragen oder -probleme Die Organisation wird ihre geschäftlichen. Dies wird in der Regel von einem/ einer entsprechend ausgebildeten Mitarbeiter/in in Zusammenwirken mit der Managementebene durchgeführt. was sie in kritischen Situationen tun bzw. Laufende Information. Das beginnt selbstverständlich schon bei der Auswahl von Bewerbern bei der Einstellung und setzt dafür genaue und aktuelle Job-Beschreibungen voraus.2 Wirksame Informationssicherheitsmaßnahmen benötigen neben ihrer sachlichen Implementierung eine Sicherheitskultur der Organisation.Schließlich sind noch Ressourcen bereitzustellen.2 Schulung und Awareness ISO Bezug: 27001 5. um das ISMS selbst auf Konsistenz und Wirksamkeit zu überprüfen (Interne / externe Audits. die Folgen und Auswirkungen ihrer Tätigkeit im beruflichen und privaten Umfeld einzuschätzen. aber auch sicherheitsrelevanten Ziele wohl nur mit hinreichend ausgebildeten und informierten Mitarbeitern/Mitarbeiterinnen erreichen. Dies ist ein langfristiger und kontinuierlicher Prozeß mit vielschichtigen Effekten: • • • • • • • Überzeugung aller Mitarbeiter/innen. Verbesserungen einzuleiten.

und Awarenessprogramm aufgebaut und in Schritten durchlaufen.oder Administratorrechten Manipulation an Informationen oder Software Social Engineering Ausspähen von Informationen Es muss daher im vitalen Interesse der Managementebene liegen. Selbstverständlich gilt auch hier der Grundsatz der Angemessenheit: Schulungen sind kein Selbstzweck. unerlaubte Ausübung von Rechten. sondern ein Mittel zur Erreichung der geschäftlichen und sicherheitspolitischen Ziele und unterliegen wie jede andere Maßnahme einer Kosten-/Nutzen Relation. Schulungs.Gefährdungen: Unzureichende Informationen und Kenntnisse können im Bereich der Informationssicherheit eine Reihe von Gefährdungen heraufbeschwören: • • • • Vertraulichkeits. sich der Bedeutung von ausreichender Information. Damit werden Unterschiede im Wissenstand einzelner Mitarbeiter/innen abgesehen von ausgesprochenen Spezialisierungen . Fehlerhafte Nutzung oder Administration von IT-Systemen) Nichtbeachtung von Sicherheitsmaßnahmen Sorglosigkeit im Umgang mit Informationen Mangelhafte Akzeptanz von Informationssicherheit Weiters kann aus unzureichender Information (etwa wenn dies als böse Absicht des Managements interpretiert wird) im Zusammenwirken mit stetiger Überlastung Frustration entstehen. 75 . Schulung und Awareness für Informationssicherheit bei den Mitarbeitern/Mitarbeiterinnen bewusst zu sein und Schulungs.und Awarenessprogramm: Optimalerweise wird für umfassende und angemessene Kompetenz ein Schulungs.ausgeglichen. was mitunter zu vorsätzlichen Handlungen führen kann: • • • • • Unberechtigte IT-Nutzung Missbrauch von Benutzer.oder Integritätsverlust von Daten durch Fehlverhalten (unzureichende Kenntnis der Regelungen.und Awarenessmaßnahmen nachhaltig zu unterstützen.

Hier besteht jedoch die Gefahr einer Überfrachtung. da diese unterschiedliche Bedürfnisse aber auch Zeitressourcen haben (etwa: Management.und Awarenessprogramme. Planung und Konzeption: Am Beginn des Programms steht die sorgfältige Planung . Findet die Schulung in den eigenen Räumen statt. Erfolgskriterien für das Schulungs. Externe). Spezialkenntnisse.diese zahlt sich wörtlich aus.und Awarenessmaßnahmen definieren. Umfeld und Hintergründen. soweit möglich. Weiters .auch für weitere Programme . Weiters ist zu klären.B. darauf verzichtet oder nur dezidierte Internet-PCs dafür verwendet werden. Lernbedarf identifizieren: auf Basis bisheriger Kenntnisse. dann muss für die notwendige Infrastruktur (Konferenzraum. Lerninhalte festlegen: jedenfalls alle Regelungen und Verfahren für den jeweiligen Arbeitsplatz. E-Learning eingesetzt werden kann. da Schulungen. Basiswissen. 76 . neue Abläufe/ Systeme). ActiveX) und ggf. die bereits einmal durchgeführt wurden. inkl. Die generellen Anforderungen sind jedoch die gleichen wie bei größeren Einheiten.muss auf potenzielle Sicherheitsrisiken durch die Schulungsmedien geachtet werden (etwa aktive Inhalte wie Java. Schulungs. ob und inwieweit individuelle Schulungen notwendig sind oder ob z. sofern die Trainer hinreichend qualifiziert sind und der Sicherheit hinreichend Platz eingeräumt wird. Javascript. erhebliche Kosten verursachen können und den Mitarbeitern/Mitarbeiterinnen erhebliche Zeit abverlangen. Lernmethoden und -medien auswählen: eine wesentliche Entscheidung ist.vor allem bei E-Learning . so dass dann aus Zeitmangel die Schulung gar nicht vollständig durchgeführt wird. aber auch Basiswissen zu Informationssicherheit und Fertigkeiten für Verhalten in kritischen Situationen. haben dafür meist mit geringerer Komplexität zu tun. sollten auf ihren Erfolg und ihre künftige Brauchbarkeit . in der sie für ihre eigentlichen Aufgaben nicht zur Verfügung stehen. Stromanschluss. Projektor.und Awarenessprogramm definieren inkl.Speziell kleine Organisationen werden sich jedoch mitunter auf das Aufspüren und Beheben individueller Kenntnislücken beschränken müssen. Administratoren. deren Messung. ob eigene Mitarbeiter/innen die Schulungen durchführen oder externe Trainer/innen. etc. Seminare etc. Benutzer. ob standardisierte Seminare ("von der Stange") ausreichen (dazu sind auch deren Termine zu berücksichtigen).) gesorgt werden.untersucht werden. Zielgruppen für einzelne Schulungs. • • • • • • Lernziele definieren: Vor allem Sicherheitsziele der eigenen Organisation müssen vermittelt werden. Spezialisierung (etwa: neue Mitarbeiter/innen. Im IT-Bereich können Sicherheitsschulungen durchaus in IT-Schulungen integriert werden.

oder Weiterbildungsmaßnahme sollte jedem Teilnehmer/ jeder Teilnehmerin eine Teilnahmebestätigung übergeben werden. Die Organisation sollte für jede/n Mitarbeiter/in im Personalakt festhalten. Die zu schulenden Mitarbeiter/innen müssen für die Zeit der Schulung möglichst von ihren angestammten Aufgaben freigestellt werden. Nach der Schulungs-/Awarenessmaßnahme sollte ihr Erfolg und ihre Effizienz überprüft werden: • • • • • Wurden alle betroffenen Mitarbeiter/innen erreicht? Wurden die Inhalte verstanden? Waren die Mitarbeiter/innen mit der Schulungs-/Awarenessmaßnahmen zufrieden? Gibt es (sachlich begründeten) Bedarf für weitere Schulungen? Hat sich die Einstellung der Mitarbeiter/innen gegenüber Sicherheitsmaßnahmen positiv geändert? Dies ist allerdings nicht einfach zu ermitteln. Die Lerneinheiten sollten jeweils zeitlich so gestaltet werden. muss ggf. kann auch ein positives Absolvieren dargestellt werden. dass sie im Zuge der Schulung nicht Kenntnis über sensible Informationen erhalten. Methoden. auch Zeit für die Erledigung der wichtigsten Aufgaben verbleiben. ggf. dass die Inhalte auch aufgenommen werden können. Wenn nicht anders möglich. da es zu keinen mißbräuchlichen Überwachungsaktionen kommen darf. ist eine sorgfältige Terminplanung erforderlich.Durchführung und Kontrolle: Damit möglichst alle vorgesehenen Mitarbeiter/innen effizient geschult werden. Im Fall externer Trainer muss darauf geachtet werden. um den Erfolg nachzuprüfen. 77 . welche Schulungs-/ Awarenessmaßnahmen absolviert wurden. können sein: • • • Fragebögen mit Bewertungen der Teilnehmer Fragebögen mit Fragen aus dem gelernten Stoff Diskussionsmeeting Management / Sicherheitsbeauftragte/r / Mitarbeiter/innen nach der Schulungs-/Awarenessmaßnahme Dokumentation von Schulungs-/Awarenessmaßnahmen: Am Schluss einer Aus.

IT-Systemen. M 2. Messen und Konferenzen E-Learning-Programme Planspiele zur Informationssicherheit Diskussionsmeetings (Round-Tables) Flankierende Schulungs.und Awarenessmaßnahmen: Abgesehen von "klassischen" Schulungs-/Awarenessmaßnahmen bieten sich zur kontinuierlichen Weiterbildung an: • • • • • • • • • Informationsforum zur Informationssicherheit im Intranet Anmeldebildschirm mit Sicherheitsinformationen resp. E-Mails. Maßnahmen und Verfahren innerhalb der eigenen Organisation: • • • • 78 die gesetzlichen und normativen Vorschriften erfüllen. nach wie vor geeignet sind. [Q: BSI B 1. einwandfrei funktionieren und wirksam sind.und Awarenessmaßnahmen: Vor dem Hintergrund ständig neuer Anwendungen.312] 3.und Ergänzungskurse vorsehen. Vorgaben.Flankierende Schulungs. Daher sollte das Schulungsangebot sowohl für neue wie auch für erfahrene Mitarbeiter/innen in regelmäßigen Abständen Auffrischungs. um die Informationssicherheitsziele zu erreichen.3 Interne ISMS Audits Interne Audits dienen zur Überprüfung. .13. Die Schulungsprogramme selbst müssen regelmäßig aktualisiert und an neue Gegebenheiten angepasst werden. ob Ziele. Poster und Broschüren interne Informationsveranstaltungen externe Seminare. Schwachstellen und möglicher Abwehrmaßnahmen ist eine ständige Auffrischung und Erweiterung des Wissens über Informationssicherheit erforderlich. 1-2 Quizfragen Rundschreiben. Bedrohungen. korrekt umgesetzt sind und von allen Beteiligten eingehalten werden. Zeitschriften mit sicherheitsrelevanten Themen Mitarbeiterzeitung.

tiefer in die Themen eindringen und können jeweils nach und nach Teilbereiche der Organisation umfassen.1 Planung und Vorbereitung interner Audits ISO Bezug: 27001 6 Interne Audits sollten einmal pro Jahr durchgeführt werden und dabei nicht in Zeiten hoher Arbeitsbelastungen (Systemumstellungen. etc. Das Audit sollte nach einem Auditplan verlaufen. PC) zur Verfügung gestellt werden.) oder reduzierter Ressourcen (Urlaubszeit) fallen. Der Auditplan enthält eine konkrete Checkliste.oder Zertifizierungsaudits. Rechnungsabschlüsse. welcher der Managementebene sowie allen Beteiligten bzw.Interne Audits sind bei Akkreditierungen meist eine notwendige Vorleistung für extern durchgeführte Akkreditierungs. Die Managementebene muss den Auditprozess initiieren und mittragen sowie dafür sorgen. Damit können Schwachstellen besser erkannt und zielgerichtete Verbesserungen eingeleitet werden. Weiterer Nutzen liegt im Erkennen von: • • • • Schulungs.und Informationsbedarf der Führungskräfte und Mitarbeiter/innen Verbesserungspotenzial bei Geschäftsprozessen und Sicherheitsmaßnahmen Möglichkeiten zur Optimierung der Organisation sowie in der Motivation der Mitarbeiter/innen.bzw. dass den Auditoren/Auditorinnen und teilnehmenden Mitarbeitern/ Mitarbeiterinnen ausreichend Zeit und Sachressourcen (Konferenzraum.3. Zertifizierungsaudits wesentlich umfassender erfolgen. Betroffenen vorab bekannt gegeben wird. Interne Audits können im Vergleich zu zeitlich begrenzteren externen Akkreditierungs. nach der der/die Auditor/in die Audit-Themen Punkt für Punkt durchgeht und die u. enthält: • • • • • Datum Zeit Thema Teilnehmer Erledigungsvermerk 79 . da sie ihre Gedanken im Rahmen des Audits einbringen können und sollen 3.a.

Werden im Zuge des Audits vertrauliche Dokumentationen benötigt. ISO 19011) Kenntnis der Unternehmens. welche Bedeutung die zu untersuchenden Bereiche haben und in welchem Status (Planung / Etablierung / Test / produktiver Betrieb) sie sich befinden. Fragetechnik. ebenso müssen die Ergebnisse aus früheren Audits einfließen. Analyse. ebenso die Anforderungen an die Ergebnisdokumentation. für das Audit relevante Normen (z. inkl.und Berufsausbildung um die Geschäftsprozesse und Sicherheitsmaßnahmen zu verstehen Kenntnis der relevanten Gesetze und Normen. Festigkeit auch in Stresssituationen Einfühlungsvermögen zugleich mit Beharrlichkeit Erkennen von größeren Zusammenhängen und Konsequenzen aus Einzelinformationen . Anforderung an Auditoren/Auditorinnen: Die Managementebene muss einen oder mehrere Auditoren/Auditorinnen benennen. in denen sie nicht selbst tätig sind bzw. Bewertung. Berichtswesen) Persönliche Fähigkeiten: • • • • • 80 Klare und verständliche mündliche und schriftliche Ausdrucksweise Aktives Zuhören Ausdauer. Belastbarkeit. Bei der Planung des Auditprogramms ist zu priorisieren.B.Anforderungen an die Durchführung des Audits und die Verantwortlichkeiten sind festzulegen und zu dokumentieren. an die allerdings Anforderungen zu stellen sind: Objektivität und Unparteilichkeit: • • • • • • • Auditoren/Auditorinnen dürfen nur Bereiche auditieren. so ist für deren ausreichenden Schutz zu sorgen.und Sicherheitsziele sowie der wesentlichen Abläufe und Prozesse Kenntnisse der wesentlichen Themen der Informationssicherheit Schulung um Audits durchführen zu können (Methodik. für welche sie nicht verantwortlich sind Fachliche Qualifikationen: ausreichende Schul.

Inhaltliche Grundlage des internen Audits sind die Vorgaben (Gesetze. Systembeschreibungen.. Mitglieder der Managementebene sollten nach Möglichkeit anwesend sein. Arbeitsanweisungen) durchgegangen und Fragen gestellt / beantwortet. Checkliste. Sicherheitskonzept.). die relevanten Gesetze einzuhalten und Normen zu erfüllen? Welche Vorgaben sind vorhanden? Sind sie den befassten Personen bekannt und werden sie verstanden? Sind die Vorgaben vollständig und klar formuliert? Gehen aus den Vorgaben die Verantwortlichkeiten und Zuständigkeiten hervor? Beschreiben die Vorgaben jeweils geschlossene Workflows (Eingabe / Verarbeitung / Ausgabe-Ergebnis)? Gibt es Vorgaben zur Protokollierung von Abweichungen / Vorfällen? 81 ..3.an deren Arbeitsplatz statt. Es ist oft sinnvoll. Meist beginnt ein Audit mit einem Gespräch der Auditoren/Auditorinnen und maßgeblichen Mitarbeitern/Mitarbeiterinnen. Normen. Dokumentationen. Es ist zunächst zu hinterfragen: • • • • • • Sind die Vorgaben geeignet. Dabei werden die Unterlagen (Vorgaben.3. Werden Abweichungen von einer Vorgabe erkannt. vor allem wann welche Mitarbeiter/innen zur Verfügung stehen sollen.).. Geschäftsziele. Sicherheitspolitik. . aber auch an den Vorgaben liegen. Zunächst erklären die Auditoren/Auditorinnen die Zielsetzung des Audits. Diese sind relevant für Verbesserungsmaßnahmen: das Problem kann an der Einhaltung. ein konstruktives und positives Klima zu schaffen . Damit werden auch allfällige Ängste vor Notizen genommen.2 Durchführung interner Audits ISO Bezug: 27001 6 Auditoren/Auditorinnen und Beteiligte aus den zu auditierenden Organisationseinheiten haben sich vorbereitet (Auditplan. Systembeschreibungen.wenn möglich . mit aktuellen Themen zu beginnen. Detailüberprüfungen finden meist im Gespräch mit den jeweils befassten Mitabeitern/Mitarbeiterinnen . Sicherheitskonzept. Es liegt am Auditor / an der Auditorin. Programm.etwa indem zu Ideen und Beiträgen für Verbesserungsmaßnahmen ermuntert wird und diese notiert werden. der vorläufige Zeitplan wird besprochen. so sollte nach weiteren Beispielen gefragt werden.. . Handbücher. um allfällige systematische Abweichungen aufzudecken.

.. wenn Vertiefung zum Verständnis notwendig wird oder sich ein Verdacht auf Abweichungen ergibt. Meinungsäußerungen. nach den Gründen für entdeckte nicht eingehaltene Vorgaben zu fragen (nicht verstanden / Überlastung / mangelnde Information.). Die Erkenntnisse für die Auditoren/Auditorinnen ergeben sich aus den Antworten in Relation mit den schriftlichen Unterlagen..... erfolgte Behebung von Störungen.• Wurden allfällige Verbesserungsmaßnahmen aus dem letzten Audit umgesetzt und wie? Der nächste Fragenkomplex betrifft ihre Einhaltung: • • • • • • • • • • Welche Nachweise sind vorgesehen. situationsbezogen müssen ergänzende Fragen gestellt und beantwortet werden. ob eine bestimmte Maßnahme gut oder weniger gut umgesetzt ist.)? Welche persönliche Meinung haben die befassten Mitarbeiter/innen von den Vorgaben? Halten sie die Vorgaben für sinnvoll? Welche Verbesserungsmaßnahmen schlagen die Mitarbeiter/innen vor? Die Fragenkomplexe werden mit Hilfe der Checkliste durchgegangen. sollten allerdings gezielt eingesetzt werden. Schon bei der Frage-/Antwortdiskussion müssen die Auditoren/Auditorinnen auf Objektivität und Unparteilichkeit achten.)? Welche dokumentierten Hinweise über die Wirksamkeit der Vorgaben / Maßnahmen gibt es (verhinderte Eindringversuche. für die keine Vorgaben existieren? Wie exakt werden die Vorgaben bei der praktischen Tätigkeit eingehalten? Gab es Sicherheitsvorfälle. um die Einhaltung kontrollieren und überprüfen zu können? Gibt es Vorgaben. konnten solche anhand der Vorgaben behoben werden / mußte improvisiert werden? Gab es Änderungen bei den Vorgaben auf Grund von Sicherheitsvorfällen? Werden die jeweiligen Tätigkeiten in der Praxis dokumentiert und wie (Arbeitsaufzeichnungen. Sinnvoll ist es dabei. dass ihre Fragen stets zum Zweck des Audits und keinesfalls zu ihrer eigenen Weiterbildung gestellt werden. Auditoren/Auditorinnen müssen allerdings speziell darauf achten. Tagesprotokolle.. . bieten Feedback und können zu einer angeregteren Diskussion beitragen. 82 . Diese dient aber nur als Leitfaden. die nicht angewendet werden? Gibt es umgekehrt durchgeführte Tätigkeiten. .

etwa bei den subjektiv empfundenen Gründen für Abweichungen. Dabei wird den Teilnehmern für ihre Mitwirkung gedankt und eine Vorschau auf das Ergebnis geboten: • • • • Vorläufige Erkenntnisse aus der Befragung und den Unterlagen Zeitpunkt und Art der Berichtslegung (Erkenntnisse. Protokolle werden nicht ausgewertet. Vorgaben werden regelmäßig oder gar nicht eingehalten. sind falsch oder mangelhaft. Wesentliche vorgegebene Dokumentationen oder Protokolle werden nicht verfasst/geführt.3. Bedarf für Schulung und Awareness. Bei Sicherheitsvorfällen musste improvisiert werden und die Vorgaben wurden nicht entsprechend modifiziert. 83 . Beispiele für Erkenntnisse. Ungünstig formulierte Vorgaben mit hohem Schulungsaufwand. Nicht benötigte Vorgaben. allgemeinen Verbesserung: • • • • Die Vorgaben sind zu wenig bekannt. aber auch Erkenntnisse zur Erhöhung der Qualität bzw. Verantwortlichkeiten oder Zuständigkeiten für Prozesse fehlen oder sind falsch. Dabei ist auf Objektivität zu achten. Empfehlungen) Allfällige Möglichkeiten zur Stellungnahme Termin für Schlussdokument und Schlusspräsentation 3. welche Maßnahmen nach sich ziehen müssen: • • • • • • Wesentliche Vorgaben für Arbeitsabläufe fehlen.3 Ergebnis und Auswertung interner Audits ISO Bezug: 27001 6 Die Erkenntnisse aus den Befragungen werden den einzelnen Vorgaben und Beschreibungen zugeordnet und von den Auditoren/Auditorinnen analysiert.Am Schluss der Durchführungsphase sollte wiederum ein Gespräch der Auditoren mit maßgeblichen Mitarbeitern/Mitarbeiterinnen und Managementvertretern stattfinden.

Interner Audit Bericht Der Bericht dient vor allem zur Dokumentation erkannter Schwachpunkte und als Checkliste für Verbesserungsmaßnahmen. indem etwa versucht wird. sondern kann davon ausgehen. das diese in der Organisation bekannt sind. Lücken im System. beispielsweise wie folgt: 84 . Single Points of Failure: Konzentration von Zuständigkeiten. Empfehlungen zur Verbesserung von Prozessen und Maßnahmen. unverständliche Formulierung. komplizierte Beschaffung). die vereinfacht oder gar eingespart werden könnten. Abweichungen und Trends zu finden. Der Bericht sollte kompakt.• • Prozesse und Abläufe. ZIile der Organisation. Schließlich erfolgt die gesamtheitliche Auswertung nach: • • • • Vorhandensein und Qualität der Vorgaben. Die nächste Stufe sind Schlussfolgerungen für das Gesamtsystem. Bereitstellung besserer Arbeitsmittel. Tatsächliche (historische) oder künftige (potenzielle) Auswirkungen auf das Erreichen der Sicherheitsziele resp. Wirkungsgrad der Maßnahmen.B. Er sollte nicht redundanterweise das System. Grad ihrer Einhaltung. die sich durch mehrere Bereiche der Organisation ziehen: • • • • Gemeinsamkeiten bei mangelhaften Vorgaben (z. die Vorgaben oder Maßnahmen beschreiben. Schwachstellen bzw. sowie zu: • • Empfehlungen zur Verbesserung der Vorgaben und ihrer Einhaltung. Systematische Nichteinhaltungen. aber auch Abweichungen an bestimmten Stellen in der Organisation. klar und verständlich formuliert sein und seine Gliederung für alle internen Audits möglichst gleich sein.

Stellen Gelegenheit erhalten. allfällige Bereiche die nicht geprüft wurden Management Summary der wesentlichsten Erkenntnisse aus Gesamtsicht Jeweils pro auditierter Vorgabe: Bezeichnung. aber nicht zu lange Frist für die Stellungnahmen gesetzt werden und diese sollten nach Möglichkeit schriftlich erfolgen. außerplanmäßiges Nach-Audit bei schwerwiegenden Abweichungen) Stellungnahmen. Es muss allen Beteiligten klar sein. nicht aber um etwa richtigerweise 85 . Eine probate Vorgehensweise besteht in der Vorab-Aussendung des Berichts oder der für die Betroffenen relevanten Teile als "Vorversion zur Stellungnahme". um falsche Darstellungen im Bericht zu korrigieren.• • • • • • • Formalia (Anlass. Auditzeitraum. verwendete Unterlagen. Schlussbesprechung Vor der offiziellen Übergabe des Auditberichts an die Managementebene sollen die betroffenen Personen bzw. auditierte Organisationseinheit(en). Inhalt Feststellungen (etwa: erfüllt / teilw. allgemeine Verbesserungsvorschläge (wie Schulungsbedarf) Identifizierte Zuständigkeiten für die Umsetzung sowie als Gesamtergebnis am Schluss: • • • • • Eindruck der Auditoren/Auditorinnen über den Ablauf des Audits Zusammenfassung der wesentlichsten Erkenntnisse über alle Bereiche Schlussfolgerungen für das Sicherheitsniveau bzw. dass Stellungnahmen nur berücksichtigt werden. Immerhin kann es im Zuge des Audits zu Missverständnissen oder beim Verfassen des Berichts zu Darstellungen gekommen sein. Berichtsdatum. welche das Bild verzerren würden. erfüllt / nicht erfüllt / nicht anwendbar im Einzelfall) Begründungen. Es sollte eine angemessene. Aussagen über die Wirksamkeit von Maßnahmen (wenn möglich) Empfehlungen für Maßnahmen (bei mangelhafter Erfüllung) mit Terminhorizonten bzw. zu den Erkenntnissen Stellung zu nehmen. Auditor/Auditorin. die Ziele der Organisation Zusammenfassung und Priorisierung der wichtigsten Verbesserungsvorschläge (betreffend Vorgaben wie Umsetzungen und Einhaltung) Zeithorizont für das nächste Audit (ggf.

Die Auditoren/Auditorinnen präsentieren dabei das Gesamtergebnis laut Auditbericht (Ablauf des Audits. Nichteinhaltung von Vorgaben. Dabei muss vor allem seitens des Managements darauf geachtet werden. Die Managementebene soll zum Ergebnis Stellung nehmen. Abweichungen. dass Maßnahmen zur Behebung von erkannten Schwachstellen. Verbesserungsvorschläge. Prüfergebnisse und -berichte sind in der Regel besonders vertraulich. Jedenfalls sollte ein Ergebnisprotokoll geführt und der Auditdokumentation beigelegt werden. Bei der Schlussbesprechung kann seitens des Managements bereits ein Ausblick über die Umsetzung von Verbesserungsvorschlägen samt Zeithorizont gemacht werden. etc. Schlussfolgerungen. ergriffen werden oder aber die Ursachen beseitigt werden.ist die inhaltliche Grundlage für ein nun folgendes Management-Review. Begründete Stellungnahmen werden in die offizielle Version des Berichts eingearbeitet und diese dem Management übergeben. bei dem Mitarbeiter/innen für Nichteinhaltungen angeklagt werden. nächstes Audit) und sprechen allfälligen Handlungsbedarf der Managementebene an. An der Schlussbesprechung sollten maßgebliche Mitarbeiter/innen der auditierten Organisationseinheiten sowie Mitglieder der Managementebene teilnehmen. wenn es sich um relevante Schwachstellen handelt. Bei größeren Meinungsverschiedenheiten kann auch ein Gespräch mit den Betroffenen sinnvoll sein.insbesondere der Auditbericht .4 Management-Review des ISMS Die Managementebene hat dafür zu sorgen. Dies hat ohne unbegründete Verzögerung zu erfolgen. erfüllte Vorgaben positiv herausstreichen aber auch seine Entschlossenheit zur Umsetzung wichtiger Verbesserungsmaßnahmen zum Ausdruck bringen. Die betroffenen Organisationseinheiten haben die Gelegenheit für Stellungnahmen .erkannte Schwachstellen oder Abweichungen wegzudiskutieren. daher entsprechend zu schützen. wesentliche Erkenntnisse. 86 . dass das Ziel des Audits und der Schlussbesprechung die Optimierung von Vorgaben sowie Abläufen und des Sicherheitsniveaus ist und es sich keinesfalls um ein Tribunal handelt.etwa betreffend Gründe für im Audit gemachte Feststellungen. Diese Dokumentation . 3.

so sind deren Ergebnisse eine gute Grundlage für Management-Reviews. hängt nicht zuletzt von der Größe und Komplexität der eigenen Organisation ab. Eine solche Überprüfung wird als Management-Review bezeichnet. Wirksamkeit und Effizienz zu prüfen. Werden regelmäßig interne oder externe Audits durchgeführt.1 Management-Review Methoden ISO Bezug: 27001 7. -maßnahmen. Wie umfassend und damit aufwändig die Grundlagen sind. Weiters kann die regelmäßige Durchführung von Management-Reviews eine notwendige Voraussetzung für Akkreditierungen darstellen.überprüfen. Sicherheitspolitik finden. einerseits den Sicherheitsprozess. Aufwertung der Unternehmenskultur 3. andererseits die Umsetzung der Sicherheitsmaßnahmen auf ihre Angemessenheit. -konzept. inwieweit die Sicherheitsziele mit Hilfe der eingesetzten Sicherheitsstrategie und den dafür umgesetzten Maßnahmen tatsächlich erreicht werden konnten.Eine erfolgreiche Steuerung mit den dafür notwendigen Entscheidungen ist allerdings nur möglich. Zielsetzungen sind dabei: • • • • • Erkennen. Abschätzen und Eliminieren von Fehlern und Schwachstellen Optimieren des Informationssicherheitsprozesses hinsichtlich Effizienz Verbesserung von Strategie. Durchsicht der Dokumentation hinsichtlich Aktualität und Workshops (mit Ergebnisprotokollen) zur Diskussion von Problemen und Erfahrungen schon ausreichend sein.4.zumindest einmal jährlich . Sicherheitspolitik. Wesentlich ist. wenn die Managementebene einen Überblick hat.1 Sie sollen geeignet sein. ob es aktuell und nachhaltig zur Erreichung der Sicherheitsund Geschäftsziele geeignet und wirksam ist. dass die Managementebene ein Bild über den aktuellen Stand des Sicherheitsniveaus und allfälligen Handlungsbedarf bekommt: 87 . Somit muss die Managementebene das ISMS regelmäßig . In kleinen Organisationen können ansonsten jährliche Funktionsprüfungen der IT-Systeme. vorgaben und Abläufen hinsichtlich Praxistauglichkeit und Einsparungspotenzial Optimierung von Kompetenz. Awareness der Mitarbeiter/innen. Grundsätzliche Aussagen zu einer solchen Überprüfung und ihren Grundlagen sollten sich daher bereits in der Informationssicherheitsstrategie bzw.

1. Angriffe) Für Fragestellungen im Detail zur Erhebung und zum Erkennen von Schwachstellen und Verbesserungsmöglichkeiten siehe 3. Relevante Aspekte: • • Gerade der IT-Bereich erweist sich als ausgesprochen schnelllebig. können zum heutigen Zeitpunkt sicherheitstechnisch völlig überholt sein und damit gefährliche Schwachstellen darstellen. Dokumentation. Trends. Technologien. Vorschriften oder Normen können erheblichen Einfluss auf die Geschäftsprozesse und damit auf das Sicherheitskonzept haben. vergleichbaren Erhebungen betreffend Vorgaben und deren Erfüllung) Erkennen. Entwicklungen im Umfeld der eigenen Organisation (Gesetze.1 Review der Strategie und des Sicherheitskonzepts ISO Bezug: 27001 7.• • • • Berichte von internen oder externen Audits (resp.mitunter strategischen Ursachen erforscht und Entscheidungen zur Abhilfe getroffen werden. Änderungen von relevanten Gesetzen.4.3.2 Dies ist zur kontinuierlichen Anpassung an sich laufend ändernde innere wie äußere Rahmenbedingungen notwendig. Auswertung von Sicherheitsvorfällen Allfällige Übungen und Tests zur Simulation von Sicherheitsvorfällen und deren Ergebnisse Ereignisse. Konzepte. Sicherheitsbeauftragte sowie maßgebliche Führungskräfte oder Spezialisten aus den betroffenen Bereichen (etwa der IT) teilnehmen. 88 .2 Durchführung interner Audits Relevant für das Management-Review sind allerdings nicht nur aktuell erkannte Erhebungen zu Schwachstellen. an dem Vertreter der Managementebene. sondern es müssen die . [Q: BSI-Standard 100-2] 3. Maßnahmen oder Technologien die noch vor einigen Jahren als sicher galten. Für die Durchführung ist es oft zielführend einen Workshop zu veranstalten. wenn man sich in trügerischer Weise darauf verläßt.

2 Dies ist zur Sicherstellung der Einhaltung von Maßnahmen bei sich laufend ändernde innere wie äußere Rahmenbedingungen notwendig. unklar) oder im Bereich der für die Einhaltung Verantwortlichen liegt (Überlastung. Umzug. neue Organisationsstruktur. nicht eingehaltene Sicherheitsmaßnahmen können Planungsfehler oder gar unrealistische Annahmen oder Elemente der Sicherheitsstrategie bzw. des Sicherheitskonzepts sein.1. Klima des Improvisierens). zeitliche und finanzielle Ressourcen zur Verfügung gestellt wurden. basiert aber oft im Mangel an Information.wenn auch Kosten für die Informationssicherheit schwer zu ermitteln sind . Relevante Aspekte: • • • • Die Sinnhaftigkeit von Maßnahmen (Beitrag zum Erreichen von Sicherheitszielen) fällt in das Review der Sicherheitsstrategie Für ihre Umsetzung und Einhaltung ist entscheidend. Wurden Vorgaben nicht eingehalten. Bewusstseinsbildung. Geschäftspartnern oder Kunden.• • • Änderungen innerhalb der eigenen Organisation (neue IT-Systeme. Sie kann nicht erzwungen werden. [Q: BSI-Standard 100-2] 89 . aber auch Feedbacks von Mitarbeitern/Mitarbeiterinnen. Schulung bzw. die in der Folge eine Gefahr von fahrlässigen oder vorsätzlichen störenden Handlungen heraufbeschwören und jedenfalls die Effizienz mindern. Beschwerden von Kunden oder Mitarbeitern können ein Indikator für Unzufriedenheit sein. nicht eingehaltene Sicherheitsmaßnahmen liegt in fehlender Akzeptanz seitens der Mitarbeiter/ innen. Der Grund für mangelhaft umgesetzte bzw. nicht bekannt. Rückmeldungen über Fehler und Schwachstellen in den Prozessen (aus Audits. [Q: BSI-Standard 100-2] 3. Outsourcing) müssen schon in der Planungsphase in das Sicherheitskonzept eingearbeitet werden. Ein weiterer Hauptgrund für nicht umgesetzte resp. mangelnde Motivation.2 Review der Sicherheitsmaßnahmen ISO Bezug: 27001 7. unverständlich.4. Wirtschaftlichkeit der Sicherheitsstrategie und spezifischer Sicherheitsmaßnahmen . so ist zu klären ob es an den Vorgaben (fehlend.sollte regelmäßig untersucht werden: ob die tatsächlich angefallenen Kosten den ursprünglich geplanten Kosten entsprechen oder ob inzwischen ressourcenschonendere Sicherheitsmaßnahmen verfügbar sind und sinnvoll eingesetzt werden können. ob ausreichend personelle.

Motivationsförderung Aktualisierung von Dokumentationen Verbesserung der Methoden zur Messung der Wirksamkeit von Maßnahmen Schließlich sind im Rahmen des Verbesserungsprozesses Entscheidungen zu treffen. ob / wann / welche Verbesserungsmaßnahmen umgesetzt werden. Verbesserungen des ISMS. z. Erfahrungen von Vorfällen.und Awarenessmaßnahmen. welche Ressourcen ihnen zugeordnet werden und unter welche Verantwortlichkeiten sie fallen.3 Ergebnisse sind bewertete Möglichkeiten für Änderungen resp./ Verbesserungspotenzial kann betreffen: • • • • • • • Aktualität der erkannten resp. der Sicherheitsstrategie. grundlegende Änderungen an der IT-Umgebung vorzunehmen oder Geschäftsprozesse zu verändern. auf Grund von Veränderungen der eigenen Organisation oder des Umfelds bzw.3. 90 . Unter Umständen ist es sinnvoll. dass die Sicherheitsziele. akzeptierten Risiken Wirksamkeit der erkannten resp. akzeptierten Risiken Änderungen von Prozessen. dass sie für die Entscheidungen und die Umsetzung von Maßnahmen geeignet sind. der Sicherheitspolitik und einzelner Sicherheitsmaßnahmen. die Sicherheitsstrategie oder das Sicherheitskonzept geändert und die Informationssicherheitsorganisation den Erfordernissen angepasst werden sollten.2 Management-Review Ergebnis und Auswertung ISO Bezug: 27001 7. schließt sich der Managementkreislauf wieder und es wird erneut mit der Planungsphase begonnen. Wenn solche Veränderungen vorgenommen und Verbesserungen dann umgesetzt werden. müssen. Ggf.4. Es kann sich herausstellen. Abläufen auf Grund des Reviews Verfügbarkeit von Ressourcen Schulungs. die Sicherheitsziele abgeändert werden. Änderungs. Jedenfalls müssen die Ergebnisse des Management-Reviews so dokumentiert werden. wenn Sicherheitsziele unter den bisherigen Rahmenbedingungen nicht oder nur umständlich (also mit hohem finanziellen oder personellen Aufwand) erreicht werden können. B.

die vom Management und allen Mitarbeitern/Mitarbeiterinnen getragen und umgesetzt werden. welche seine Grundlage bilden (Interne ISMS Audits sowie Management Review des ISMS).5 Verbesserungsprozess beim ISMS Um das angestrebte und erreichte Sicherheitsniveau dauerhaft zu gewährleisten. Vorschlägen und externen Informationsquellen. 8.2. Zertifizierung.1. sondern umfasst vor allem die Umsetzung der dort identifizierten Verbesserungsmaßnahmen. Vom Prinzip her ist der Verbesserungsprozess im Bereich der Informationssicherheit vergleichbar mit dem Verbesserungsprozess des Qualitätsmanagements (z. 91 .[Q: BSI-Standard 100-2] 3.1 Grundlagen für Verbesserungen ISO Bezug: 27001 4. nach ISO 9001). der Unterschied liegt in der Sicht auf die behandelten Aspekte und Abläufe (Risikominimierung). müssen alle für die Informationssicherheit relevanten Bereiche einem kontinuierlichen Verbesserungsprozess unterzogen werden: • • • • • • Sicherheitsstrategie. Es handelt sich dabei nicht um eine periodisch wiederkehrende Vorgangsweise.4.2 Verbesserungen basieren auf Erkenntnissen aus eigenen Betriebsabläufen. 8.B. Der Verbesserungsprozess geschieht nicht losgelöst von den Aktivitäten. 3.5. Sicherheitspolitik Sicherheitskonzept Sicherheitsmaßnahmen Abläufe und Verfahren Dokumentation Wissensstand und Awareness bei allen Beteiligten Ein etablierter und dokumentierter Verbesserungsprozess ist zum einen Voraussetzung für Akkreditierung resp. sondern soll alle Aktivitäten und die gesamte Organisation durchdringen. sondern vielmehr um die Summe kleinerer Schritte zur Verbesserung. zum anderen darf er nicht als administrativer Overhead gesehen werden.

Verbesserung bei Anforderungen. dass Mitarbeitervorschläge ernsthaft behandelt werden. Beschwerden Vorschläge von Sicherheitsbeauftragten Vorschläge von Mitarbeitern/Mitarbeiterinnen Erfahrungen anderer vergleichbarer Organisationen Publizierte oder informelle Sicherheitswarnungen Informationen aus Fachpublikationen. Sicherheitskonzept: Aktualisierung.2. Fachtagungen. Mitwirkung in Gremien Ein Fokus sollte sich auf die Ursachen für erkannte Abweichungen und Gefährdungen richten. Awareness Auswertung: Verbesserungen bei Protokollierung und Protokollauswertung 92 . in der Praxis besser greifen oder weniger Ressourcen benötigen Implementierung: Verbesserung hinsichtlich korrekter Implementierung und Konfiguration Einhaltung: Organisatorische Maßnahmen.• • • • • • • • Ergebnisse (Berichte.2 Entscheidungs. darüber hinaus wird die Motivation gestärkt wenn es zur Organisationskultur gehört. Anpassung an neue Rahmenbedingungen Sicherheitsmaßnahmen: Eliminieren erkannter Schwachstellen. Einsparungspotenzial.5.199] 3. Verbesserung. Ebenso wertvoll erweisen sich gelebte Kontakte zu Sicherheitsbeauftragten anderer vergleichbarer Organisationen.3 Dieser ergibt sich für die Managementebene bei: • • • • • Sicherheitspolitik. Protokolle) des Management-Reviews Dokumentierte Abwicklungen von Reklamationen bzw. Umstellung auf alternative Maßnahmen die effizienter sind. 8.und Handlungsbedarf ISO Bezug: 27001 8.bzw. [Q: BSI M 2. Schulungen. Gerade Verbesserungsvorschläge der unmittelbar befassten Mitarbeiter/innen bieten ein oft unterschätztes Verbesserungs. Protokolle) interner und externer Audits Ergebnisse (Berichte.

Begleitende Kontrolle. Planung von baulichen oder infrastrukturellen Veränderungen. Terminen festhalten. Setzen von personellen Maßnahmen. Awarenessprogramme bis hin zu disziplinären Maßnahmen oder Auswechseln von leitenden Personen. Für jede erkannte Abweichung sollte eine Korrekturmaßnahme vorgeschlagen und darüber entschieden werden . Kommunikationseinrichtungen oder Netzwerken). Vornahme von technischen Veränderungen (etwa an Hard. dass in der Praxis festgestellte Abweichungen zum Sicherheitskonzept und den Anforderungen erneut auftreten. Im Umsetzungsplan sollen Prioritäten abhängig vom jeweiligen Risiko gesetzt werden.• Mess.bzw.oder Software bzw. Dokumentation und Information des Managements über Fortschritt. Erkannte Fehler und Schwachstellen müssen ohne unnötigen Verzug eliminiert werden. Dabei kommen je nach Ursache in Frage: • • • • Anpassung organisatorischer Maßnahmen und Abläufe. dass eine Korrekturmaßnahme verworfen wird. 93 . Fertigstellung. In der Folge sind jeweils die Verantwortlichen für die Umsetzung zu benennen und mit den notwendigen Ressourcen auszustatten. um die Wirksamkeit und Einhaltung von Sicherheitsmaßnahmen feststellen zu können Korrekturmaßnahmen: Sie sollen verhindern.inklusive Zeitpunkt und Zuständigkeiten für die Umsetzung. Umsetzung der Korrekturmaßnahmen: • • • • • • • Alle erforderlichen Korrekturmaßnahmen in einem Umsetzungsplan inkl. Es müssen jeweils Entscheidungen der Managementebene erfolgen und dokumentiert werden . über Schulungs. allfällige Abänderungen.und Prüfkriterien: Optimierung der Prozesse. Möglichst frühzeitige Prüfung der Wirksamkeit.auch für den Fall. Kommunikation der umzusetzenden Maßnahmen und Verbesserungen und Abstimmung mit allen Betroffenen.

Ziel ist es. Die Art der Maßnahmen entspricht weitgehend dem unter 3. Ihre Umsetzung entspricht sinngemäß der für Korrekturmaßnahmen. Anforderungen an Vorbeugungsmaßnahmen müssen festgelegt werden. D. Sicherheitswarnungen.2 dargestellten Entscheidungs. Allerdings müssen zuvor nicht nur tatsächlich festgestellte. womit sich der Zyklus schließt. erfolgte Umsetzung von Konzeptänderungen oder Maßnahmen zwecks Korrektur und/oder Vorbeugung ist wiederum Gegenstand des ständigen Verbesserungsprozesses.199] 94 .5. obwohl noch keine Schwachstellen wirksam geworden sind.Vorbeugende Verbesserungsmaßnahmen: Diese werden auf Grund der Informationslage gemäß 3.. Daher sind sie in vielen Fällen wirtschaftlicher als Korrekturmaßnahmen.1 Grundlagen für Verbesserungen festgelegt. bereitzustellende Ressourcen sowie begleitende Kontrolle und Dokumentation notwendig. [Q: BSI M 2.) Ergebnisse von Tests Durchführung von Disaster Recovery Übungen Übungen zur Datenrekonstruktion heranzuziehen.oder Risikolage (auf Grund neuer Risikoanalysen.. sondern auch potenzielle Schwachstellen oder Abweichungen untersucht worden sein. Die laufende bzw. es sind Umsetzungsplan. Ursachen für mögliche Abweichungen von den Anforderungen des ISMS zu eliminieren. Managemententscheidungen.5. sonst werden sie unwirtschaftlich. bevor sie auftreten.und Handlungsbedarf. Dazu sind insbesondere auch Ergebnisse von: • • • • Geänderter Gefährdungs. benannte Verantwortliche. Dabei ist wesentlich: • • • • • Die zu setzenden Maßnahmen müssen in Relation zu den möglichen Auswirkungen des erkannten Problempotenzials stehen.h. .

detaillierte Risikoanalyse.Erkennen und Bewerten von Einzelrisiken und Gesamtrisiko erreicht werden sollen. in weiterer Folge dieses Risiko so weit zu reduzieren. Diese Methode führt zu effektiven und angemessenen Sicherheitsmaßnahmen. 4.4 Risikoanalyse Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 4 ff " Risikobewertung und behandlung ". dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird. In einer Risikoanalyse wird versucht. eine Strategie zur Risikoanalyse festzulegen. Diese sollte für die gesamte Organisation gültig sein und festlegen. diese Risiken zu erkennen und zu bewerten und so das Gesamtrisiko zu ermitteln. Grundschutzansatz und kombinierter Ansatz . dass für kritische Systeme nicht schnell genug Schutzmaßnahmen ergriffen werden können. Eine wesentliche Voraussetzung für erfolgreiches Informationssicherheitsmanagement ist die Einschätzung der bestehenden Sicherheitsrisiken.1 Risikoanalysestrategien ISO Bezug: 27002 4. so dass neben hohen Kosten auch die Gefahr besteht.1 Es ist empfehlenswert.und Nachteile und ihre typischen Einsatzbereiche gegenüber. Grundschutzansatz: • 95 . wie die Ziele der Risikoanalyse . benötigt jedoch viel Zeit und Aufwand.und stellt ihre Vor. Mögliche Risikoanalysestrategien sind: • Detaillierte Risikoanalyse: Für alle IT-Systeme wird eine detaillierte Risikoanalyse durchgeführt. Ziel ist es. Das nachfolgende Kapitel beschreibt die drei heute meist verbreiteten Strategien zur Risikoanalyse .

IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" sind einer detaillierten Risikoanalyse zu unterziehen.• Unabhängig vom tatsächlichen Schutzbedarf wird für alle IT-Systeme von einer pauschalisierten Gefährdungslage ausgegangen. der zumindest im Bereich von Wochen. Im Folgenden werden die drei angeführten Risikoanalysestrategien näher erläutert. Für ITSysteme der Schutzbedarfskategorie "niedrig bis mittel" wird auf eine detaillierte Risikoanalyse verzichtet. da alle IT-Systeme mit hohem Schutzbedarf wirksam und angemessen geschützt werden. und Maßnahmen für die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewählt werden können. Der Nachteil liegt darin.und des Risikoanalyseansatzes. Dies erlaubt eine schnelle und effektive Auswahl von grundlegenden Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung eines angemessenen Schutzniveaus. Sie wird in den meisten Einsatzumgebungen die empfehlenswerte Strategie zur Risikoanalyse darstellen. möglicherweise auch von Monaten liegt. Bedrohungen und Schwachstellen identifiziert und die daraus resultierenden Risiken ermittelt. Kombinierter Ansatz: In einem ersten Schritt wird in einer Schutzbedarfsfeststellung ( High Level Risk Analysis ) der Schutzbedarf für die einzelnen IT-Systeme ermittelt. Durch den Verzicht auf eine detaillierte Risikoanalyse spart diese Vorgehensweise Ressourcen und führt schnell zu einem relativ hohen Niveau an Sicherheit. Grundschutzmaßnahmen ( Baseline Security Controls ) zum Einsatz. Diese Option kombiniert die Vorteile des Grundschutz. Die erstmalige Durchführung einer detaillierten Risikoanalyse und die anschließende Erstellung eines Sicherheitskonzeptes erfordern einen Aufwand. Dazu werden die Werte (Assets).1 Eine detaillierte Risikoanalyse für ein IT-System umfasst die Identifikation der bestehenden Risiken sowie eine Abschätzung ihrer Größe. 4. auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden.2 Detaillierte Risikoanalyse ISO Bezug: 27002 4. Eine detaillierte Risikoanalyse umfasst die folgenden Schritte: 96 . dass der Grundschutzlevel für das betrachtete IT-System möglicherweise nicht angemessen sein könnte. Als Sicherheitsmaßnahmen kommen sog.

Zu untersuchen sind dabei insbesondere die Bereiche Organisation. 97 . die innerhalb des im vorangegangenen Schritt festgesetzten Analysebereiches liegen.Schritt 1: Abgrenzung des Analysebereiches Hier sind die zu analysierenden IT-Systeme zu spezifizieren und anzugeben. Hard. Schritt 2: Identifikation der bedrohten Objekte (Werte. Die Wertanalyse umfasst im Einzelnen: • • • • die Festlegung der Bewertungsbasis für Sachwerte die Festlegung der Bewertungsbasis für immaterielle Werte die Ermittlung der Abhängigkeiten zwischen den Objekten die Bewertung der bedrohten Objekte und der möglichen Schäden (Impact Analyse) Schritt 4: Bedrohungsanalyse Die Objekte sind vielfachen Bedrohungen ausgesetzt.) die Ermittlung der Eintrittswahrscheinlichkeiten Schritt 5: Schwachstellenanalyse Eine Bedrohung kann nur durch die Ausnutzung einer vorhandenen Schwachstelle wirksam werden. Gebäude und Infrastruktur) in die Analyse einbezogen werden sollen. Außenstehende. ob und in welchem Maße auch andere Objekte (z. Fehlbedienung.. Die Bedrohungsanalyse umfasst: • • die Identifikation möglicher Bedrohungen (Katastrophen. mögliche Schwachstellen des Systems zu identifizieren und ihre Bedeutung zu klassifizieren. assets) Ziel dieses Schrittes ist die Erfassung aller bedrohten Objekte. Schritt 3: Wertanalyse (Impact Analyse) In diesem Schritt wird der Wert der bedrohten Objekte ermittelt. . Es ist daher erforderlich. Leasingpersonal. bewusste Angriffe) und möglicher Angreifer/innen (Mitarbeiter/innen..B.und Software. die sowohl aus Nachlässigkeit und Versehen als auch aus Absicht resultieren können. Personal sowie Infrastruktur.

dazu führen. dass alle der im Folgenden angeführten Schritte durchgeführt werden und die geforderten Ergebnisse liefern. Alle Schritte müssen so dokumentiert werden. Bei der Durchführung einer Risikoanalyse sind folgende Prinzipien zu beachten: • • • • • Das gesamte Verfahren muss transparent gemacht werden. Schritt 7: Risikobewertung In diesem Schritt werden die Einzelrisiken und das Gesamtrisiko ermittelt und bewertet.Schritt 6: Identifikation bestehender Sicherheitsmaßnahmen Zur Vermeidung unnötiger Aufwände und Kosten sind die bereits existierenden Sicherheitsmaßnahmen zu erfassen und auf ihre Auswirkungen hinsichtlich der Gesamtsystemsicherheit sowie auf korrekte Funktion zu prüfen.1 98 .1 Abgrenzung des Analysebereiches ISO Bezug: 27002 4. In der Folge werden die einzelnen Schritte einer Risikoanalyse detailliert behandelt. Die Wahl einer konkreten Risikoanalysemethode sowie ein etwaiger Einsatz von Tools zur Unterstützung dieser Analyse bleiben der durchführenden Institution überlassen. Geplante neue Sicherheitsmaßnahmen müssen mit den existierenden kompatibel sein und eine wirtschaftlich und technisch sinnvolle Ergänzung darstellen. um subjektive Einflüsse zu erkennen und so weit wie möglich zu vermeiden. Schritt 8: Auswertung und Aufbereitung der Ergebnisse Eine Auswertung und Aufbereitung des Ergebnisses schließt die Risikoanalyse ab. die z. Ein derartiges Vorgehen erleichtert auch eine spätere Überarbeitung des Informationssicherheits-Konzeptes. dass Bedrohungen unbetrachtet bleiben. Das vorliegende Handbuch gibt Hinweise und Unterstützung zur Durchführung dieser Schritte. Der Aufwand für die Durchführung des Verfahrens sollte dem Wert der ITAnwendungen und den Werten der Institution im Allgemeinen angemessen sein. Wichtig ist. Es dürfen keine versteckten Annahmen gemacht werden.B.2. dass sie später auch für andere nachvollziehbar sind. 4. Alle Bewertungen müssen begründet werden.

die innerhalb des festgestellten Analysebereiches liegen. ob sich die Analyse auf Hardware.) für den Betrieb eines IT-Systems oder die Abhängigkeit der Software von unversehrter und verfügbarer Hardware. Daten. Hardware. Software und Daten des betrachteten IT-Systems beschränkt oder ob und in welchem Ausmaß andere Werte wie Gebäude und Infrastruktur. Klimaanlage. Dabei ist anzugeben.2 Identifikation der bedrohten Objekte (Werte. den zu analysierenden Bereich genau abzugrenzen. . Die Vertraulichkeit. also alle Objekte. Integrität oder Verfügbarkeit eines Objektes setzt vielfach die Vertraulichkeit. Datenträger. 4. was für diese schutzbedürftig ist. Integrität oder Verfügbarkeit eines anderen Objektes voraus.1 In diesem Schritt sind alle bedrohten Objekte ( assets ). Beispiele dafür sind etwa die Erfordernis einer funktionsfähigen Infrastruktur (Stromversorgung. zu erfassen.Vor Beginn einer Risikoanalyse ist es erforderlich. assets) ISO Bezug: 27002 4. immaterielle Güter. Fähigkeiten und Leistungen einbezogen werden sollen.. Infrastruktur. Personen.2.. Paperware logische Objekte: beispielsweise Software. Dazu zählen etwa: • • • • • physische Objekte: beispielsweise Gebäude. Vertrauen in die Institution oder gute Beziehungen zu anderen Organisationen Zwischen den bedrohten Objekten bestehen grundsätzlich komplexe Abhängigkeiten. von denen der Betrieb des ITSystems und seine Anwendungen und damit die Funktionsfähigkeit der Organisation abhängen. Information Personen Fähigkeiten: etwa Herstellen eines Produktes oder Erbringen einer Dienstleistung immaterielle Güter: beispielsweise Image. Unter den bedrohten Objekten einer Organisation ist alles zu verstehen. 99 .

2.2. 100 .1 In diesem Schritt wird der Wert der im vorangegangenen Schritt identifizierten Objekte ermittelt. Dabei ist es den Erfordernissen im Einzelfall anzupassen. Eine quantitative Bewertung kann etwa beruhen auf • • • • dem Zeitwert eines Objektes.3. oder dem Schaden.1 Festlegung der Bewertungsbasis für Sachwerte ISO Bezug: 27002 4. in welcher Tiefe und in welchem Detaillierungsgrad die einzelnen Objekte analysiert werden sollen. dem Wiederbeschaffungswert eines Objektes.3 Wertanalyse (Impact Analyse) ISO Bezug: 27002 4. der sich aus dem Verlust oder der Modifikation eines zu schützenden Objektes für die betroffene Organisation ergibt. dem Wert. den Analyseaufwand zu begrenzen.Die Identifizierung der bedrohten Objekte sowie ihre nachfolgende Bewertung stellen wesentliche Voraussetzungen für ein erfolgreiches Informationssicherheitsmanagement dar. 4. den das Objekt für eine/n potentielle/n Angreifer/in hätte. Die Wertanalyse umfasst im Einzelnen: • • • • die Festlegung der Bewertungsbasis für Sachwerte die Festlegung der Bewertungsbasis für immaterielle Werte die Ermittlung der Abhängigkeiten zwischen den Objekten die Bewertung der bedrohten Objekte und der möglichen Schäden 4. ob die Bewertung quantitativ oder qualitativ erfolgen soll. in vielen Fällen wird eine Zusammenfassung in Gruppen sinnvoll sein und beitragen.1 Zunächst ist zu entscheiden.

die zu ihrer Verarbeitung bzw.3. da diese Einfluss auf die Bewertung der einzelnen zu schützenden Objekte haben kann.2 Festlegung der Bewertungsbasis für immaterielle Werte ISO Bezug: 27002 4.hoch 5-stufige Bewertung: unbedeutend .gering . kann eine quantitative oder eine qualitative Bewertungsbasis festgelegt werden. Speicherung eingesetzt wird.Eine qualitative Bewertung erfolgt durch Einteilung in Klassen. Beispiele hierfür sind etwa: • • 3-stufige Bewertung: gering . Die Integrität von Information bedingt die Integrität und Verfügbarkeit der Hard.1 Es ist wichtig.und Software. 4. Es ist zu beachten. oder dem Schaden.2. 101 . Eine quantitative Bewertung kann in diesem Fall beruhen auf • • dem Wert. was die einzelnen Klassen bedeuten bzw. So ist etwa die Funktionsfähigkeit der Hardware abhängig von der Funktionsfähigkeit der Stromversorgung und eventuell der Klimaanlage. wie etwa Bewahrung des guten Rufes oder Gewährleistung der Vertraulichkeit. dass die potentiellen Schäden den eigentlichen (Zeit.mittel . 4.B.2.sehr hoch Als Basis für eine qualitative Bewertung ist festzulegen.3. den das Objekt für einen potentiellen Angreifer hätte (z.oder Wiederbeschaffungs-)Wert beträchtlich übersteigen können.mittel . wie sie definiert sind. auch die gegenseitige Abhängigkeit von Objekten festzustellen. vertrauliche Information).hoch .3 Ermittlung der Abhängigkeiten zwischen den Objekten ISO Bezug: 27002 4. der sich aus einem Angriff auf das zu schützende Objekt für die betroffene Organisation ergibt.1 Auch für immaterielle Werte.

4. etwa Finanzen. Durchführung: • • • • Die Person. IT. Es ist daher notwendig. Es ist Aufgabe derjenigen Person. Im Rahmen der Risikoanalyse müssen diese identifiziert werden. . Einkauf. weiters ist ihre Schwere und Eintrittswahrscheinlichkeit abzuschätzen.3. die die Risikoanalyse durchführt. die die Risikoanalyse durchführt. Bedrohungen sind charakterisiert durch: 102 ..2.. Ergebnis der Wertanalyse: Aufstellung der bedrohten Objekte und ihres Wertes für die Organisation. Die Bewertung sollte durch die Applikations-/Projektverantwortlichen sowie die betroffenen Benutzer/innen vorgenommen werden. 4. das zu einem Schaden für das System oder die Organisation führen kann".1 Mit Ausnahme der Festsetzung von Zeit. [ISO/IEC 13335] ist eine Bedrohung ein "möglicher Anlass für ein unerwünschtes Ereignis. die einzelnen Bewertungen auf Plausibilität und Konsistenz zu prüfen und ein konsolidiertes Ergebnis zu erarbeiten. im Rahmen der Analyse möglichst genaue Bewertungsbasen und Regeln vorzugeben und diese eventuell durch Beispiele zu illustrieren sowie möglichst viele unterschiedliche Personen nach ihrer Einschätzung zu befragen.4 Bewertung der bedrohten Objekte ISO Bezug: 27002 4.oder Wiederbeschaffungswert wird die Bewertung von bedrohten Objekten in der Regel sehr subjektiv sein.2. kommen. Unterstützung in der Bewertung kann von verschiedenen Abteilungen. Die zu schützenden Objekte sind vielfältigen Bedrohungen ausgesetzt.1 Lt. erstellt eine Liste der zu bewertenden Objekte und gibt die Bewertungsbasen vor.4 Bedrohungsanalyse ISO Bezug: 27002 4.

fehlende Auswertung von Protokolldaten. die für die Einschätzung hilfreich sein können.4. . Nichtbeachtung von Sicherheitsmaßnahmen) Technisches Versagen (etwa Ausfall von Versorgungs.) liegen statistische Daten vor. Die Bedrohungsanalyse umfasst im Einzelnen: • • die Identifikation möglicher Bedrohungen die Ermittlung der Eintrittswahrscheinlichkeiten 4. Rache. Test und Freigabe.1 Bedrohungen werden nach Kategorien unterteilt: • • • • • Höhere Gewalt (etwa Blitzschlag. der durch diese Bedrohung verursacht werden kann. die Häufigkeit des Auftretens. Personalausfall) Organisatorische Mängel (etwa fehlende oder unzureichende Regelungen für Wartung. Feuer.und Sicherheitseinrichtungen. Softwarefehler. Für einige umweltbedingte Bedrohungen (etwa Erdbeben.2. mangelhafte Kennzeichnung von Datenträgern) Menschliche Fehlhandlungen (etwa fehlerhafte Systemnutzung oder -administration. Im Falle absichtlicher Bedrohungen ist zwischen Innentätern und Außentätern zu unterscheiden. Dokumentation. aber auch Geltungssucht oder erhoffte Publicity sein. defekte Datenträger) Vorsätzliche Handlungen 103 . die Größe des Schadens..• • • • ihren Ursprung: Bedrohungen durch die Umwelt oder durch den Menschen. die Motivation: Motivation für (absichtliche) Bedrohungen können etwa finanzielle Gründe. Wettbewerbsvorteile.1 Identifikation möglicher Bedrohungen ISO Bezug: 27002 4. fahrlässige Zerstörung von Geräten oder Daten. Blitzschlag. wobei letztere wieder in absichtliche oder zufällige Bedrohungen zu unterteilen sind. Erdbeben..

Nichtanerkennen einer Nachricht. trojanische Pferde. ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen.2.(etwa Manipulation/Zerstörung von Geräten. Viren. .. und darüber hinaus auch Bedrohungen einem ständigen Wandel und einer ständigen Weiterentwicklung unterworfen sind. wie beispielsweise: 104 .1 In diesem Schritt der Risikoanalyse ist zu bestimmen. Es ist jedoch zu betonen. Auch die Eintrittswahrscheinlichkeit kann quantitativ oder qualitativ bewertet werden.. mit welcher Wahrscheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird. dass keine derartige Liste vollständig sein kann. In den IT-Grundschutzkatalogen des BSI gibt es eine umfangreiche Sammlung von so genannten "Gefährdungen". Da eine quantitative Bewertung in vielen Fällen eine Genauigkeit vortäuschen könnte. da andernfalls Sicherheitslücken bestehen bleiben können. Maskerade) Es ist wichtig. seiner Komponenten. Bewährt haben sich hier etwa drei.2 Bewertung möglicher Bedrohungen ISO Bezug: 27002 4. alle wesentlichen Bedrohungen zu erfassen. Es ist daher immer erforderlich. die den Charakter von Checklisten haben. 4.4. die ihrerseits eine Kombination aus Bedrohungen und Schwachstellen darstellen.). über Bedrohungskataloge hinaus auch die Möglichkeit weiterer Bedrohungen in Betracht zu ziehen. der Motivation und den vorausgesetzten Fähigkeiten und Ressourcen einer/ eines potentiellen Angreiferin/Angreifers. Wiedereinspielen von Nachrichten. Manipulation an Daten oder Software. Statistiken. Solche Kataloge finden sich etwa in [BSI 7105]. die durch die ungenaue Methode der Schätzung nicht zu rechtfertigen ist. und in [ISO/IEC 27005]. Einschätzung der Attraktivität und Verwundbarkeit des IT-Systems bzw. Diese ist abhängig von: • • • • der Häufigkeit der Bedrohung (Wahrscheinlichkeit des Auftretens anhand von Erfahrungen. Abhören. Bei der Identifikation von möglichen Bedrohungen können Bedrohungskataloge hilfreich sein.bis fünfteilige Skalen. Umweltfaktoren und organisationsspezifischen Einflüssen.

die durch eine Bedrohung ausgenützt werden kann.2.5 Schwachstellenanalyse ISO Bezug: 27002 4. Typische Beispiele für Schwachstellen sind etwa: • • • • • • • Mangelnder baulicher Schutz von Räumen mit IT-Einrichtungen Nachlässige Handhabung von Zutrittskontrollen Spannungs. 4. und ihrer Eintrittswahrscheinlichkeiten. Beispiel: 4: einmal pro Minute 3: einmal pro Stunde 2: einmal pro Tag 1: einmal pro Monat 0: einmal im Jahr Ergebnis der Bedrohungsanalyse: Liste von Bedrohungen.1 Unter einer Schwachstelle ( vulnerability ) versteht man eine Sicherheitsschwäche eines oder mehrerer Objekte.und Implementierungsfehler schwache Passwortmechanismen unzureichende Ausbildung.4: sehr häufig 3: häufig 2: mittel 1: selten 0: sehr selten Diese allgemeinen Bedeutungen der Skalenwerte sind für den spezifischen Anwendungsbereich zu konkretisieren. der von ihnen bedrohten Objekte. mangelndes Sicherheitsbewusstsein 105 .oder Temperaturschwankungen bei Hardwarekomponenten kompromittierende Abstrahlung Spezifikations.

Eine Schwachstelle selbst verursacht noch keinen Schaden, sie ist aber die Voraussetzung, die es einer Bedrohung ermöglicht, wirksam zu werden und damit ein IT-System zu beeinträchtigen. Auf Schwachstellen, für die eine korrespondierende Bedrohung existiert, sollte daher sofort reagiert werden. Eine Schwachstellenanalyse ist die Überprüfung von Sicherheitsschwächen, die durch festgestellte Bedrohungen ausgenutzt werden können. Diese Analyse muss sowohl das Umfeld als auch bereits vorhandene Schutzmaßnahmen mit einbeziehen. Es ist wichtig, jede Schwachstelle daraufhin zu bewerten, wie leicht es ist, sie auszunutzen. Beispielhafte Auflistungen von Schwachstellen, die auf typische Problembereiche hinweisen, finden sich etwa in [ISO/IEC 27005], Annex D sowie in [BSI 7105].

Ergebnis der Schwachstellenanalyse:
Liste von potentiellen Schwachstellen mit Angaben darüber, wie leicht diese für einen Angriff ausgenützt werden können.

4.2.6 Identifikation bestehender Sicherheitsmaßnahmen
ISO Bezug: 27002 4.1

Sicherheitsmaßnahmen sind Verfahrensweisen, Prozeduren und Mechanismen, die eine oder mehrere der nachfolgenden Funktionen erfüllen:

• • • • • •

Vermeidung von Risiken, Verkleinerung von Bedrohungen oder Schwachstellen, Entdeckung unerwünschter Ereignisse, Eingrenzung der Auswirkungen eines unerwünschten Ereignisses, Überwälzung von Risiken oder Wiederherstellung eines früheren Zustandes.

Wirksame IT-Sicherheit verlangt im Allgemeinen eine Kombination von verschiedenen Typen von Maßnahmen.

106

Da die Sicherheitsmaßnahmen, die aufgrund einer Risikoanalyse ausgewählt werden, in der Regel zusätzlich zu bereits bestehenden Maßnahmen eingeführt werden sollen, ist es notwendig, alle bereits existierenden oder geplanten Sicherheitsmaßnahmen zu identifizieren und ihre Auswirkungen zu überprüfen, um unnötigen Aufwand zu vermeiden. Stellt sich heraus, dass eine bereits existierende oder geplante Maßnahme ihren Anforderungen nicht gerecht wird, so ist zu prüfen, ob sie ersatzlos entfernt, durch andere Maßnahmen ersetzt oder aus Kostengründen belassen werden soll. Im Rahmen dieses Schrittes sollte auch geprüft werden, ob die bereits existierenden Sicherheitsmaßnahmen korrekt zum Einsatz kommen. Falsch oder unvollständig eingesetzte Sicherheitsmaßnahmen stellen eine zusätzliche potentielle Schwachstelle eines Systems dar.

Ergebnis:
Aufstellung aller bereits existierenden oder geplanten Sicherheitsmaßnahmen mit Angaben über ihren Implementierungsstatus und ihren Einsatz.

4.2.7 Risikobewertung
ISO Bezug: 27002 4.1

Ein Risiko ist die Möglichkeit, dass eine Bedrohung unter Ausnutzung einer Schwachstelle Schaden an einem Objekt oder den Verlust eines Objektes und damit direkt oder indirekt einen Schaden verursacht. Ziel dieses Schrittes ist es, die Risiken, denen ein IT-System und seine Objekte ausgesetzt sind, zu erkennen und zu bewerten, um auf dieser Basis geeignete und angemessene Sicherheitsmaßnahmen auswählen zu können. Risiken sind eine Funktion folgender Parameter:

• • • •

Wert der bedrohten Objekte (Schadensausmaß), Möglichkeit, eine Schwachstelle durch eine Bedrohung auszunutzen, Eintrittswahrscheinlichkeit einer Bedrohung, bereits existierende oder geplante Sicherheitsmaßnahmen, die dieses Risiko reduzieren könnten. 107

Wie diese Größen miteinander verknüpft werden, um die Höhe der Einzelrisiken und des Gesamtrisikos zu bestimmen, ist abhängig von der gewählten Risikoanalysemethode. Wieder können quantitative oder qualitative Bewertungen vorgenommen oder aber beide Möglichkeiten kombiniert werden. [ISO/IEC 27005] gibt im Anhang vier Beispiele für Methoden zur Risikobewertung. Es ist zu beachten, dass jegliche Änderung an Werten, Bedrohungen, Schwachstellen oder Sicherheitsmaßnahmen bedeutenden Einfluss auf die Einzelrisiken und auf das Gesamtrisiko haben kann.

Ergebnis:
Quantitative oder qualitative Bewertung von Einzelrisiken und Gesamtrisiko für den betrachteten Analysebereich.

4.2.8 Auswertung und Aufbereitung der Ergebnisse
ISO Bezug: 27002 4.1

Der adäquaten Aufbereitung, Auswertung und Interpretation der Ergebnisse einer Risikoanalyse kommt wachsende Bedeutung zu. Da die Risikoanalyse auch als Grundlage für weitreichende weiterführende Entscheidungen dient, ist auf eine klare Darstellung der Situation sowie eine umfassende Ergebnisdarstellung zu achten. Hilfreich dabei sind graphische und tabellarische Darstellungen.

4.3 Grundschutzansatz
ISO Bezug: 27002 4.1, 4.2

Die im Rahmen dieses Handbuchs empfohlene Vorgehensweise zur Grundschutzanalyse folgt im Wesentlichen den Vorgaben zum IT-Grundschutz des BSI. In diesem Kapitel wird eine kurze Zusammenfassung des Verfahrens, angepasst an die Erfordernisse der öffentlichen Verwaltung in Österreich, gegeben. Details zum Verfahren finden sich im BSI-Standard 100-2 sowie den BSI-Katalogen zu Gefährdungen und Sicherheitsmaßnahmen. 108

4.3.1 Die Idee des IT-Grundschutzes
ISO Bezug: 27002 4.1, 4.2

Ziel des Grundschutzansatzes ist es, den Aufwand für die Erstellung eines Informationssicherheits-Konzeptes angemessen zu begrenzen. Dies wird dadurch erreicht, dass von einer pauschalisierten Gefährdungslage ausgegangen und damit auf eine detaillierte Risikoanalyse verzichtet wird. Die Auswahl der zu realisierenden Sicherheitsmaßnahmen erfolgt auf der Basis vorgegebener Kataloge. Die Vorteile dieser Vorgehensweise sind:

• •

Der Aufwand für die Risikoanalyse wird stark reduziert. Der Einsatz von Grundschutzmaßnahmen führt schnell zu einem relativ hohen Niveau an Sicherheit gegen die häufigsten Bedrohungen.

Zudem sind Grundschutzmaßnahmen meist stark verbreitet und damit relativ kostengünstig und schnell zu implementieren. Dem stehen folgende Nachteile gegenüber:

• •

Der Grundschutzlevel kann für das betrachtete System zu hoch oder zu niedrig sein. Ist er zu hoch, werden unnötige finanzielle und personelle Ressourcen verbraucht, ist er zu niedrig, bleiben unter Umständen untragbare Risiken bestehen. Aufgrund der fehlenden detaillierten Risikoanalyse kann unter Umständen eine angemessene Reaktion auf sicherheitsrelevante Hard- oder Softwareänderungen schwierig sein.

Die Wahl eines Grundschutzansatzes wird daher in folgenden Fällen empfohlen:

• •

Wenn feststeht, dass im betrachteten Bereich nur IT-Systeme mit niedrigem oder mittlerem ("normalem") Schutzbedarf zum Einsatz kommen. Falls in einem Bereich (IT-System, Abteilung, ...) noch keine oder offensichtlich zu schwache Sicherheitsmaßnahmen vorhanden sind, kann die Realisierung von Grundschutzmaßnahmen dazu beitragen, rasch ein relativ gutes Niveau an IT-Sicherheit zu erreichen. In diesem Fall sollte aber in einem nachfolgenden Schritt geprüft werden, ob das erreichte Niveau bereits ausreichend ist oder weitere Analysen und Maßnahmen erforderlich sind. 109

Als Teil eines umfassenden Risikoanalysekonzeptes ("kombinierter Ansatz"): Wird zunächst in einem ersten Schritt festgestellt, welche IT-Systeme besonders schutzbedürftig sind ("Schutzbedarfsfeststellung"), so besteht die Möglichkeit, den Arbeitsaufwand für die Risikoanalyse und die Auswahl spezifischer Sicherheitsmaßnahmen auf diese hochschutzbedürftigen Systeme zu konzentrieren. Für alle anderen Systeme können Grundschutzmaßnahmen eingesetzt werden, ohne damit unangemessene Sicherheitsrisiken einzugehen. Details dazu s. Kapitel Kombinierter Ansatz.

4.3.2 Grundschutzanalyse und Auswahl von Maßnahmen
ISO Bezug: 27002 4.1, 4.2

Im Folgenden wird ein reiner Grundschutzansatz beschrieben, d.h. es wird davon ausgegangen, dass entweder bereits eine Schutzbedarfsfeststellung erfolgt ist und damit die IT-Systeme identifiziert sind, für die der IT-Grundschutz zu konzipieren ist, oder dass bewusst (zunächst) ein reiner Grundschutzansatz gewählt wird. Ein kombinierter Ansatz und die Stellung des IT-Grundschutzes in einem solchen werden im nachfolgenden Kapitel beschrieben. Eine Grundschutzanalyse besteht im Wesentlichen aus den folgenden beiden Teilschritten: Schritt 1: Nachbildung eines IT-Systems oder eines IT-Verbundes (Kombination mehrerer IT-Systeme) durch vorhandene Bausteine ("Modellierung") Schritt 2: Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen

4.3.2.1 Modellierung
ISO Bezug: 27002 4.1, 4.2

Die Modellierung eines IT-Systems oder eines IT-Verbundes ist abhängig vom zugrunde liegenden Baustein- und Maßnahmenkatalog, da versucht werden muss, das System durch die vorhandenen Bausteine möglichst genau nachzubilden. Eine der umfassendsten und ausgereiftesten Sammlungen von Bausteinen und Maßnahmen stellen die Grundschutz-Standards und -Kataloge des BSI dar ( [BSI GSHB]). Anhand dieses Werkes soll nachfolgend die Modellierung eines ITVerbundes beschrieben werden. 110

Zentrale Aufgabe des Schrittes "Modellierung" ist es, den betrachteten IT-Verbund mit Hilfe der vorhandenen Bausteine des IT-Grundschutzes nachzubilden. Als Ergebnis wird ein Modell des IT-Verbundes erstellt, das aus verschiedenen, ggf. auch mehrfach verwendeten Bausteinen des Handbuchs besteht und eine Abbildung zwischen den Bausteinen und den sicherheitsrelevanten Aspekten des IT-Verbundes beinhaltet. Um die Abbildung eines im Allgemeinen komplexen IT-Verbunds auf die Bausteine des Handbuchs zu erleichtern, bietet es sich an, die Sicherheitsaspekte gruppiert nach bestimmten Themen zu betrachten.

Abbildung 1: Schichten des IT-Grundschutzmodells nach BSI Grundschutz Die Sicherheitsaspekte eines IT-Verbunds werden wie folgt den einzelnen Schichten zugeordnet:

• •

Schicht 1 umfasst sämtliche übergreifenden Sicherheitsaspekte, die für sämtliche oder große Teile des IT-Verbunds gleichermaßen gelten. Dies betrifft insbesondere übergreifende Konzepte und die daraus abgeleiteten Regelungen.Typische Bausteine der Schicht 1 sind unter anderem Informationssicherheitsmanagement, Organisation, Datensicherungskonzept und Computer-Virenschutzkonzept. Schicht 2 befasst sich mit den baulich-technischen Gegebenheiten, in der Aspekte der infrastrukturellen Sicherheit zusammengeführt werden. Dies betrifft insbesondere die Bausteine Gebäude, Räume, Schutzschränke und häuslicher Arbeitsplatz. Schicht 3 betrifft die einzelnen IT-Systeme des IT-Verbunds, die ggf. in Gruppen zusammengefasst wurden. Hier werden die Sicherheitsaspekte sowohl von Clients als auch von Servern, aber auch von Stand-alone-Systemen behandelt. In die Schicht 3 fallen damit beispielsweise die Bausteine Unix-System, Tragbarer PC, Windows NT Netz und TK-Anlage. 111

• •

Schicht 4 betrachtet die Kommunikations- und Vernetzungsaspekte der ITSysteme, wie etwa die Bausteine Netz- und Systemmanagement und Firewalls. Schicht 5 schließlich beschäftigt sich mit den eigentlichen IT-Anwendungen, die im IT-Verbund genutzt werden. In dieser Schicht können unter anderem die Bausteine E-Mail, WWW-Server, Faxserver und Datenbanken zur Modellierung verwendet werden.

Die in diesem Schritt zu leistende Aufgabe besteht darin, das reale IT-System durch die vorhandenen Bausteine möglichst genau nachzubilden. Abschließend sollte überprüft werden, ob die Modellierung des Gesamtsystems vollständig ist und keine Lücken aufweist. Es wird empfohlen, hierzu den Netzplan oder eine vergleichbare Übersicht über den IT-Verbund heranzuziehen und die einzelnen Komponenten systematisch durchzugehen. Jede Komponente sollte entweder einer Gruppe zugeordnet oder einzeln modelliert worden sein. Wichtig ist, dass nicht nur alle Hard- und Software-Komponenten in technischer Hinsicht nachgebildet sind, sondern dass auch die zugehörigen organisatorischen, personellen und infrastrukturellen Aspekte vollständig abgedeckt sind.

4.3.2.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen
ISO Bezug: 27002 4.1, 4.2

Im zweiten Schritt der Grundschutzanalyse wird die Modellierung nach IT-Grundschutz als Prüfplan verwendet, um festzustellen, welche Standardsicherheitsmaßnahmen bereits umgesetzt wurden, bzw. welche nicht oder unzureichend umgesetzt wurden. Das SOLL besteht aus den in den einzelnen Bausteinen empfohlenen Maßnahmen. Der Vergleich mit den vorhandenen Maßnahmen ergibt als Resultat die Maßnahmen, die es noch für den IT-Grundschutz umzusetzen gilt. Der eigentliche Soll-Ist-Vergleich soll mittels Interviews und stichprobenartiger Kontrollen durchgeführt werden.

4.3.3 Vorgehen bei Abweichungen
ISO Bezug: 27002 4.1, 4.2

112

Für die Errichtung eines IT-Grundschutzes sollten zwar prinzipiell alle im Baustein vorgeschlagenen IT-Grundschutzmaßnahmen umgesetzt werden, es besteht jedoch die Möglichkeit, dass bei bestimmten Einsatzumgebungen empfohlene Grundschutzmaßnahmen nicht umgesetzt werden können oder sollten. Diese Abweichung von der Empfehlung ist dann zu dokumentieren und zu begründen. An dieser Stelle sollten auch eventuell vorhandene über den IT-Grundschutz hinausgehende IT-Sicherheitsmaßnahmen herausgearbeitet und dokumentiert werden.

4.3.4 Dokumentation der Ergebnisse
ISO Bezug: 27002 4.1, 4.2

Aus der beschriebenen Vorgehensweise soll als Ergebnis eine Liste von Maßnahmen, die es für die Erreichung des IT-Grundschutzes noch umzusetzen gilt. Zu jeder Maßnahme sollten

• • • •

der Umsetzungsgrad (ja/teilweise/nein/entbehrlich) sowie, soweit zu diesem Zeitpunkt bereits möglich, die Verantwortlichkeiten für die Umsetzung der Zeitpunkt für die Umsetzung und eine Kostenschätzung

angegeben werden. Für die Durchführung einer Grundschutzanalyse in einer komplexen Einsatzumgebung empfiehlt sich der Einsatz eines Tools. Bekanntestes Beispiel ist das im Auftrag des BSI entwickelte "IT-Grundschutz-Tool". Hierdurch ergeben sich komfortable Möglichkeiten zur Auswertung und Revision der Ergebnisse, beispielsweise die Suche nach bestimmten Einträgen, der Generierung benutzerdefinierter Reports sowie Statistikfunktionen.

4.4 Kombinierter Ansatz
ISO Bezug: 27002 4.1, 4.2

113

Die Stärken beider oben diskutierter Risikoanalysestrategien - Zeit sparende Auswahl kostengünstiger IT-Sicherheitsmaßnahmen durch Grundschutzanalysen und wirksame Reduktion hoher Sicherheitsrisiken durch detaillierte Risikoanalysen - kommen in einem sog. kombinierten Ansatz zum Tragen. Dabei wird zunächst ermittelt, welche IT-Systeme hohe oder sehr hohe Sicherheitsanforderungen haben, und welche niedrige bis mittlere haben (Schutzbedarfsfeststellung). Das Ergebnis dieses Schrittes ist eine Einteilung in zwei Schutzbedarfskategorien: "niedrig bis mittel" und "hoch bis sehr hoch". IT-Systeme der Schutzbedarfskategorie "niedrig bis mittel" werden einer Grundschutzanalyse unterzogen, während IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" einer detaillierten Risikoanalyse zu unterziehen sind, auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. Alternativ dazu können auch etwa drei Schutzbedarfskategorien gewählt werden (s. Kap. 4.4.1, zweites Beispiel). Dabei werden IT-Systeme der Schutzbedarfskategorie "normal" einer Grundschutzanalyse unterzogen. IT-Systeme der Schutzbedarfskategorie "hoch" sind einer eingehenderen Betrachtung zu unterziehen. Wahlweise sind auch hier Grundschutzmaßnahmen (ev. in verstärktem Maße) anzuwenden, oder es ist eine detaillierte Risikoanalyse durchzuführen. ITSysteme der Schutzbedarfskategorie "sehr hoch" sind jedenfalls einer detaillierten Risikoanalyse zu unterziehen, auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. Generell empfiehlt es sich, zunächst eine Grundschutzanalyse für alle Systeme durchzuführen anschließend eine eventuelle erforderliche detaillierte Risikoanalyse für Systeme höherer Schutzbedarfskategorien.

Vorteile eines kombinierten Ansatzes

• • • •

Die Vorgehensweise ermöglicht es, rasch einen relativ guten Sicherheitslevel für alle IT-Systeme zu realisieren. Die in der Schutzbedarfsfeststellung erarbeiteten Erkenntnisse können die Grundlage für eine Prioritätenreihung für die nachfolgenden Aktivitäten bilden. Der Aufwand kann auf hochsicherheitsbedürftige Systeme konzentriert werden. Das Verfahren findet im Allgemeinen hohe Akzeptanz, da es mit verhältnismäßig geringem Initialaufwand rasch sichtbare Erfolge bringt.

114

Empfehlung:
Aus diesen Gründen kann für die Mehrheit der Fälle empfohlen werden, als Risikoanalysestrategie einen kombinierten Ansatz zu wählen.

4.4.1 Festlegung von Schutzbedarfskategorien
ISO Bezug: 27002 4.1, 4.2

Voraussetzung für eine Schutzbedarfsfeststellung ist die Festlegung von Schutzbedarfskategorien. Die nachfolgende Tabelle gibt eine Orientierungshilfe für die Festlegung der Schutzbedarfskategorien und damit die Klassifizierung der Anwendungen anhand der maximal möglichen Schäden anhand von Grenzwerten. Diese sind jedoch nur als Beispiele zu sehen. Jede Organisation sollte für sich prüfen, ob diese Klassifizierung ihren Anforderungen entspricht und gegebenenfalls eigene Grenzwerte und Einordnungen festlegen. Weiters ist darauf hinzuweisen, dass die in der Tabelle angeführten sieben Schadenskategorien nicht vollständig sein müssen. Für alle Schäden, die sich nicht in diesen Kategorien abbilden lassen, ist ebenfalls eine Aussage zu treffen, wo die Grenze zwischen "niedrig bis mittel" und "hoch bis sehr hoch" zu ziehen ist. Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" 1. Verstoß gegen Gesetze, • Verstöße gegen • Schwere Verstöße Vorschriften oder Verträge Vorschriften gegen Gesetze und Gesetze mit und Vorschriften geringfügigen (Strafverfolgung) Konsequenzen • Verletzungen von Geringfügige Verträgen mit hohen • Verletzungen von Konventionalstrafen Verträgen mit geringen oder Haftungsschäden Konventionalstrafen • Ein möglicher Ein möglicher Missbrauch • Missbrauch personenbezogener personenbezogener Daten hat erhebliche Daten hat nur Auswirkungen auf geringfügige die gesellschaftliche Auswirkungen auf Stellung oder die die gesellschaftliche wirtschaftlichen 115

Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" Stellung oder die Verhältnisse der/des wirtschaftlichen Betroffenen (Verlust Verhältnisse der/des der Vertraulichkeit oder Betroffenen Integrität sensibler Daten) 2. Beeinträchtigung der Eine Beeinträchtigung • • Eine über Bagatellpersönlichen Unversehrtheit erscheint nicht möglich. verletzungen hinausgehende Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden. 3. Beeinträchtigung der • Es kann zu einer • Es kann zu Aufgabenerfüllung leichten bis maximal einer schweren mittelschweren BeeinBeeinträchtigung der trächtigung der Aufgabenerfüllung Aufgabenerfüllung bis hin zur kommen. Handlungsunfähigkeit der betroffenen • Eine Zielerreichung Organisation kommen. ist mit vertretbarem Mehraufwand möglich. • Bedeutende Zielabweichung in Qualität und/oder Quantität. 4. Vertraulichkeit der • Es werden nur Daten • Es werden auch Daten verarbeiteten Information der Sicherheitsklassen der Sicherheitsklassen OFFEN und VERTRAULICH, EINGESCHRÄNKT GEHEIM und/oder verarbeitet bzw. STRENG GEHEIM gespeichert. verarbeitet bzw. gespeichert. 5. Dauer der Verzichtbarkeit • Die maximal • Die maximal tolerierbare Ausfallszeit tolerierbare Ausfallszeit der Anwendung beträgt des Systems beträgt mehrere Stunden bis lediglich einige mehrere Tage. Minuten.

116

Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" 6. Negative Außenwirkung Eine geringe • • Eine breite bzw. nur interne Beeinträchtigung des Beeinträchtigung Vertrauens in die des Ansehens oder Organisation oder Vertrauens ist zu ihr Ansehen ist zu erwarten. erwarten. 7. Finanzielle Auswirkungen • Der finanzielle Schaden • Der zu erwartende ist kleiner als (z.B.) finanzielle Schaden ist Euro 50.000.--. größer als (z.B.) Euro 50.000.--. Eine andere Möglichkeit besteht darin, drei Schutzbedarfskategorien zu definieren: Schutzbedarfskategorie "normal": Die Schadensauswirkungen sind begrenzt und überschaubar. Maßnahmen des ITGrundschutzes reichen im Allgemeinen aus. Diese Kategorie entspricht der obigen Kategorie "niedrig bis mittel". Schutzbedarfskategorie "hoch": Die Schadensauswirkungen können beträchtlich sein. Wahlweise können weiter (verstärkte) Grundschutzmaßnahmen eingesetzt oder eine detaillierte Risikoanalyse durchgeführt werden. Schutzbedarfskategorie "sehr hoch": Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. IT-Grundschutzmaßnahmen alleine reichen nicht aus, die erforderlichen Sicherheitsmaßnahmen sollten individuell auf Basis einer Risikoanalyse ermittelt werden. Schutzbedarfskategorie "hoch": Die nachfolgende Tabelle gibt eine Orientierungshilfe für die Festlegung der Schutzbedarfskategorien und damit die Klassifizierung der Anwendungen anhand der oben angeführten Einteilungen. Diese sind wiederum als Beispiele zu sehen. Jede Organisation sollte für sich prüfen, ob diese Klassifizierung ihren Anforderungen entspricht und gegebenenfalls eigene Grenzwerte und Einordnungen festlegen. Kategorie "normal" Kategorie "hoch" Kategorie "sehr hoch" 1. Verstoß • Verstöße gegen • Verstöße gegen • Schwere gegen Gesetze, Vorschriften und Vorschriften Verstöße gegen Vorschriften oder Gesetze mit und Gesetze Gesetze und Verträge geringfügigen mit erheblichen Vorschriften Konsequenzen Konsequenzen (Strafverfolgung) 117

Kategorie "normal"

2. Beeinträchtigung der persönlichen Unversehrtheit

3. Beeinträchtigung der Aufgabenerfüllung

Kategorie "sehr hoch" Geringfügige Verletzungen • • Verletzungen Verletzungen von Verträgen von Verträgen, von Verträgen mit hohen deren mit keinen Konventionalstrafen Haftungsschäden oder geringen ruinös sind • Ein möglicher Konventionalstrafen Missbrauch • Ein möglicher Ein möglicher personenbezogener Missbrauch Missbrauch Daten hat personenbezogener personenbezogener erhebliche Daten würde Daten hat nur Auswirkungen für die/den geringfügige auf die Betroffene/n den Auswirkungen gesellschaftliche gesellschaftlichen auf die Stellung oder gesellschaftliche oder die wirtschaftlichen Stellung wirtschaftlichen Ruin bedeuten. oder die Verhältnisse wirtschaftlichen der/des Verhältnisse Betroffenen. der/des Betroffenen. Eine • Eine • Gravierende Beeinträchtigung Beeinträchtigung Beeinträchtigungen erscheint nicht der persönlichen der persönlichen möglich. Unversehrtheit Unversehrtheit kann nicht sind möglich. absolut • Gefahr für Leib ausgeschlossen und Leben werden. Es kann zu • Es kann zu • Es kann zu einer einer leichten einer schweren sehr schweren bis maximal Beeinträchtigung Beeinträchtigung mittelschweren der der Beeinträchtigung Aufgabenerfüllung Aufgabenerfüllung der kommen. bis hin zur Aufgabenerfüllung Bedeutende Handlungsunfähigkeit • kommen. der betroffenen Zielabweichung Organisation Eine in Qualität und/ kommen. Zielerreichung oder Quantität. ist mit vertretbarem Mehraufwand möglich.

Kategorie "hoch"

118

000. ist zu erwarten.1. und 24 Stunden. verarbeitet bzw. Die Schutzbedarfsfeststellung erfolgt in 3 Schritten: • Schritt 1: Erfassung aller vorhandenen oder geplanten IT-Systeme 119 .--. Beeinträchtigung ist zu erwarten. Stunde.4. Eine geringe • Eine breite • Eine bzw. Vertraulichkeit der verarbeiteten Information • 5. Finanzielle Auswirkungen • Kategorie "sehr hoch" Es werden Es werden • • Es werden nur Daten der auch Daten auch Daten Sicherheitsklassen der Klasse der Klassen OFFEN und VERTRAULICH GEHEIM und/ EINGESCHRÄNKT verarbeitet bzw. Dauer der Verzichtbarkeit • 6. Vertrauens. gespeichert. Verluste. gespeichert. sogar existenzgefährdender Art.Kategorie "normal" 4.2 Schutzbedarfsfeststellung ISO Bezug: 27002 4. Negative Außenwirkung • 7.B.oder oder Vertrauens ist zu erwarten.) Euro beachtliche die Institution 50. oder STRENG verarbeitet bzw. Die maximal Die maximal • • Die maximal tolerierbare tolerierbare tolerierbare Ausfallszeit der Ausfallszeit des Ausfallszeit des Anwendung Systems liegt Systems ist beträgt mehr als zwischen einer kleiner als eine 24 Stunden. Kategorie "hoch" 4. ist jedoch nicht existenzbedrohend. finanzielle existenzbedrohend. Der finanzielle • Der Schaden • Der finanzielle Schaden liegt bewirkt Schaden ist für unter (z. GEHEIM gespeichert. 4.2 Die Schutzbedarfsfeststellung bildet die Grundlage für eine Entscheidung über die weitere Vorgehensweise und ist daher mit entsprechender Sorgfalt durchzuführen. evtl. nur interne Beeinträchtigung landesweite Beeinträchtigung des Ansehens breite des Ansehens oder Vertrauens Ansehens.

aus denen das ITSystem zusammengesetzt ist. 4. z.4. Hierbei steht die technische Realisierung eines IT-Systems im Vordergrund. • • • deren Daten/Informationen und Programme den höchsten Bedarf an Vertraulichkeit haben. Diese sollten anschließend . An dieser Stelle soll nur das System als solches erfasst werden (z. 4.1 Erfassung aller vorhandenen oder geplanten IT-Systeme ISO Bezug: 27002 4. Zur Reduktion der Komplexität kann man gleiche IT-Systeme zu Gruppen zusammenfassen.2 Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen IT-Systemen ISO Bezug: 27002 4. Server. die oft in großer Anzahl vorhanden sind. deren Daten/Informationen und Programme den höchsten Bedarf an Integrität aufweisen.2 Ziel dieses Schrittes ist es. nicht die einzelnen Bestandteile.nach ihrem Sicherheitsbedarf vorsortiert werden. 120 .B.2. Dabei sind zuerst diejenigen Anwendungen des jeweiligen IT-Systems zu benennen. Drucker etc. 4..4. Dies gilt insbesondere für PCs.B. alle oder zumindest die wichtigsten auf dem betrachteten IT-System laufenden oder geplanten IT-Anwendungen zu erfassen. wie Rechner.soweit zu diesem Zeitpunkt bereits möglich .2 Zunächst werden die vorhandenen und geplanten IT-Systeme aufgelistet.1. PC-Client. Bildschirm. Tastatur.2. Windows-Server. die die kürzeste tolerierbare Ausfallszeit haben. StandAlone-PC. Windows-Server). wenn von Anwendungsstruktur und -ablauf vergleichbare Anwendungen auf diesen Systemen laufen.• • Schritt 2: Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen ITSystemen Schritt 3: Schutzbedarfsfeststellung für jedes IT-System 4.1.

121 . Wurde dagegen mindestens eine Applikation mit hohem oder sehr hohem Schutzbedarf ermittelt.4. Die Auswahl einer konkreten Methode zur Risikoanalyse sowie der eventuelle Einsatz eines Tools zur Unterstützung dieser Analyse bleiben der durchführenden Institution überlassen. Die Ermittlung des Schutzbedarfes erfolgt nach dem Maximum-Prinzip.4. 4. Als Orientierungshilfe für die Einordnung von IT-Anwendungen in Schutzbedarfskategorien kann die in 4.2 Für alle IT-Systeme der Schutzbedarfskategorie "niedrig bis mittel" bzw. Ist für alle auf einem System laufenden Anwendungen ein normaler Schutzbedarf erhoben worden. 4.2.4.3 Durchführung von Grundschutzanalysen und detaillierten Risikoanalysen ISO Bezug: 27002 4. Die zu erwartenden Schäden bestimmen den Schutzbedarf.4. Alle IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" sind einer detaillierten Risikoanalyse zu unterziehen.2 In dieser Phase soll die Frage beantwortet werden. "sehr hoch" einzuordnen. Es ist aber empfehlenswert. Dabei ist es unbedingt auch erforderlich.3 Schutzbedarfsfeststellung für jedes IT-System ISO Bezug: 27002 4. wenn Vertraulichkeit. eine den spezifischen Anforderungen der betroffenen Organisation entsprechende modifizierte Tabelle zu erstellen. "normal" ist eine Grundschutzanalyse gemäß der in Kapitel 4. so ist das gesamte System in die Schutzbedarfskategorie "normal" einzuordnen.2 Detaillierte Risikoanalyse dieses Handbuchs.1.3 Grundschutzansatz beschriebenen Vorgehensweise durchzuführen. Integrität oder Verfügbarkeit einer IT-Anwendung und/ oder der zugehörigen Informationen ganz oder teilweise verloren gehen.1. so ist das gesamte IT-System in die Schutzbedarfskategorie "hoch" bzw. Die Realisierung von Grundschutzmaßnahmen bietet hier in der Regel einen ausreichenden Schutz.1 angeführte Tabelle dienen. welche Schäden zu erwarten sind. 4. die Applikations-/Projektverantwortlichen und die Benutzer/innen der betrachteten IT-Anwendungen nach ihrer Einschätzung zu befragen. Details dazu finden sich in Kapitel 4.

welche Risiken die betroffene Organisation generell zu akzeptieren bereit ist.5 Akzeptables Restrisiko ISO Bezug: 27002 4. Um ein organisationsweit einheitliches Niveau des Restrisikos zu gewährleisten. 4. Dieser Prozess wird als "Risikoakzeptanz" bezeichnet. dessen Abdeckung wirtschaftlich nicht mehr vertretbar wäre. das höher ist als das generell akzeptable.Geht man von drei Schutzbedarfskategorien aus. 5. verstärkten) Grundschutzmaßnahmen das Auslangen gefunden werden kann.6 Akzeptanz von außergewöhnlichen Restrisiken ISO Bezug: 27002 4. ob mit (ev. Ist dies technisch nicht möglich oder unwirtschaftlich. diese Restrisiken so exakt wie möglich zu quantifizieren und sie dann bewusst zu akzeptieren. Diese sollten im Rahmen der Informationssicherheits-Politik definiert werden (vgl. oder eine detaillierte Risikoanalyse erforderlich ist. Dabei ist zu beachten. Die Entscheidung über die Akzeptanz von Restrisiken ist daher immer eine für das spezielle System zu treffende Managemententscheidung. dass durch Kumulationseffekte oder gegenseitige Beeinflussungen eine Reihe von kleinen Einzelrisiken zu einem inakzeptablen Restrisiko führen kann. so ist für IT-Systeme der Schutzbedarfskategorie "hoch" zu überlegen. 4.2 Verbleibt nach Durchführung aller vorgesehenen Sicherheitsmaßnahmen ein Restrisiko. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken) und festlegen.2. so besteht in begründeten Ausnahmefällen die Möglichkeit. Im Allgemeinen verbleibt ein Restrisiko. diesen Prozess durch generelle Richtlinien zu unterstützen.2 Sicherheitsmaßnahmen können für gewöhnlich Risiken nur teilweise mindern. dieses erhöhte Restrisiko bewusst anzunehmen. IT-Systeme der Schutzbedarfskategorie "sehr hoch" sind jedenfalls einer detaillierten Risikoanalyse zu unterziehen.4 Risikoanalysestrategien. so sollten zusätzliche Sicherheitsmaßnahmen vorgesehen und damit das Risiko weiter reduziert werden. Es ist notwendig. ist es hilfreich. 122 .

Die Entscheidung ist schriftlich zu begründen und durch die Leitung der Organisation in schriftlicher Form zu akzeptieren. 123 . die genauen Verantwortlichkeiten dafür sind in der Informationssicherheits-Politik festzulegen.Die Entscheidung über die Akzeptanz eines außergewöhnlichen Restrisikos ist durch das Management zu treffen.

1 Aufgaben und Ziele einer InformationssicherheitsPolitik ISO Bezug: 27001 4. Die organisationsweite Informationssicherheits-Politik soll allgemeine Festlegungen treffen. akzeptables Restrisiko und Risikoakzeptanz Klassifizierung von Daten Klassifizierung von IT-Anwendungen und IT-Systemen.5 Informationssicherheits-Politik Dieses Kapitel nimmt Bezug auf ISO/IEC 27001 4 ff "InformationssicherheitsManagementsystem" sowie ISO 27002 . die den Schutz der Informationen und der IT-Systeme innerhalb einer Organisation gewährleisten. Sie stellt ein Grundlagendokument dar. Verantwortlichkeiten und Methoden langfristig und verbindlich festlegt. etwa der E-Mail-Sicherheitsrichtlinie oder der Netzwerksicherheitsrichtlinie. das die sicherheitsbezogenen Ziele.1 124 . Diese sind: • • • • • • • • Informationssicherheitsziele und -strategien Erklärung der Leitungsebene über die Unterstützung der Ziele des Informationssicherheits-Managements (Management Commitment) Organisation und Verantwortlichkeiten für Informationssicherheit Risikoanalysestrategien. Diese Richtlinien werden in den nachgeordneten Sicherheitsrichtlinien. konkret umgesetzt. Die Informationssicherheits-Politik bildet die Basis für die Entwicklung und die Umsetzung eines risikogerechten und wirtschaftlich angemessenen Informationssicherheits-Konzeptes. Ziel dieses Abschnittes ist es. wie etwa Sicherheitsrichtlinien 5.1. Grundzüge der Business Continuity Planung Aktivitäten zur Überprüfung und Aufrechterhaltung der Sicherheit Verweise auf weitere Dokumente zum Thema Informationssicherheit. die Erarbeitung einer Informationssicherheits-Politik zu unterstützen.5 ff "Sicherheitspolitik". Das folgende Kapitel gibt eine Anleitung zur Erstellung einer derartigen Politik und legt die wesentlichen Inhalte fest. 27002 5. Strategien.

5.Eine organisationsweite Informationssicherheits-Politik hat die Aufgabe. welche Themenbereiche im Rahmen der Informationssicherheits-Politik in jedem Fall angesprochen werden sollten. ressortspezifische Informationssicherheits-Politik zu erstellen.2 Inhalte der Informationssicherheits-Politik Der folgende Abschnitt beschreibt. die Vertraulichkeit. 5. Über die angeführten Themenbereiche hinaus können organisationsspezifisch weitere wichtige Sicherheitsthemen in die Informationssicherheits-Politik aufgenommen werden. und gibt Anleitungen zur Erstellung dieses Dokumentes.2.1 Informationssicherheitsziele und -strategien 125 . Integrität und Verfügbarkeit der Information in einer Organisation sicherzustellen. schreibt aber keine Implementierung vor. Abhängig von der Unternehmensstruktur und den strategischen Zielen kann die Erstellung einer Informationssicherheits-Politik auch für kleinere Unternehmen empfehlenswert sein. Das Management unterstützt und fördert die Aktivitäten zum Informationssicherheits-Management. Die Informationssicherheits-Politik enthält ein explizites Statement des Managements über die Unterstützung der Informationssicherheitsziele (Management Commitment). Jede/r Mitarbeiter/in muss Kenntnis über die wichtigsten Inhalte der Informationssicherheits-Politik haben. Die Informationssicherheits-Politik wird offiziell verabschiedet und in Kraft gesetzt. etwa auf Behördenoder Abteilungsebene. Geltungsbereich Im Bereich der öffentlichen Verwaltung ist zumindest auf Ressortebene eine eigene. Bei Bedarf können aus dieser weitere Informationssicherheits-Politiken. Die Informationssicherheits-Politik legt Leitlinien fest. Die direkt mit Informationssicherheit beschäftigten Mitarbeiter/innen müssen im Besitz einer aktuellen Version der Informationssicherheits-Politik sein. Im Bereich der Privatwirtschaft wird die Erarbeitung einer organisationsweiten Informationssicherheits-Politik zumindest für große bis mittlere Unternehmen empfohlen. abgeleitet werden. Dabei gilt: • • • • • Die Informationssicherheits-Politik wird als schriftliches Dokument erstellt und bildet die Grundlage des Informationssicherheits-Managements.

1.bezugnehmend auf die spezifischen Aufgaben und Projekte . Dies erfordert: • • • • • • • • Vertraulichkeit der verarbeiteten Informationen Einhaltung aller Gesetze.ISO Bezug: 27002 6. die öffentliche Verwaltung im Allgemeinen Hohe Verlässlichkeit des Handelns. Integrität und/oder Verfügbarkeit)? . Vollständigkeit und Authentizität der Informationen (Integrität der IT) Rechtzeitigkeit (Verfügbarkeit der Daten und Services) Sicherung der investierten Werte Sicherstellung der Kontinuität der Arbeitsabläufe Reduzierung der im Schadensfall entstehenden Kosten (Schadensvermeidung und Schadensbegrenzung) Gewährleistung des besonderen Prestiges Neben diesen eher allgemein gültigen Zielen sind die organisationsspezifischen Sicherheitsziele . Richtigkeit und Rechtzeitigkeit.1 Schritt 1: Festlegung der wesentlichen Informationssicherheitsziele Im Rahmen der Erstellung der Informationssicherheits-Politik sind zunächst die spezifischen Sicherheitsziele der Organisation zu erarbeiten. die mit dieser Politik erreicht werden sollen. Zur Präzisierung dieser Ziele sind nützlicherweise folgende Fragen zu stellen: • • 126 Welche Informationen sind besonders schützenswert? Welche Auswirkungen hätte eine gravierende Verletzung der Sicherheit dieser Informationen (Verlust von Vertraulichkeit. Verträge und Regelungen (etwa des Datenschutzgesetzes. insbesondere in Bezug auf Vertraulichkeit. Beispiele für solche Ziele sind: • • • Gewährleistung der Erfüllung von aus gesetzlichen Vorgaben resultierenden Anforderungen Gewährleistung des Vertrauens der Öffentlichkeit in die betroffene Organisation bzw. von SLAs und Normen) Korrektheit.zu formulieren. des Informationssicherheitsgesetzes.

Eine organisationsweite Informationssicherheits-Politik kann und soll lediglich eine High-Level-Beschreibung der gewählten Strategien beinhalten. Detailbeschreibungen sind Aufgabe der nachgeordneten Sicherheitsrichtlinien.2 Management Commitment 127 . wie die definierten Sicherheitsziele erreicht werden können. Beispiele für Strategien für das Informationssicherheits-Management sind: • • • • • • • eine klare Zuordnung aller Verantwortlichkeiten im InformationssicherheitsProzess die Einführung eines QM-Systems die Entwicklung von Sicherheitsrichtlinien für die wichtigsten Systeme. Services und Anwendungen die Etablierung eines organisationsweiten Incident Handling Plans Orientierung an internationalen Richtlinien und Standards Informationssicherheit als integraler Bestandteil des gesamten Lebenszyklus eines IT-Systems die Förderung des Sicherheitsbewusstseins aller Mitarbeiter/innen.2. Integrität oder Verfügbarkeit dieser Informationen ab? Welche essentiellen Aufgaben der betreffenden Organisation können bei Kompromittierung dieser Informationen nicht mehr durchgeführt werden? Welche essentiellen Aufgaben der betreffenden Organisation können ohne ITUnterstützung nicht mehr durchgeführt werden? Schritt 2: Festlegung des angestrebten Sicherheitsniveaus In diesem Schritt ist festzulegen. 5. welches Sicherheitsniveau in Bezug auf • • • Vertraulichkeit Integrität und Verfügbarkeit angestrebt werden soll.• • • Welche wesentlichen Entscheidungen hängen von der Genauigkeit. Schritt 3: Ausarbeitung von Strategien für das InformationssicherheitsManagement Die Sicherheitsstrategie legt fest.

6. Weiters werden für diesen Bereich durch das IKT-Board verbindliche Regelungen zur IKT-Sicherheit vorgegeben.durchaus auch von mehreren Personen wahrgenommen werden können. Gremien. Struktur und Aufgaben .3 Organisation und Verantwortlichkeiten für Informationssicherheit ISO Bezug: 27002 6.abhängig von der Größe und den Sicherheitsanforderungen einer Organisation . die . In diesem Fall ist auf eine genaue Trennung der Kompetenzen und Verantwortlichkeiten Bedacht zu nehmen.ISO Bezug: 27002 6. ist es erforderlich.spezifisch festzulegen und in der Informationssicherheits-Politik festzuschreiben. um Rollen handelt.entsprechend ihrer Größe. Auf der Ebene der Bundesverwaltung ist zusätzlich in jedem Ressort die Person einer/eines Informationssicherheitsbeauftragten gemäß Informationssicherheitsgesetz einzurichten. 5. die im Folgenden näher beschrieben werden. dass eine Person eine dieser 128 .1. Zentrale Aufgaben im Informationssicherheits-Management-Prozess übernehmen dabei • • • • das Informationssicherheits-Management-Team die IT-Sicherheitsbeauftragten (zur Wahl der Bezeichnung s.3 Um eine Berücksichtigung aller wichtigen Aspekte und eine effiziente Erledigung sämtlicher anfallender Aufgaben zu gewährleisten. Dazu zählen insbesondere die Unterstützung der Ziele und Prinzipien der Informationssicherheit und die Erklärung ihrer Übereinstimmung mit den Geschäftszielen und -strategien. Es ist zu betonen. Die Organisation des ISM ist für jede Institution .3 Die Leitungsebene soll im Rahmen der Informationssicherheits-Politik ein klares Bekenntnis zur Bedeutung der Informationssicherheit für die Institution abgeben.2. Genauso ist es möglich. unten) die Bereichs-IT-Sicherheitsbeauftragten und die Applikations-/Projektverantwortlichen.1.1.2. die Rollen und Verantwortlichkeiten aller in den Informationssicherheits-Prozess involvierten Personen klar zu definieren. dass es sich bei diesen Funktionen bzw.

3 Die/der IT-Sicherheitsbeauftragte ist die zentrale Ansprechperson für alle Informations. die Gesamtverantwortung für die Informationssicherheit verbleibt aber bei dieser Person.und Sensibilisierungsveranstaltungen die Gewährleistung der Informationssicherheit im laufenden Betrieb sowie die Verwaltung der für Informationssicherheit zur Verfügung stehenden Ressourcen. auf die speziellen Aufgaben und Anforderungen der betreffenden Organisation abgestimmte Beschreibung ist im Rahmen der organisationsweiten Informationssicherheits-Politik zu geben. Nachfolgend werden die wichtigsten typischen Aufgaben und Verantwortlichkeiten dieser Funktionen bzw. Die/der IT-Sicherheitsbeauftragte kann einzelne Aufgaben delegieren. um diese Rolle gegenüber der Rolle der/des Informationssicherheitsbeauftragten gemäß Informationssicherheitsgesetz abzugrenzen.Rollen zusätzlich zu anderen Aufgaben übernimmt.als auch des Privatwirtschaftsbereiches eingeführten Begriff handelt. 5. Anmerkung: Die Bezeichnung "IT-Sicherheitsbeauftragte/r" für die Person einer/ eines zentralen Sicherheitsverantwortlichen wurde zum einen gewählt.3. Zu den Pflichten der/des IT-Sicherheitsbeauftragten gehören: • • • • • die verantwortliche Mitwirkung an der Erstellung des InformationssicherheitsKonzeptes die Gesamtverantwortung für die Realisierung der ausgewählten Sicherheitsmaßnahmen die Planung und Koordination von Schulungs. So könnte beispielsweise ein Systemadministrator als Bereichs-IT-Sicherheitsbeauftragte/r für dieses System agieren. Gremien kurz beschrieben.1. Gesetz zukommen. Dabei ist aber unbedingt darauf zu achten. Eine detaillierte. zum anderen. der/dem ganz spezifische Aufgaben lt. dass ausreichend Zeit für die sicherheitsrelevanten Tätigkeiten zur Verfügung steht und es zu keinen Kollisionen von Verantwortlichkeiten oder Interessen kommt.2. 129 .1 Die/der IT-Sicherheitsbeauftragte ISO Bezug: 27002 6.und IT-Sicherheitsfragen innerhalb einer Organisation und trägt die fachliche Verantwortung für diesen Bereich. weil es sich um einen in vielen Institutionen sowohl des Behörden.

Der Funktion der/des IT-Sicherheitsbeauftragten kommt eine zentrale Bedeutung zu.3 130 .3. dass die/der IT-Sicherheitsbeauftragte sowie ein/e Vertreter/in der IT-Anwender/innen dem Informationssicherheits-Management-Team angehören.also auch bei kleinen Organisationen . eventuell zusätzlich zu anderen Aufgaben.3 Das Informationssicherheits-Management-Team ist verantwortlich für die Regelung der organisationsweiten Informationssicherheitsbelange sowie für die Erarbeitung von Plänen.1. Vorgaben und Richtlinien zur Informationssicherheit. 5. Daher sollte diese Rolle in jedem Fall .2. zugeordnet sein.3.2.3 Die Bereichs-IT-Sicherheitsbeauftragten ISO Bezug: 27002 6. Zusammensetzung des Teams: Die genaue Festlegung der Zusammensetzung sowie der Aufgaben und Verantwortlichkeiten des Informationssicherheits-Management-Teams haben im Rahmen der Informationssicherheits-Politik zu erfolgen.definiert und klar einer Person.1. Generell ist zu empfehlen. Zu den Aufgaben des Teams zählen typischerweise: • • • • • • die Festlegung der Informationssicherheitsziele der Organisation die Entwicklung einer organisationsweiten Informationssicherheits-Politik Unterstützung und Beratung bei der Erstellung des InformationssicherheitsKonzeptes die Überprüfung des Konzeptes auf Erreichung der Informationssicherheitsziele die Förderung des Sicherheitsbewusstseins in der gesamten Organisation sowie die Festlegung der personellen und finanziellen Ressourcen für Informationssicherheit.2 Das Informationssicherheits-Management-Team ISO Bezug: 27002 6. 5.

1. Bereichs-IT-Sicherheitsbeauftragte zu definieren. 5. können diese von einer einzelnen Person oft nicht mehr abgedeckt werden. Wenn mehrere unterschiedliche Systemplattformen zum Einsatz kommen.3.oder Projektverantwortlichen zählen insbesondere • • • • die Festlegung der Sicherheits. Ein Bereich kann beispielsweise ein IT-System oder eine Betriebssystemplattform sein. 131 .und Qualitätsanforderungen der Applikation bzw. Daher wird es in vielen Fällen empfehlenswert sein. des Projekts die Klassifizierung der verarbeiteten Daten. auch eine Zuordnung nach Abteilungen oder Betriebsstandorten ist denkbar.2. Diese haben die fachliche Verantwortung für alle IT-Sicherheitsbelange in einem bestimmten Bereich. Zu den Aufgaben einer/eines Bereichs-IT-Sicherheitsverantwortlichen zählen • • • • • • die Mitwirkung bei den ihren/seinen Bereich betreffenden Teilen des Informationssicherheits-Konzeptes die Erarbeitung eines detaillierten Plans zur Realisierung der ausgewählten Sicherheitsmaßnahmen die Umsetzung dieses Plans die regelmäßige Prüfung der Wirksamkeit und Einhaltung der eingesetzten Sicherheitsmaßnahmen im laufenden Betrieb Information der/des IT-Sicherheitsbeauftragten über bereichsspezifischen Schulungsbedarf sowie Meldungen an die/den IT-Sicherheitsbeauftragten bei sicherheitsrelevanten Ereignissen.Die Komplexität moderner IT-Systeme erfordert zur Gewährleistung eines angemessenen Sicherheitsniveaus tief gehende Systemkenntnisse.3 Für jede IT-Anwendung und jedes IT-Projekt ist die fachliche Gesamtverantwortung und damit auch die Verantwortung für deren Sicherheit klar festzulegen.4 Applikations-/Projektverantwortliche ISO Bezug: 27002 6. Zu den Aufgaben einer/eines Applikations. die Vergabe von Zugriffsrechten sowie organisatorische und administrative Maßnahmen zur Gewährleistung der ITSicherheit in der Projektentwicklung und im laufenden Betrieb.

Informationssicherheitsgesetz) klassifizierten Informationen die Berichterstattung darüber an die Informationssicherheitskommission Behebung von erkannten Mängeln Sicherheitsüberprüfung von betroffenen Personen gemäß §3 Abs.2. 1 Z1 und 2 Informationssicherheitsgesetz.3. Die/der Informationssicherheitsbeauftragte ist Mitglied der Informationssicherheitskommission. Ebenso sind die Rechte und Pflichten von externen Personen. der Informationssicherheitsverordnung und der sonstigen Informationssicherheitsvorschriften die periodische Überprüfung der Sicherheitsvorkehrungen für den Schutz von (lt.2. Jede/r Mitarbeiter/in. 132 .1.1. 5. falls erforderlich. Aufgaben der/des Informationssicherheitsbeauftragten sind: • • • • • • • die Überwachung der Einhaltung der Bestimmungen des Informationssicherheitsgesetzes.3 Sicherheit ist nicht ausschließlich Angelegenheit der damit per Definition betrauten Personen. 5. Lieferanten und Vertragspartnern festzulegen. des Bundesministers des jeweiligen Ministeriums in Angelegenheiten der Informationssicherheit sowie Erstattung von Verbesserungsvorschlägen.6 Weitere Pflichten und Verantwortungen im Bereich Informationssicherheit ISO Bezug: 27002 6. Information der Bundesministerin bzw.5 Die/der Informationssicherheitsbeauftragte ISO Bezug: 27002 6.3.Neben den oben beschriebenen Rollen gibt es im Bereich der Bundesverwaltung eine spezielle. auch wenn sie/er nicht direkt in den Bereich Informationssicherheit involviert ist.3 Auf Ressortebene sind gemäß Informationssicherheitsgesetz Informationssicherheitsbeauftragte zu bestellen. per Gesetz festgelegte Rolle: die/den Informationssicherheitsbeauftragte/n. muss ihre/seine spezifischen Pflichten und Verantwortlichkeiten im Rahmen der Informationssicherheit kennen und erfüllen.

7 Informationssicherheit und Datenschutz ISO Bezug: 27002 6.4 Auch wenn die Einrichtung einer/eines Datenschutzbeauftragten gesetzlich nicht gefordert ist (vgl.2. Im folgenden Abschnitt werden die wichtigsten Punkte. 15.3.3.4 Risikoanalysestrategien.1. Dazu wird in einer Risikoanalyse das Gesamtrisiko ermittelt. Es ist aber zu betonen.Im Rahmen der organisationsweiten Informationssicherheits-Politik sind daher auch die Aufgaben und Verantwortlichkeiten folgender Personenkreise zu definieren: • • • • • Management/Behördenleitung ("Sicherheit als Managementaufgabe") Datenverarbeitungs(DV)-Entwicklung und technischer Support Dienstnehmer/innen Leasingpersonal. ist es sinnvoll. Datenschutzgesetz (DSG 2000)). in Organisationen. dass die Gesamtverantwortung für die Datenschutzbelange bei der Geschäftsführung verbleibt und nicht delegiert werden kann.2. dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird. In der Informationssicherheits-Politik sollen die Risikoanalysestrategie der Organisation sowie das akzeptable Restrisiko festgelegt werden.2 Methodisches Risikomanagement ist zur Erarbeitung eines vollständigen und organisationsweiten Informationssicherheits-Konzeptes unerlässlich. 133 . die im Rahmen der Informationssicherheits-Politik zum Thema Risikoanalyse festgelegt werden sollten. Weiters ist die Vorgehensweise bei der Akzeptanz von außergewöhnlichen Restrisiken zu definieren. Um Risiken zu beherrschen. ist es zunächst erforderlich sie zu kennen und zu bewerten. 5. Details zur Risikoanalyse sind in Abschnitt Risikoanalyse enthalten. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken ISO Bezug: 27002 4.1. DSG 2000 verarbeitet werden. aufgeführt. externe Mitarbeiter/innen Lieferanten und Vertragspartner 5. dieses Risiko so weit zu reduzieren. in denen personenbezogene Daten lt. die datenschutzbezogenen Aufgaben zu konzentrieren und die erforderlichen Tätigkeiten zuzuordnen. Ziel ist es.

dass der Grundschutzlevel für die vorhandenen Geschäftsprozesse und IT-Systeme möglicherweise nicht angemessen sein könnte. Bei hohem Schutzbedarf können wahlweise Grundschutzmaßnahmen eingesetzt oder eine detaillierte Risikoanalyse durchgeführt werden. Detaillierte Risikoanalyse: Für alle Geschäftsprozesse und die sie unterstützenden IT-Systeme wird eine detaillierte Risikoanalyse durchgeführt. Der Nachteil liegt darin. Diese Methode gewährleistet die Auswahl von effektiven und angemessenen Sicherheitsmaßnahmen. Dies erlaubt eine schnelle und effektive Auswahl von grundlegenden Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung eines angemessenen Schutzniveaus. Bei normalem Schutzbedarf wird von einer pauschalisierten Gefährdungslage ausgegangen. Besteht sehr hoher Schutzbedarf. so sind die betroffenen Geschäftsprozesse und IT-Systeme einer detaillierten Risikoanalyse zu unterziehen. Diese Vorgehensweise spart Ressourcen und führt schnell zu einem relativ hohen Niveau an Sicherheit.Schritt 1: Festlegung der anzuwendenden Risikoanalysestrategie Man kann drei Varianten zur Risikoanalysestrategie einer Organisation unterscheiden: • Grundschutzansatz: Unabhängig von den tatsächlichen Sicherheitsanforderungen werden für alle IT-Systeme Standardsicherheitsmaßnahmen ("Grundschutzmaßnahmen") eingesetzt. dessen Abdeckung wirtschaftlich nicht mehr vertretbar wäre. ausgehend von den Geschäftsprozessen. Diese Option kombiniert die Vorteile des Grundschutzansatzes mit denen einer detaillierten Risikoanalyse und stellt heute die allgemein empfohlene Vorgehensweise dar. • Schritt 2: Festlegung des akzeptablen Restrisikos Nach Durchführung aller ausgewählten Sicherheitsmaßnahmen verbleibt im Allgemeinen ein Restrisiko. die sie unterstützenden Systeme und die verarbeiteten Informationen ermittelt. der Schutzbedarf für die einzelnen Prozesse. In der Informationssicherheits-Politik sind diese akzeptablen Restrisiken so exakt wie möglich zu quantifizieren. o. 134 . benötigt jedoch viel Zeit und Aufwand.) durchgeführt werden kann. • Kombinierter Ansatz: In einem ersten Schritt wird in einer Schutzbedarfsfeststellung (High Level Risk Analysis). auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. so dass auf eine detaillierte Risikoanalyse verzichtet und eine Grundschutzanalyse (s.

sowie die Verantwortlichkeiten dafür festzulegen. 5. gespeicherten und übertragenen Informationen in Bezug auf ihre Vertraulichkeit und die Datenschutzanforderungen ist wesentliche Voraussetzung für die spätere Auswahl adäquater Sicherheitsmaßnahmen.5. In der Sicherheitspolitik sind • • das Vorgehen bei Risiken.2.2.1 Definition der Sicherheitsklassen ISO Bezug: 27002 7. die Österreich im Einklang mit völkerrechtlichen Regelungen erhalten hat".Schritt 3: Festlegung der Vorgehensweise zur Akzeptanz von außergewöhnlichen Restrisiken Verbleibt nach Durchführung aller im Sicherheitsplan vorgesehenen Maßnahmen ein Restrisiko. Daher sind in der Informationssicherheits-Politik entsprechende Sicherheitsklassen zu definieren und weiters die Verantwortlichkeiten für die Durchführung der Klassifizierung festzulegen. welche Auswirkungen ein Missbrauch der Information auf die Institution haben kann. 5.1 Festlegung von Klassifizierungsstufen bzgl.2. so besteht in begründeten Ausnahmefällen die Möglichkeit einer bewussten Akzeptanz des erhöhten Restrisikos.5 Klassifizierung von Informationen ISO Bezug: 27002 7.2 Die Klassifizierung der verarbeiteten. Vertraulichkeit (Vertraulichkeitsklassen) Die Vertraulichkeitsklassen können als Maß dafür gesehen werden. das höher ist als das generell akzeptable und dessen weitere Reduktion technisch nicht möglich oder unwirtschaftlich wäre. die in Abweichung von der generellen Sicherheitspolitik in Kauf genommen werden sollen. Informstionssicherheitsgesetz gesetzlich festgelegt für "klassifizierte Informationen. 135 . Im Bereich der Bundesverwaltung sind die unten angeführten hierarchischen Klassen definiert. Diese Klassen sind lt.

soweit gesetzlich nicht anderes bestimmt ist. • • • • EINGESCHRÄNKT: Die unbefugte Weitergabe der Informationen würde den in Art. STRENG GEHEIM: Die Informationen sind geheim und ihr Bekannt werden würde überdies eine schwere Schädigung der in Art. [Anmerkung: Alle mit Aufgaben der Bundes-.] VERTRAULICH: Die Informationen stehen nach anderen Bundesgesetzen unter strafrechtlichem Geheimhaltungsschutz und ihre Geheimhaltung ist im öffentlichen Interesse gelegen. Aus Gründen der Kompatibilität wird die Anwendung des genannten Schemas in denjenigen Bereichen. Nicht-klassifizierte Informationen werden nachfolgend auch als "OFFEN" bezeichnet. in denen nicht zwingende Gründe für ein anderes Klassifizierungsschema bestehen. Allerdings werden Organisationen der Privatwirtschaft. im wirtschaftlichen Interesse einer Körperschaft des öffentlichen Rechts. auch die leichtfertige Einstufung in eine zu hohe Vertraulichkeitsklasse ist zu vermeiden. sofern es nicht bereits diesbezügliche Regelungen gibt. 20. Nicht nur die Einstufung in eine zu niedrige Vertraulichkeitsklasse ist mit potentiellen Gefahren verbunden. da etwa die Behandlung von geheimen Daten durchwegs mit erheblichem Aufwand verbunden ist. im Allgemeinen mit weniger Klassen (meist 3 oder 4) das Auslangen finden. Landes. der umfassenden Landesverteidigung. GEHEIM: Die Informationen sind vertraulich und ihre Preisgabe würde zudem die Gefahr einer erheblichen Schädigung der in Art.. zur Verschwiegenheit über alle ihnen ausschließlich aus ihrer amtlichen Tätigkeit bekannt gewordenen Tatsachen verpflichtet. Abs. sofern sie nicht besonders strenge Sicherheitsanforderungen haben. 3 BVG genannten Interessen zuwiderlaufen. 3 B-VG genannten Interessen schaffen. 20. dass die Klassifizierung der Daten sehr sorgfältig vorzunehmen ist. zur Vorbereitung einer Entscheidung oder im überwiegenden Interesse der Parteien geboten ist (Amtsverschwiegenheit). der auswärtigen Beziehungen. .HINWEIS: Im Sinne der Kompatibilität und Einheitlichkeit erscheint diese Klassifizierung auch für andere Daten im Bereich der Bundesverwaltung sinnvoll. deren Geheimhaltung im Interesse der Aufrechterhaltung der öffentlichen Ruhe. in ihrer Informationssicherheits-Politik eine für ihre Zwecke adäquate Definition von Vertraulichkeitsklassen vorzunehmen. Ordnung und Sicherheit. Abs. 20. empfohlen.. 3 B-VG genannten Interessen wahrscheinlich machen. 136 .und Gemeindeverwaltung betrauten Organe sowie die Organe anderer Körperschaften des öffentlichen Rechts sind. In den übrigen Verwaltungsbereichen und in der Privatwirtschaft ist es jeder Organisation überlassen. Im Rahmen der Informationssicherheits-Politik sollte darauf hingewiesen werden. Abs.

so sind die Daten auch dahingehend zu klassifizieren.Klassifizierung von Daten in Bezug auf Datenschutz Werden personenbezogene Daten verarbeitet. Deklassifizierung erfolgt und wie klassifizierte Information gekennzeichnet wird.2. wer die Klassifizierung der Daten vorzunehmen hat. 5. Dies kann in den einzelnen Organisationen unterschiedlich sein und auch von IT-System zu IT-System differieren.1 Im Rahmen der Informationssicherheits-Politik ist generell festzulegen. von jener Person in der Organisation. Als allgemeine Richtlinie kann gelten.2 Festlegung der Verantwortlichkeiten und der Vorgehensweise für klassifizierte Informationen ISO Bezug: 27002 7.als auch für den privatwirtschaftlichen Bereich. deren Identität bestimmt oder bestimmbar ist.5. PERSONENBEZOGEN: Angaben über Betroffene (Anmerkung ad Betroffene: Jede vom Auftraggeber verschiedene natürliche oder juristische Person oder Personengemeinschaft. Weiters ist festzulegen.2. von der diese Information stammt. • • NUR INDIREKT PERSONENBEZOGEN: Der Personenbezug der Daten kann mit rechtlich zulässigen Mitteln nicht bestimmt werden. • 5. politische Meinungen. religiöse oder philosophische Überzeugungen. oder.5. SENSIBEL: Daten über rassische und ethnische Herkunft. wenn diese keine eindeutigen Vorgaben gemacht hat. Gewerkschaftszugehörigkeit. Die/der für die Information verantwortliche Mitarbeiter/in wird oft als "Dateneigner" oder "Data Owner" bezeichnet. dass die Klassifizierung einer Information von jener Person vorzunehmen ist. Gesundheit oder Sexualleben von natürlichen Personen. die diese Information von außen erhält.3 Erarbeitung von Regelungen zum Umgang mit klassifizierten Informationen 137 . in welcher Form die Klassifizierung bzw.2. Die nachfolgende Klassifizierung gemäß Datenschutzgesetz (DSG 2000) gilt sowohl für den Behörden. deren Daten verwendet werden).

folgende Fragen behandelt werden: • • • • • • • • • Kennzeichnung klassifizierter Information (sowohl elektronischer als auch nichtelektronischer) Verwahrung klassifizierter Information (Zugriffsberechtigungen. die Verfügbarkeit der wichtigsten Applikationen und Systeme innerhalb eines definierten Zeitraumes zu gewährleisten sowie Vorkehrungen zur Schadensbegrenzung im Katastrophenfall zu treffen ("Gewährleistung eines kontinuierlichen Geschäftsbetriebes").2 5. durch wen) Backup (Klartext. in dem u. chiffriert.a. durch wen) Weitere Informationen zum Umgang mit klassifizierten Informationen siehe Kapitel 7.2 Ziel der Business Continuity Planung ist es.6 Klassifizierung von IT-Anwendungen und IT-Systemen. Grundzüge der Business Continuity Planung ISO Bezug: 27002 7. durch wen.2. 138 . Schutz der Backup-Medien) Aufbewahrung / Wiederverwendung / Vernichtung von Datenträgern mit klassifizierter Information Weitergabe klassifizierter Information (an wen. Versendung durch Post oder Kurier. so empfiehlt sich die Erarbeitung eines eigenständigen Dokumentes. Werden in einer Organisation häufig klassifizierte Informationen verarbeitet und gespeichert. über welche Verbindungen.2 In diesem Schritt ist festzulegen. elektronische Übertragung.2. etwaige Vorschriften zur Verschlüsselung) Übermittlung klassifizierter Information (mündliche Weitergabe. persönliche Weitergabe. wie die Information in Abhängigkeit von den Sicherheitsklassen zu behandeln ist.2.ISO Bezug: 27002 7. Vorschriften zur Verschlüsselung) Registrierung klassifizierter Information Ausdruck klassifizierter Information (auf welchem Drucker. unter welchen Bedingungen) Deklassifizierung klassifizierter Information (wann.

Die Sicherung wird an einen externen Ort ausgelagert. Es ist ein Datenverlust bzw. Die IT-Anwendung kann bei technischen Problemen erst nach deren Behebung am ursprünglichen Produktivsystem in Betrieb genommen werden. ein Datenverlust ist auszuschließen. Nachfolgend ein Beispiel für ein solches Klassifizierungsschema – basierend auf den Katastrophenvorsorge. Zusätzlich zu den vier genannten Kategorien ist noch die Zusatzqualität „K-Fall sicher“ definiert. Eine Behinderung in der Wahrnehmung der Aufgaben der betroffenen Verwaltungsstelle entsteht durch den Ausfall bzw. KPlanung).Dabei wird unterschieden zwischen der Aufrechterhaltung der Betriebsverfügbarkeit im Fall von Störungen oder Bedienungsfehlern (im Folgenden auch als Business Contingency Planung bezeichnet) sowie der Gewährleistung eines Notbetriebes und des geordneten Wiederanlaufs im Katastrophenfall (Katastrophenvorsorge. Betriebsverfügbarkeitskategorie 3 – Redundante Infrastruktur: Die Infrastruktur für die IT-Anwendung ist derart ausgelegt. welche auch die Anforderungen in Katastrophenfällen berücksichtigt: • K-Fall sicher (K2 bis K4): Die IT-Anwendung ist derart konzipiert. dass ein Wiederaufsetzen eines definierten Notbetriebes in der Zero-Risk-Umgebung umgehend möglich ist. dass bei Ausfall einer IT-Komponente der Betrieb durch redundante Auslegung ohne Unterbrechung fortgesetzt werden kann. Dazu werden die Daten je nach Aktualisierungsgrad laufend in die Zero-Risk-Umgebung transferiert und der Betrieb der IT-Anwendung derart gestaltet. dass zumindest ein Notbetrieb in einer Zero-Risk-Umgebung möglich ist. 139 . so dass bei Betriebsunterbrechung des einen Standortes die IT-Anwendung uneingeschränkt am zweiten Standort weiter betrieben werden kann. Betriebsverfügbarkeitskategorie 4 – Redundante Standorte: Die IT-Infrastruktur sowie die darauf aufsetzende IT-Anwendung ist auf zwei Standorte verteilt. Die Business Continuity Planung selbst ist nicht Bestandteil der InformationssicherheitsPolitik. Betriebsverfügbarkeitskategorie 2 – Offline Sicherung: Es sind die gängigen Sicherungsmaßnahmen für die IT-Anwendung vorgesehen. Ausfall der IT-Anwendung unbestimmter Dauer denkbar.und Ausfallssicherheitsüberlegungen im IT-Bereich des Bundeskanzleramtes [K-Fall]: • • • • Betriebsverfügbarkeitskategorie 1 – Keine Vorsorge (unkritisch): Für die IT-Anwendung werden keine besonderen Vorkehrungen getroffen. sondern muss in den entsprechenden weiteren Aktivitäten erfolgen. Datenverlust nicht. Im Rahmen der Informationssicherheits-Politik sind die Verfügbarkeitsklassen für IT-Anwendungen und die diesen Anwendungen zugrunde liegenden IT-Systeme sowie der darauf verarbeiteten oder gespeicherten Informationen zu definieren.

140 .1 Abschließend sollte ein Verweis auf die wichtigsten Dokumente zum Informationssicherheits-Management (Sicherheitsrichtlinien. dass bei ihrer Erstellung alle wesentlichen Kräfte der Organisation beteiligt werden und das Dokument mit Vertreterinnen/ Vertretern aller Beteiligten bzw. Es ist daher wichtig. Betroffenen abgestimmt wird.1 Die Informationssicherheits-Politik soll von allen Mitarbeiterinnen/Mitarbeitern getragen werden.7 Überprüfung und Aufrechterhaltung der Sicherheit ISO Bezug: 27002 5.2.8 Dokumente zur Informationssicherheit ISO Bezug: 27002 5.3 Life Cycle der Informationssicherheits-Politik 5.1. 5. organisatorische Regelungen …) gegeben werden.1.3.1. 5. Informationssicherheit im laufenden Betrieb kontinuierlich zu überprüfen und aufrechtzuerhalten.1.2 Informationssicherheit ist kein durch einmalige Anstrengungen erreichbarer und dann unveränderbarer Zustand.1 Erstellung der Informationssicherheits-Politik ISO Bezug: 27002 5. Wirksamkeit und Ordnungsmäßigkeit der eingesetzten Maßnahmen sowie deren Übereinstimmung mit der Informationssicherheits-Politik und dem Informationssicherheits-Konzept vorgeben. Die Informationssicherheits-Politik muss daher Leitlinien und Kennzahlen zur Bewertung der Sicherheit hinsichtlich Angemessenheit. Umfassendes InformationssicherheitsManagement beinhaltet vielmehr auch die Aufgabe. Für nähere Informationen und für Klassifizierungsbeispiele siehe 14.2. Informationen über spezielle Sicherheitsmaßnahmen oder -systeme.In Summe ergibt eine derartige Einstufung die Verfügbarkeitsklassen 1 bis 4 und K2 bis K4.1 Definition von Verfügbarkeitsklassen 5. Die Zusatzoption „K-Fall sicher“ in Verbindung mit Betriebsverfügbarkeitskategorie 1 ist nicht sinnvoll.

1.3. Im Allgemeinen wird dies.3. .). Weiters sollen Vertreter/innen folgender Bereiche an der Erstellung der organisationsweiten Informationssicherheits-Politik mitarbeiten bzw. Dazu sollten in der Folge die für die einzelnen Personengruppen wichtigsten Richtlinien und Vorgaben der Informationssicherheits-Politik zusammengefasst und jeder/jedem Betroffenen in schriftlicher Form zur Kenntnis gebracht werden. bekannt sein.Zunächst ist eine verantwortliche Person für die Erstellung der Informationssicherheits-Politik zu nominieren. in Kraft gesetzt und jedem Mitarbeiter/jeder Mitarbeiterin zur Verfügung gestellt. 5. soweit bereits definiert. Geheimhaltungsverpflichtungen von externen Personen. also allen Mitarbeiterinnen/Mitarbeitern der Organisation. die/der IT-Sicherheitsbeauftragte sein. 5. aber auch etwa externen Mitarbeiterinnen/Mitarbeitern und Lieferanten.1 Die Informationssicherheits-Politik wird von der Leitung der Organisation offiziell verabschiedet..2 Offizielle Inkraftsetzung der Informationssicherheits-Politik ISO Bezug: 27002 5.3 Regelmäßige Überarbeitung 141 .. Ergänzungen zu Dienstverträgen. dass sie die volle und für jede/n Beteiligte/n sichtbare Unterstützung durch das Management erhält. sind das Einverständnis mit diesen Vorgaben und die Kenntnis der daraus erwachsenden Verpflichtungen auch durch eine Unterschrift bestätigen zu lassen (etwa Verpflichtung auf das Datengeheimnis. Wesentliche Voraussetzung für eine erfolgreiche Implementierung und Umsetzung der Informationssicherheits-Politik ist. in den Abstimmungsprozess miteinbezogen werden: • • • • • • • IT-Abteilung Anwender/innen Bereichs-IT-Sicherheitsbeauftragte Personalabteilung Gebäudeverwaltung und Infrastruktur Revision Budgetabteilung Die wesentlichen Inhalte der Informationssicherheits-Politik müssen allen Betroffenen und Beteiligten. Wo nötig.

Kommt es jedoch zwischenzeitlich zu gravierenden Änderungen im ITSystem.1. dennoch ist auch sie regelmäßig auf ihre Aktualität und Übereinstimmung mit den tatsächlichen Anforderungen zu überprüfen und bei Bedarf entsprechend anzupassen. 142 . Als Richtwert hierfür kann ein Zeitraum von zwei bis drei Jahren angesehen werden.2 Zwar stellt die Informationssicherheits-Politik ein langfristiges Dokument dar. in der Organisationsstruktur oder in den Bedrohungen. Im Allgemeinen wird sie bei der für die IT-Sicherheit beauftragten Person liegen.ISO Bezug: 27002 5. nach dem die Informationssicherheits-Politik spätestens überprüft und aktualisiert werden sollte. Die Verantwortung dafür ist dezidiert festzulegen. so ist eine sofortige Überarbeitung der Informationssicherheits-Politik in die Wege zu leiten.

Sie initiiert und steuert den Informationssicherheits-Prozess innerhalb der Organisation. dass alle Geschäftsbereiche zielgerichtet und ordnungsgemäß funktionieren und dass Risiken frühzeitig erkannt und minimiert werden. dass die Management-Ebene die Sicherheitsmaßnahmen auch selbst vorbildlich lebt. je nach Organisationsform und Geschäftsbereich. Ob Informationssicherheit erreicht und erhalten wird.1 In der Folge werden zunächst die Grundsätze und Maßnahmen des Informationssicherheits-Managements innerhalb der Organisation dargestellt. Folgendes zu veranlassen: 143 .1.1 Management . hängt also weitgehend vom Engagement und der Unterstützung des Managements ab.1 Interne Organisation ISO Bezug: 27002 6. Kontrolle und Weiterentwicklung der Informationssicherheitsmaßnahmen sowie Etablierung und Pflege von Kontakten zu Behörden. in verschiedenen Regelwerken festgelegt sein. Letztlich kommt es aber auch darauf an. Abgesehen von der Bereitstellung dafür notwendiger finanzieller und personeller Ressourcen müssen klare Ziele und Richtlinien vorgegeben und die jeweiligen Rollen und Verantwortlichkeiten festgesetzt werden. 6. 6. Sie übernimmt die Gesamtverantwortung für Informationssicherheit.1. Dies kann auch.Verantwortung ISO Bezug: 27002 6.1 Die oberste Management-Ebene jeder Behörde und jedes Unternehmens ist dafür verantwortlich. Mit der steigenden Abhängigkeit der Geschäftsprozesse von der Informationstechnik steigen auch die Anforderungen. Dazu hat die Management-Ebene die Aufgabe. dass die Informationssicherheit nach innen und außen gewährleistet ist. • • • Die Management-Ebene wird über mögliche Risiken und Konsequenzen aufgrund mangelhafter Informationssicherheit informiert. Sicherheitsexperten und Interessensgruppen.6 Organisation Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 6 ff " ". Voraussetzung dafür ist eine aktive Rolle der ManagementEbene bei Implementierung.

• • • • • • • • Ermitteln der Sicherheitsrisiken für die Organisation und die Informationen sowie damit verbundene Auswirkungen und Kosten.1. Erarbeitung.Gremien ISO Bezug: 27002 6. Identifikation von Informationssicherheits-Zielen.1. Überprüfung und Genehmigung der Informationssicherheits-Politik. Die Verantwortung für Informationssicherheit verbleibt auch dort. dass sie in allen Bereichen mit den verfügbaren Ressourcen (Personal. Integration der Maßnahmen in die Prozesse der Organisation. um die Wirksamkeit der Maßnahmen der Informationssicherheits-Politik zu überprüfen. Dabei ist eine intensive Beteiligung der Führungsebene im "Managementprozess Informationssicherheit" erforderlich. Zeit. Letztere bieten zusätzlich zum Fachlichen bei der notwendigen Sensibilisierung auch den Nutzen. Finanzmittel) erreichbar sind. Hilfestellungen kann die Management-Ebene dabei von branchentypischen Standard-Vorgehensweisen zur Informationssicherheit und externen Beratern/ Beraterinnen erhalten. Darstellung der Auswirkungen von Sicherheitsvorfällen auf die kritischen Geschäftsprozesse.1 Die Management-Ebene muss den Sicherheitsprozess initiieren. Etablierung von Mechanismen.1. steuern und kontrollieren. die Aufgabe "Informationssicherheit" wird allerdings typischerweise an eine/n IT-Sicherheitsbeauftragte/n delegiert.1 Zusammenwirken verantwortliches Management Mitarbeiter/innen . die sich aus gesetzlichen und vertraglichen Vorgaben ergeben. Die Management-Ebene muss allerdings die Informationssicherheitsziele so definieren. dass bisweilen den Aussagen unbeteiligter Dritter mehr Gewicht bemessen wird als denen eigener Kollegen/ Kolleginnen. 144 . Darstellung der Sicherheitsanforderungen. Etablierung von Mechanismen. [Q: BSI-Standard 100-2] 6. um das Informationssicherheits-Niveau aufrecht zu erhalten.

Nur so kann das Informationssicherheits-Management sicherstellen. der Sicherheitsprozess muss aber von allen Beschäftigten in einer Organisation mitgetragen und mitgestaltet werden. Die Management-Ebene übernimmt auch im Bereich Informationssicherheit eine Vorbildfunktion. Dies enthebt die Management-Ebene jedoch nicht von ihrer Verantwortung. Der/Die IT-Sicherheitsbeauftragte braucht hierbei erfahrungsgemäß die volle Unterstützung der Management-Ebene. Daher sollten diese die Management-Ebene über mögliche Risiken und Konsequenzen aufgrund mangelhafter Informationssicherheit regelmäßig informieren. Geschäftsprozessen und IT von der Management-Ebene häufig als Bringschuld der IT. Fachverfahren und Projekte integriert wird. dass Informationssicherheit in alle relevanten Geschäftsprozesse bzw. Die Leitungsebene trägt zwar die Verantwortung für die Erreichung der Sicherheitsziele. Die Gesamtverantwortung für Informationssicherheit verbleibt bei der obersten Management-Ebene. Die Management-Ebene trägt die Verantwortung für Prävention und Behandlung von Sicherheitsrisiken. [Q: BSI-Standard 100-2] 145 . die die Entscheidung über den Umgang mit Risiken trifft und die entsprechenden Ressourcen zur Verfügung stellen muss. Idealerweise sollten dabei folgende Prinzipien eingehalten werden: • • • • • Die Initiative für Informationssicherheit geht von der Management-Ebene aus. um unter dem überall herrschenden Erfolgsdruck von den jeweiligen Fachverantwortlichen in jede wesentliche Aktivität eingebunden zu werden. dass keine untragbaren Risiken bestehen und Ressourcen an der richtigen Stelle investiert werden. Die Management-Ebene benennt die für Informationssicherheit zuständigen Mitarbeiter/innen und stattet diese mit den erforderlichen Kompetenzen und Ressourcen aus. speziell wenn es bereits zu einem Sicherheitsvorfall gekommen ist. Die oberste Management-Ebene ist somit diejenige Instanz. Abhängig von Größe und Struktur der Organisation kann dies durch bestehende oder speziell eingerichtete Managementorgane oder -gremien umgesetzt werden. Allerdings wird rechtzeitige Information über mögliche Risiken beim Umgang mit Informationen. vor allem dass sie selbst die vorgegebenen Sicherheitsregeln beachtet. Die Management-Ebene muss sich dafür einsetzen. Dementsprechend sind die Zuständigkeiten und Verantwortlichkeiten bezüglich Informationssicherheitsthemen zu klären.oder Sicherheitsexperten gesehen. Die Aufgabe "Informationssicherheit" wird durch die Management-Ebene aktiv unterstützt. dass sie von solchen Informationen umfassend und rechtzeitig erreicht wird.

Benutzern/Benutzerinnen. Risikomanagement. Administratoren.2 Koordination ISO Bezug: 27002 6. Wenn nötig sollten auch Fachexperten (Recht. wenn kein Einklang mit der Informationssicherheits-Politik erstellbar ist. Aktivitäten im Rahmen einer solchen Zusammenarbeit sind: • • • • • • • Abgleichen der Sicherheitsaktivitäten mit der Informationssicherheits-Politik. Identifikation von bestehenden oder sich verändernden Bedrohungen. Abstimmung und Beschlusslagen für die erforderlichen Maßnahmen.1. Bewertung der Eignung und Wirksamkeit der Sicherheitsmaßnahmen. Meistens umfasst die Koordination der Informationssicherheit die Zusammenarbeit von Managern/Managerinnen.1. hängt selbstverständlich von der Größe. 146 .und Schulungsmaßnahmen für Informationssicherheit.2 Um das angestrebte Sicherheitsniveau zu erreichen. Personalwesen) eingebunden werden. Diese Rollen werden dann qualifizierten Mitarbeitern/ Mitarbeiterinnen zur Ausführung übertragen. Zumindest sollte es jedoch eine/einen Sicherheitsbeauftragten als zentralen Ansprechpartner für die Koordination des InformationssicherheitsProzesses geben.6. Dazu sind Rollen innerhalb der Organisation festzulegen und diesen entsprechende Aufgaben zuzuordnen. muss der Informationssicherheits-Prozess organisationsweit umgesetzt werden. Maßnahmen. Schlussfolgerungen und Verbesserungsmaßnahmen aus Informationssicherheits-Vorfällen (in der eigenen oder auch anderen Organisationen) Wie viele und welche Personen mit Informationssicherheit befasst sind. Schaffung und Förderung von Awareness und Etablierung von Ausbildungs. denen die Informationen und informationsverarbeitenden Einrichtungen ausgesetzt sind.Damit können alle wichtigen Aspekte berücksichtigt und die Aufgaben effizient und effektiv erledigt werden. Beschaffenheit und Struktur der jeweiligen Organsiation ab. Entwicklern sowie Auditoren und Sicherheitspersonal.

3 Organisation und Verantwortlichkeiten für Informationssicherheit [Q: BSI-Standard 100-2] 6. Umgekehrt sollten natürlich alle Mitarbeiter/innen wissen. sollten diese Rollen als Stabsstelle organisiert sein. Um den direkten Zugang zur obersten Management-Ebene sicherzustellen. Der/Die Sicherheitsbeauftragte soll direkt einem/einer für Informationssicherheit verantwortlichen Manager/Managerin berichten. Die Fachverantwortlichen als die "Eigentümer" von Informationen und Anwendungen müssen sicherstellen. der/die Leiter/in IT zusammen mit dem Informationssicherheits-Management für die Ausarbeitung von Sicherheitsvorgaben für die IT-Komponenten.1. es sei denn. Anwendungen und IT-Komponenten sowie für deren Sicherheit verantwortlich ist.3 Definierte Verantwortlichkeiten für Informationssicherheit ISO Bezug: 27002 6.1. kann ein IS-Management-Team aufgebaut werden. Hierfür sollte immer eine konkrete Person (inklusive Vertreter/ in) und keine abstrakte Gruppe benannt werden.Gibt es . Es regelt die übergreifenden Belange der Informationssicherheit und arbeitet Pläne. für welche Informationen. Beispielsweise ist die Leitungsebene der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei der Einführung einer neuen Anwendung.3 Um zu einer umfassenden Gesamtsicherheit zu gelangen.mehrere befasste Personen.etwa in größeren Organisationen . es ist explizit anders geregelt. Jede/r Mitarbeiter/in ist dabei für das verantwortlich. dass 147 . wer für Informationen. damit die Zuständigkeit jederzeit deutlich erkennbar ist. Unbeschadet davon ist jede/r Mitarbeiter/in für die Aufrechterhaltung der Informationssicherheit an seinem/ihrem Arbeitsplatz und in seiner/ihrer Umgebung verantwortlich. die Administratoren für deren korrekte Umsetzung und die Benutzer/innen für den sorgfältigen Umgang mit den zugehörigen Informationen. ist die Beteiligung aller Mitarbeiter/innen einer Organisation an der Umsetzung der notwendigen Sicherheitsmaßnahmen erforderlich.2. Vorgaben und Richtlinien aus. Anwendungen und IT-Komponenten sie in welcher Weise verantwortlich sind. was in seinem/ihrem Einflussbereich liegt. Anwendungen und Systemen. Es muss festgelegt werden. Bei komplexeren Informationen. Siehe dazu auch : 5. Anwendungen und ITKomponenten sollten alle Verantwortlichen und deren Vertreter/innen namentlich genannt sein.

Siehe dazu auch : 5. Die Regelung muss den gesamten Lebenszyklus der jeweiligen Komponente umfassen. täglich. USB-Sticks. Anwendungen und ITKomponenten geregelt ist Abweichungen.225] 6. PDA's.2. Installation und Benutzung von Komponenten wie auch etwa externen Laufwerken. schriftlich dokumentiert werden Die Fachverantwortlichen müssen zusammen mit dem InformationssicherheitsManagement entscheiden. wie mit eventuellen Restrisiken umgegangen wird.und Kompatibilitätstest Freigabe Installation Lizenzverwaltung Deinstallation . welche die Informationssicherheit gefährden. Installation und Betrieb von informationsverarbeitenden Komponenten aller Art muss koordiniert und genehmigt sein. also je nach Eigenschaften und Sicherheitsrelevanz: • • • • • • • 148 Erstellung eines Anforderungskataloges Auswahl eines geeigneten Produktes Funktions. B. Anwendungen und IT-Komponenten korrekt festgestellt wurde die erforderlichen Sicherheitsmaßnahmen umgesetzt werden dies regelmäßig (z. Zugriff zu den Informationen. Mobiltelefonen und Software. wöchentlich. monatlich) überprüft wird die Aufgaben für die Umsetzung der Sicherheitsmaßnahmen klar definiert und zugewiesen werden der Zugang bzw.1.3 Organisation und Verantwortlichkeiten für Informationssicherheit [Q: BSI-Katalog M 2.4 Benutzungsgenehmigung für Informationsverarbeitung ISO Bezug: 27002 6.1.4 Beschaffung. Dies betrifft die geregelte Abnahme.• • • • • • der Schutzbedarf der Informationen. Freigabe.

wenn sie auch Geschäftsinformationen verarbeiten sollen (weit verbreitet sind Kalender und Telefonlisten auf PDA's bzw. Statt dessen müssen exakte Policies ihrer Verwendung und notwendiger Maßnahmen (etwa Verschlüsselung) definiert und umgesetzt werden. sowie 12. Die Installation und Benutzung nicht freigegebener IT-Komponenten muss verboten und die Einhaltung dieses Verbotes regelmäßig kontrolliert werden. wer der Eigentümer der Information ist. bis 12.1. Auch nach der Erstinstallation von Komponenten müssen diese weitergepflegt werden. Da sie praktisch sind und in vielen Fällen von der ManagementEbene benutzt werden. Konfigurationsanleitungen erarbeitet werden.3.3.1 Mobile IT-Geräte Jedenfalls muss vor Genehmigung von den Komponenten bekannt sein: • • • • ihre Funktionstüchtigkeit ihre Sicherheitseigenschaften mögliche durch ihren Einsatz entstehende Sicherheitsrisiken allfällige Einsatzbedingungen.• Entsorgung / Vernichtung Notwendigkeit zur Koordination und Genehmigung betrifft auch Wartungsaktivitäten an bestehenden sicherheitsrelevanten Einrichtungen.11 Deinstallation von Software. sind generelle Verbote ihres Einsatzes zunehmend schwieriger umzusetzten.7. Siehe dazu auch : • • • • 12. die Benutzer/ innen in deren Anwendung zu schulen. Mobiltelefonen): Diese können erhebliche Schwachstellen bedeuten.1. weiters ist bei diesen dann oft unklar. wenn sich Änderungen auf die Sicherheit des Gesamtsystems auswirken könnten.6 (ff) Testen von Software.1 Nutzungsverbot nicht-freigegebener Software. zu erarbeitende Installationsanweisungen Während des Genehmigungsverfahrens sollten außerdem Installationsbzw. Siehe dazu auch: 11.2 Nutzungsverbot privater Hard. Ebenfalls muss die allfällige Verwendung von persönlichen oder privaten Informationsverarbeitungs-Einrichtungen geregelt werden. in denen auch alle sicherheitsrelevanten Einstellungen dokumentiert sind. und 12.216] 149 .und Software-Komponenten [Q: BSI-Katalog M 2. Vor der Inbetriebnahme neuer Komponenten sind (sofern erforderlich) die Administratoren bzw.

150 . diese entsprechend zu behandeln. B. Hierüber sind Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) abzuschließen. die vertraulich behandelt werden müssen. Aus diesem Grund muss sie den geltenden Gesetzen und Bestimmungen für die Organisation in dem speziellen Einsatzbereich entsprechen und diese berücksichtigen.5 Vertraulichkeitsvereinbarungen ISO Bezug: 27002 6. sollten diese neben der Vertraulichkeitsvereinbarung auch die ITSicherheitsrichtlinien für die Nutzung der jeweiligen IT-Systeme unterzeichnen. ob die Vertraulichkeit für unbeschränkten Zeitraum sicherzustellen ist welche Aktionen bei Beendigung dieser Vereinbarung vorgenommen werden müssen. dass externe Mitarbeiter/innen Zugang zur organisationsinternen ITInfrastruktur haben. Vernichtung oder Rückgabe von Datenträgern wie die Eigentumsrechte an Informationen resp.1. in welche Gerichtsbarkeit die Vertraulichkeitsvereinbarung fällt. Eine Vertraulichkeitsvereinbarung bietet die rechtliche Grundlage für die Verpflichtung externer Mitarbeiter/innen zur vertraulichen Behandlung von Informationen.1. Haftungen. Sie muss klar formuliert sein und aktuell gehalten werden.6. z. geistigem Eigentum geregelt sind welche Verwendung der Informationen zulässig ist allfällige Kontrollrechte des Urhebers bzw. der überlassenden Organisation allfällige Regelungen für den Gebrauch und die Weitergabe von vertraulichen Informationen an weitere Partner.5 Externe Mitarbeiter/innen oder Subunternehmen benötigen und erhalten häufig für die Erfüllung ihrer Aufgaben Zugang zu vertraulichen Informationen oder erzielen Ergebnisse. In diesen Fällen müssen sie rechtlich bindend verpflichtet werden. etwa Pflicht zur Überbindung der Vertraulichkeitsvereinbarung welche Konsequenzen bei Verletzung der Vereinbarung eintreten. In dem Fall. In der Vertraulichkeitsvereinbarung kann auch auf die relevanten Sicherheitsrichtlinien und weitere Richtlinien der Organisation hingewiesen werden. etwa Strafzahlungen bzw. In einer Vertraulichkeitsvereinbarung sollte beschrieben sein: • • • • • • • • • welche Informationen vertraulich behandelt werden müssen für welchen Zeitraum diese Vertraulichkeitsvereinbarung gilt bzw. die von den externen Mitarbeitern/Mitarbeiterinnen unterzeichnet werden.

die Kontakte mit ihnen gepflegt werden. Damit wird nicht nur der eigene Wissensstand betreffend Technologien.55] 6.1. Verfahren und Kontaktlisten erstellt werden. aber auch Wasser-. Zum anderen sollten regelmäßige. generell Zugang zu Expertenwissen. Sicherheitsvorfällen oder Verdacht auf kriminelle Handlungen von entscheidender Bedeutung. der in der Regel viel umfassender ist. damit rasch und zuverlässig die richtigen Ansprechpartner kontaktiert und ggf. Dies ist eine Aufgabe des Incident Handlings (siehe dazu 13.bzw. kann die Organisation auf neue Gegebenheiten (etwa Vorschriften) angepasst werden. ggf. In solchen Gremien sind meist rasch und unkompliziert Sicherheitswarnungen und Informationen über bereits erprobte Behebungsmaßnahmen. Gefährdungen.5 Vereinbarung betreffend die Überlassung von Daten [Q: BSI-Katalog M 3.1. 151 . Muster siehe: Anhang C.6.oder Telekombetreiber) ist insbesondere bei Notfällen. resp.je nach Einsatzzweck . verschiedene Vertraulichkeitsvereinbarungen . bzw. resp. in welchen aktiv mitgearbeitet oder lediglich Ergebnisse beobachtet werden. auch informelle Beziehungen zu solchen Institutionen gepflegt werden. Weiters können über solche geeignete Gremien oder Foren neue oder zusätzliche Ansprechpartner für Problemlösungen bzw.Es kann sinnvoll sein. In diesem Fall muss klar definiert werden.6 Kontaktpflege mit Behörden und Gremien ISO Bezug: 27002 6.7 Rasche Kontaktaufnahme mit zuständigen Behörden oder Versorgungseinrichtungen (Feuerwehr. Best Practices und anderer Bereiche erhöht. sondern ein gemeinsamer Wissensstand mehrerer Partner aufgebaut. Polizei. welche Vereinbarung für welche Fälle notwendig ist. Expertengremien.1. einen Überblick über passende Gremien und Interessensgruppen zu haben und zu entscheiden.1. zu bekommen.4 Alarmierungsplan). Arbeits. Dazu ist es sinnvoll. Damit können beispielsweise Vorsorgemaßnahmen vorab abgestimmt oder relevante Neuerungen bekanntgegeben werden. Daher sollen zum einen rechtzeitig Pläne.zu verwenden. eingewiesen werden können. Elektrizitäts und Gasversorgungsunternehmen sowie Internet. Produkten. Behandlung von Sicherheitsvorfällen gefunden werden. Aufsicht. 6. Sinnvoll ist auch die Teilnahme oder Mitgliedschaft in Interessens-.

dass sensible Informationen auch gegenüber Gremien oder Kontaktpersonen geschützt bleiben müssen. 152 . 6. Leitungen.1.Allerdings ist zu beachten. und bleibt nicht ohne Weiteres dauerhaft bestehen. Büros. Entweder dürfen sie also nicht verwendet werden.7 Unabhängige Audits der Sicherheitsmaßnahmen ISO Bezug: 27002 6. mit einer einzelnen Maßnahme erreicht.1. Software neue oder veränderte Infrastrukturen (Gebäude. Netzwerke) veränderte Organisationen (Outsourcing) neue Mitarbeiter/innen in Schlüsselpositionen oder: neue oder veränderte Gefährdungen (Nachbarfirmen mit Gefährdungspotenzialen) neue Angriffstechnologien veränderte Vermögenswerte und damit neuer Schutzbedarf Kenntnis von neuen Schwachstellen bereits eingetretene Sicherheitsvor. Organisation.8 Das angestrebte Sicherheitsniveau wird in der Regel nicht auf einmal bzw. Infrastruktur und Umfeld sind immer wieder Änderungen unterworfen. Terminverzug bei der Umsetzung von Sicherheitsmaßnahmen. oder es müssen geeignete Vertraulichkeitsvereinbarungen abgeschlossen werden.oder Schadensfälle aber auch: Planungsänderungen. Dies umfasst: • • • • • • • • • • • • neue Geschäftsprozesse neue Anwendungen neue Hard-.

insbesondere bei Änderungen in der Organisation. konfiguriert sind ob Auswertungen (etwa von Protokollen) tatsächlich durchgeführt werden und Auffälligkeiten beachtet werden 153 . Ressourceneinsatz und Kosten zu prüfen.Prüfziel und Prüfzweck: Dies erfordert die regelmäßige Überprüfung (Audit) aller Sicherheitsmaßnahmen. Ziel der Prüfung ist nicht Überwachung der Mitarbeiter/innen als Selbstzweck oder gar deren Bloßstellung. Termintreue. Solche Prüfungen sollten: • • • vom Management initiiert und begleitet sein regelmäßig durchgeführt werden (zumindest einmal pro Jahr) aber auch zwischenzeitlich und unangekündigt erfolgen. Sie sollte durch eine weitgehend unabhängige und kompetente Stelle (Revisionsabteilung oder spezialisierte externe Gutachter) erfolgen: • • • damit nicht nur die unternehmenseigene Sichtweise zum Tragen kommt die Ergebnisse nicht angezweifelt werden können und die Gelegenheit zum Einbringen zusätzlicher Expertise genutzt werden kann. die am Sicherheitskonzept mitgewirkt haben. Durchführung der Prüfungen: Die laufenden Umsetzungsaktivitäten selbst sind hinsichtlich Umsetzungsstatus. wirksam. sondern: • • • • Suche nach und Eliminierung von Fehlerquellen. dokumentiert) und auch gelebt werden. inwieweit sie umgesetzt sind (vorhanden. ob die Sicherheitsmaßnahmen gemäß Sicherheitskonzept umgesetzt sind oder werden ob technische Maßnahmen korrekt implementiert bzw. Schwachstellen und Mängeln Abgleich. Keinesfalls sollten Personen als Prüfer tätig sein. aktuell und vollständig sind ob bzw. Geprüft werden die Maßnahmen laut Sicherheitskonzept: • • • ob damit die angestrebten Sicherheitsziele erreicht werden können ob sie zum Zeitpunkt der Prüfung noch umsetzbar.

dass das Management regelmäßig über Verlauf. andererseits darf kein Bereich ungeprüft bleiben. Daher muss ihnen der Nutzen dargestellt und allfällige Ängste vor Schuldzuweisungen genommen werden.• • • • • • • Erkennen von schwachen oder nicht wirksamen Sicherheitsmaßnahmen von nicht eingehaltenen Sicherheitsanweisungen und den Ursachen dafür von neuen oder veränderten Bedrohungen Anpassungsbedarf für das Sicherheitskonzept bzw. die zeitlich bzw. Jedenfalls ist dem Management ein Prüfbericht vorzulegen: • • 154 Was wurde jeweils im Einzelnen geprüft und von wem Was war die Prüfgrundlage (z. Basis für die Prüfung sind primär Sicherheitspolitik. Solche dürfen nur von autorisierten Personen verwendet werden und sind selbst vor Missbrauch zu schützen. Selbstverständlich muss dafür gesorgt sein. die Sicherheitsziele zu erreichen. ob nicht wirtschaftlichere Maßnahmen möglich sind) Schlußfolgerungen aus Sicherheitsvorfällen Verhindern. entsprechende Vertraulichkeitsvereinbarungen abgeschlossen werden. dass sich Sicherheitsvorfälle wiederholen Aufzeigen von Verbesserungs. Dies gilt insbesondere auch für eingesetzte Prüfwerkzeuge. dass sensible Informationen geschützt bleiben müssen bzw.B.und Korrekturmaßnahmen Wesentlich für den Erfolg der Prüfung im Sinne eines Verbesserungspotenzials ist die Akzeptanz und Offenheit seitens aller Beteiligter. was auf Grund der Ergebnisse der Prüfung geschehen soll. wenn sich die Information auch aus Quellen der normalen Tätigkeit gewinnen lässt). Immerhin bedeutet sie eine Zusatzbelastung für die Mitarbeiter/innen. bisweilen auch räumlich ausreichend unterzubringen ist. Fortschritt. Es sollte einerseits auf Effizienz geachtet werden (etwa Vermeiden unnötiger ad-hoc Listen und Aufstellungen. Maßnahmen auf Grund der Prüfergebnisse: Es ist vorab zu definieren. Die Durchführung der Prüfung muss vom Management wie jedes andere Projekt koordiniert und begleitet werden. Sicherheitskonzept und dokumentierte Sicherheitsmaßnahmen. Auch hier ist darauf zu achten. Sicherheitsmaßnahmen. vorläufige Erkenntnisse und allfällige Probleme der Prüfung informiert wird. Norm) . Sicherheitskonzept. (Eignung. Ansonsten würden womöglich bekannte Schwachstellen oder gar Vorfälle verschwiegen oder heruntergespielt.

Kommunikationsionfrastrukturanpassung Zu jeder festgestellten Abweichung soll eine Verbesserungsmaßnahme vorgeschlagen werden . welche Konsequenzen zu ziehen bzw.inklusive Zeitpunkt. auf Basis der Ergebnisse entsprechende Verbesserungsmaßnahmen einzuleiten.199] 155 . Schließlich entscheidet die Management-Ebene auf Basis der Prüfergebnisse. Verbesserungsmaßnahmen einzuleiten sind. umgesetzt und ihrerseits wieder überprüft werden. um angemessene Konsequenzen einzuleiten. Werden unzulässige Aktivitäten von Mitarbeitern/Mitarbeiterinnen entdeckt.• • • • Was war im Einzelnen das zu erreichende Prüfziel Inwieweit wurde es erreicht oder welche Abweichungen / Unregelmäßigkeiten wurden festgestellt War jeweils die Implementierung / Konfigurierung / Dokumentation korrekt Wie sind allfällig erkannte Schwachstellen / Unregelmäßigkeiten / neue Gefahren zu quantifizieren und welcher Handlungsbedarf ergibt sich daraus Es ist dann die Pflicht des Managements. zusätzliche Kontrollmechanismen. Schulungs. im Rahmen dessen die Korrekturmaßnahmen dokumentiert. Dazu wird ein Umsetzugsplan verabschiedet wobei festgehalten wird: • • • Zeitaufwand und Fertigstellungstermine Verantwortlichkeiten für die Umsetzung Zur Verfügung gestellte Ressourcen Die Umsetzung der Verbesserungsmaßnahmen ist dann Gegenstand des nächsten Audit.oder gar disziplinäre Maßnahmen Infrastruktur: Bauliche Veränderungen. Verantwortung und Ressourcen für ihre Umsetzung. Optimalerweise .bei regelmäßigen Prüfungen . veränderte Zugriffsberechtigungen Personal: Awareness-. [Q: BSI-Katalog M 2. Netzwerk-. Softwareänderungen.existiert in der Organisation ein periodischer Verbesserungsprozess. veränderte Leitungsführungen Technik: Hard-. Verbesserungsmaßnahmen abhängig von der Ursache können sein: • • • • • ISMS: Anpassung der Sicherheitspolitik oder des Sicherheitskonzepts Organisation: Abänderung organisatorischer Maßnahmen. sollte der jeweilige Vorgesetzte informiert werden.

etwa: • • • • • 156 unerwartete Sicherheitsprobleme neue Gefährdungspotenziale neue Gesetze Probleme die mit den vorgesehenen Ressourcen nicht gelöst werden können In Massenmedien dargestellte Vorfälle . daher muss die Management-Ebene darüber informiert werden. Änderungen.6. Ressourcenbedarf. diese aber nicht wiederholt werden. Jede Änderung an den Sicherheitszielen. den Implementíerungen und ím Umfeld wirkt sich auf das Sicherheitsniveau aus. Auf Aspekte. Dies gilt auch für die aktuelle Situation der Informationssicherheit.ob und inwieweit die eigene Organisation betroffen ist . sollte ggf.oder Sicherheitsvorfällen Berichte über den Status des Informationssicherheits-Prozesses (Erledigungen. ist laufend dieses laufend zu bewerten und der Informationssicherheits-Prozess zu steuern.1. Ad-Hoc Management-Berichte Im Anlassfall sollten ad-hoc Berichte erarbeitet werden. künftige Planungen) Verbesserungsvorschläge Dies sollte in regelmäßigen aber kurzen und übersichtlichen Berichten an die Management-Ebene erfolgen.8 Berichtswesen ISO Bezug: 27002 6.1. Probleme. die bereits in anderen Berichten erörtert wurden.8 Die Management-Ebene benötigt für ihre Entscheidungen aussagekräftige und aufbereitete Informationen. sondern die Eckdaten relevant: • • • • Ergebnisse von Audits und Überprüfungen Berichte von Not. Verzögerungen. Regelmäßige Management-Berichte Für die Management-Ebene sind nicht so sehr die Details. verwiesen. Die Sprache sollte auch für nicht technisch versierte Leser verständlich sein. Um deren Niveau zu halten.

Abgesehen von bloßen Kenntnisnahmen ist das Ziel solcher Berichte meist eine Entscheidung der Management-Ebene. wenn zu den aufgezeigten Punkten auch klar formulierte Vorschläge für Maßnahmen dargestellt werden .oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert und von diesen durchgeführt werden. ist nicht erheblich. dass Arbeits.1.inklusive einer Schätzung des damit verbundenen Aufwands bzw.2 Outsourcing bedeutet. Beispiele: • • • Nutzung und Betrieb von Hardware und Software Betrieb eines Rechenzentrums. 10. [Q: BSI-Katalog M 2. Ob dies in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters geschieht. die auf ihren eigenen Systemen Anwendungen für ihre Kunden betreiben.2 Zusammenarbeit mit Externen ISO Bezug: 27002 6.2. heißen Application Service Provider (ASP): • E-Mail 157 . einer Applikation.1 6.2. Ressourcenbedarfs und der jeweiligen Priorität.200] 6. Diese wird nur dann erreicht. einer Website Wachdienst Dienstleistungen mit Bezug zur IT-Sicherheit ausgelagert heißen Security Outsourcing oder Managed Security Services: • • • • ausgelagerter Firewall-Betrieb Netzwerküberwachung Virenschutz Betrieb eines Virtual Private Networks (VPN) Dienstleister.1 Outsourcing ISO Bezug: 27002 6.

Meist sind Auftraggeber und Dienstleister über das Internet oder ein VPN miteinander verbunden. Damit ergeben sich eine Reihe von potenziell höchst gefährlichen bzw.1 158 . dass die Informationssysteme und Netzwerke der eigenen Organisation und ihrer Dienstleister miteinander verbunden werden.2. besteht nach wie vor ein Trend zu verstärkter Auslagerung. Der Ablauf eigener Geschäftsprozesse wird nun vom Dienstleister gesteuert und es entsteht eine Abhängigkeit von dessen Qualität. [Q: BSI B 1. existenzgefährdenden Risiken für die auftraggebende Organisation. Eine Herausforderung für die Informationssicherheit liegt darin. Die Erwartung an Outsourcing von Geschäftsprozessen oder Produktionen sind unter Anderem: • • • • Konzentration auf Kernkompetenz (Core Business) Kostenersparnis (etwa IT-Systeme samt Personal) Entlastung eigener Ressourcen Flexibilität der Prozesse Obwohl auch einige Outsourcing-Projekte gescheitert sind. Sicherheitmaßnahmen sowie die Gestaltung vertraglicher Regelungen zwischen Auftraggeber und Dienstleister.• • • SAP-Anwendungen Archivierung Web-Shops Sind die Anwendungen Eigentum des Kunden.11] 6.2 Gefährdungen beim Outsourcing ISO Bezug: 27002 6.2. Wesentlich sind daher beim Outsourcing die Kenntnis und Behandlung der Gefährdungen bzw. spricht man von Application Hosting.

Um die jeweils existierenden Risiken quantitativ bewerten zu können. Die Entscheidung über das Auslagern einer speziellen Aktivität beeinflusst nachhaltig die strategische Ausrichtung der Organisation. Es sollten daher alle Anstrengungen unternommen werden.Die Gefährdungslage eines Outsourcing-Vorhabens ist ausgesprochen vielschichtig. die Definition ihrer Kernkompetenzen.und Datenträgertransport Unzureichendes Sicherheitsmanagement Ungeeignete Verwaltung von Zugangs.und Freigabeverfahren Ungesicherter Akten. die Ausgestaltung der Wertschöpfungskette und betrifft viele weitere wesentliche Belange eines Organisationsmanagements.und Zugriffsrechten Fehlerhafte Outsourcing-Strategie Unzulängliche vertragliche Regelungen mit einem externen Dienstleister Unzureichende Regelungen für das Ende des Outsourcing-Vorhabens Abhängigkeit von einem Outsourcing-Dienstleister Störung des Betriebsklimas durch ein Outsourcing-Vorhaben Mangelhafte IT-Sicherheit in der Outsourcing-Einführungsphase Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister Unzureichendes Notfallvorsorgekonzept beim Outsourcing Menschliche Fehlhandlungen 159 . Die Gefährdungen können parallel auf physikalischer. müssen zuvor die organisationseigenen Werte und Informationen entsprechend ihrer strategischen Bedeutung für die Organisation beurteilt und klassifiziert werden. • • • • • • • • • • • • • • • • • • Höhere Gewalt Ausfall eines Wide Area Netzwerkes Organisatorische Mängel Fehlende oder unzureichende Regelungen Unerlaubte Ausübung von Rechten Fehlendes oder unzureichendes Test. technischer und auch menschlicher Ebene existieren und sind nachfolgend in den einzelnen Gefährdungskatalogen aufgeführt. um Fehlentwicklungen der eigenen Organisation frühzeitig zu erkennen und zu verhindern.

ob und in welcher Form ein OutsourcingVorhaben umgesetzt wird. Outsourcing zieht wirtschaftliche. Phase 1: Strategische Planung des Outsourcing-Vorhabens: Schon bei der Entscheidung.2.1 Ein ausgelagerter IT-Verbund kann sowohl aus Komponenten bestehen.2.3 Outsourcing Planungs.und Betriebsphasen ISO Bezug: 27002 6. als auch aus Komponenten beim Auftraggeber.11] 6. In der Regel gibt es in diesem Fall Schnittstellen zur Verbindung der Systeme. technische. organisatorische und sicherheitsrelevante Aspekte nach sich und bedingt vorab: • 160 Unternehmensstrategie . die sich ausschließlich im Einflussbereich des Outsourcing-Dienstleisters befinden. Für jedes Teilsystem und für die Schnittstellenfunktionen muss das definierte Sicherheitsniveau gewährleistet sein. müssen die sicherheitsrelevanten Gesichtspunkte herausgearbeitet werden.oder Integritätsverlust von Daten durch Fehlverhalten Technisches Versagen Schlechte oder fehlende Authentifikation Ausfall eines Kryptomoduls Ausfall der Systeme eines Outsourcing-Dienstleisters Vorsätzliche Handlungen Missbrauch von Fernwartungszugängen Missbrauch von Administratorrechten Social Engineering Vertraulichkeitsverlust schützenswerter Informationen Integritätsverlust schützenswerter Informationen Weitergabe von Daten an Dritte durch den Outsourcing-Dienstleister [Q: BSI B 1.• • • • • • • • • • • • Vertraulichkeits.

ob Auslagerungen von Aufgaben rechtlich möglich bzw. wenn er dabei auch noch einen Gewinn lukriert.bei gleicher oder gar besserer Qualität. Im Rahmen des Outsourcing werden neue Prozesse und Arbeitsabläufe entworfen. eingeführt und durchgeführt und bewirken Änderungen des Sicherheitskonzepts und der Implementierungen. Selbstverständlich gibt es viele Fälle. Ein gewisser Know-How Transfer zum Dienstleister lässt sich (auch mit "wasserdichten" Vertraulichkeitsvereinbarungen) nicht verhindern. um festzustellen. wie bestehende IT-Systeme oder IT-Verbünde abgegrenzt und getrennt werden können. Der Dienstleister hat Zugriff auf Informationen und IT-Ressourcen der eigenen Organisation. es entsteht eine langfristige Bindung an den Dienstleister.verbunden sein kann: • • • • • • Outsourcing kann in der Regel nicht einfach rückgängig gemacht werden. Einschaltung von Aufsichtsbehörden). auf Grund von Auflagen schwierig sein werden (etwa gesetztlich festgeschriebene Kompetenzen. mitunter aber durch Auslagern mit höherem Risiko . da bei dessen Mitarbeitern/Mitarbeiterinnen entsprechendes Wissen entsteht. dass Mitarbeiter/innen oder Subunternehmer des Dienstleisters zeitweise in den Räumlichkeiten der eigenen Organisation arbeiten müssen. Datenübertragung vom und zum Dienstleister erzeugt neue Gefährdungen. Daher sollte eine Sicherheitsanalyse durchgeführt werden. • Die IT-Sicherheit sollte keinesfalls bei den strategischen Überlegungen vernachlässigt werden. etwa durch gute Auslastung großer Installationen. wieso das dem Dienstleister gelingen wird. IT-Dienstleistungen auszulagern ist die Erwartung von Kostensenkungen . Gewerbeberechtigungen. Ein häufiger Grund. Meist ist es notwendig. Es muss klar sein. Sie verliert die alleinige und vollständige Kontrolle darüber. wo dies tatsächlich möglich ist. Es muss vorab abgeschätzt werden.sowie weiteren Risiken . Routineabläufe)? Wie können weiterhin Anforderungen an die IT gestellt werden? Was geschieht mit bisher selbst entwickelten IT-Anwendungen? Wesentlich ist zunächst die Klärung. damit Teile davon ausgelagert werden können: • • IT-Strukturanalyse Schutzbedarfsfeststellung 161 . Konzessionen. dass die Verantwortung für Produkte oder Dienstleistungen bei der eigenen Organisation verbleibt.• • • • • Machbarkeitsstudie mit den Rahmenbedingungen Kosten-Nutzen-Schätzung Welche Anwendungen sollen ausgelagert werden (Kerngeschäft.

Meist wird ein zusätzliches Restrisiko bei der eigenen Orgtanisation verbleiben. Anwendungen. Es entstehen Schnittstellen zwischen den nun im Verbund wirkenden Aufgaben.• Feststellung des Handlungsbedarfs sowie der Kosten für umzusetzende Maßnahmen Bei hohem Schutzbedarf wichtiger Systeme oder Anwendungen muss eine ergänzende Sicherheitsanalyse (z. 162 . Integrität und Verfügbarkeit müssen erfolgen. Auch nach erfolgter Auswahl wird eine weitere Verfeinerung der Sicherheitsanforderungen bis hin zu den Umsetzungsschritten notwendig sein. [Q: BSI M 2. Anwendungen. Dies kann erheblichen Aufwand verursachen. müssen die wesentlichen übergeordneten Sicherheitsanforderungen für das Outsourcing-Vorhaben festgelegt werden. Diese Sicherheitsanforderungen sind die Basis für das Ausschreibungsverfahren. B. Chancen und Risiken sowie den Erfahrungen.250] Phase 2: Definition der wesentlichen Sicherheitsanforderungen: Wenn die Entscheidung zum Outsourcing gefallen ist. Diese werden zunächst beginnend mt den gewünschten Sicherheitsniveaus in den betroffenen Bereichen immer weiter verfeinert. Räume) hinsichtlich Vertraulichkeit. um dann konkret genug zu sein. Kommunikationsverbindungen. Folgende Aspekte sind in der Regel zu berücksichtigen: • • • • • • • Welches Mindestniveau (IT-Grundschutz) ist von beiden Parteien zu erfüllen? Sowohl Dienstleister wie eigene Organisation müssen über ein Sicherheitskonzept verfügen und dieses umgesetzt haben. Mit dem ausgelagerten Betrieb ergeben sich neue Sicherheitsanforderungen sowohl an den auszuwählenden Dienstleister wie auch an die eigene Organisation. Geschäftsprozessen. etwa bei länderübergreifendem Outsourcing oder wenn einer oder beide Partner weltweit tätig sind. einen geeigneten Dienstleister auszuwählen. An diese Schnittstellen müssen technische und organisatorische Sicherheitsanforderungen gestellt werden. Schließlich erfolgt die Dokumentation der Outsourcing-Strategie mit Zielen. Risikoanalyse) durchgeführt werden. Notwendige Einräumung von Zutritts. Strukturanalyse und Schutzbedarfsfeststellung (IT-Systeme. Diese müssen identifiziert und beschrieben werden.und Zugriffsrechten für den Dienstleister. Systemen. Aufzeigen der Auswirkungen relevanter Gesetze und Vorschriften.

Sicherstellung. Spezifizieren von gewünschten Verfahren für die Kontrolle und Überwachung (etwa unangekündigte Kontrollen vor Ort. Vorgaben an die Mandantenfähigkeit und ggf. Vorgaben zur Absicherung der Kommunikation zwischen Dienstleister und eigener Organisation (Verschlüsselungs. dass diese dann tatsächlich tätig sind und dass es geeignete Vertreter/innen gibt 163 . Audits . anders sein als das der eigenen Organisation) Anforderungen an die Informationssicherheit Kriterien zur Messung von Servicequalität und Sicherheit Anforderungen an die Qualifikation der Mitarbeiter/innen.251] Phase 3: Auswahl des Outsourcing-Dienstleisters: Ihr kommt eine besondere Bedeutung zu. dass sich geeignete Dienstleister bewerben.und Signaturverfahren). sind: • • • • • • • möglichst detailliertes Anforderungsprofil darauf basierendes Pflichtenheft Eine bedarfsgerechte Ausschreibung sollte enthalten: Beschreibung des Outsourcing-Vorhabens (Aufgabenbeschreibung und Aufgabenteilung) Beschreibung des geforderten Qualitätsniveaus (dieses kann ggf. durch unabhängige Dritte). Anforderungen an die Verfügbarkeit von Diensten und IT-Systemen (Service Levels.und Software (etwa keine Systeme anderer Mandanten im gleichen Raum des Dienstleisters. Lastverteilung etwa bei Web-Servern). Benennung von Sicherheitsbeauftragten beim Dienstleister). Anforderungen an die Protokollierung und Auswertung von Protokolldateien. etwa da langfristige Abhängigkeiten entstehen. Verfügbarkeit). exklusiv genutzte Hardware in Käfigen). Trennung von Hard.• • • • • • • • Beschreibung der Anforderungen an Infrastruktur. [Q: BSI M 2. Kritische Erfolgsfaktoren dafür. Organisation. Personal und Technik durch das zu erreichende Sicherheitsniveau (etwa auch Alarmierungen. Anforderungen zur Qualitätssicherung (etwa Messungen von Reaktionszeiten. Spezielle Anforderungen an Hard-/ Software (etwa zertifizierte Produkte beim Dienstleister).ggf.

das auch ein Notfallvorsorgekonzept enthält. Dabei ist es empfehlenswert. Reaktionszeiten. [Q: BSI M 2. Verwertungsrechte.253] Phase 5: Erstellung eines IT-Sicherheitskonzepts für den ausgelagerten IT-Verbund: Auftraggeber und Outsourcing-Dienstleister müssen ein detailliertes Sicherheitskonzept. [Q: BSI M 2. diese nur gegen Vertraulichkeitsvereinbarung an den sich bewerbenden Dienstleister zu übermitteln. die vereinbarten Leistungen und Ziele so genau und eindeutig wie möglich vertraglich festzuhalten.252] Phase 4: Vertragsgestaltung: Auf Basis des Pflichtenheftes muss nun ein Vertrag mit dem Partner ausgehandelt werden. In diesem Vertrag müssen auch die genauen Modalitäten der Zusammenarbeit geklärt sein: Ansprechpartner. Vorliegen von Sicherheitsüberprüfungen der Mitarbeiter/ innen des Dienstleisters Zu beachten ist. wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen. welches Personal der Dienstleister einsetzen wird (Qualifikation. erstellen. Auch die Erstellung des IT-Sicherheitskonzeptes selbst sollte Vertragsbestandteil sein. 164 .• • Bei ausländischen Dienstleistern: Festlegung der Sprache für die gemeinsame Kommunikation und Sicherstellung. dass aus detallierten Sicherheitsanforderungen Schlüsse auf die eigenen Sicherheitsmechanismen und ihre Wirksamkeit gezogen werden können. kann und sollte sich der Auftraggeber ein Mitspracherecht einräumen lassen. Sprachkenntnisse). der die gewünschten Leistungen inklusive Qualitätsstandards und Fristen im Einklang mit der vorhandenen Gesetzgebung festschreibt. Umgang mit vertraulichen Informationen. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages. Insbesondere ist zu klären. Ggf. sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden. IT-Anbindung. Sicherheitsüberprüfung. Kontrolle der Leistungen. Ausgestaltung der IT-Sicherheitsvorkehrungen. dass diese von allen befassten Mitarbeitern/ Mitarbeiterinnen (auch den eigenen) auch in Detailaspekten beherrscht wird Notwendigkeit bzw. Diese Verträge werden häufig als Service Level Agreements (SLA) bezeichnet. die aufgrund unterschiedlicher Interpretationen der beschriebenen Leistungen notwendig werden. Daher kann es notwendig sein. Weitergabe von Information an Dritte etc.

für die das "Vier-Augen-Prinzip" anzuwenden ist Hard-/Software Einsatz gehärteter Betriebssysteme.zuständig für die Netzanbindung ist in der Regel der Outsourcing-Dienstleister). Am Sicherheitskonzept des Outsourcing-Dienstleisters ist der Auftraggeber nicht direkt beteiligt. insbesondere Regelungen zum Anfertigen von Kopien und Löschen/Vernichten Festlegung von Aktionen.ggf. durch externe Dritte .und Timeservern. Jeder Beteiligte muss ein Sicherheitskonzept in seinem jeweiligen Einflussbereich erstellen und umsetzen (im Fall des Netzproviders sind die Schnittstellen relevant). Netzprovider (Anbindung zwischen den Outsourcing-Parteien . da in der Regel 3 technische Parteien beteiligt sind: • • • 1. sondern muss während der Migration stetig weiterentwickelt und konkretisiert werden. aus welchem die Sicherheit im Zusammenspiel der Einzelsysteme hervorgeht. ob es vorhanden und ausreichend ist. um Angriffe möglichst zu erschweren Einsatz von Intrusion-Detection-Systemen (IDS). sollte aber in einem Audit .Bei Outsourcing-Projekten ergeben sich viele technische und organisatorische Details erst im Laufe der Planung und der Migration der Systeme. Outsourcing-Auftraggeber 2. um Veränderungen z. um Angriffe frühzeitig zu erkennen Einsatz von Datei-Integrität-Prüfungssystemen. da während dieser mit Sicherheitsvorfällen gerechten werden muss. nach erfolgreichen Angriffen. Besondere Aufmerksamkeit ist dabei auch auf die Migrationsphase der Aufgaben und Systeme zum Dienstleister zu richten. Einige Themen und Aspekte für das OutsourcingSicherheitskonzept: Organisation • • • • • • Umgang mit Daten und schützenswerten Betriebsmitteln wie Druckerpapier und Speichermedien. zu erkennen Einsatz von Syslog. Darüber hinaus muss dann ein IT-Sicherheitskonzept für das Gesamtsystem erstellt und mit den Teilkonzepten abgestimmt werden. B. Daher wird das Sicherheitskonzept für das Outsourcing-Vorhaben in den wenigsten Fällen gleich vollständig und endgültig sein. Outsourcing-Dienstleister 3. um eine möglichst umfassende Protokollierung zu ermöglichen 165 . Sicherheitskonzepte für Outsourcing-Vorhaben unterscheiden sich in einigen Punkten von solchen für eigene Systeme.prüfen.

die auf seinen Systemen betrieben werden. Verbot von Gruppen-IDs für Personal des Dienstleisters Kommunikation • • • • • Absicherung der Kommunikation (z. Notfallvorsorgekonzepte müssen für die Systeme beim Auftraggeber. Virenschutz) Erstellen von Arbeitsanweisungen mit konkreten Anordnungen für bestimmte Fehlersituationen Konzeption von regelmäßig durchzuführenden Notfallübungen Eine besodere Problematik kann sich dadurch ergeben. beim Outsourcing-Dienstleister sowie für die Schnittstellen zwischen Auftraggeber und Dienstleister (z. um sensitive Daten zu schützen Authentisierungsmechanismen Detailregelungen für weitere Netzanbindungen Detailregelungen für den Datenaustausch Kontrollen und Qualitätssicherung Detailregelungen (z. Zuständigkeiten. Detailgrad) für Kontrollen und Messung von Sicherheit. Ansprechpartnern und Abläufen Erstellen von Detailregelungen für die Datensicherung (z. Vertretungsregelungen. Abläufen und organisatorische Regelungen Notfallvorsorge Beim Outsourcing-Betrieb ist auch die Notfallvorsorge auf unterschiedliche Parteien aufgeteilt und die IT-Komponenten sind verteilt. Daher sind genaue Anweisungen seitens des Auftraggebers erforderlich: 166 . dass das Personal des Dienstleisters meist keine inhaltlichen Kenntnisse über die Anwendungen besitzt. durch Verschlüsselung. B. Verfügbarkeit. Zeitintervalle.• • Einsatz kaskadierter Firewallsysteme zur Erhöhung des Perimeterschutzes auf Seiten des Dienstleisters Sorgfältige Vergabe von Benutzer-Kennungen. getrennte Backup-Medien für jeden Klienten. Dienstqualität. B. unangekündigte Kontrollen vor Ort. aber Fehler beheben soll oder muss. Router. B. Telekommunikationsprovider) existieren und detailliert beschreiben: • • • • Regelung und Dokumentation von Zuständigkeiten. Netzverbindung. B. elektronische Signatur) zwischen Dienstleister und Auftraggeber. Eskalationsstrategien.

83] Phase 6: Migration . ggf. angepasst werden Bei Tests in Phasen großer Arbeitsbelastung werden gerne "quick and dirty" Lösungen gewählt. [Q: BSI M 2. die deshalb einer sorgfältigen Planung bedarf. zusätzlich mit externen Experten. weil sich während der Migration der IT-Systeme und Anwendungen immer wieder neue Erkenntnisse ergeben.• • • • • wie bei Fehlern vorzugehen ist welche Aktionen erlaubt resp. die selten sehr sicher sind (z. Die kann der Dienstleister meist nicht selbst abschätzen und muss daher rechtzeitig mit dem Auftraggeber Kontakt aufnehmen. Phase 5 wird in der Regel erst nach Beendigung der Migrationsphase abgeschlossen werden können.und Einführungsphase als Teil des gesamten Vorhabens betrachtet werden: • • • in dieser Phase sind zahlreiche Betriebsfremde involviert es müssen Abläufe etabliert. Seine Größe hängt vom Vorhaben ab. In der eigenen Organisation sollte ein Sicherheitsmanagement-Team speziell für die Umstellungsphase eingerichtet werden und schon vor der Umstellung für sicheren ITBetrieb während der Migrationsphase sorgen.oder Übergangsphase. M 6. die in das IT-Sicherheitskonzept eingearbeitet werden müssen. 167 . werden Kopien von Produktionsdaten ohne weiteren Schutz verwendet).Übergang der Anwendungen und Systeme zum Dienstleister: Besonders sicherheitskritisch ist die Migrations. Aufgaben übertragen Systeme neu eingerichtet bzw. verboten sind auf welche anwendungsspezifischen Informationen zurückgegriffen werden kann ob und welche Schutzmaßnahmen für solche Informationen einzuhalten sind welche Anprechpartner beim Auftraggeber für anwendungsspezifische Probleme zur Verfügung stehen Ein weiteres Problem kann sich durch Fortpflanzung eines Anwendungsfehlers auf andere Anwendungen ergeben.B. zumindest sollte es aus einem Sicherheitsexperten bestehen und hat die Aufgaben: • Zusammenstellung eines gemischten Teams aus Mitarbeitern/Mitarbeiterinnen des Auftraggebers und des Outsourcing-Dienstleisters.254. In einem zu erarbeitenden vorläufigen Sicherheitskonzept müssen die Test.

ohne die laufenden Systeme zu vernachlässigen. Applikationen und ITSysteme des Auftraggebers. B. Sicherstellung. Anruf eines vermeintlichen Mitarbeiters bzw. Mitarbeiter/innen zu zusätzlichen Bereitschaftsdiensten heranzuziehen. Einführungsphase und den späteren Betrieb (ggf. entsteht eine Gefahr des Social Engineering (z. Festlegen der Verantwortlichkeiten für die Umstellungsphase . Einstellungen sicherheitsrelevanter Parameter . Urlaubssperren). vertragliches Mitspracherecht des Auftraggebers). Störungen durch Tests und dabei auftretende Fehler müssen einkalkuliert werden. Schulung der Mitarbeiter/innen des Auftraggebers über Abläufe und Verhalten während und nach der Umstellung. Bis sich bei allen Beteiligten die notwendige Routine. sind ggf. einer Mitarbeiterin des Sicherheitsteams des Dienstleisters). dass die vorgesehenen Mitarbeiter/innen zur Verfügun stehen (ggf. Anpassung auf neue Gegebenheuten durch das Outsourcing. Da sie dabei mit neuen und unbekannten Ansprechpartnern konfrontiert sind. Auswahl geeigneter interner Mitarbeiter/innen für die Test-. Laufende Überprüfung. Planung der Produktionsumstellung.mit klaren Führungsstrukturen und eindeutigen Ansprechpartnern auf beiden Seiten .• • • • • • Erarbeiten eines Sicherheitskonzeptes für die Umstellungsphase. Ressourcenplanung und Tests. ob durch Erkenntnisse aus der Umstellung Verträge (Service Level Agreements) oder vorgesehene Sicherheitsmaßnahmen angepasst werden müssen. • • • • In der Einführungsphase des Outsourcing-Vorhabens und der ersten Zeit des Betriebs muss dem Notfallkonzept besondere Aufmerksamkeit geschenkt werden. auf Vollständigkeit und Aktualität. Prüfung der Dokumentation.auch auf oberer Management-Ebene. ggf. Erreichbarkeitszeiten Dokumentation der Systemkonfigurationen inkl. Einweisung des Dienstleisters auf die relevanten Abläufe. beispielsweise in der Behandlung von Fehlfunktionen und sicherheitsrelevanten Vorkommnissen eingestellt hat. Planung und Durchführung der erforderlichen Tests und Abnahmeprozeduren. Nach der Umstellung / Migration muss das Sicherheitskonzept auf Basis der Erfahrungen und Änderungen während der Umstellungsphase aktualisiert werden: • • • 168 Konkrete Darstellung aller Sicherheitsmaßnahmen Ansprechpartner und Zuständigkeiten mit Namen und notwendigen Kontaktdaten. die der Dienstleister übernehmen soll.

Gweschäftsprozesse durch den OutsourcingDienstleister sind Maßnahmen zur Gewährleistung der IT-Sicherheit im laufenden Betrieb notwendig und müssen bereits im Vorfeld . Kontrollbedarf entstehen allerdings Besonderheiten: • • • Regelmäßige Aktualisierungen von Richtlinien und Dokumentationen Regelmäßige Überprüfungen der Sicherheitskonzepte aller Beteiligten.255] Phase 7: Planung und Sicherstellen des laufenden Betriebs: Nach Übernahme der Systeme bzw. Sicherheit (z. personelle/organisatorische Änderungen.bzw. B. Die einzelnen Aufgaben unterscheiden sich zwar nicht grundsätzlich vom Betrieb innerhalb der eigenen Organisation. B. ob sie noch aufeinander abgestimmt sind und das gewünschte Sicherheitsniveau gewährleisten Auswirkungen von Änderungen im Einflussbereich des Dienstleisters und Information darüber an den Auftraggeber Im Rahmen des ausgelagerten Betriebs sind weiters durchzuführen: Regelmäßige Kontrollen • • • • • • • • Durchführung der vereinbarten Audits Umsetzungsstand der vereinbarten Sicherheitsmaßnahmen Wartungszustand von Systemen und Anwendungen Rechtezuweisung durch den Dienstleister Einsatz von Mitarbeitern/Mitarbeiterinnen.inklusive Notfall und Eskalationsszenarien . Qualitätsniveau Datensicherung Regelmäßige Abstimmungen Informationsaustausch zwischen den Partnern über mögliche Auswirkungen auf die Dienstleistung bzw. geplante Projekte. Verfügbarkeit.• Schulungen für das Personal auf den Regelbetrieb [Q: BSI M 2. Gesetzesänderungen. durch die Verteilung auf mehrere Partner und zusätzlichem Abstimm. Dies sollte in einem OursourcingBetriebskonzept erfolgen. die dem Auftraggeber nicht gemeldet wurden.geplant worden sein. z. Vertretungen Performance. vorgesehene Tests und Systemänderungen) 169 .

256] 170 . Ausweitung des Dienstleistungsportfolios. Software. gestiegener Ressourcenbedarf) Regelmäßige Übungen und Tests • • • Reaktion auf Systemausfälle (Teil.• • • • Information über aufgetretene Probleme wechselseitiges Feedback und Aufzeigen von Verbesserungspotenzialen Motivation der Mitarbeiter/innen (etwa positive Beispiele einer gelungenen Kooperation) Änderungswünsche (Hardware. Wiedereinspielen von Datensicherungen Beherrschung von Sicherheitsvorfällen [Q: BSIM 2.oder Totalausfälle) Wiederanlauf.

und Kommunikationsdienste. in einem Verzeichnis aufzulisten. Hardware. Kommunikationsnetze) erhoben. Protokolle. wie zB Ruf und Image der Organisation.1. 7.1. Zuerst werden geschäftskritische Informationen und Anwendungen ermittelt und die betroffenen IT-Systeme.h. Handbücher. Betriebsmittel. zu identifizieren.. d. Das heißt vereinfacht: Alles was für eine Organisation einen Wert darstellt. Anwendungssoftware) c) Gebäude. Vereinbarungen. Verfahrensanleitungen. Räume. Dokumentationen. Datenträger d) Rechen.7 Vermögenswerte und Klassifizierung von Informationen Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 7 ff "Management von Vermögenswerten". Die folgenden Maßnahmen sollen die Vermögenswerte der Organisation schützen. Räume und Netze erfasst. Dazu ist es zunächst notwendig. sie zu klassifizieren. Schulungsunterlagen. Einrichtungen. Checklisten.) b) Software (System-. Versorgungseinrichtungen e) Mitarbeiter / Mitarbeiterinnen mit ihren Qualifikationen und Erfahrungen f) Immaterielle Werte. Anwendungen.1 Vermögenswerte Unter Vermögenswerten sind gemäß ISO 27002 ganz allgemein zu verstehen: • • • • • • a) Informationen (Daten. jeweils dazu eine/n Eigentümer/in /sowie Verantwortliche/n zu benennen und Regeln für den sicheren Umgang damit aufzustellen. Fahrzeuge. [Q: CASES Leitfaden "Klassifikation"] 7. Pläne. Forschungsergebnisse. IT-Systeme..1 Inventar der Vermögenswerte (Assets) mittels Strukturanalyse ISO Bezug: 27002 7. Verträge. 171 .1 Mittels Strukturanalyse werden die Geschäftsprozesse und die dafür benötigten Assets (Informationen.

Oft lassen sich dann die Anwendungen anhand der betrachteten IT-Systeme leichter ermitteln. jedes Objekt einzeln zu erfassen. Stattdessen sollten Objekte zu Gruppen zusammengefasst werden. wenn als Datenquellen bereits aktuelle Datenbanken oder Übersichten vorhanden und nutzbar sind (z. 172 .B. zunächst die IT-Systeme zu erheben. Allerdings ist es dabei schwierig. Netzplanerhebung Dabei ist es oft nicht zweckmäßig ist. das Konfigurationsmanagement oder die Gestaltung von Geschäftsprozessen). haben den gleichen Schutzbedarf. ähnlichen administrativen und infrastrukturellen Rahmenbedingungen unterworfen. Erhebung von IT-Systemen. sie dienen ähnlichen Anwendungen. wenn sie folgende Ähnlichkeiten aufweisen: • • • • • • vom gleichen Typ.klassische Vorgehensweise ist. Erfassung der baulichen Gegebenheiten. für die Inventarisierung. zuerst die Anwendungen und ausgehend davon die weiteren betroffenen Objekte zu ermitteln. Es kann daher auch zweckmäßig sein. abstrakte Anwendungen losgelöst von konkreten technischen Komponenten zu erfassen. IT-Systeme am gleichen Switch). Erhebung von Datenträgern und Dokumenten. Aktivitäten für eine Strukturanalyse: • • • • • Erfassung Geschäftsprozesse. Anwendungen und Informationen im Geltungsbereich.B. ähnlich konfiguriert. ähnlich in das Netz eingebunden (z. Damit wird die Strukturanalyse hinsichtlich Datenmenge und Komplexität handhabbar. Eine weitere Vereinfachung des Vorgangs kann sich ergeben.

welche Geschäftsprozessen und Fachaufgaben in Organisationen (z.Gruppierung Bei technischen Komponenten wird durch konsequente Gruppenbildung auch die Administration wesentlich vereinfacht wird. können auch Server zu Gruppen zusammengefasst werden). wo viele Server die gleiche Aufgaben wahrnehmen. Ein wichtigste Beispiel ist die Zusammenfassung von Clients. andererseits der optimalen Effizienz zu optimieren. Unternehmen) unterstützen. Für die geeignete Granularität ist zwischen einerseits einer für die Feststellung des Schutzbedarfs nötige Detaillierung. Durch eine möglichst hohe Standardisierung innerhalb einer IT-Umgebung wird außerdem die Zahl potentieller Sicherheitslücken reduziert. jeder Fachaufgabe im Geltungsbereich sind die damit zusammenhängenden Anwendungen und Informationen zu identifizieren. die für die betrachteten Geschäftsprozesse oder Fachaufgaben erforderlich sind und ein jedenfalls ein Mindestniveau an: • • • Geheimhaltung (Vertraulichkeit) oder Korrektheit und Unverfälschtheit (Integrität) oder Verfügbarkeit 173 .Grundschutz auf den BSI-Webseiten.1. Behörden. Eine ausführliche Version des Beispiels findet sich in den Hilfsmitteln zum IT. Abgesehen von der zuvor beschriebenen Gruppenbildung beschränkt sich die Strukturanalyse auf Anwendungen und Informationen. In der Regel gibt es in einer Orgtanisation viele Clients.1. Überdies können damit auch Kosten gespart werden. [Q: BSI-Standard 100-2] 7. Bei allen Teilaufgaben sollten jeweils Objekte zu Gruppen zusammengefasst werden.1.Ausgehend von jedem Geschäftsprozess bzw.1 Anwendungen sind Verfahren. wenn dies sinnvoll und zulässig ist. Die Teilaufgaben der Strukturanalyse werden nachfolgend beschrieben und durch ein begleitendes Beispiel erläutert. Sicherheitsmaßnahmen für einen solchen Bereich können ohne Unterscheidung verschiedenster Schwachstellen umgesetzt werden.1 Erfassung Geschäftsprozessen. weil es dann nur wenige Grundkonfigurationen gibt. in großen Informationsverbünden.B. die sich jedoch gemäß obigem Schema in eine überschaubare Anzahl von Gruppen aufteilen lassen (Dies gilt analog auch für Räume und andere Objekte. Anwendungen und Informationen ISO Bezug: 27002 7. Eine Stichprobe aus einer Gruppe repräsentiert dann in der Regel den Sicherheitszustand der Gruppe.

Für Datenschutzbeauftragte / IT Sicherheitsbeauftragte: Vermerk. Schließlich wird noch ermittelt.1.ggf. • • • • Es ist also für jede Fachaufgabe festzustellen..EinzelplatzSystemen. pro erfasster Anwendung: • • • • Zwecks spätere Zuordnungensollten die Anwendungen durchnummeriert werden. sollten bei der Erfassung der Anwendungen die Benutzer bzw.erfordern. Wurden alternativ zuerst die IT-Systeme erfasst. die für die Anwendung bzw.mitunter mobilen . IT-Abteilungen und Anwendungsverantwortlichen. welche Netzkomponenten welche Anwendungen unterstützen.1 174 . vervollständigt werden. ob die beschriebene Anwendung personenbezogene Daten speichert und/oder verarbeitet (Schutzbedarf der Information ergibt Schutzbedarf der Anwendung) Unterstützte Geschäftsprozesse Verantwortliche und Benutzer/innen der Anwendung (Ansprechpartner/innen für Sicherheitsfragen) Es empfiehlt sich natürlich eine tabellarische Darstellung bzw. welche Anwendungen für ihre Abwicklung notwendig sind und auf welche Daten dabei zugegriffen wird. [Q: BSI-Standard 100-2] 7. Abhängigkeiten zwischen Geschäftsprozess / Fachaufgabe und einer konkreten Anwendung darzustellen.für den Geschäftsprozess Verantwortlichen nach ihrer Einschätzung befragt werden . an ihnen orientiert die darauf laufenden Anwendungen zusammenzutragen. Denn es ist es angesichts der steigenden Komplexität oft schwierig. die Nutzung geeigneter Software. Um dies sicherzustellen. Ergänzt wird die Erhebung mit den Clients und .1.1. in gemeinsamen Meeting der Fach. Dabei sollte mit den Servern begonnen werden. empfiehlt es sich oft.2 Erfassung von Datenträgern und Dokumenten ISO Bezug: 27002 7.

wenn sie nicht mit einer bestimmten Anwendung oder einem IT-System verknüpft sind. Smartphones für den mobilen Einsatz. Server bzw. Eine vollständige. beispielsweise Einzelplatz-PC.1. Netzdrucker. sondern auch aktive Netzkomponenten. USB-Sticks.und sonstige Handbücher. Jedoch sind sie dann gesondert in der Strukturanalyse zu erfassen.1 In ebenso tabellarischer Form wird eine Liste der vorhandenen und geplanten ITSysteme aufgestellt. Auch dafür sollten möglichst Gruppen gebildet und ur Datenträger und Dokumente mit einem Mindest-Schutzbedarf berücksichtigt werden.3 Erhebung der IT-Systeme ISO Bezug: 27002 7. Bildschirm). Im Vordergrund steht dabei die technische Realisierung eines IT-Systems. korrekte und aktuelle Auflistung der IT-Systeme ist auch für deren Überprüfung. Ausgedruckte Notfall. Wartung.1. Telekommunikationsanlagen. Beispiele für gesondert erfasste Datenträger und Dokumente: • • • • • • Archiv. Allerdings werden Systeme betrachtet und nicht einzelne Bestandteile (CPU.und Backup-Datenträger. es sei denn sie werden im normalen Betrieb mit unterschiedlichen Systemen verbunden (etwa externe Laufwerke). etc. Mikrofilme Empfehlenswert ist auch die Erfassung der Abhängigkeiten zwischen Anwendungen. Fehlersuche und Instandsetzung von IT-Systemen notwendig.Bei der Erfassung der Anwendungen sollten auch Datenträger und Dokumente mitbetrachtet und können wie Anwendungen behandelt werden. Client mit mit Betriebssystemangabe. wichtige Verträge. [Q: BSI-Standard 100-2] 7. Dabei bedeutet der Begriff IT-System umfasst dabei nicht nur Computer im engeren Sinn. Datenträger für den Austausch mit externen Kommunikationspartnern. so sind beispielsweise Informationen über den Lagerbestand Voraussetzungen für die Verarbeitung von Bestellungen. 175 . Externe Festplatten.1.

in Planung). Wurden ITSysteme im Netzplan zu einer Gruppe zusammengefasst. Kürzel oder Bezeichnung des IT-Systems. WLAN Access Points). [Q: BSI-Standard 100-2] 7. Benutzer/innen. die nicht im Netzplan aufgeführt sind. bei Gruppen: Anzahl der zusammengefassten IT-Systeme. insbesondere also auch solche. aus der die Zusammenhänge zwischen den wichtigen Anwendungen und den entsprechenden IT-Systemen hervorgehen.4 Netzplan ISO Bezug: 27002 7. Hardware-Architektur/Betriebssystem).und Server-Computer). Anwendungen. WLANs. (vgl 7. Router. ATM) etc.1 Ein Netzplan ist eine grafische Übersicht über die im Geltungsbereich eingesetzten Komponenten und deren Vernetzung.1 ). aktive Netzkomponenten (wie Switches. Auch dafür sollten nach Möglichkeit bereits existierende Datenbanken oder Übersichten über die vorhandenen oder geplanten IT-Systeme genutzt werden. Informationen pro IT-System: • • • • • • • • eindeutige Nummerierung.Zu erfassen sind sowohl die vernetzten als auch die nicht vernetzten IT-Systeme. B. können sie weiterhin als ein Objekt behandelt werden. 176 . Aufstellungsort . Anwender/innen bzw. Für die Informationssicherheit sind folgende Objekte relevant: • • IT-Systeme ( Client. Backbone-Techniken (FDDI.1. Netzpläne oder ähnliche grafische Übersichten sind auch aus betrieblichen Gründen in den meisten Institutionen vorhanden.1. Administratoren des IT-Systems.1.1. Netzdrucker etc. auch solche. Status (in Betrieb. Netzverbindungen zwischen diesen Systemen: LANs (Ethernet. im Test. Ergebnis ist eine Übersicht. die nicht im Netzplan aufgeführt sind. Plattform (z. Beschreibung (Typ und Funktion). welche dem IT-System zuzuordnen sind (Datenverarbeitung und/ oder -transfer). Token-Ring).

Ggf. Internet-Zugänge über DSL-Modems. z. Art der Netzanbindung. Der Netzplan sollte möglichst in elektronischer Form mit Hilfe geeigneter Tools erstellt und gepflegt werden. etc). kann dafür ein separater Netzplan die Übersichtlichkeit verbessern. vollständige Bezeichnung (Hostname. Router. Es empfiehlt sich. Bluetooth. maximale Datenübertragungsrate. LAN. [Q: BSI-Standard 100-2] 7. Virtuelle IT-Systeme.. Kommunikationsanbindung (z.1.1. Virtuelle Netze.5 Erfassung der Gebäude und Räume 177 . wenn ihre logischen (virtuellen) Strukturen wesentlich von den physischen abweichen. Bereiche mit unterschiedlichem Schutzbedarf zu kennzeichnen. verkabeltes LAN. TCP/IP).. Kürzel oder Bezeichnung als Referenz zur Grafik. Ethernet. Identifikationsnummer). auf den unteren Schichten verwendete Netzprotokolle (z. vorhandenene Kommunikationsschnittstellen (z. Internet. B.Raumnummer). Mobilfunk sowie Standleitungen zu entfernten Gebäuden oder Liegenschaften etc.. Lichtwellenleiter.B. Standort (Gebäude. ISDN aber auch Funkstrecken. B. etc). Plattform (Hardware.B. B.. Jedes dargestellte Objekt sollte auch in einem zugehörigen Katalog eingetragen werden mit folgenden Elementen: • • • • • • • • eindeutige Nummerierung. B. Typ und Funktion (z.B. virtuelle Netzverbindungen. Datenbank-Server für bestimmte Anwendung Nr.• Verbindungen nach außen (z. wie Virtuelle LANs (VLANs) oder Virtuelle Private Netze (VPNs). WLAN. Netzadresse Für die Netzverbindungen zwischen den Objekten bzw. X. anch außen wird eingetragen: • • • • Art der Verkabelung bzw.). zuständiger Administrator. sollten ebenfalls im Netzplan dargestellt werden. Betriebssystem. WLAN. Internet mit Name des Providers). externe Netzanbindungen (z.

Dabei sollte auch die Art der in den Räumen jeweils verarbeiteten Informationen nachvollziehbar sein. dass die Aufzeichnungen dann nicht auf dem aktuellen Stand sind. Datenträgerarchive). Gebäude. die weit verstreut sind oder mit anderen Nutzern geteilt werden müssen.1 In ein Sicherheitskonzept müssen alle Liegenschaften und Gebäude einbezogen werden. in denen IT-Systeme untergebracht sind sind wie Räume zu erfassen. zu erstellen. weitere Räume. Nicht in jedem Fall werden solche Änderungen umgehend in den Aufzeichnungen der Erhebung bzw. Daher ist es of sinnvoll. in denen IT-Systeme aufgestellt oder die für den IT-Betrieb genutzt werden: • • • • • Räume. In der Praxis werden oft nur größere Änderungen an der IT-Struktur einzelner Bereiche zum Anlass genommen. Viele Organisationen nutzen ein Gebäude oder eine Etage allen. über die Kommunikationsverbindungen laufen. Räume sowie die Wegstrecke zwischen diesen. einen Plan über die Liegenschaften.1 In der Regel werden die IT. [Q: BSI-Standard 100-2] 7.1. in denen unter anderem IT-Systeme betrieben werden (wie Büroräume). Dazu gehören Betriebsgelände.1.1. Etagen. sowie Wegstrecken. da dies meist aufwändig ist. die ausschließlich dem IT-Betrieb dienen (wie Serverräume. aber auch Aktenordner und Mikrofilme) aufbewahrt werden.1. Die Folge ist. Schutzschränke. aber häufig nutzen Organisationen Liegenschaften. Oft sind Geschäftsprozesse und Fachaufgaben auch in fremden Räumlichkeiten angesiedelt.ISO Bezug: 27002 7.6 Aktualisierung der Strukturanalyse ISO Bezug: 27002 7. in denen schutzbedürftige Informationen (Datenträger. im Netzplan nachgezogen. innerhalb derer die betrachteten Geschäftsprozesse und Fachaufgaben betrieben werden. Räume. vor allem die Räume. eine je nach Gegebenheiten eine mehr oder weniger umfangreiche Übersicht bzw. den Plan zu aktualisieren.und Netzwerkstrukturen ständig an neue Anforderungen der Organisation angepasst. 178 .

halb-automatischen Erkennungen stets daraufhin geprüft werden.2 Eigentum von Vermögenswerten ISO Bezug: 27002 7. Diese ggf. im Zuge von Audits mit den tatsächlich vorhandenen Strukturen und Objekten abzugleichen und gegebenenfalls auf den neuesten Stand zu bringen: • • • • • Existierende Übersichten. Dabei ist normalerweise nicht der Eigentümer oder Inhaber im rechtlichen Sinn gemeint.etwa solche.und Systemmanagement unterstützen Objeklisten bzw.1. Insbeseondere ist er/ sie für die Klassifikation des Vemögenswertes und die darauf anzuwendenden Sicherheitsregeln und -maßnahmen verantwortlich. Existierende Informationen über die enthaltenen Kommunikationsverbindungen sichten und gegebenenfalls aktualisieren und vervollständigen. Beauftragte/r. Netze konsultiert werden. Es muss sichergestellt sein. der/die die Verantwortung für die Verwaltung dieses Vermögenswertes und somit für dessen Sicherheit trägt. die vorliegenden Aufzeichnungen periodisch oder anlässlich größerer Änderungen bzw. Zu beachten ist jedoch. sondern ein/e Manager/ in bzw. Existierende Informationen über die enthaltenen IT-Systeme sichten und gegebenenfalls aktualisieren und vervollständigen. ob wirklich alle relevanten Komponenten ermittelt wurden . dass solche Funktionen emporär zusätzlichen Netzverkehr erzeugen. aktualisieren oder neu erstellen. dass dieser Netzverkehr nicht zu Beeinträchtigungen des IT-Betriebs führt. [Q: BSI-Standard 100-2] 7.1. Gebäude und Wegstrecken sichten und gegebenenfalls aktualisieren und vervollständigen. Einige Programme zum zentralisierten Netz. jeder Art von Vermögenswert ein Eigentümer zugewiesen.2 Zu jedem Vermögenswert (Asset) muss es eine klar definierte Verantwortlichkeit geben.Eine häufige Vorgehensweise besteht darin. Dazu muss er/sie jedoch auch ausreichende und entsprechende Befugnisse besitzen. Ebenso sollte das Ergebnis von automatischen bzw. Netzpläne. die sich zum Zeitpunkt des Erkennungslaufes nicht in Betrieb befunden haben. Dazu sollten auch die IT-Verantwortlichen und Administratoren der einzelnen Anwendungen bzw. Dazu wird in der Organisation jedem Vemögenswert bzw. Existierende Iinformationen über Liegenschaften. 179 . grafische Darstellungen und Netzpläne sichten. indem sie beispielsweise akive Komponenten automatisch erkennen.

Dazu müssen sie allerdings wissen.2. aber der Eigentümer kann Mitarbeiter/innen oder Berater mit der Verwaltung und Ausarbeitung der Regeln beauftragen und genehmigt schießlich die vorgeschlagenen Regeln. wer für diese und deren Sicherheit verantwortlich ist. [Q: BSI M 2. Es muss jedoch konkret und exakt für alle Informationen. Beispielsweise ist die Leitungsebene der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei der Einführung einer neuen Anwendung. Anwendungen und ITKomponenten festgelegt werden. damit die Zuständigkeit jederzeit deutlich erkennbar ist. Jede/r Mitarbeiter/in ist für das verantwortlich. Bei komplexeren Informationen.1. für welche Informationen.2. der Leiter der IT zusammen mit dem Informationssicherheitsmanagement für die Ausarbeitung von Sicherheitsvorgaben für die IT-Komponenten. die Administratoren für deren korrekte Umsetzung und die Benutzer/innen für den sorgfältigen Umgang mit den zugehörigen Informationen. Anwendungen und IT-Komponenten sollten alle Verantwortlichen und deren Vertretungen namentlich genannt sein.2 Aufgaben der Eigentümer und Verantwortlichen ISO Bezug: 27002 7. was in seinem/ihrem Einflussbereich liegt (es sei denn.Diese Verantwortung kann zwar nicht delegiert werden. es ist explizit anders geregelt). .2 Die Fachverantwortlichen als Eigentümer von Informationen und Anwendungen müssen die Sicherheitsmaßnahmen zu deren Schutz sicherstellen.1.1. die Aufgaben für die Umsetzung der Sicherheitsmaßnahmen klar definiert und zugewiesen werden.1 Verantwortiche für Vermögenswerte (Assets) ISO Bezug: 27002 7. Dazu sollte immer eine konkrete Person (inklusive Vertretung) und keine abstrakte Gruppe benannt werden.2 Grundsätzlich ist die Beteiligung und Mitwirkung aller Mitarbeiter/innen einer Organisation an der Umsetzung der erforderlichen Sicherheitsmaßnahmen erforderlich. Anwendungen und IT-Komponenten korrekt festgestellt wird.1. • • 180 der Schutzbedarf der Informationen.225] 7. Anwendungen und IT-Komponenten sie in welcher Weise verantwortlich sind. Anwendungen und Systemen. [Q: CASES Leitfaden "Klassifikation"] 7.

die Informationssicherheit gefährdende Abweichungen schriftlich dokumentiert werden. dass diese nur gemäß ihrer vorgesehenen Bestimmung verwendet und vor Verlust.1. 7. oft weitreichenden Privilegien sorgfältig und nur im vorgesehen Ausmaß umgehen . sollte eine PC-Richtlinie erstellt werden. Anwendungen und ITKomponenten geregelt ist. Zugriff zu den Informationen. werden PCs vernetzt betrieben oder als intelligente Terminals genutzt. der Zugang bzw.1. dies regelmäßig überprüft wird.3 Benutzer/innen von Informationen und den sie verarbeitenden Einrichtungen sind dafür verantwortlich. 11. Speziell Administratoren und IT-Verantwortliche müssen mit den ihnen eingeräumten. Kompromittierung etc.2. um Kompromittierungen von gedruckten Informationen zu vermeiden. welche Randbedingungen eingehalten werden müssen und welche IT-Sicherheitsmaßnahmen zu ergreifen sind. geschützt werden.3. Die veranwortliche Entscheidung obliegt der Management-Ebene. Bedeutend ist in diesem Zusammenhang auch eine Clear Desk Policy.3 Zulässige Nutzung von Vermögenswerten ISO Bezug: 27002 7.3.225] 7.1.1. Diebstahl.1 Um einen sicheren und ordnungsgemäßen Einsatz von Personalcomputern in größeren Organisationen zu gewährleisten. ist die Richtlinie um diese meist weiter einschränkenden Punkte zu erweitern. [Q: BSI M 2. Diese PC-Richtlinie soll zumindest den Einsatz von unvernetzten PCs regeln. Die Fachverantwortlichen müssen zusammen mit dem Management über eine Vorgehensweise befinden. 181 . wie mit eventuellen Restrisiken umgegangen werden soll.dies gilt auch für Notfälle und Ausnahmesituationen.• • • • die erforderlichen Sicherheitsmaßnahmen umgesetzt werden. Beschädigung. 15.3.3. Selbstverständlich gehört dazu auch ein generell sorgfältiger und schonender Umgang mit Geräten wie etwa PC's.1 Herausgabe einer PC-Richtlinie ISO Bezug: 27002 7. in der verbindlich vorgeschrieben wird.

3. Möglicher inhaltlicher Aufbau einer PC-Richtlinie: • • • • • Zielsetzung und Begriffsdefinitionen: Dieser erste Teil der PC-Richtlinie soll dazu dienen. dass jede/r PC-Benutzer/in ein Exemplar dieser Richtlinie besitzt und dass die Einhaltung regelmäßig überprüft wird. Verantwortungsverteilung: In diesem Teil wird definiert.3 Regelungen für Telearbeit . [eh SYS 5. Umzusetzende und einzuhaltende IT-Sicherheitsmaßnahmen: Im letzten Teil der PC-Richtlinie ist festzulegen. Es ist dafür Sorge zu tragen. 11.2. dazu Kapitel 11. für welche Teile des Unternehmens bzw. sollte die PC-Richtlinie um die dafür spezifischen Regelungen ergänzt werden. das Datenschutzgesetz 2000 und das Urheberrechtsgesetz ) hingewiesen. Es kann je nach Schutzbedarf auch über die ITGrundschutzmaßnahmen hinausgehen. wer im Zusammenhang mit dem PC-Einsatz welche Verantwortung trägt. umzusetzen sind. Rechtsvorschriften und interne Regelungen: Hier wird auf wichtige Rechtsvorschriften (z.1 182 . Gleichzeitig werden die für das gemeinsame Verständnis notwendigen Begriffe definiert und eine einheitliche Sprachregelung geschaffen.aktualisiert werden.B. Datenschutz-/IT-Sicherheitsbeauftragte. Vgl. Geltungsbereich: In diesem Teil muss verbindlich festgelegt werden.1] 7. PC-Administratoren. Dabei sind insbesondere die Funktionen IT-Benutzer/innen.2. Darüber hinaus kann diese Stelle genutzt werden. welche ITSicherheitsmaßnahmen von dem/der IT-Benutzer/in einzuhalten bzw.insbesondere im Hinblick auf die ITSicherheitsmaßnahmen . in der Behörde beschäftigt. Die PC-Richtlinie muss regelmäßig .3.1.3. um alle relevanten betriebsinternen Regelungen aufzuführen.3.7. Sind Telearbeiter/innen im Unternehmen bzw. 11. welche Inhalte für eine solche PC-Richtlinie sinnvoll sind. Vorgesetzte. die PC-Anwender/innen für IT-Sicherheit zu sensibilisieren und zu motivieren.2 Einführung eines PC-Checkheftes ISO-Bezug: 27002 7. Bereichs-IT-Sicherheitsbeauftragte und Applikations-/Projektverantwortliche zu unterscheiden. der Behörde die PC-Richtlinie gilt.1.Im Folgenden wird grob umrissen. 15.3.

3 Geeignete Aufbewahrung tragbarer IT-Systeme ISO Bezug: 27002 7. Aufstellungsort des PC.o. in dem der/die PC-Nutzer/in die wichtigsten Angaben zum Gerät dokumentiert. planmäßige Zeitpunkte für die Datensicherungen. durchgeführte Viren-Kontrollen. durchgeführte Revisionen.und Software.)). [eh SYS 5. Zeitpunkt von Passwort-Änderungen. Kundendienst Inland) Erlaubnis (Laptop) aus dem Betriebsräumen zu entfernen Beschreibung der Konfiguration. Ansprechpartner für Problemfälle und Zeitpunkte der durchgeführten Datensicherungen. des PCBenutzers.3 11. Passwort-Änderungen und Viren-Checks durchführt (sofern dies nicht zentral erfolgt (s. durchgeführte Wartungen und Reparaturen.B. damit sie/er regelmäßig Datensicherungen. zur Verfügung stehendes Zubehör.1. Diese Maßnahme bietet sich in erster Linie für kleine und mittlere Organisationen an. Kommt ein PC-Checkheft zum Einsatz. Das Führen eines solchen PC-Checkheftes erleichtert Kontrolltätigkeiten und unterstützt eine notwendige Selbstkontrolle der PC-Benutzerin bzw. kann ein PC-Checkheft eingeführt werden. so sollte es folgende Informationen enthalten: • • • • • • • • • • • • • • • Name der PC-Benutzerin bzw. Einsatzgebiet (z. Zugangsmittel.1.3. des PC-Benutzers.7. große Organisationen führen und verwalten diese Dokumentationen im Allgemeinen zentral. eingesetzte Hard.Um die durchgeführten IT-Sicherheitsmaßnahmen am PC zu dokumentieren.1 183 .2] 7.

also beispielsweise vor Feuchtigkeit durch Regen oder Spritzwasser. sollte das Gerät außerhalb der Nutzungszeiten weggeschlossen werden. Insbesondere der Akku. 184 .auch dann.1 Mobile ITGeräte Einige Hinweise für die mobile Nutzung: Schutz vor Diebstahl und Verlust: • • • • • • • Das Gerät sollte gar nicht oder nur in einem minimalen Zeitraum unbeaufsichtigt sein. wenn sie sich im vermeintlichen sicheren Büro befinden.Tragbare IT-Systeme wie Laptops. Auch deshalb sollten IT-Geräte aber auch ihre Akkus nicht in geparkten Autos zurückgelassen werden. Vergleiche 11. Zur Beaufsichtigung des Geräts gehört auch. aber auch das Display können anderenfalls beschädigt werden. PDAs oder Mobiltelefone sind durch ihre Bauform immer beliebte Ziele für Diebstähle und müssen sicher aufbewahrt werden . Weil ein tragbares IT-Systeme besonders leicht zu transportieren und zu verbergen ist. Schutz vor Beschädigung: • • Ein mobiles IT-System sollte nie extremen Temperaturen ausgesetzt werden.7. Bei mobilem Einsatz müssen die Benutzer/innen versuchen. also beispielsweise in einem Schrank oder Schreibtisch. jedenfalls sollte das Gerät nur so kurz als möglich in einem Kraftfahrzeug aufbewahrt werden (keinesfalls über Nacht). es nicht etwa im Taxi. bei Aufbewahrung eines tragbaren PC oder PDA in einem Kraftfahrzeug. in Hotelzimmern sollte das mobile IT-System nicht offen herumliegen. wird das mobile IT-System in einem fremden Büro vor Ort benutzt. Ebenso sollten mobile Endgeräte vor schädlichen Umwelteinflüssen geschützt werden. Bietet das Gerät eine Möglichkeit zum Anketten. die tragbaren ITSysteme auch außer Haus sicher aufzubewahren. oder angekettet werden. sondern in einem Schrank verschlossen werden. Zusätzlich ist ein Zugriffschutz zu aktivieren oder das Gerät auszuschalten. so ist entweder dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen oder das Gerät mitzunehmen. am Flughafen. wo möglich. um unerlaubte Nutzung zu verhindern. sollte sie genutzt werden. sollte das Gerät von außen nicht sichtbar sein (Abdecken oder Einschließen in den Kofferraum). im Flugzeug oder im Hotelzimmer zu vergessen.

welche grundlegenden IT-Sicherheitsmaßnahmen dabei beachtet werden müssen (Virenschutz. eine entsprechende Genehmigung eingeholt werden müssen. [Q: BSI M 1. die extern eingesetzt werden sollen. in größeren Organisationen) Zurittskontrollen durch Portier.). z.33. Grundsätzlich sollte für alle IT-Komponenten. Es ist empfehlenswert. Grundsätzlich ist es immer empfehlenswert.oder Wachdienste. Datenträger außer Haus mitgenommen werden dürfen. Bei Laptops sollte beispielsweise das Gerät zusammengeklappt werden. Oft sollen sie aber auch außer Haus eingesetzt werden. dass solche Kontrollen nicht in unnötig schikanöse Durchsuchungen ausarten. Gibt es (z.7. bei Dienstreisen oder Telearbeit. Für einen ausreichenden Schutz muss die Mitnahme von Datenträgern und IT-Komponenten klar geregelt werden.3.• Mobile IT-Systeme sind heute zwar robust. etc. da sowohl die Scharniere als auch der Bildschirm bei einem Sturz leicht beschädigt werden können. Dabei ist jedoch darauf zu achten. aber dennoch sollten sie auch bei kürzeren Transportwegen möglichst stoßgeschützt befördert werden. das die wichtigsten Hinweise und Vorsichtsmaßnahmen zur geeigneten Aufbewahrung und zum sicheren Transport der Geräte enthält. Aufbewahrung.34] 7. Dabei muss festgelegt werden: • • • welche IT-Komponenten bzw.bzw. Aufbewahrungsorte ab. wer IT-Komponenten bzw. Verschlüsselung sensitiver Daten.3 Datenträger und IT-Komponenten sind meist innerhalb der Liegenschaft(en) der eigenen Organisation hinreichend vor Mißbrauch und Diebstahl geschützt. sinwieweit die Regelungen für die Mitnahme von Datenträgern und IT-Komponenten eingehalten werden.1.4 Mitnahme von Datenträgern und IT-Komponenten ISO Bezug: 27002 .B. Datenträger außer Haus mitnehmen darf. kann mittels Stichproben kontrolliert werden. 185 . Die Art und der Umfang der anzuwendenden IT-Sicherheitsmaßnahmen für extern eingesetzte IT-Komponenten hängt einerseits vom Schutzbedarf der darauf gespeicherten IT-Anwendungen und Daten und andererseits von der Sicherheit der Einsatz.1. für den Transport ein schützendes Behältnis zu verwenden. für die Benutzer mobiler IT-Systeme ein Merkblatt zu erstellen. M 1. B.

dass es keine Unbefugten benutzen können. Falls das Mikrofon bzw. 9.und ausgeschaltet werden kann.3. die sensitive Daten enthalten. das 186 . Liegenschaften sind die Benutzer/ innen für den Schutz der ihnen anvertrauten IT verantwortlich und darauf sowie auf zu ergreifende Vorsichtsmaßnahmen sind sie hinzuweisen. Diese Mechanismen sollten auch genutzt werden. ob Zugriffsrechte und Eigentümer bei einem Zugriff auf die Gerätedatei verändert werden. etwa: • • • • • • • IT-Systeme müssen stets sicher aufbewahrt werden. 10. müssen diese .8. Die Verwaltung.3 Geeignete Aufbewahrung tragbarer IT-Systeme ). Falls dies der Fall ist oder falls gewünscht ist. IT-Systeme wie Laptops oder Mobiltelefone und deren Anwendungen können im Allgemeinen durch PINs oder Passwörter abgesichert werden.1 Das Mikrofon bzw.1. die Zugriffsrechte auf die entsprechende Gerätedatei haben. die Kamera in den Rechner (bzw.5. solange jemand an dem IT-System arbeitet. dass jede/r Benutzer/in das Mikrofon bzw. Es sollte protokolliert werden. Bei Dienstreisen sollten sie nicht unbeaufsichtigt bleiben oder in Fahrzeugen zurückgelassen werden (siehe auch 7. wann und von wem welche IT-Komponenten außer Haus eingesetzt wurden. den Bildschirm) integriert ist und nur durch Software ein. muss die Systemadministration ein Kommando zur Verfügung stellen. IT-Systeme oder Datenträger.1.1. Bei Mitnahme ins Ausland: unerlaubter Import von Verschlüsselungstechnik Es ist mit der Offenlegung der Daten vor Zollbeamten zu rechnen [Q: BSI M 1.1. Der Zugriff auf die Gerätedatei sollte nur möglich sein.3. Es ist zu prüfen.3.wenn möglich ausgeschaltet oder physikalisch vom Gerät getrennt werden. sollten möglichst komplett verschlüsselt werden. müssen die Zugriffsrechte so gesetzt sein. die Kamera benutzen kann (und nicht nur in Einzelfällen eine Freigabe durch den Systemadministrator erfolgen soll). Wenn die Benutzung eines vorhandenen Mikrofons oder einer Kamera generell verhindert werden soll.5 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Videokameras ISO Bezug: 27002 7. die Videokamera eines vernetzten Rechners kann von denjenigen benutzt werden. Wartung und Weitergabe von extern eingesetzten IT-Systemen sollte geregelt werden.Außerhalb der organisationseigenen Büros bzw.218] 7.

..) und organisatorische Maßnahmen (Kontrollen. Als derartige Risiken wären unter anderem zu nennen: • • • unkontrolliertes Booten von Geräten etwa von USB-Sticks. . wie etwa USB-Sticks. ihr nachträglicher Ausbau) (Physischer) Verschluss von Laufwerken (z.) erforderlich.1.7.1. USB-Festplatten. [eh SYS 5. Maßnahmen zur Sicherung von Wechselmedien: • • • Verzicht auf USB-. 10..6] 7. bringen aber auch eine Reihe von Risiken mit sich. 10. Wünschenswert wäre es auch. Verbote.. Laufwerke (bzw. Zur Verringerung dieser Bedrohungen stehen .3. ZIPDisketten.• • • nur aktiviert werden kann. (Logische) Sperre von Schnittstellen: 187 . wenn jemand an dem IT-System angemeldet ist. CD-ROMs..B. durch Einsatz von Diskettenschlössern). nur durch diese/n Benutzer/in aktiviert werden kann und die Zugriffsberechtigungen dem/der Benutzer/in nach dem Abmelden wieder entzieht. die unten beispielhaft angeführt werden. Hier sind zusätzliche personelle (Anweisungen.1. ermöglichen raschen und einfachen Transfer von Daten und Programmen. dass in vielen Fällen eine völlige Sperre der Wechselmedien entweder technisch nicht möglich oder aber aus betrieblichen Gründen nicht durchsetzbar ist. etc.. unautorisierte Installation von Software und unberechtigte Kopien von Daten auf Wechselmedien (Verlust der Vertraulichkeit). Es ist aber zu betonen.. .8 Wechselmedien.eine Reihe von Möglichkeiten zur Verfügung. Mikrofon und Kamera nach einer voreingestellten Zeitspanne ohne Aktivität automatisch abzuschalten (Timeout). . CD-ROM-.abhängig von der Art der Wechselmedien und dem zugrunde liegenden Betriebssystem .3. USB Festplatten oder CD-ROM.6 Absicherung von Wechselmedien ISO Bezug: 27002 7.

3] 7. Es sollte hierbei jedenfalls das Booten von Wechselmedien im BIOS deaktiviert werden. zulassen. Die jeweiligen Regeln müssen allen Benutzern bekannt gegeben werden und deren Einhaltung kontrolliert werden. etwa über das Internet oder mittels Attachments von Mails möglich ist.Vergleiche Kapitel 11.1. es ist aber zu bedenken. die mit bestimmten kryptografischen Schlüsseln versehen worden sind. Gegebenenfalls Verblenden und Verplomben von Schnittstellen Nach Anschluss aller erforderlichen Schnittstellen wird die Rückseite des Gerätes mit einer speziellen Abdeckung verblendet. Es muss jedoch auch sichergestellt werden. Regeln: In vielen Fällen ist die Benutzung externer Speichermedien durchaus erlaubt. Dabei ist allerdings zu beachten. Diese wird verplombt. Verschlüsselung: Es existieren verschiedenste Produkte.2 Klassifizierung von Informationen ISO Bezug: 27002 7. Hier sind entsprechende Vorkehrungen zu treffen. dass damit die Flexibilität der Systeme stark eingeschränkt wird.4 Wechselmedien und externe Datenspeicher. Schnittstellen zu sperren. Diese Vorgehensweise bietet einen relativ hohen Grad an Sicherheit (insbesondere an nachträglichen Nachweismöglichkeiten). dass dies nicht immer technisch möglich (z. Konfigurationsänderungen etc.• • • • Viele Betriebssysteme bieten die Möglichkeit. so dass etwaige Manipulationen ersichtlich sind.2 188 . Es ist auch zu bedenken.B. Häufige Übersiedlungen. jedoch bestimmten Regeln unterworfen. [eh SYS 5. dass bei IT-Systemen im Netzwerk ein Laden von Treibern etc. Benutzern und Systemverantwortlichen stark reduzieren.B. ist die parallele Schnittstelle oft für den Anschluss eines Druckers offen zu halten). SCSISchnittstellen) und oft auch aus betrieblichen Gründen nicht durchführbar ist (z. dass die Benutzer diese Einstellungen nicht mehr verändern können. Deaktivierung im BIOS: Das BIOS bietet Möglichkeiten um nur von bestimmten Laufwerken zu booten. die Zugriffe ausschließlich auf Datenträger. können die Akzeptanz dieser Maßnahme bei Benutzerinnen bzw.7. Solche Regeln könnten etwa Beschränkungen auf die Verwendung bestimmter Dateitypen sein.

Daher sollten Standardmethoden verwendet werden.5 Klassifizierung von Informationen beschrieben. Integrität und Verfügbarkeit des Assets wieder. deren Teilbereiche ja von unterschiedlichen Eigentümern interpretiert werden.Klassifikation dient zur Identifizierung. Dokumentation und Umsetzung der Regeln für die richtige Verwendung von Informationen duch ihren jeweiligen Eigentümer. Die Klassifikation ist ein umfassender Ansatz.und Datenschutzkriterien ist unter 5. Bei der Klassifikation wird jedem Vermögenswert (Asset) eine bestimmte Sicherheitsklasse zugeordnet. Jede solche Sicherheitsklasse gibt die Anforderungen bezüglich Vertraulichkeit. [Q: CASES Leitfaden "Klassifikation"] 189 . Ein Leitfaden zur Klassifizierung nach Vertraulichkeits. aber auch die Gewährleistung einer vollständigen und stimmigen Klassifikation. Die Herausforderungen bei Klassifikation sind zunächst die richtige Einschätzung der jeweiligen Sicherheitsklasse.2. bei dem die einzelnen Assets durch ihre Klassen repräsentiert werden. Somit muss nicht für jedes Asset eine eigene Liste mit Regeln erstellt werden.

§ 14 "Datensicherheitsmaßnahmen" und § 13 "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland".1. wenn die Mitarbeiter/innen ein ausgeprägtes Sicherheitsbewusstsein haben und bereit und fähig sind. Aus diesen Gründen ist der Schulung und Sensibilisierung für Fragen der ITSicherheit eine besondere Bedeutung zuzumessen. sich mit den Möglichkeiten und potentiellen Problemen von Mitarbeiterinnen/Mitarbeitern auseinander zu setzen ("Know your Employee").1 Regelungen für eigene Mitarbeiter/innen angeführt.1. die teilweise sinngemäß auch für Fremdpersonal gelten. Die Mitarbeiter/innen stellen eine der wichtigsten Ressourcen einer Organisation dar. sowie dem Informationssicherheitsgesetz für den Bereich der öffentlichen Verwaltung). Darüber hinaus ist es auch notwendig.3 schließlich führt Maßnahmen zur Sensibilisierung und Schulung im Bereich IT-Sicherheit auf.3 Bei der Einstellung von Mitarbeiterinnen/Mitarbeitern sind diese zur Einhaltung einschlägiger Gesetze (z. Vorschriften und Regelungen ISO Bezug: 27002 8.B.8 Personelle Sicherheit Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 8 ff "Personelle Sicherheit". Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000) § 15 "Datengeheimnis". Im Folgenden werden in Kapitel 8. Andererseits stellen Mitarbeiter/innen auch potentielle Angriffs.1 Regelungen für Mitarbeiter/innen 8. Vorschriften und interner Regelungen zu verpflichten. IT-Sicherheit kann auch bei besten technischen Maßnahmen nur funktionieren. die Vorgaben in der täglichen Praxis umzusetzen. 8. 190 .oder Fehlerquellen dar. Kapitel 8. Kapitel 8.2 gibt einige spezielle Regelungen für Fremdpersonal.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze.

Anzuführen sind dabei sowohl die allgemein aus der organisationsweiten IT-Sicherheitspolitik abzuleitenden Verpflichtungen als auch spezielle Verantwortlichkeiten auf Grund der Tätigkeit.Damit sollen neue Mitarbeiter/innen mit den bestehenden Vorschriften und Regelungen zur IT-Sicherheit bekannt gemacht und gleichzeitig zu deren Einhaltung motiviert werden. sondern auch die erforderlichen Exemplare der Vorschriften und Regelungen auszuhändigen und gegenzeichnen zu lassen bzw. falls vorgesehen (vgl. Regelungen zu folgenden Bereichen zu treffen. für die Mitarbeiter/innen an zentraler Stelle zur Einsichtnahme vorzuhalten. nicht nur die Verpflichtung durchzuführen. dass alle sicherheitsrelevanten Aufgaben und Verantwortlichkeiten explizit in diese Beschreibungen aufgenommen werden. Bereichs-ITSicherheitsbeauftragte.10 Remote Access und Anhang C) 8. 8.3.1 Herausgabe einer PCRichtlinie) Einhaltung der Regeln für die Benutzung des Internet (s.1. Neben der Verpflichtung auf die Einhaltung von Gesetzen und Vorschriften empfiehlt es sich insbesondere. 10.6.1.1. IT-Sicherheitsbeauftragte. Kap.1. 8.2.1 191 . 7.1.3.3 Vertretungsregelungen ISO Bezug: 27002 8. Applikations-/Projektverantwortliche).2 Aufnahme der sicherheitsrelevanten Aufgaben und Verantwortlichkeiten in die Stellenbeschreibung ISO Bezug: 27002 8.1 Bei der Erstellung von Stellenbeschreibungen ist dafür Sorge zu tragen. Datenschutzbeauftragte. Dies gilt in besonderem Maße für Mitarbeiter/innen mit speziellen Sicherheitsaufgaben (Mitglieder des IT-SicherheitsmanagementTeams. 8.1. Dabei ist es sinnvoll.7 Clear Desk Policy) Einhaltung von PC-Benutzungsregeln (vgl. die dann auch in eine entsprechende Verpflichtungserklärung aufzunehmen sind: • • • Clear Desk Policy.

zB wenn sich zwei kollektiv Berechtigte wechselseitig vertreten. für Personen eine/n kompetente/n Vertreter/in zu benennen oder zu schulen.Vertretungsregelungen haben den Sinn. Hier ist es von besonders großer Bedeutung. welcher Aufgabenumfang im Vertretungsfall von wem wahrgenommen werden soll. dass es Personen gibt. Im Zusammenhang mit der Verwendung von kryptographischen Systemen ist auch über ein Verfahren zur Offenlegung von kryptographischen Schlüsseln im Rahmen des Kryptokonzeptes zu achten (siehe auch Kapitel 12. Stellt sich heraus. Es muss festgelegt sein. Es sollte vermieden werden. wer wen in welchen Angelegenheiten mit welchen Kompetenzen vertritt. für vorhersehbare (Urlaub.3 Scheidet ein/e Mitarbeiter/in aus. Daher muss vor Eintritt eines solchen Falles geregelt sein. so bedeutet deren Ausfall eine gravierende Gefährdung des Normalbetriebes. 8. sollte frühzeitig überlegt werden.4 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeiterinnen/Mitarbeitern ISO Bezug: 27002 8.U.oder Projektstand hinreichend dokumentiert ist. vorgesehene Mehraugenprinzipien unterlaufen.6 Kryptographische Maßnahmen). Ist es in Ausnahmefällen nicht möglich. Kündigung) des Personenausfalls die Fortführung der Aufgabenwahrnehmung zu ermöglichen. dass Vertretungsregeln u. Dienstreise) und auch unvorhersehbare Fälle (Krankheit. die auf Grund ihres Spezialwissens nicht kurzfristig ersetzbar sind. eine/n Vertreter/in zu schulen. so sollten einige Punkte beachtet werden. welche externen Kräfte für den Vertretungsfall eingesetzt werden können. dass der Verfahrens. Die/der Vertreter/in darf die erforderlichen Zugangs. Die/der Vertreter/in muss so geschult werden.und Zutrittsberechtigungen nur im Vertretungsfall erhalten. da dafür meist Spezialwissen sowie eine zeitgerechte Einarbeitung unkundiger Mitarbeiter/innen unbedingt erforderlich sind. dass sie/er die Aufgaben jederzeit übernehmen kann. Unfall. Dies wären: 192 . Dies ist besonders im Bereich der Informationsverarbeitung von Bedeutung. Für die Vertretungsregelungen sind folgende Randbedingungen einzuhalten: • • • • • • • Die Übernahme von Aufgaben im Vertretungsfall setzt voraus.1.

so ist der Notlaufplan zu aktualisieren. ausgeliehene IT-Geräte (z. Ist die ausscheidende Person ein/e Funktionsträger/in in einem Notlaufplan. insbesondere zu Räumen mit IT-Systemen zu verwehren. so ist nach Ausscheiden einer der Personen die Zugangsberechtigung zu ändern.5 Geregelte Verfahrensweise bei Versetzung eines Mitarbeiters ISO Bezug: 27002 8. Wurde in Ausnahmefällen eine Zugangsberechtigung zu einem IT-System zwischen mehreren Personen geteilt (z. Nach Möglichkeit sollte eine Neuvergabe der User-ID an eine/n andere/n Mitarbeiter/in vermieden/ausgeschlossen werden. Dokumentationen) zurückzufordern. Insbesondere sind die Behörden.bzw. insbesondere der Portierdienst. Von der/dem Ausscheidenden sind sämtliche Unterlagen. schützenswerte Räume zu betreten.3 193 . Optional kann sogar für den Zeitraum zwischen Aussprechen der Kündigung und dem Ausscheiden der Entzug sämtlicher Zugangs. Betriebsmittel oder Zugangsmöglichkeiten verbleiden. ausgehändigte Schlüssel. ausgesprochen werden. des Unternehmens zu erledigen hat. die sie/er vor Verlassen der Behörde bzw. zu löschen.1.B. Als ein praktikables Hilfsmittel haben sich Laufzettel erwiesen. Es ist sicherzustellen. tragbare Rechner. sind über das Ausscheiden der/des Mitarbeiterin/Mitarbeiters zu unterrichten. und diese Nachfolgenden für ihre Tätigkeiten zur Verfügung stehen. dass bei Ausscheidenden keine Unterlagen. Sämtliche mit Sicherheitsaufgaben betrauten Personen. auf denen die einzelnen Aktivitäten der/des Ausscheidenden vorgezeichnet sind. Vor der Verabschiedung sollte noch einmal explizit darauf hingewiesen werden. Es sind sämtliche für die/den Ausscheidende/n eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw.• • • • • • • • • • • Vor dem Ausscheiden ist eine Einweisung der/des Nachfolgerin/Nachfolgers durchzuführen. dass alle Verschwiegenheitserklärungen weiterhin in Kraft bleiben und keine im Rahmen der Tätigkeit erhaltenen Informationen weitergegeben werden dürfen.oder Firmengelände.und Zugriffsrechte auf IT-Systeme sowie darüber hinaus auch das Verbot. Firmenausweise einzuziehen. Dies betrifft auch die externen Zugangsberechtigungen via Datenübertragungseinrichtungen. Ausgeschiedenen Mitarbeiterinnen/Mitarbeitern ist der unkontrollierte Zutritt zum Behörden. mittels eines gemeinsamen Passwortes).B. Speichermedien. 8.

wenn eine Anlaufstelle zur Verfügung steht. Weiters ist bei der Ausstattung von Arbeitsplätzen darauf zu achten. Reinigungspersonal. Schrank. ihre Mitarbeiter/innen und eventuelle potentielle Probleme zu kennen ("Know your Employee"). ein positives Betriebsklima zu erreichen. Daher sollte auch unter ITSicherheitsaspekten versucht werden. Dies gilt insbesondere für Großraumbüros. dass die Einhaltung von IT-Sicherheitsmaßnahmen unterstützt wird.2.2 Jede/r Mitarbeiter/in sollte vor ihrer/seiner Abwesenheit ihre/seine Unterlagen und den persönlichen Arbeitsbereich verschließen: Schreibtisch. 8. Hierzu besteht eine Reihe von Regelungen und Normen.. Unterlagen und Zubehör verschlossen werden können. PC und Telefon. in denen Datenträger. Ursache für eine unzureichende Aufgabenerfüllung können oftmals persönliche Probleme einer/eines Arbeitnehmerin/Arbeitnehmers sein.7 Clear Desk Policy ISO Bezug: 27002 8. die bei solchen Problemen konkrete Hilfe und Lösungsmöglichkeiten anbieten kann. unbefugte Mitarbeiter/innen. Dokumentationen.a. Datenträgern und IT-Komponenten haben. Daher ist es für jede Organisation wichtig. Dazu gehört auch die ergonomische Gestaltung des Arbeitsplatzes. Ergonomie ist nicht Gegenstand dieses Handbuches. deren Nichtbeachtung u.1 Ein positives Betriebsklima motiviert die Mitarbeiter/innen einerseits zur Einhaltung von IT-Sicherheitsmaßnahmen und bewirkt andererseits die Reduzierung von fahrlässigen oder vorsätzlichen Handlungen (vgl. §126a zu Datenbeschädigung).Bei Versetzung einer/eines Mitarbeiterin/Mitarbeiters oder einer wesentlichen Änderung ihrer/seiner Tätigkeit sind ihre/seine Zugangsberechtigungen sowie Zugriffsrechte auf Übereinstimmung mit den neuen Anforderungen zu überprüfen und gegebenenfalls anzupassen.1.2. 8. die eine Störung des IT-Betriebs herbeiführen können. 194 . dass keine unberechtigten Personen (Besucher/innen.) Zugriff zu Schriftstücken.1.6 Gewährleistung eines positiven Betriebsklimas ISO Bezug: 27002 8. eventuell zu Sicherheitsproblemen führen kann. In vielen Fällen kann es hilfreich sein. aber auch in den anderen Fällen ist dafür Sorge zu tragen. Dazu gehören etwa verschließbare Schreibtische oder Schränke. die Wichtigkeit einer ergonomischen Gestaltung des Arbeitsplatzes sei aber hier nochmals betont..

so kann der erforderliche Schutz mittels einer Zugriffskontrolle nur dann erreicht werden.ist vorzusehen.1 Administratoren von IT-Systemen und ihren Vertreterinnen/Vertretern muss vom Betreiber großes Vertrauen entgegengebracht werden können.9 Verpflichtung der PC-Benutzer/innen zum Abmelden ISO Bezug: 27002 8.1. so ist die Abmeldung der/des Benutzerin/ Benutzers aus Gesichtspunkten der Ordnungsmäßigkeit dennoch vorzuschreiben.in Abhängigkeit vom eingesetzten System . Es soll regelmäßig darüber belehrt werden. Administratoren und ihre Vertreter/innen sind in der Lage.Ist eine Clear Desk Policy-Regelung in einer Organisation vorgesehen. an einem PC unter der Identität einer/eines Anderen weiterzuarbeiten. so sollte die Einhaltung dieser Regelung in die Verpflichtungserklärung jeder/jedes Mitarbeiterin/ Mitarbeiters (vgl. wieweit durch technische Maßnahmen .weit gehende und oftmals allumfassende Befugnisse. wenn jede/r Benutzer/in sich nach Aufgabenerfüllung bzw. zu verändern und Berechtigungen so zu vergeben. sie ggf. Ist es einer/einem Dritten möglich. ohne deren Aufgabenerfüllung zu beeinträchtigen.1.3 Wird ein PC von mehreren Benutzerinnen/Benutzern genutzt und besitzen die einzelnen Benutzer/innen unterschiedliche Zugriffsrechte auf im PC gespeicherte Daten oder Programme.etwa durch Auswertung von Protokollen durch Revisoren .1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze. Sie haben . sich bei Verlassen des Arbeitsplatzes abzumelden. Darüber hinaus sollte geprüft werden. Kapitel 8.1. bei Verlassen des Arbeitsplatzes am PC abmeldet. 195 .1. so ist jegliche sinnvolle Zugriffskontrolle unmöglich. 8.etwa die Verschlüsselung von ausgewählten Daten oder Zugriffsbeschränkungen zu Protokollfiles .die Befugnisse von Administratoren eingeschränkt werden können. dass die Befugnisse nur für die erforderlichen Administrationsaufgaben verwendet werden dürfen. Eine regelmäßige Kontrolle von Administratoren . Ist keine Zugriffskontrolle realisiert. auf alle gespeicherten Daten zuzugreifen. 8. Daher sind alle PC-Benutzer/innen zu verpflichten.8 Benennung eines vertrauenswürdigen Administrators und Vertreterin/Vertreters ISO Bezug: 27002 8. Vorschriften und Regelungen ) aufgenommen werden. dass erheblicher Missbrauch möglich wäre.1. Das hierfür eingesetzte Personal muss sorgfältig ausgewählt werden.

Wenn Mitarbeiter/innen eine Regelung ignorieren oder umgehen.1. Für die Akzeptanz von Kontrollen ist es wichtig. dass nur eine kurze Unterbrechung der Arbeit erforderlich ist. Kontrollen sollten vor allen Dingen darauf ausgerichtet sein. ob die Benutzer/innen eines IT-Systems die organisatorischen Vorgaben (etwa Verpflichtung zur Abmeldung nach Aufgabenerfüllung oder Verbot der Weitergabe von Passwörtern) auch tatsächlich einhalten. während einer Kontrolle mit den Beteiligten über mögliche Problemlösungen zu sprechen und entsprechende Abhilfen vorzubereiten. 8. besteht die Gefahr. Diese können beispielsweise in der Änderung bestehender Regelungen oder in der Hinzunahme technischer Maßnahmen bestehen. kommt es nicht darauf an. die Ursachen für diese Probleme festzustellen und Lösungen aufzuzeigen.1.Ist absehbar. sondern versuchen. ist das meist ein Zeichen dafür. Wenn die Mitarbeiter/innen dies befürchten müssen. dass dies allen Beteiligten als Ziel der Kontrollen erkennbar ist und dass dabei keine Personen bloßgestellt werden oder als "Schuldige" identifiziert werden.1. vertrauliche Schreiben nicht unbeaufsichtigt am Drucker liegen zu lassen. Es ist daher sinnvoll. Vielmehr ist es wichtig. kann an Stelle des Abmeldens auch eine manuelle oder nach einer gewissen Zeit automatische Aktivierung der Bildschirmsperre erfolgen.11 Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen ISO Bezug: 27002 8. Mängel abzustellen. nur die Symptome zu beseitigen. Wenn bei Kontrollen Mängel festgestellt werden. bestehende Probleme zu vertuschen. wenn zum Drucken nur ein weit entfernter Netzdrucker zur Verfügung steht.2. dass diese nicht mit den Arbeitsabläufen vereinbar ist oder durch die Mitarbeiter/innen nicht umgesetzt werden kann. unsinnig. Beispielsweise ist eine Anweisung. 8.3 196 .10 Kontrolle der Einhaltung der organisatorischen Vorgaben ISO Bezug: 27002 8.3 Mittels Protokollauswertung oder durch Stichproben ist in angemessenen Zeitabständen zu überprüfen. dass sie nicht offen über ihnen bekannte Schwachstellen und Sicherheitslücken berichten.

2.3 Externe Mitarbeiter/innen.sollen festgelegt. d. 8. vom Management verabschiedet und allen Mitarbeiterinnen/Mitarbeitern bekannt sein.im Falle interner Mitarbeiter/innen können dies beispielsweise disziplinäre Maßnahmen sein. 8. Zugang zu vertraulichen Unterlagen und Daten bekommen könnten.1 Kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal ist wie Besucher/innen zu behandeln.6 Portierdienst ). denen Sicherheitsverletzungen angelastet werden.2 197 . des Unternehmens erlaubt ist etc. (vgl. sind ebenfalls schriftlich auf die Einhaltung der geltenden einschlägigen Gesetze. dazu etwa 9.1.2.2 Regelungen für den Einsatz von Fremdpersonal 8.2.h.1 Regelungen für den kurzfristigen Einsatz von Fremdpersonal ISO Bezug: 27002 8. Eine derartig geregelte Verfahrensweise kann einerseits infolge der abschreckenden Wirkung zur Prävention von Sicherheitsverletzungen dienen und gewährleistet andererseits eine korrekte und faire Behandlung von Personen. im Falle externer Mitarbeiter/innen etwa vertraglich abgeleitete Konsequenzen . 8.2.1.1. die über einen längeren Zeitraum in einer oder für eine Organisation tätig sind und ev. In Anhang B werden Beispiele für die Formulierung derartiger Verpflichtungserklärungen gegeben. Vorschriften und internen Regelungen zu verpflichten.3 Beaufsichtigung oder Begleitung von Fremdpersonen ISO Bezug: 27002 8. Vorschriften und Regelungen ISO Bezug: 27002 8.Die Vorgehensweise zur Untersuchung angeblicher (bewusster oder versehentlicher) Verletzungen von Sicherheitsvorgaben sowie potentielle Konsequenzen .2 Verpflichtung externer Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze. dass also etwa der Aufenthalt in sicherheitsrelevanten Bereichen nur in Begleitung von Mitarbeiterinnen/ Mitarbeitern der Behörde bzw.

Eine Dokumentation über den Aufenthalt von Fremdpersonen kann in einem Besucherbuch geführt werden. Fremdpersonen (z.so weit es zur Erfüllung ihrer Aufgaben und Verpflichtungen erforderlich ist . 11.4 Information externer Mitarbeiter/innen über die ITSicherheitspolitik ISO Bezug: 27002 8.6 Portierdienst ). wenn alle Arbeitsunterlagen verschlossen aufbewahrt sind und die IT über einen aktivierten Zugangsschutz gesichert ist (vgl.7. außer in Räumen. Tastaturschloss).2.Fremde (Besucher/innen. Wartungs.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter/innen ISO Bezug: 27002 8. dass Familienmitglieder und Besucher/innen sich nur dann alleine im Arbeitsbereich aufhalten dürfen. die ausdrücklich dafür vorgesehen sind.2.und Reinigungspersonal) sollten. eine/n Fremde/n allein im Büro zurückzulassen. sollte zumindest der persönliche Arbeitsbereich abgeschlossen werden: Schreibtisch. Die Notwendigkeit dieser Maßnahmen ist den Mitarbeiterinnen/Mitarbeitern zu erläutern und ggf. sollte man eine/n Kollegin/Kollegen ins Zimmer oder den/die Besucher/in zu einer/einem Kollegin/Kollegen bitten.über hausinterne Regelungen und Vorschriften zur IT-Sicherheit sowie die organisationsweite IT-Sicherheitspolitik zu unterrichten.2 198 .2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes und 11.3. Reinigungspersonal) ständig zu begleiten oder zu beaufsichtigen.4 Zutrittskontrolle und 9.3 Sicherheitssensibilisierung und -schulung 8. Siehe auch 8. Schrank und PC (Schloss für Diskettenlaufwerk. Kap. Wird es erforderlich. Ist es nicht möglich.7 Clear Desk Policy .2 Externe Mitarbeiter/innen sind .1.3 Regelungen für Telearbeit ). in einer Dienstanweisung festzuhalten. 8.1.B. Handwerker/innen. 8.7. nicht unbeaufsichtigt sein (siehe auch 9.2. Für den häuslichen Arbeitsplatz gilt.1.

Gepflogenheiten und Verfahrensweisen im IT-Einsatz bekannt gegeben werden.2 Schulung vor Programmnutzung ISO Bezug: 27002 8.3. Darüber hinaus müssen auch bei umfangreichen Änderungen in einer IT-Anwendung Schulungsmaßnahmen durchgeführt werden. Daraus können Störungen und Schäden für den IT-Einsatz erwachsen.2.1. sich selbstständig einzuarbeiten. 8.Neuen Mitarbeiterinnen/Mitarbeitern müssen interne Regelungen. auch 8.2 Schulung vor Programmnutzung und 8.3. Sie wissen nicht. insbesondere zu IT-Sicherheitsfragen. Daher kommt der geregelten Einarbeitung neuer Mitarbeiter/innen eine entsprechend hohe Bedeutung zu. Die Einarbeitung bzw. Erläuterung der hausinternen Regelungen und Vorschriften zur IT-Sicherheit und der organisationsweiten IT-Sicherheitspolitik.2.2 199 .2 Durch unsachgemäßen Umgang mit IT-Anwendungen hervorgerufene Schäden können vermieden werden. IT-Sicherheit nicht. welche IT-Sicherheitsmaßnahmen durchzuführen sind und welche IT-Sicherheitspolitik die Behörde bzw.3.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ISO Bezug: 27002 8. 8. Eine wesentliche Voraussetzung dazu ist allerdings die Bereitstellung ausreichender Einarbeitungszeit.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ). Einweisung sollte zumindest folgende Punkte umfassen: • • • Planung der notwendigen Schulungen. 8. Daher ist es unabdingbar. so kann an Stelle der Schulung auch die Aufforderung stehen. Ohne eine entsprechende Einweisung kennen sie ihre Ansprechpartner/innen bzgl. Dies betrifft sowohl die Nutzung von Standardprogrammpaketen als auch von speziell entwickelten IT-Anwendungen.1. Vorstellung aller Ansprechpartner/innen. wenn die Benutzer/innen eingehend in die ITAnwendungen eingewiesen werden.3. arbeitsplatzbezogene Schulungsmaßnahmen (s. dass die Benutzer/ innen vor der Übernahme IT-gestützter Aufgaben ausreichend geschult werden. Stehen leicht verständliche Handbücher zu IT-Anwendungen bereit. das Unternehmen betreibt.

insbesondere unter den Gesichtspunkten Vertraulichkeit. Integrität und Verfügbarkeit. Um dies zu verhindern. Schulungsthemen zur IT-Sicherheit soweit möglich in andere Schulungskonzepte der betreffenden Organisation. dass ITSicherheit unmittelbar als Bestandteil des IT-Einsatzes wahrgenommen wird. Dieser Teil der Schulungsmaßnahmen hat große Bedeutung. auch durch praktische Hinweise z. Es liegt in der Verantwortung der Organisationsleitung. Zusätzlich sind Verhaltensregeln zu vermitteln. wenn alle beteiligten und betroffenen Personen einen angemessenen Kenntnisstand über ITSicherheit allgemein und insbesondere über die Gefahren und Gegenmaßnahmen in ihrem eigenen Arbeitsgebiet haben. Es sollte versucht werden. Dieses ist in Schulungskonzepten darzulegen und zu dokumentieren. Die produktbezogenen IT-Sicherheitsmaßnahmen 200 . evtl.B. etwa in die ITAnwenderschulung. Insbesondere sollen folgende Themen in der Schulung zu IT-Sicherheitsmaßnahmen vermittelt werden: • • • Sensibilisierung für IT-Sicherheit Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit. Darüber hinaus sollte jede/r Benutzer/in dazu motiviert werden. Jede/ r Mitarbeiter/in ist auf die Notwendigkeit der IT-Sicherheit hinzuweisen. zu integrieren. sich auch in Eigeninitiative Kenntnisse anzueignen. in hausinternen Publikationen. Angesichts des Umfangs der möglichen Schulungsthemen und der Bedeutung der IT-Sicherheit ist bei der Auswahl der Schulungsinhalte ein koordiniertes Vorgehen erforderlich. im Intranet oder am "Schwarzen Brett". Darüber hinaus ist der Wert von Informationen herauszuarbeiten. da viele ITSicherheitsmaßnahmen erst nach einer entsprechenden Schulung und Motivation effektiv umgesetzt werden können. die Verständnis für die IT-Sicherheitsmaßnahmen wecken. die in einem IT-Sicherheitskonzept erarbeitet wurden und von den einzelnen Mitarbeiterinnen/Mitarbeitern umzusetzen sind. durch geeignete Schulungsmaßnahmen hierfür die nötigen Voraussetzungen zu schaffen. Die mitarbeiter/innenbezogenen IT-Sicherheitsmaßnahmen Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden. Eine solche Einbindung hat den Vorteil. ist jede/r Einzelne zum sorgfältigen Umgang mit der IT zu motivieren. Diese Sensibilisierungsmaßnahmen sind in regelmäßigen Zeitabständen zu wiederholen.Umfassende IT-Sicherheit kann nur dann gewährleistet werden. Das Aufzeigen der Abhängigkeit der Organisation und damit der Arbeitsplätze von dem reibungslosen Funktionieren der IT-Systeme ist ein geeigneter Einstieg in die Sensibilisierung.

Mögliche Inhalte dieser Schulung sind (siehe Kap. Zugangscodes für Voicemail. Dies können neben Passwörtern zur Anmeldung. Schutz vor Schadprogrammen und Schadfunktionen): • • • • • • Wirkungsweise und Arten von Schadprogrammen Vorbeugende Maßnahmen Erkennen des Schadprogrammbefalls Sofortmaßnahmen im Verdachtsfall Maßnahmen zur Eliminierung des Schadprogrammes • • Der richtige Einsatz von Zugangscodes und Zugangskontrollmedien Hierbei sollen die Bedeutung von Zugangscodes (Passwörtern. Das Verhalten bei Auftreten eines Schadprogramms auf einem PC Hier soll den Mitarbeiterinnen/Mitarbeitern vermittelt werden. Ebenso sind die Randbedingungen.. der Pausenschaltung durch Bildschirmschoner auch Möglichkeiten der Verschlüsselung von Dokumenten oder Datenfeldern sein.) und Zugangskontrollmedien (Karten. die einen wirksamen Einsatz von Zugangscodes und Zugangskontrollmedien erst ermöglichen.2 Regelungen des Gebrauchs von Chipkarten ). PINs.6. wie mit Viren umzugehen ist..• Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden. Kap. können die Vergabe von Zugriffsrechten erleichtern und den Aufwand für die Datensicherung deutlich reduzieren. wann welchen Kommunikationspartnerinnen/ Kommunikationspartnern welche Datenträger übermittelt werden dürfen. Token. Hinweise und Empfehlungen über die Strukturierung und Organisation von Dateien. die anwendungsspezifische Daten enthalten. Besonders bedeutend ist dies für den PC-Bereich. auch 11. Bürgerkarte . die inhärent mit einem Softwareprodukt verbunden sind und bereits im Lieferumfang enthalten sind.1 Regelungen des Passwortgebrauches und 11. Vermittelt werden sollen das Datensicherungskonzept (s. Werden bestimmte IT-gestützte Verfahren zum Schutz der Daten während des Austausches eingesetzt (wie etwa Verschlüsselung.) für die IT-Sicherheit erläutert werden.5 Datensicherung) der Organisation und die von jeder/jedem Einzelnen durchzuführenden Datensicherungsaufgaben. Die Bedeutung der Datensicherung und deren Durchführung Die regelmäßige Datensicherung ist eine der wichtigsten ITSicherheitsmaßnahmen in jedem IT-System. digitale Signaturen oder Checksummenverfahren). so sind die Mitarbeiter/innen in die Handhabung dieser Verfahren ausreichend einzuarbeiten. herauszuarbeiten (vgl. 201 . ist allen Beteiligten bekannt zu geben. etc.3. 10. in dem jede/r Benutzer/in selbst die Datensicherung verantwortlich durchführen muss. Der geregelte Ablauf eines Datenträgeraustausches Die Festlegung.

Richtiges Verhalten bei Auftreten von Sicherheitsproblemen (IHP) Die in den Incident Handling-Plänen (IHPs) festgelegten Aufgaben und Verantwortlichkeiten aller Mitarbeiter/innen bei Auftreten sicherheitsrelevanter Ereignisse sind allen betroffenen Mitarbeiterinnen/Mitarbeitern bekannt zu machen. das Notfall-Meldesystem (wer als Erstes wie zu benachrichtigen ist) und der Umgang mit dem Disaster Recovery Handbuch. aber auch aus Bedienungsfehlern resultieren.• • • • Der Umgang mit personenbezogenen Daten An den Umgang mit personenbezogenen Daten sind besondere Anforderungen zu stellen..2 Neben der Schulung. Da Social Engineering oft mit der Vorspiegelung einer falschen Identität einhergeht. sollten bekannt gegeben werden.. 8. 202 .). sollten Mitarbeiter/innen regelmäßig darauf hingewiesen werden.4 Betreuung und Beratung von IT-Benutzerinnen/ITBenutzern ISO Bezug: 27002 8. Datensicherheitsmaßnahmen sowie Übermittlung und Überlassung von Daten. Mitarbeiter/innen. über gezieltes Aushorchen an vertrauliche Informationen zu gelangen. Richtigstellung. Löschung. die Identität von Gesprächspartnerinnen/Gesprächspartnern zu überprüfen und insbesondere am Telefon keine vertraulichen Informationen weiterzugeben. die Verhaltensweisen bei Feuer. Die typischen Muster solcher Versuche. bedarf es einer Betreuung und Beratung der IT-Benutzer/innen für die im laufenden Betrieb auftretenden Probleme. Die Einweisung in Notfallmaßnahmen Sämtliche Mitarbeiter/innen (auch nicht unmittelbar mit IT befasste Personen wie Portier oder Wachpersonal) sind in bestehende Notfallmaßnahmen einzuweisen. regelmäßige Schulungen und gegebenenfalls praktische Übungen sind vorzusehen (vgl. fehlerhaften Softwareinstallationen.5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne)) Vorbeugung gegen Social Engineering Die Mitarbeiter/innen sollen auf die Gefahren des Social Engineering hingewiesen werden. die vorhandene Informationstechnik sachgerecht einzusetzen. auch 8. ebenso wie die Methoden. der Umgang mit Feuerlöschern. sich dagegen zu schützen. .3. Dies betrifft etwa Meldepflichten. sind für die gesetzlich erforderlichen Sicherheitsmaßnahmen zu schulen. die mit personenbezogenen Daten (sowohl in IT-Systemen als auch in Akten) arbeiten müssen. Diese Probleme können aus Hardwaredefekten. Dazu gehören die Erläuterung der Fluchtwege. Widerspruch.2.3. den Umgang mit den Rechten von Betroffenen (Auskunft. die die IT-Benutzer/innen in die Lage versetzt.

Dabei hat sich die Wahl einer besonders leicht zu merkenden Telefonnummer besonders bewährt.und Administrationspersonals 203 . Unter sicherheitsrelevanten Ereignissen sind dabei zu verstehen: • • • • • • • • Angriffe und (vermutete) Angriffsversuche gegen ein IT-System (vermutete) Sicherheitsschwächen Funktionsstörungen von Systemen (etwa durch maliziöse Software) Incident Handling-Pläne sollen in schriftlicher Form und verbindlich festlegen: wie auf sicherheitsrelevante Ereignisse zu reagieren ist. Gegenmaßnahmen treffen müssen. IHPs sind allen betroffenen Mitarbeiterinnen/Mitarbeitern bekannt zu machen. 8. die Protokollierung und Dokumentation sicherheitsrelevanter Vorfälle sowie die Ausbildung von Personen. eine zentrale Stelle mit der Betreuung der IT-Benutzer/innen zu beauftragen und diese allen Mitarbeiterinnen/Mitarbeitern bekannt zu geben ("Helpdesk").2. Untersuchung sicherheitsrelevanter Vorfälle. Die Einrichtung eines Helpdesk kann sich insbesondere bei einer hohen Zahl dezentraler Systeme wie PCs als vorteilhaft erweisen.1 Die Aufgaben und Verantwortlichkeiten aller Mitarbeiter/innen bei Auftreten von sicherheitsrelevanten Ereignissen sollten im Rahmen der organisationsweiten ITSicherheitspolitik (High-Level-Beschreibung) sowie spezieller "Incident HandlingPläne" (IHPs) sowohl für einzelne Bereiche als auch für die gesamte Organisation festgelegt werden (vgl. Unternehmen kann es daher sinnvoll sein. 8. dazu auch 13.3 Erstellung eines Incident Handling Plans und Richtlinien zur Behandlung von Sicherheitsvorfällen dieses Handbuches).3.1.6 Schulung des Wartungs. an wen sie/er sich in Problemfällen zu wenden hat.In größeren Behörden bzw. die sicherheitsrelevante Vorfälle behandeln bzw. Es muss für jede/n Benutzer/in klar ersichtlich sein.5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne) ISO Bezug: 27002 8. die einzuhaltenden Meldewege. die Verantwortlichkeiten für die Meldung bzw.3.

Tätigkeiten im Normalbetrieb bis zur Erkennung von Problemen eigenhändig durchgeführt. Sicherheitshinweise und ggf.2 Der Einsatz neuer Medien und Geräte . die Eingriffe von externem Wartungspersonal nachvollzogen und Manipulationsversuche oder unbefugte Zugriffe auf die Systeme erkannt werden können.3.ISO Bezug: 27002 8.8 Einweisung in die Regelungen der Handhabung von Kommunikationsmedien ISO Bezug: 27002 8. bringt aber auch neue potentielle Gefährdungen der Vertraulichkeit und Integrität von Informationen mit sich. Sie sind den jeweiligen technischen Anforderungen und Möglichkeiten anzupassen. Verständliche Bedienungsanleitungen.dazu zählen Fax und Router genauso wie etwa Anrufbeantworter und Voice Mail . auch Dienstanweisungen sind den Mitarbeiterinnen/Mitarbeitern zur Kenntnis zu bringen und verfügbar zu halten. dass • • • • • • alltägliche Administrationsarbeiten selbst durchgeführt. einfache Fehler selbst erkannt und behoben. Alle Mitarbeiter/innen sind daher auf die Besonderheiten der Handhabung von solchen Geräten hinzuweisen und für potentielle Gefahren zu sensibilisieren. 204 . was solche Regelungen umfassen sollten.erleichtert die Kommunikation. Im Folgenden werden einige Beispiele angeführt.und Administrationspersonal sollte mindestens so weit geschult werden.2. 8. Datensicherungen selbsttätig durchgeführt.2 Das Wartungs.2. Fax (Stand-alone-Gerät) • Festlegung einer/eines Fax-Verantwortlichen. die/der für die Verteilung eingehender Fax-Sendungen zuständig ist und als Ansprechpartner/in in FaxProblemfällen fungiert.

auch 9. wie zum Beispiel das Nichtverwerfen von Codeschlössern. die die Nutzung eines Schutzschrankes umfasst. 8.auch nur kurzfristiger . Insbesondere ist einzufordern. dass unnötige brennbare Materialien (Ausdrucke.3 Nach der Beschaffung eines Schutzschrankes (Serverschrank oder Datensicherungsschrank . überzählige Handbücher. Kontrolle von Einzelsendenachweisen. Die Regelungen zur Schlüsselverwaltung. Verbot des Versendens von vertraulichen Informationen per Fax (oder besondere technische und organisatorische Vorkehrungen für diesen Fall. 205 . Im Falle eines Serverschrankes ist darauf hinzuweisen. Beispiele für zu vermittelnde Punkte sind: • • Korrekter Umgang mit dem Schloss des Schutzschrankes: Dabei ist auf typische Fehler hinzuweisen.• • • • • • Festlegung. Abschalten nicht benötigter Leistungsmerkmale. wer das Faxgerät benutzen darf.3. Druckerpapier) nicht im Serverschrank aufbewahrt werden sollen. Schlüsselhinterlegung und Vertretungsregelung sind aufzuzeigen. Anrufbeantworter • • • • Regelung über den Einsatz von Sicherungscodes für die Fernabfrage Vermeidung schutzbedürftiger Informationen auf Anrufbeantwortern. Dies sollte auch bei Neuübertragung einer Aufgabe erfolgen. wie etwa telefonische Ankündigung eines derartigen Fax).Nichtbenutzung verschlossen wird. Fernzugänge Information über mögliche Gefährdungen.3.vgl.9 Einweisung in die Bedienung von Schutzschränken ISO Bezug: 27002 8.7 Beschaffung und Einsatz geeigneter Schutzschränke ) sind die Benutzer/innen in die korrekte Bedienung einzuweisen. Regelmäßiges Abhören und Löschen aufgezeichneter Gespräche. Auswirkungen verschiedener Konfigurationen auf die Betriebssicherheit des Routers. ggf. dass der Schutzschrank bei . Verwendung einheitlicher Fax-Deckblätter.5. einzuhaltende Sicherheitsmaßnahmen und Regelungen beim Betrieb eines Routers.

• • Datensicherungsträger des Servers sollten in einem anderen Brandabschnitt bzw. wenn eine Kopie der Datensicherungsbestände in einem anderen Brandabschnitt bzw. bei Bedarf disloziert gelagert werden. Gegebenenfalls ist sporadisch zu kontrollieren. sollten dessen Öffnungszeiten minimiert werden. ob im Serverschrank Wasser kondensiert ist. Eine Aufbewahrung im Serverschrank ist daher ungeeignet und nur dann zulässig. 206 . Wird ein klimatisierter Serverschrank eingesetzt. disloziert ausgelagert ist.

wie etwa Grundstücke. Datenträgerarchiv. Infrastruktur (Wasser-. Dabei sind verschiedene Schutzebenen zu betrachten. Kommunikationsverbindungen. Klimaanlage. Nach Möglichkeit sollten bauliche und infrastrukturelle Maßnahmen bereits in der Planungs. .) Welche Bereiche des Grundstückes bzw. Welche davon in einem konkreten Fall zum Einsatz kommen.9 Physische und umgebungsbezogene Sicherheit Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 9 ff "Physische und umgebungsbezogene Sicherheit". wenn ja. Serverräume.). Die nachfolgenden Fragen können bei der Beurteilung der baulichen und infrastrukturellen Sicherheit hilfreich sein: • • • • • • • Lage des Gebäudes (Befindet es sich auf einem eigenen gesicherten Grundstück? Wie sind die benachbarten öffentlichen Verkehrsflächen beschaffen?) Steht das Gebäude der betreffenden Organisation zur Alleinbenützung zur Verfügung oder gibt es andere Mitbenutzer. Auflagen von etwaigen Versicherungen eingehalten werden. dass die Bedingungen bzw. Lüftungsschächten etc.bzw. ist abhängig von Größe und Schutzbedarf der Organisation. Weiters ist zu beachten. ein nachträglicher Einbau ist meist teuer oder gar unmöglich. Fenstern. USV.... Gebäude oder Räume (Büros. des Gebäudes sind sicherheitsrelevant? Im Folgenden werden eine Reihe von grundlegenden Sicherheitsmaßnahmen angeführt. Türen. Räume für technische Infrastruktur. 207 . Stromversorgung. Die in diesem Abschnitt beschriebenen Maßnahmen dienen dem Schutz von Informationssystemen mittels baulichen und infrastrukturellen Vorkehrungen.. welche? Wer hat Zutritt zum Gebäude? Gibt es eine physische Zutrittskontrolle? Ist ein Portierdienst eingerichtet? Stärke und Schutz/Überwachung von Wänden. Bauphase Berücksichtigung finden.

für Gebäude in Einflugschneisen von Flughäfen besteht Gefahr durch einen eventuellen Flugzeugabsturz. hilfreich werden in den nachfolgenden Maßnahmenbeschreibungen Normen beispielhaft herausgegriffen und angeführt. kann aber .1. können durch Unfälle beschädigt werden. 9. zu berücksichtigen: • • • • • • • In Zusammenhang mit Schwächen in der Bausubstanz kann es durch Erschütterungen naher Verkehrswege (Straße. . In der Nähe von Gewässern und in Niederungen ist mit Hochwasser zu rechnen.1 Geeignete Standortauswahl ISO Bezug: 27002 Bei der Planung des Standortes. die direkt an Hauptverkehrstrassen (Autobahn. an dem ein Gebäude angemietet werden oder entstehen soll.und Nachteile sind entsprechend abzuwägen. Bundesstraße.. Dabei handelt es sich nicht um eine vollständige Aufzählung aller für einen Bereich relevanten Normen und auch nicht um verbindliche Einsatzempfehlungen. Die Nähe zu optimalen Verkehrswegen wird in vielen Fällen als Vorteil angesehen werden. Gebäude.1 Bauliche und infrastrukturelle Maßnahmen 9.da diese Verkehrswege auch potentielle Fluchtwege darstellen können . In der Nähe von Kraftwerken oder Fabriken kann durch Unfälle oder Betriebsstörungen (Explosion.oder Eisenbahnen kann es zu Störungen von Datenleitungen und CRT-Bildschirmen kommen.unter Umständen auch die Durchführung eines Anschlages erleichtern. UBahn) zu Beeinträchtigungen der IT kommen. die angeführten Beispiele sollen lediglich einen Hinweis auf existierende. Bahn.2 Anordnung schützenswerter Gebäudeteile 208 . durch Evakuierung oder großräumige Absperrung) beeinträchtigt werden. empfiehlt es sich. S. Eisenbahn. 9.Wo sinnvoll bzw. Streunende Haustiere können Fehlalarme von Bewegungsmeldern verursachen und Personen gefährden. Austritt schädlicher Stoffe) die Verfügbarkeit des Gebäudes (z. Vor. Bei Überbauten von U-..) liegen. neben den üblichen Aspekten wie Raumbedarf und Kosten auch Umfeldgegebenheiten. In der Nähe von Sendeeinrichtungen kann es zu Störungen der IT kommen.1.B. die Einfluss auf die Iinformationssicherheit haben. möglicherweise zur Anwendung kommende Normen geben und ein detailliertes Einarbeiten in die Materie erleichtern.

besondere Schließzylinder. ausschließlich der betreffenden Organisation gehörigen Liegenschaft). Räume unterhalb von Flachdächern sind durch eindringendes Regenwasser gefährdet. Dazu gehören: • • • Sicherungen bei einstiegsgefährdeten Türen oder Fenstern. Als Faustregel kann man sagen. Räume im Erdgeschoss mit schlecht einsehbaren Höfen sind durch Einbruch und Sabotage gefährdet. Zusatzschlösser und Riegel. Räume im Erdgeschoss .sind durch Anschlag.Schützenswerte Räume oder Gebäudeteile sollten nicht in exponierten oder besonders gefährdeten Bereichen untergebracht sein. Besteht die Möglichkeit. Insbesondere ist zu beachten: • • • • Kellerräume sind durch Wasser gefährdet.1. 209 . Optimal ist es.zu öffentlichen Verkehrsflächen hin . "Freilandschutz"). dass schutzbedürftige Räume oder Bereiche im Zentrum eines Gebäudes besser untergebracht sind als in dessen Außenbereichen. diese Aspekte schon in die Bauplanung für ein neues Gebäude oder in die Raumbelegungsplanung bei Einzug in ein bestehendes einzubeziehen.3 Einbruchsschutz ISO Bezug: 27002 Die gängigen Maßnahmen zum Einbruchsschutz sollten den örtlichen Gegebenheiten entsprechend angepasst werden. Dazu zählen etwa: • • • Zäune und Mauern Tore. auch das Umfeld des Gebäudes in das Sicherheitskonzept einzubeziehen (etwa bei einer eigenen. so können zusätzliche bauliche und technische Sicherheitsmaßnahmen getroffen werden ("Perimeterschutz". Sicherung von Kellerlichtschächten. Vandalismus und höhere Gewalt (Verkehrsunfälle in Gebäudenähe) gefährdet. Schranken und Fahrzeugsperren Kameraüberwachung und Bewegungsmelder 9.

Kommunikationseinrichtungen und die Haustechnik sein. Dokumentation der Vergabe und Rücknahme von Zutrittsberechtigungen Definition von Zeitabhängigkeiten: Es ist zu klären. welche Personengruppen (etwa RZMitarbeiter/innen. In Anhang A sind relevante ÖNORMEN zum Einbruchsschutz angeführt. 210 .. Solche Zeitabhängigkeiten können etwa sein: Zutritt nur während der Arbeitszeit oder befristeter Zutritt bis zu einem fixierten Datum. Räume mit Peripheriegeräten (Drucker. Dazu gehören: • • • • • Festlegung der Sicherheitszonen: Zu schützende Bereiche können etwa Grundstücke. Gebäude. organisatorische und personelle Maßnahmen. Das Zutrittskontrollkonzept legt die generellen Richtlinien für den Perimeter-. Archive.• • • Verschluss von nichtbenutzten Nebeneingängen. Angehörige von Lieferfirmen etc. Gebäude. ob zeitliche Beschränkungen der Zutrittsrechte erforderlich sind..und Lastenaufzügen außerhalb der Dienstzeit. 9.und Geräteschutz fest.). Den Mitarbeiterinnen/Mitarbeitern ist durch Regelungen bekannt zu geben. So verhindert beispielsweise eine getrennte Lagerung von Ersatzteilen für IT-Systeme und Datenträgern den unerlaubten Zugriff von Wartungstechnikerinnen/Wartungstechnikern auf die Datenträger.) Zutritt zu welchen Bereichen benötigen. Rechnerräume.4 Zutrittskontrolle Die Überwachung des Zutritts zu Gebäuden. Operator. Rechenzentren und sicherheitssensiblen Geräten zählt zu den wichtigsten physischen Schutzmaßnahmen. Kundinnen/ Kunden. einbruchgesicherte Notausgänge. welche Maßnahmen zum Einbruchsschutz beachtet werden müssen. Ein Zutrittskontrollsystem vereinigt verschiedene bauliche.1. Die einzelnen Bereiche können unterschiedliche Sicherheitsstufen aufweisen. Generelle Festlegung der Zutrittskontrollpolitik: Hier wird grundsätzlich festgelegt. . Verschluss von Personen. Um die Zahl der zutrittsberechtigten Personen zu einem Raum möglichst gering zu halten. Fachabteilungsmitarbeiter/innen. Bestimmung einer/eines Verantwortlichen für Zutrittskontrolle: Diese/r vergibt die Zutrittsberechtigungen an die einzelnen Personen entsprechend den in der Sicherheitspolitik festgelegten Grundsätzen. sollte auch beim IT-Einsatz der Grundsatz der Funktionstrennung berücksichtigt werden.

ob die Identifikation bzw. Karte.) zu vermeiden.. . dass im Brandfall die Mitarbeiter/innen schnellstmöglich die gefährdeten Zonen verlassen können. eines Mitarbeiters. PINs).und Abgänge. sicherzustellen. Sperrmöglichkeiten bei Verlust oder Duplizierung des Zutrittskontrollmediums (Schlüssel. Festlegung der Beweissicherung: Hier ist zu bestimmen. welche Daten bei Zutritt zu und Verlassen von einem geschützten Bereich protokolliert werden. Dabei bedarf es einer sorgfältigen Abwägung zwischen den Sicherheitsinteressen des Systembetreibers und den Schutzinteressen der Privatsphäre der/des Einzelnen.und Authentisierungssysteme wie Zugangscodes (Passwörter. Schleusen.. Festlegung der Rechteprüfung: Im Zutrittskontrollkonzept ist festzulegen. Polizei) ausgelöst. die Wartung und die regelmäßige Revision des Zutrittskontrollsystems in vertretbarer Relation zum möglichen Sicherheitsrisiko? Ist die Kapazität des Zutrittskontrollsystems der Größe der Organisation angepasst? Insbesondere ist eine ausreichende Zahl von Kontrollstellen und eventuellen Vereinzelungsmechanismen vorzusehen. Stehen die Kosten für die Installation. • • • 211 . zu welchen Zeiten und unter welchen Randbedingungen eine Rechteprüfung erfolgen muss. Voraussetzung für eine Nullsummenprüfung ist die Installation von Vereinzelungsmechanismen) erforderlich ? Ist das Auslösen eines "stillen Alarms" vorzusehen? Durch Eingabe einer vereinbarten Kennung.. Karten oder biometrische Methoden erfolgen soll. die Authentisierung durch Überwachungspersonal (persönlich oder mittels Überwachungskameras) oder durch automatische Identifikations. sowie welche Aktionen bei versuchtem unerlaubten Zutritt zu setzen sind. .Nullsummenprüfung: Feststellung der Anzahl der im geschützten Bereich befindlichen Personen durch Vergleich der Zu. Weiters sind folgende Fragen zu klären: • • • • Sind beim Betreten und/oder Verlassen eines geschützten Bereiches Vereinzelungsmechanismen (Drehtüren.) notwendig? Welche Maßnahmen sind bei unautorisierten Zutrittsversuchen zu setzen? Ist eine Nullsummenprüfung (Anmerkung . um Warteschlangen auch zu Stoßzeiten (Arbeitsbeginn.. Behandlung von Ausnahmesituationen: Es ist u.• • • • Festlegung der Zutrittskontrollmedien: Es ist festzulegen. den laufenden Betrieb. etwa einer zusätzlichen Ziffer zur üblichen PIN. wird ein Alarm an einer entfernten Überwachungsstelle (Portier.. der den Zugang zu geschützten Bereichen gewaltsam erzwingen will..) und bei Austritt einer Mitarbeiterin bzw. Eine solche Maßnahme bietet Schutz gegen jemanden.a. . wo.

Wartezeiten.). bei • • • Feststellung von Sicherheitsmängeln Erweiterungen des sicherheitsrelevanten Bereiches schlechter Benutzerakzeptanz: Die Akzeptanz durch die Benutzer ist ein entscheidendes Kriterium. die Regeln zu verletzen. Austausch des Schlosses. Mit der Standard. 212 . Es sind Vorkehrungen zu treffen. so sind für schutzbedürftige Bereiche eigene Schließgruppen zu bilden. wie bei Verlust einzelner Schlüssel zu reagieren ist (Meldung. dass auch grundsätzlich sicherheitsbewusste Mitarbeiter bereit sind. Bei Zuständigkeitsänderungen von Mitarbeiterinnen/Mitarbeitern sind deren Schließberechtigungen zu prüfen und Schlüssel gegebenenfalls einzuziehen. einzelne Räume aus der Schließgruppe herauszunehmen und mit Einzelschließung zu versehen. Überarbeitungen werden jedoch notwendig. Austausch von Schließgruppen etc. zu restriktive Handhabung. Mängel im Zutrittskontrollsystem (häufige Fehlalarme. Zu beachten ist: • • • • • • Ist eine Schließanlage vorhanden. Anhang C. überflüssige bürokratische Abläufe) können dazu führen.1. Reserveschlüssel sind vorzuhalten und gesichert aufzubewahren. den Anwender hilfreich sein kann. Ersatz. ggf.und Muster-Verordnung 2000 wurde eine neue Musteranwendung "MA002 Zutrittskontrollsysteme" geschaffen (s.2 Musteranwendung MA002 Zutrittskontrollsysteme). die die Meldung beim Datenverarbeitungsregister erleichtert und daher für die Anwenderin bzw. Beim Ausscheiden von MitarbeiterinnenMitarbeitern sind alle Schlüssel einzuziehen (Aufnahme der Schlüsselverwaltung in den Laufzettel). Verwaltung und Ausgabe von Schlüsseln ist zentral zu regeln. 9. Nicht ausgegebene Schlüssel und die Reserveschlüssel sind gegen unbefugten Zugriff geschützt aufzubewahren.5 Verwaltung von Zutrittskontrollmedien ISO Bezug: 27002 Für alle Schlüssel eines Gebäudes ist ein Schließplan zu fertigen. Ausfälle. Kostenerstattung.Das Zutrittskontrollkonzept sollte bereits vor der Systemauswahl so detailliert wie möglich feststehen und weitgehend stabil bleiben. Die Herstellung. Die Ausgabe der Schlüssel erfolgt gegen Quittung und ist zu dokumentieren. Aufbewahrung.

sicherheitsrelevanten Bereich. 9. Abhängig von der Sensibilität des Bereiches sind die Führung eines Besucherbuches. um so illegal nachgefertigten Schlüsseln die Funktion zu nehmen.• • Schlösser und Schlüssel zu besonders schutzbedürftigen Bereichen (zu denen nur sehr wenige Schlüssel ausgegeben werden sollten) können bei Bedarf getauscht werden. in dem der Zutritt von Fremdpersonen zum Gebäude dokumentiert werden kann.B. Unbekannte Personen haben sich beim Portier zu legitimieren. Dem Portier müssen die Mitarbeiter/innen bekannt sein.1. Scharfschaltung der Alarmanlage. • • • • • • Der Portier beobachtet bzw. ist auch der Portier zu unterrichten. Der Portier hält vor Einlassgewährung einer Besucherin bzw. so genannte Multifunktionschipkarten.oder Geschäftsschluss. Das Gleiche gilt sinngemäß auch für alle anderen Zutrittskontrollmedien wie Magnetstreifen. eines Besuchers bei der/dem Besuchten Rückfrage. Abhängig von der Sensibilität des zu schützenden Bereiches können auch gesperrte Schließsysteme zum Einsatz kommen.7 Einrichtung einer Postübernahmestelle 213 . 9. bzw. Voraussetzung ist allerdings. die die Anfertigung eines Schlüssels nur unter Vorliegen definierter Bedingungen (etwa schriftliche Zustimmung einer/eines Verantwortlichen) erlauben.6 Portierdienst ISO Bezug: 27002 Die Einrichtung eines Portierdienstes hat weit reichende positive Auswirkungen gegen eine ganze Reihe von Gefährdungen. diesem Mitarbeiter der Einlass zu verwehren ist. Die Aufgabenbeschreibung muss verbindlich festschreiben. Gebäudesicherung nach Dienst. Kontrolle der Außentüren und Fenster). der Besucher wird zu der/dem Besuchten begleitet oder am Eingang abgeholt. kontrolliert alle Personenbewegungen am Eingang zum Gebäude bzw. Die Besucherin bzw.oder Chipkarten. welche Aufgaben dem Portier im Zusammenspiel mit weiteren Schutzmaßnahmen zukommen (z.1. sowie die Ausgabe von Besucherausweisen oder Besucherbegleitscheinen zu erwägen. Scheidet ein/ e Mitarbeiter/in aus. dass bei der Durchführung des Portierdienstes einige Grundprinzipien beachtet werden. ab wann dieser Mitarbeiterin bzw.

dürfen erst nach Rücksprache mit der/dem namentlich angeführten Empfänger/in oder einer/ einem berechtigten Vertreter/in übernommen werden.oder Botendienst bzw. Pakete.B. vom Dienst habenden Mitarbeiter (z. von einer Privatperson gebracht werden.und/oder Fahrzeugschleusen Entscheidend ist.B. Portier. ob eine Sendung erwartet wird. Operator. Je nach Art und Topologie der Infrastruktur bzw. Wird außerhalb der Amts. Solche Regeln können etwa sein: • • • • Pakete.. des Grundstückes können folgende Vorkehrungen sinnvoll sein: • • • Einfriedung des Grundstückes z.ä. Ist dies nicht der Fall oder ist die/ der Empfänger/in nicht erreichbar.8 Perimeterschutz ISO Bezug: 27002 Sofern es die Gegebenheiten und die Infrastruktur es zulassen sollten bereits auf dem Grundstück der Organisation zusätzliche Sicherheitseinrichtungen installiert werden.bzw. Zaunanlage. Für größere Organisationseinheiten ist die Beschaffung von Geräten zum Durchleuchten von Postsendungen zu erwägen.) bei der/dem Empfänger/in rückzufragen. Personen. so ist von der Dienst habenden Mitarbeiterin bzw. um äußeren Gefährdungen entgegenzuwirken. 9. 214 .B. .1.ISO Bezug: 27002 Die Übernahme von Briefen und Paketen sollte durch eine zentrale Stelle unter Beachtung von für die betreffende Organisation adäquaten Sicherheitsregeln erfolgen. Videoüberwachung. in dem die Verhältnismäßigkeiten der einzelnen Schutzmaßnahmen aufeinander abgestimmt sind.. Detektionssensorik. gebracht werden. entsprechende Geländegestaltung.B. Schutz durch Bewachungsunternehmen äußere Zutrittskontrollmechanismen z. Schutzmauer Freiland Sicherungsmaßnahmen z. dass der Perimeterschutz in ein stimmiges Gesamtschutzkonzept eingebettet ist. die von einem Botendienst o. sind nicht zu übernehmen. Bürostunden ein Brief oder ein Paket abgegeben. geeignete Beleuchtung. so ist die Sendung nicht anzunehmen. die ohne namentlich angeführten Empfänger/in an die Organisation adressiert sind und von einem Paket.

9.1 Einhaltung von Brandschutzvorschriften und Auflagen Die gesetzlichen Brandschutzvorschriften und die Auflagen der zuständigen Baubehörde sowie der örtlichen Feuerwehr sind unbedingt einzuhalten. IT-Geräte und Leitungen stellen ebenso eine Brandlast dar wie Möbel. (Adresse siehe Anhang D) 9. die die Entstehung und Ausbreitung von Bränden verhindern und die Bekämpfung von Bränden gewährleisten. Ebenso ist es notwendig. Sie ist von der Menge und vom Heizwert der Stoffe abhängig.2 Raumbelegung unter Berücksichtigung von Brandlasten Eine Brandlast entsteht durch alle brennbaren Stoffe. insbesondere • • Bundes-Bedienstetenschutzgesetz ArbeitnehmerInnenschutzgesetz und die dazu ergangenen Verordnungen. wie sie zum Beispiel in den Publikationen des Verbands der Schadensversicherer (VdS) in Deutschland zu finden sind. In Anhang A sind eine Reihe von wichtigen Normen zum Thema Brandschutz angeführt.2. die allgemeinen und speziellen Bestimmungen des Arbeitnehmerschutzes und die Arbeitsstättenverordnung bei der Errichtung und beim Betrieb zu beachten. die ins Gebäude eingebracht werden.9. weitere Hinweise zum Brandschutz zu beachten.2 Brandschutz Brandschutz stellt die Gesamtheit aller Maßnahmen dar. dass die Arbeitgeber/innen und Arbeitnehmer/ innen alle Maßnahmen zu ergreifen haben. Brandverhütungsstellen und/oder Brandschutzexpertinnen/Brandschutzexperten können und sollen bei der Brandschutzplanung hinzugezogen werden. 215 . Fußbodenbeläge. Grundsätzlich ist davon auszugehen. um das Risiko einer Brandentstehung zu minimieren.2. Es ist empfehlenswert. Gardinen und dergleichen.

Bei der Unterbringung von IT-Geräten. So sollte etwa das Datenträgerarchiv nicht in der Nähe von oder über einem Papierlager oder Räumen mit erhöhter Brandlast untergebracht sein. 216 . Decke zu schotten (wieder zu verschließen). Ausschalten von Kaffeemaschinen bei Dienstende. Ersatz leicht entzündlicher Arbeitsstoffe) als auch organisatorischer Natur sein.3 Organisation Brandschutz Brandschutz umfasst sowohl präventive Maßnahmen.B.2. siehe Anhang A ) sind dabei zu beachten. . Um die Nachinstallation zu erleichtern. keine Verwendung von Heizstrahlern. die die Möglichkeit einer Brandentstehung minimieren sollen. können geeignete Materialien verwendet werden. sollte eine vorherige Beachtung der vorhandenen Brandlasten im gleichen Raum und in den benachbarten Räumen erfolgen. Die Brandschutzordnung ist im Falle von erhöhtem Brandschutz zu erstellen und umfasst die zur Brandverhütung erforderlichen technischen und organisatorischen Vorkehrungen und Maßnahmen.a. Sie ist allen Bediensteten jährlich einmal nachweislich zur Kenntnis zu bringen.. Maßnahmen zur Brandbekämpfung und Evakuierung beinhalten u. als auch Maßnahmen zur Brandbekämpfung und Evakuierung. Datenträgern etc. Die Durchbrüche sind nach Verlegung der Leitungen entsprechend dem Brandwiderstandswert der Wand bzw.) sowie die Erstellung einer Brandschutzordnung. • • • • Bestellung von Brandschutzbeauftragten Unterweisung der Arbeitnehmer/innen über die Verwendung der Feuerlöscheinrichtungen Ausarbeitung eines Evakuierungsplanes regelmäßige Brandschutzübungen 9. Präventive Maßnahmen können sowohl technischer (z.. 9. Entsprechende Richtlinien und Normen (etwa ÖNORM B 3836 und B 3850 . Organisatorische Maßnahmen umfassen personenbezogene Unterweisungen (keine Zigaretten in den Papierkorb.4 Brandabschottung von Trassen Bei Gebäuden mit mehreren Brandabschnitten lässt es sich kaum vermeiden. dass Trassen durch Brandwände und Decken führen.2.

welche hinsichtlich ihrer Brandwiderstandsdauer der ÖNORM B 3850 entsprechen müssen.und Lieferanteneingängen). Der Einsatz von Sicherheitstüren ist über den von der Feuerwehr vorgeschriebenen Bereich hinaus (vgl. wie z. Brandschutztüren verzögern die Ausbreitung eines Brandes. Sicherheitstüren. 217 . Brandschutzkissen oder Spachtelmassen am Markt.Brandabschottungen sind bautechnische Maßnahmen. Beleg. 9. um ein Aufkeilen zu verhindern.B.a. Brandschutztüren auf Verkehrswegen sind bei Vorhandensein einer Brandmeldeanlage an diese anzuschließen. Es sind hier verschiedene Systeme wie z.B. Ansonsten sollten bei solchen Türen Feststellanlagen mit oder ohne eigene Branderkennung (Brandmelder) installiert werden.2.5 Verwendung von Brandschutztüren und Sicherheitstüren Brandschutztüren sind Brandschutzabschlüsse. den Arbeitnehmerschutzvorschriften und in den behördlichen Vorschreibungen und Genehmigungen ihren Niederschlag.2. Stahlblechtüren. bei Keller. Im Regelfall ist bei der Bildung eines Brandabschnittes bezüglich der Tür eine geringere Brandwiderstandsklasse gefordert als bei der Brandwand (meistens F90 für Wände und T30 für Türen). Wichtig ist neben einer Zulassung des Systems auch eine genaue Einhaltung der Verarbeitungsanleitungen.oder Kabeldurchführungen).B. Die Nichtabschottung von nachträglichen Verkabelungen ist ein immer wieder anzutreffender Schwachpunkt von baulichem Brandschutz. Bei der Trassenplanung sollte die für den Brandschutz verantwortliche Person hinzugezogen werden.1 Einhaltung von Brandschutzvorschriften und Auflagen) besonders bei schutzbedürftigen Räumen wie Serverraum.oder Datenträgerarchiv vorzusehen. Brandschutzziegel. 9. bieten gegenüber normalen Bürotüren Vorteile: • • Sicherheitstüren (einbruchhemmende Türen) bieten auf Grund ihrer Stabilität einen höheren Schutz gegen Einbruch (z. Wichtige ÖNORMEN dazu werden in Anhang A angeführt. bei Leitungs. Die angeführten Themenbereiche finden u. die einen Durchbruch durch einen Brandabschnitt über eine bestimmte Zeitdauer gegen Durchtritt eines Brandes abdichten (z.B. in den jeweiligen Bauordnungen der Länder.

7 Brandmelder Brandmelder dienen zur Früherkennung von Brandgefahren und werden in automatische und nichtautomatische Melder unterschieden.B. bzw. welche Träger der ionisierten Luftmoleküle sind. 9. Bei automatischen Brandmeldern unterscheidet man: Ionisationsrauchmelder Bei Ionisationsrauchmeldern erfolgt die Branderkennung durch die Änderung des Stromflusses in der Ionisationskammer. der im Alarmfall aktiviert wird. Wird diese Brandmeldung in der vorgesehenen Zeit nicht quittiert.Es ist dafür zu sorgen. besonders gefährdeten Bereiches oder eines gesamten Gebäudes. bis spätestens 2010 umgebaut werden und eine Interventionsschaltung aufweisen. ständig besetzten Stelle auflaufen. Sie sind jährlich durch eine Wartungsfirma und alle 2 Jahre durch eine autorisierte Prüfstelle zu überprüfen. was bedeutet. Entsprechend den Anschlussbedingungen müssen künftig alle neuen Brandmeldeanlagen über eine Interventionsschaltung verfügen. Alternativ können Türen mit einem automatischen Schließmechanismus und Anschluss an die Brandmeldeanlage.6 Brandmeldeanlagen Brandmeldeanlagen (BMA) dienen zur Überwachung eines bestimmten. Dringen nun Rauchpartikel. 9.2. eingesetzt werden. dass Brand.2. ändert sich der Stromfluss. Derartige Anlagen werden von der Behörde vorgeschrieben und sind nach der TRVB S 123 (Brandmeldeanlagen) und TRVB S 114 (Anschaltebedingungen von Brandmeldeanlagen an öffentliche Feuerwehren) zu errichten. Dieser Stromfluss wird durch Ionisation der Luft in der Messkammer erzeugt. gelangen während der Überprüfungszeit eine oder mehrere weitere Meldungen zur Brandmeldeanlage. Bereits in Betrieb befindliche Brandmeldeanlagen mit einem TUS-Anschluss müssen. Derartige Brandmeldeanlagen können mit einer TUS-Leitung (Tonfrequentes Übertragungssystem) direkt mit der Feuerwehr verbunden sein oder intern auf einer kompetenten. welche an einer Brandmeldeanlage hängen oder als Einzelmelder fungieren. je nach Größe des Überwachungsbereiches. werden diese sofort an die Feuerwehr weitergeleitet. dass nach dem ersten Brandalarm 3 bis 6 Minuten Zeit verbleiben um die Meldung zu überprüfen. in die Kammer ein.und Rauchschutztüren auch tatsächlich geschlossen und nicht (unzulässigerweise) z. 218 . durch Keile offen gehalten werden.

Bei der Auswahl der Brandmelder sind folgende Kriterien zu beachten • • • • • • Art des Brandverlaufes Rauchentwicklung Rascher Temperaturanstieg Täuschungsanfälligkeit (z.Aerosolbildung) Raumhöhen Überwachungsflächen 9. Dabei ist die räumliche Nähe zu schützenswerten Bereichen und Räumen wie Serverraum. Diese Sofortbekämpfung ist nur möglich.an die Feuerwehr weitergeleitet.B.Streulichtmelder Die Erkennungsgröße ist bei diesem Melder die Streuung eines definierten Lichtstrahles durch eindringenden Rauch. wenn entsprechende Handfeuerlöscher in der jeweils geeigneten Brandklasse ( ÖNORM EN 2:1993 02 01 ) in ausreichender Zahl und Größe im Gebäude zur Verfügung stehen.ohne Verzögerung .2. Besonders in Büros findet das Feuer reichlich Nahrung und kann sich sehr schnell ausbreiten. Flammenmelder Bei Flammenmeldern erfolgt die Branderkennung durch die von Bränden ausgehende Strahlung. anfangs noch gut beherrschbaren Brandherden. Wärmemelder (Maximal. Sie können auch bei starken Luftbewegungen eingesetzt werden und haben eine große Überwachungsfläche.8 Handfeuerlöscher (Mittel der Ersten und Erweiterten Löschhilfe) Die meisten Brände entstehen aus kleinen. Der Sofortbekämpfung von Bränden kommt also ein sehr hoher Stellenwert zu. Teeküchen .oder Differentialmelder) Als Kriterium wird entweder eine definierte Maximaltemperatur bzw. Raum mit technischer Infrastruktur oder Belegarchiv anzustreben. 219 . Nichtautomatische Brandmelder: Druckknopfmelder Durch Drücken des Melders wird die Brandmeldung über die Brandmeldeanlage direkt . ein Temperaturanstieg herangezogen.

Diese werden meistens von der Behörde bei Vorlage einer erhöhten Brandgefährdung vorgeschrieben. Die Feuerlöscher müssen so angebracht werden. Bei entsprechenden Brandschutzübungen sind die Mitarbeiter/innen in der Handhabung der Handfeuerlöscher zu unterweisen. Dadurch wird der Austritt von Wasser durch den Sprinklerkopf freigegeben. 9. für elektronisch gesteuerte Geräte. Es muss daher nach Branderkennung eine sofortige Alarmierung der betroffenen Personen und eine Schließung des Flutungsbereiches erfolgen. Rechner. (ehemals) Halonlöschanlagen 220 .Pulverlöscher mit Eignung für Brandklasse E bis 1000 V sind für elektrisch betriebene Peripheriegeräte geeignet. sollten Kohlendioxyd-Löscher (Brandklasse B) zur Verfügung stehen.B. Wirkfläche und Löschwasserbevorratung) ist die Brandbelastung des jeweils betroffenen Bereiches zu berücksichtigen. Die Auslösung der Anlage erfolgt durch thermische Zerstörung der Sprinklerkopfabschlüsse (im Normalfall alkoholgefüllte Glasviolen). Die Auslösung des Löschmittels muss händisch unterbrechbar sein. Bei der Auslegung der Anlage (Löschwasserleistung. Dabei ist zu beachten: • • • • Die Feuerlöscher müssen regelmäßig geprüft und gewartet werden. Sprinkleranlagen Sprinkleranlagen sind automatisch wirkende Löschanlagen mit dem Löschmittel Wasser. Die Beschäftigten haben sich über die Standorte der nächsten Feuerlöscher zu informieren.9 Löschanlagen Löschanlagen der verschiedensten Ausführungen sind meistens mit einer Brandmeldeanlage gekoppelt und werden im Bedarfsfall von dieser selbständig ausgelöst. eine Ausbreitung zu unterbinden. CO2-Löschanlagen CO2-Löschanlagen sind Gaslöschanlagen mit dem Löschmittel CO2. um Entstehungsbrände effizient zu bekämpfen bzw. Die Einleitung des CO2 darf erst nach ausreichender Verzögerung zum Zwecke des Verlassens des Bereiches erfolgen. Bei der Planung ist neben der brandschutztechnisch richtigen Auslegung die erstickende Wirkung des CO2 als wesentlicher Faktor zu berücksichtigen. dass sie im Brandfall leicht erreichbar sind.2. z.

9. Dieses Rauchverbot dient gleicherweise dem vorbeugenden Brandschutz wie der Betriebssicherheit von IT mit mechanischen Funktionseinheiten. Brandabschnittstüren werden durch Keile offen gehalten.11 Rauchverbot In Räumen mit IT oder Datenträgern (Serverraum. 9. z. Als Ersatz werden natürliche oder chemische Löschmittel sowie prinkleranlagen verwendet.2. Brandabschottungen werden bei Arbeiten beschädigt und nicht ordnungsgemäß wiederhergerichtet. Im Wiederholungsfall oder bei besonders eklatanten Verstößen gegen die Brandschutzvorschriften sind auch entsprechende Sanktionen vorzusehen.Seit 2004 gilt in der EU ein Verbot von Halon betriebenen Löschgeräten (FCKW. aber auch Belegarchiv). Aus diesem Grund sollten ein. Schaumlöschanlagen Schaumlöschanlagen sind Löschanlagen mit dem Löschmittel Schaum. Vorgefundene Missstände müssen dazu Anlass geben.12 Rauchschutzvorkehrungen 221 .10 Brandschutzbegehungen Die Erfahrungen zeigen. durch Möbel und Papiervorräte. sollte ein Rauchverbot erlassen werden.erfolgen.2. Einige Beispiele dazu: • • • • Fluchtwege werden blockiert.oft bis hin zur völligen Ignoranz. dass im täglichen Betrieb die Vorschriften und Regelungen zum Brandschutz immer nachlässiger gehandhabt werden . welche ähnlich wie Sprinkleranlagen funktionieren.bis zweimal im Jahr Brandschutzbegehungen angekündigt oder unangekündigt . Die Einhaltung des Rauchverbotes ist zu kontrollieren. die Zustände und deren Ursachen unverzüglich zu beheben. Zulässige Brandlasten werden durch anwachsende Kabelmengen oder geänderte Nutzungen überschritten. welches die Ozonschicht zerstört) . in denen Brände oder Verschmutzungen zu hohen Schäden führen können. Datenträgerarchiv.2. 9.B.

Maßnahmen gegen elektrische und elektromagnetische Risiken 9. stimmen erfahrungsgemäß nach einiger Zeit nicht mehr mit den tatsächlichen Gegebenheiten überein. Verteilern etc.2 Not-Aus-Schalter Bei Räumen.B. für die eine Elektroinstallation ausgelegt wurde.3. Es ist also unerlässlich. 9. Beleuchtung etc. Leitungen. In diesem Sinne ist zu gewährleisten. die ggf. erforderlich werden. dass • • • • rauchdichte Brandschutztüren verwendet werden (vgl. Mit Betätigung des Not-AusSchalters wird dem Brand eine wesentliche Energiequelle genommen.Im Brandfall geht von der damit verbundenen Rauchentwicklung sowohl für Mensch als auch für IT-Gerätschaften eine erhebliche Gefahr aus. Andernfalls kann die Neuinstallation von Einspeisung.2 Brandschutz ) Rauchschutztüren verwendet werden. 222 . 9. anzupassen.3. durch hohe Gerätedichte oder durch Vorhandensein zusätzlicher Brandlasten ein erhöhtes Brandrisiko besteht.1 Angepasste Aufteilung der Stromkreise Die Raumbelegung und die Anschlusswerte.) die Elektroinstallation zu prüfen und ggf. Das kann durch Umrangierung von Leitungen geschehen. ist die Installation eines Not-Aus-Schalters nach Möglichkeit vorzusehen. Ein umfassender Rauchschutz ist daher vorzusehen. bei Änderungen der Raumnutzung und bei Änderungen und Ergänzungen der technischen Ausrüstung (IT. in denen elektrische Geräte in der Weise betrieben werden.und Klimaanlage selbsttätig auf Rauchentwicklung reagieren 9. bei Rauchentwicklung selbsttätig geschlossen werden und die Rauchausbreitung verhindern Lüftungsanlage eine Ablüftung von Rauch vornehmen kann Lüftungs. dass z. Klimaanlage. Zumindest ist aber die Gefahr durch elektrische Spannungen beim Löschen des Feuers beseitigt. durch deren Abwärme. was bei kleinen Bränden zu deren Verlöschen führen kann.3 Stromversorgung.

3. Diese wird in der Regel als Diesel-Notstrom-Aggregat realisiert. wenn die Stabilität der Stromversorgung nicht ausreichend gewährleistet ist. In einzelnen Fällen.B. kann die Notstromversorgung auch in Form einer zweiten Energieeinspeisung aus dem Netz eines zweiten Energieversorgungsunternehmens (EVU) realisiert werden. 9.3 Zentrale Notstromversorgung In Bereichen.4 Lokale unterbrechungsfreie Stromversorgung Mit einer unterbrechungsfreien Stromversorgung (USV) kann ein kurzzeitiger Stromausfall überbrückt werden oder die Stromversorgung solange aufrechterhalten werden. mit Lagehinweis außen an der Tür) oder außerhalb des Raumes neben der Tür angebracht werden. Zwei Arten der USV sind zu unterscheiden: Off-Line-USV: Hierbei werden die angeschlossenen Verbraucher im Normalfall direkt aus dem Stromversorgungsnetz gespeist. Dabei ist allerdings zu bedenken.dies kann sowohl für die Versorgung von IT-Anlagen als auch der Infrastruktur gelten . bevor sie auf nichtflüchtige Speicher ausgelagert werden.Zu beachten ist. schaltet sich die USV selbsttätig zu und übernimmt die Versorgung. dass ein geordnetes Herunterfahren angeschlossener Rechner möglich ist. Daher ist bei der Installation eines Not-Aus-Schalters zu beachten. 9. Dies ist insbesondere dann sinnvoll. dass dieser Not-Aus-Schalter auch unnotwendigerweise versehentlich oder absichtlich betätigt werden kann.3. dass auch die USV abgeschaltet und nicht nur von der externen Stromversorgung getrennt wird (siehe auch 9. in denen die Stromversorgung bei Ausfällen des öffentlichen Netzes über einen längeren Zeitraum aufrechtzuerhalten ist . • • • • wenn im Rechner umfangreiche Daten zwischengespeichert werden (z. 223 . beim Stromausfall ein großes Datenvolumen verloren gehen würde und nachträglich nochmals erfasst werden müsste. dass lokale unterbrechungsfreie Stromversorgungen (USV) nach Ausschalten der externen Stromversorgung die Stromversorgung selbsttätig übernehmen und die angeschlossenen Geräte unter Spannung bleiben. wo die Verfügbarkeitsanforderungen es zulassen. Der Not-Aus-Schalter sollte innerhalb des Raumes neben der Eingangstür (evtl. Cache-Speicher im Netz-Server).ist eine zentrale Notstromversorgung vorzusehen. Erst wenn dieses ausfällt.3.4 Lokale unterbrechungsfreie Stromversorgung).

so dass nach Abwarten dieser Zeitspanne noch 5 Minuten übrig bleiben. Überspannungen zu glätten. so stellt dies eine Alternative zur lokalen USV dar. Bei der Dimensionierung einer USV kann man i.B. ob die vorgehaltene Kapazität der USV noch ausreichend ist.zu warten.5 Blitzschutzeinrichtungen (Äußerer Blitzschutz) Die direkten Auswirkungen eines Blitzeinschlages auf ein Gebäude (Beschädigung der Bausubstanz.3. Beide USV-Arten können neben der Überbrückung von Totalausfällen der Stromversorgung und Unterspannungen auch dazu dienen. ist eine regelmäßige Wartung der USV vorzusehen.ä. R. Falls die Möglichkeit besteht. Die gesamte Stromversorgung läuft immer über die USV. TK-Anlagen) kann die erforderliche Überbrückungszeit auch mehrere Stunden betragen. d. um die angeschlossene IT geordnet herunterfahren zu können. Um die Schutzwirkung aufrechtzuerhalten.) lassen sich durch die Installation einer Blitzschutzanlage verhindern. die nach einer vorher festgelegten Zeit. 224 . ein rechtzeitiges automatisches Herunterfahren (Shut-down) einleiten können. Im Falle von Veränderungen ist zu überprüfen.B. 10 bis 15 Minuten ausgehen. Dachstuhlbrand u. Die meisten modernen USV-Geräte bieten Rechnerschnittstellen an. durch Anschluss an eine zentrale USV).• On-Line-USV: Hier ist die USV ständig zwischen Netz und Verbraucher geschaltet. Die Wirksamkeit der USV ist regelmäßig zu testen. die Stromversorgung unterbrechungsfrei aus einer anderen Quelle zu beziehen (z. Für spezielle Anwendungsfälle (z. 9. Die Mehrzahl aller Stromausfälle ist innerhalb von 5 bis 10 Minuten behoben. entsprechend dem Zeitbedarf der IT und der Kapazität der USV. sollte der Stromausfall länger andauern. von einer üblichen Überbrückungszeit von ca. In diesem Zusammenhang ist auch 9.entsprechend den Angaben des Herstellers .2 Not-Aus-Schalter zu beachten.3. Weiters ist zu beachten: • • • Die USV ist regelmäßig .

1500 V und ist auf die Vorschaltung eines Grobschutzes angewiesen.R. ersetzt werden. um Mikroelektronikgeräte zu stören oder zu zerstören.3. erforderlich. Der Überspannungsschutz wird in der Regel in drei voneinander abhängigen Stufen aufgebaut: • • • Grobschutz: Geräte für den Grobschutz vermindern Überspannungen. 6000V. Potentialausgleich: Nur wenn alle Schutzeinrichtungen sich auf das gleiche Potential beziehen. Bei Nachinstallationen ist darauf zu achten. ein recht hohes zerstörerisches Potential. dass der Potentialausgleich mitgeführt wird. und begrenzen sie auf ca. dessen hohe Kosten dem Schutzgut gegenüber gerechtfertigt sein müssen).7 Schutz gegen elektromagnetische Einstrahlung 225 . Denn der äußere Blitzschutz schützt die elektrischen Betriebsmittel im Gebäude nicht.3. Überspannungen durch Blitz haben i. Dies ist nur durch einen Überspannungsschutz möglich (siehe dazu 9. Weiters ist zu beachten: • • Blitz. Für die Auswahl des Grobschutzes ist es bedeutend.6 Überspannungsschutz (Innerer Blitzschutz) .und Überspannungsschutzeinrichtungen sollten periodisch und nach bekannten Ereignissen geprüft und ggf. ob ein äußerer Blitzschutz vorhanden ist oder nicht. dass sie auch für empfindliche Bauteile mit Halbleiterbauelementen ungefährlich sind. ist ein optimaler Schutz möglich. während Überspannungen anderer Ursachen geringer sind. können durch Induktion oder Blitzschlag Überspannungsspitzen im Stromversorgungsnetz entstehen. der Überspannungsschutz.Über diesen "Äußeren Blitzschutz" hinaus ist fast zwingend der "Innere Blitzschutz". 9.6 Überspannungsschutz (Innerer Blitzschutz) Je nach Qualität und Ausbau des Versorgungsnetzes des Energieversorgungsunternehmens und des eigenen Stromleitungsnetzes. Feinschutz: Geräte für den Feinschutz senken Überspannungen so weit herab.d. Mittelschutz: Der Mittelschutz begrenzt die verbleibende Überspannung auf ca. abhängig vom Umfeld (andere Stromverbraucher) und von der geographischen Lage. wie sie durch direkten Blitzschlag entstehen. 9. aber trotzdem ausreichen können.3.

Tastaturen. Drucker. Richtfunkanlagen.. Bildschirme. sind etwa: • Auswahl des Standortes (innerhalb eines Gebäudes): Bereits eine geeignete Aufstellung von IT-Komponenten.. von denen elektromagnetische Störungen ausgehen können (Schweißgeräte. Mobilfunk-. verarbeitet oder dargestellt wird. technisch und organisatorisch möglich. LAN-Komponenten. Hochspannungsleitungen. ist die Gefahr der kompromittierenden Abstrahlung gegeben. den Verlust der Vertraulichkeit von Daten durch kompromittierende Abstrahlung zu verhindern. so weit baulich. Fax-Geräte und ähnliche Geräte geben elektromagnetische Wellen ab. Wasserleitungen. Abwehrmaßnahmen Möglichkeiten.) oder atmosphärische Entladungen. wo Information elektronisch übertragen. 9. .bei Monitoren bis zu mehreren hundert Metern . ausgeschaltet werden.3. Maschinen. Daher sollten. potentiell gefährdete 226 . Modems.) können diese Abstrahlung beträchtlich verstärken. Anmerkung: Diese Maßnahme behandelt den Schutz gegen Störstrahlung im täglichen Umfeld. Schutz gegen einen elektromagnetischen Puls (EMP) als Folge kriegerischer Handlungen gehen über den mittleren Schutzbedarf hinaus und sind daher nicht Gegenstand des vorliegenden Handbuches. die entsprechend vertrauliche Daten verarbeiten oder übertragen und bei denen die Gefahr einer kompromittierenden Abstrahlung besteht. Rundfunk. So weit möglich. In der Nähe befindliche führende Leitungen (Heizkörper.und Fernsehsender.aufgefangen und analysiert werden können. Als nachträgliche Maßnahmen bleiben etwa: • • die Verwendung von Schutzschränken mit speziellen Filtern und Türdichtungen oder die Abschirmung durch beschichtete Wände. Graphikkarten. sollten solche Störquellen bereits bei der Planung berücksichtigt bzw. die noch in einer Entfernung von mehreren Metern . usw. Anlagen mit starken Elektromotoren.8 Schutz gegen kompromittierende Abstrahlung Überall dort. Mögliche Ursachen für solche Störstrahlungen sind Radarstrahlung. kann das potentielle Risiko durch kompromittierende Abstrahlung in erheblichem Maße verringern.Die Funktion informationstechnischer Geräte kann durch die elektromagnetische Strahlung benachbarter Einrichtungen beeinträchtigt werden.

[Anmerkung:: Für die Bedeutung des Wortes TEMPEST werden verschiedene Erklärungen genannt. Differential Electro-Manetic Analysis . Wird ein Signal leitungsgebunden übertragen.oder Gebäudeebene möglich. Dabei werden Wände. so ist der elektrische Leiter mit einem elektromagnetischen Feld umgeben. etc.. aus denen das Signal des ursächlichen Leiters wiedergewonnen werden kann.bei entsprechenden Gegebenheiten . Schirmung von Geräten: Diese erfolgt durch die Verwendung spezieller Materialien. Dabei spielt es keine Rolle. .• • • Komponenten in Räumen untergebracht werden. Heizkörper. sondern um einen Codenamen ohne besondere Bedeutung handelt. z.auch ein Schutz auf Raum.] Schirmung von Räumen und Gebäuden: Anstelle eines Schutzes auf Geräteebene ist . Auch das Überkoppeln auf Leitungen ist eine Auswirkung von kompromittierender elektromagnetischer Strahlung. das mit einem transparenten Metallfilm beschichtet ist.. Überlagerung der kompromittierenden Abstrahlung: Durch Senden von Stördaten in einer bestimmten Frequenzbreite können die Emissionen der DV-Geräte überlagert werden. Es wird auch die Meinung vertreten. dass es sich nicht um ein Akronym.) zu vermeiden. In diesem Zusammenhang sind die Möglichkeiten von Side-Channel-Attacken (Differential Power Analysis . ob es sich um eine analoge oder digitale Nachrichtenübertragung handelt. In beiden Fällen kann mit recht einfachen Maßnahmen das ursprüngliche Signal wiederaufbereitet werden.DPA. Auch Spezialglas.) ist deren Schutzbedarf immens. "Temporary Emission and Spurious Transmission".DEMA ) zu berücksichtigen. kryptographische Anwendungen. Gerade bei sicherheitsrelevanten Anwendungen (Zugangssystemen. Dieses Feld erzeugt auf in unmittelbarer Umgebung des Leiters verlegten Kabeln Spannungen und Ströme. Böden und Decken entsprechend abgeschirmt. wird am Markt angeboten. Demnach sind bereits bei der Anschaffung von Geräten jene mit entsprechenden Gegenmaßnahmen zu bevorzugen. "Transient Electromagnetic Pulse Emanation Surveillance Technology" oder "Transient Electromagnetic Pulse Emanations Standard". Weiters ist eine Aufstellung in der Nähe von führenden Leitungen (Heizungsrohre. Wasserleitungen. Eine Raumschirmung schützt im Allgemeinen auch gegen Störstrahlung von außen. die möglichst weit entfernt von Straßenfronten und Gebäuden mit Fremdfirmen sind. Geeignete Schutzmaßnahmen sind: 227 .B. Selbst bei der Verwendung von kleinsten Geräten wie beispielsweise Kryptomodulen oder Smart Cards ist auf deren kompromittierende Strahlung zu achten. da selbstverständlich Fenster in den Schutz mit einzubeziehen sind. Solche abstrahlsichere Hardware-Komponenten werden in Anlehnung an den englischen Fachausdruck meist als "tempest-proof" oder "tempest-gehärtet" bezeichnet.

Telefon.). Zieht man allerdings in Betracht.3. die in ungeschützter Umgebung eingesetzt werden. Programmstörungen oder Datenverluste verursachen.Kombination aus Folien.4 Leitungsführung 9. Aus diesem Grund wird für Komponenten.• • • • • Wahl geeigneter Kabeltypen wie beispielsweise Koaxial.. dass abhängig von Bodenbeschaffenheit . Gefahrenmeldung.und Schuhwerk die elektrostatische Aufladung von gehenden Personen 10 kV und mehr betragen kann. so zeigt sich die Notwendigkeit von Maßnahmen zur Vermeidung und Eliminierung elektrostatischer Aufladungen. die Verwendung geeigneter Werkstoffe (Bodenbeläge. Gas. Wasser.oder Twisted-PairKabeln Achten auf hochwertige Schirmung der Kabel (vorzugsweise ist doppelte Schirmung zu verwenden .4.. eine relativ hohe Widerstandsfähigkeit gegen elektrostatische Aufladung gefordert. etc.9 Schutz gegen elektrostatische Aufladung Elektrostatische Aufladungen können Schäden an Bauteilen.) im Gebäude und auf dem dazugehörenden Grundstück zu führen und alle die Leitungen betreffenden Sachverhalte aufzunehmen: 228 .1 Lagepläne der Versorgungsleitungen Es sind genaue Lagepläne aller Versorgungsleitungen (Strom. Erdungsmaßnahmen. 9.und Geflechtschirmung) Verlegung parallel geführter Kabel in ausreichendem Abstand zueinander Verringerung des Signal-Oberwellengehaltes durch elektrische Filterung (besonders bei digitalen Übertragungen) Vorzugsweise Verwendung von Lichtwellenleitern (Gefahr des Übersprechens deutlich geringer aber in Folge mechanischer Beschädigungen des Kabels ebenfalls möglich) 9. Solche Maßnahmen sind etwa: • • • • die Gewährleistung einer relativen Luftfeuchtigkeit von mindestens 50%. . der Einsatz von Antistatikmitteln.hier stellen insbesondere Teppichböden eine Gefahrenquelle dar .

Weiters ist zu beachten: • • • Alle Arbeiten an Leitungen sind rechtzeitig und vollständig zu dokumentieren. Gefahrenpunkte und vorhandene und zu prüfende Schutzmaßnahmen. etwa: • • • • • • Verlegung der Leitungen unter Putz. der Zugriff darauf ist zu regeln. Es muss möglich sein. Vgl. Dies kann auf verschiedene Weise erreicht werden.5 Dokumentation und Kennzeichnung der Verkabelung und 9. Verschluss von Verteilern und bei Bedarf zusätzlich elektrische Überwachung von Verteilern und Kanälen. 9. Die Verantwortlichkeiten für Aktualisierung und Aufbewahrung der Pläne sind festzulegen. so weit möglich und zweckmäßig). vorhandene Kennzeichnung. sich anhand der Pläne einfach und schnell ein genaues Bild der Situation zu machen.oder Kunststoffpanzerrohren. evtl. Die Pläne sind gesichert aufzubewahren. Verlegung der Leitungen in Stahl. Eine Schadstelle ist schneller zu lokalisieren.• • • • • • genaue Führung der Leitungen (Einzeichnung in bemaßte Grundriss. Verlegung der Leitungen in mechanisch festen und abschließbaren Kanälen. dazu auch 10. Nutzung der Leitungen (Nennung der daran angeschlossenen Netzteilnehmer. dass Leitungen bei Arbeiten versehentlich beschädigt werden.8 Schutz gegen kompromittierende Abstrahlung . die Störung schneller zu beheben. auf ein Mindestmaß reduziert werden. Nagetierschutz. 229 . Nur so kann das Risiko.2.2 Materielle Sicherung von Leitungen und Verteilern In Räumen mit Publikumsverkehr oder in unübersichtlichen Bereichen eines Gebäudes und zugehöriger Bereiche ist es sinnvoll. da sie schützenswerte Informationen beinhalten.3.4. genaue technische Daten (Typ und Abmessung). Leitungen und Verteiler zu sichern.und Lagepläne).

Vgl. Fensterbank.4.4.und Fußbodenkanälen) nicht möglich. Weitere Angaben zur geeigneten Aufstellung und Aufbewahrung von IT-Systemen sind unter Kapitel 9. Kurzschließen der freien Leitungen an beiden Kabelenden und in allen berührten Verteilern.Bei Verschluss sind Regelungen zu treffen.4 Auswahl geeigneter Kabeltypen Bei der Auswahl von Kabeln ist neben der Berücksichtigung von übertragungstechnischen Anforderungen und Umfeldbedingungen auch die Frage nach den Sicherheitsanforderungen zu stellen. die Verteilung der Schlüssel und die Zugriffsmodalitäten festlegen. die die Zutrittsrechte. Ist dies auf Grund der damit verbundenen Beeinträchtigung des Dienstbetriebes (Öffnen von Decken. hier sind bei Bedarf entsprechende Schutzvorkehrungen zu treffen.3 Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen Nicht mehr benötigte Leitungen sollten nach Möglichkeit entfernt werden. 9. dass nicht mehr benötigte Leitungen bei ohnehin anstehenden Arbeiten im Netz entfernt werden. sind folgende Maßnahmen sinnvoll: • • • • • Kennzeichnen der nicht benötigten Leitungen in der Revisionsdokumentation und Löschen der Eintragungen in der im Verteiler befindlichen Dokumentation. 230 . Lichtwellenleiter sind unempfindlich gegen elektrische und elektromagnetische Störungen und bieten Schutz gegen (aktives und passives) Wiretapping auf der Leitung.5 Geeignete Aufstellung und Aufbewahrung zu finden. Auftrennen aller Rangierungen und Verbindungen der freien Leitungen in den Verteilern (so weit möglich). 9. Herkömmliche Kupferleitungen bieten ein potentielles Ziel für aktive und passive Angriffe. dazu auch 9. Gewährleisten. Ein potentielles Angriffsziel stellen aber die Schnittstellen (etwa Verstärker) dar. bei dadurch entstehenden Masse-Brumm-Schleifen ist nur einseitig zu erden.8 Schutz gegen kompromittierende Abstrahlung .3. Abhilfe kann hier entweder die Verwendung mehrfach geschirmter Leitungen oder der Einsatz von Lichtwellenleitern bringen. Auflegen der freien Leitungen auf Erde (Masse) an beiden Kabelenden und in allen berührten Verteilern.

Besser ist es. Ein übersichtlicher Aufbau der Trassen erleichtert die Kontrolle. und dass Fremdpersonen keinen unautorisierten Zugriff zu den . ist der entsprechende Trassenbereich mit Brandabschottung (s. dass erkennbare Gefahrenquellen umgangen werden.4.4 Brandabschottung von Trassen ) zu versehen. Fahrzeuge und Maschinen geschützt sind.und Kabelverlegung zu berücksichtigen.9. dass Kabel nicht in Fußbodenkanälen durch deren Bereiche führen. Ist dies nicht zu vermeiden. Bereiche mit hoher Brandgefahr sind zu meiden. Bei einzelnen Kabeln (ohne Rohr) ist der Einbau von Kabelabdeckungen sinnvoll. Fußboden. sind die Kabel den zu erwartenden Belastungen entsprechend durch geeignete Kanalsysteme zu schützen.2. Auch diese sind bei der Trassen. 10 cm über der Trasse ein Warnband zu verlegen.und Fensterbank-Kanalsysteme sind gegenüber den fremdgenutzten Bereichen mechanisch fest zu verschließen.in der Regel in geringer Deckenhöhe verlaufenden Trassen erhalten. 9.5 Schadensmindernde Kabelführung Bei der Planung von Kabeltrassen ist darauf zu achten. In Produktionsbetrieben ist mit hohen induktiven Lasten und daraus resultierenden Störfeldern zu rechnen. Grundsätzlich sollen Trassen nur in den Bereichen verlegt werden. dass durch Trassen im Fahrbereich die zulässige Fahrzeughöhe nicht unterschritten wird.oder Fahrbereich liegen. Ist der Betriebserhalt nur für einzelne Kabel erforderlich. Bei Erdtrassen ist ca.6 Vermeidung von wasserführenden Leitungen 231 . Trassen und einzelne Kabel sollen immer so verlegt werden. Bei gemeinsam mit Dritten genutzten Gebäuden ist darauf zu achten.4. die ausschließlich dem/der Benutzer/in zugänglich sind. dass Kabel nicht im Lauf. Der Standort von Geräten sollte so gewählt werden.a. Ist dies nicht möglich und ist der Betriebserhalt aller auf der Trasse liegenden Kabel erforderlich. 9. Für den Schutz der Kabel gilt sinngemäß das Gleiche wie bei der Brandabschottung. sie an den Bereichsgrenzen enden zu lassen. ist dafür ein entsprechendes Kabel zu wählen. In Tiefgaragen ist darauf zu achten. dass sie vor direkten Beschädigungen durch Personen.

Telearbeitsplätze.2 Geeignete Aufstellung eines Servers : neben Datenbankservern. Sind Wasserleitungen unvermeidbar. sollten wasserführende Leitungen aller Art vermieden werden. wie sie für die mittlere Datenverarbeitung typisch sind. die die Sicherheit des Systems gewährleisten bzw.) 232 .B.. möglichst außerhalb des Raumes/ Bereiches. deren Ablauf außerhalb des Raumes führt.In Räumen oder Bereichen.5. sollen durch eine geeignete Aufstellung auch die Lebensdauer und Zuverlässigkeit der Technik sowie die Ergonomie des Systems verbessert werden. da so ein eventueller Leitungsschaden früher entdeckt wird. in denen sich IT-Geräte mit zentralen Funktionen (z. Notebooks.5. Im Folgenden werden generelle Hinweise für die Aufstellung von IT-Systemen und Komponenten gegeben. eine selbsttätige Entwässerung. . Dabei wird unterschieden zwischen: • • • Arbeitsplatz-IT-Systemen ( 9.) Server ( 9. Günstig ist es.5 Geeignete Aufstellung und Aufbewahrung Bei der Aufstellung eines IT-Systems sind verschiedene Voraussetzungen zu beachten.1 Geeignete Aufstellung eines Arbeitsplatz-ITSystems : PCs. etc. Verteilerschränke. kann als Minimalschutz eine Wasserauffangwanne oder -rinne unter der Leitung angebracht werden. wenn unbedingt erforderlich.3 : z. Server) befinden. Die einzigen wasserführenden Leitungen sollten. Kommunikationsservern. sind davon auch Telekommunikationsanlagen umfasst) Netzwerkkomponenten ( 9.. Modems. versehen werden. Diese Magnetventile sind außerhalb des Raumes/Bereiches einzubauen und müssen stromlos geschlossen sein. Zuleitungen zu Heizkörpern sollten mit Absperrventilen. Über diese Sicherheitsaspekte (die naturgemäß den Schwerpunkt des vorliegenden Handbuches bilden) hinaus. erhöhen sollen.. Optional können Wassermelder mit automatisch arbeitenden Magnetventilen eingebaut werden. dazu den Flur zu nutzen. Kühlwasserleitungen. Als zusätzliche oder alternative Maßnahme empfiehlt sich ggf. Löschwasserleitungen und Heizungsrohre sein. 9. Außerhalb der Heizperiode sind diese Ventile zu schließen.B..2. Router.

dass eine generelle Klassifikation aller IT-Komponenten in eine der oben genannten Gruppen nicht möglich ist.. versperrbare Diskettenlaufwerke. das System sollte nicht in unmittelbarer Nähe der Heizung aufgestellt werden (Vermeidung von Überhitzung.5. Notebooks oder Terminals zu verstehen.unter anderem folgende Voraussetzungen beachtet werden: • • • der Standort in der Nähe eines Fensters oder einer Tür erhöht die Gefahr des Beobachtens von außerhalb.. Integrität und Verfügbarkeit im Betrieb von Servern sicherzustellen.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems Unter Arbeitsplatz-IT-Systemen sind etwa PCs. Es ist festzuhalten. da hier im Allgemeinen sehr produkt.und Kommunikationsserver. Programm. vgl. aber auch kompromittierender Abstrahlung.5. 9. 9. Bei der Aufstellung eines Arbeitsplatz-IT-Systems sollten .2 Geeignete Aufstellung eines Servers Unter Servern sind in diesem Zusammenhang etwa Datenbank-.3.8 Schutz gegen kompromittierende Abstrahlung ). So kann ein Fax etwa als Standalone-Gerät betrachtet werden. wird auch hier nicht auf den Bereich des klassischen Rechenzentrums eingegangen.6 Serverräume): 233 . .zusätzlich zu den von den Herstellern festgeschriebenen Vorgaben und Hinweisen sowie ergonomischen Gesichtspunkten . 9. aber auch TK-Anlagen zu verstehen. die auf die Bedürfnisse des speziellen Falles abzubilden sind. Die unten angeführten Maßnahmen sind daher als allgemeine Hinweise zu verstehen.Wie für das gesamte Handbuch zutreffend und bereits in der Einleitung ausgeführt.und herstellerspezifische Anforderungen bestehen und diese zudem über die Maßnahmen für den mittleren Schutzbedarf hinausgehen und damit den Rahmen der vorliegenden Arbeit sprengen würden. physisch gesichert sein (Diebstahlschutz. 9. ein Fax direkt vom PC zu versenden.5.). Um Vertraulichkeit. Diese kann realisiert werden als: • Serverraum (vgl. das System sollte so weit möglich und erforderlich. ist es zwingend erforderlich. falls die Möglichkeit besteht. diese in einer gesicherten Umgebung aufzustellen. oder aber als Teil eines Arbeitsplatz-IT-Systems.

So bedeutet etwa der Missbrauch eines Modems zum einem die Durchführung unbefugter Datenübertragungen. zum anderen das unbefugte Ändern oder Auslesen der Modem-Konfiguration.• Raum zur Unterbringung von Servern.5. dass nur Berechtigte physikalischen Zugriff darauf haben..5. ist darauf zu achten. muss dieser auf der unsicheren Seite der Firewall aufgestellt werden.7 Beschaffung und Einsatz geeigneter Schutzschränke . und unautorisierte Zugriffe auch in Ausnahmesituationen nicht vorkommen können. dass keine Umgehung einer bestehenden Firewall geschaffen wird. er wird nur sporadisch und zu kurzfristigen Arbeiten betreten. wodurch Sicherheitslücken entstehen können.7 Beschaffung und Einsatz geeigneter Schutzschränke ): Serverschränke dienen zur Unterbringung von IT-Geräten und sollen den Inhalt sowohl gegen unbefugten Zugriff als auch gegen die Einwirkung von Feuer oder schädigenden Stoffen (Staub.. durch Versperren des Raumes. wenn kein separater Serverraum zur Verfügung steht (vgl.5.6 Serverräume und 9. Eine Vertretungsregelung muss sicherstellen. Datenträgern in kleinem Umfang sowie weiterer Hardware (etwa Drucker oder Netzwerkkomponenten). 9. Router und Verteilerschränke zu verstehen. serverspezifischen Unterlagen. muss sichergestellt werden. durch die Kosten verursacht. Gase. Details zu den technischen und organisatorischen Sicherheitsmaßnahmen bei Serverräumen und Serverschränken finden sich in 9. 234 . Generell ist zu beachten: • • Der Zugang und Zugriff zu Servern darf ausschließlich autorisierten Personen möglich sein.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems ). so ist der physikalische Zugriff darauf abzusichern (z. Wenn über ein Modem oder einen Modempool Zugänge zum internen Netz geschaffen werden. dass der Zugriff zum Server auch im Vertretungsfall geregelt möglich ist. Viren eingeschleppt oder Interna nach außen transferiert werden können. Sollen mit einem Modempool weitere externe Zugänge zu einem durch eine Firewall geschützten Netz geschaffen werden.5. Um den Missbrauch von Netzwerkkomponenten zu verhindern. Im Serverraum ist im Allgemeinen kein ständig besetzter Arbeitsplatz eingerichtet.) schützen. . 9.3 Geeignete Aufstellung von Netzwerkkomponenten Unter Netzwerkkomponenten sind beispielsweise Modems. Serverschrank. vgl. auch 9. Steht ein Modem direkt an einem Arbeitsplatz-IT-System zur Verfügung.B.5.

sollten auch Disketten und Streamerbänder ausschließlich chiffrierte Daten enthalten.1 Herausgabe einer PC-Richtlinie ). auch 7. Werden auf mobilen IT-Geräten eingeschränkte. Kapitel 2. minimiert werden. Die entsprechenden Maßnahmen 9. Auch hier ist sicherzustellen: • • Der Zugang und Zugriff zu Netzwerkkomponenten darf ausschließlich autorisierten Personen möglich sein. Teil 1. geheime und/ oder streng geheime bzw. Nach Möglichkeit sollten die Zeiten. vertrauliche.etwa als Merkblätter an die Mitarbeiter/innen verteilt werden. dass die Zulässigkeit von Verschlüsselungstechnologien in den einzelnen Staaten unterschiedlich geregelt ist. personenbezogene und/oder sensible Daten ( Definitionen s. Dabei ist auch auf die besonderen Gegebenheiten in verschiedenen Zielgebieten und in speziellen Situationen (etwa bei einer besonders eingehenden Zollkontrolle) hinzuweisen. werden in Ausnahmefällen unverschlüsselte Disketten oder Streamerbänder im mobilen Einsatz verwendet. Handhelds und Personal Assistants. Eine Vertretungsregelung muss sicherstellen. so etwa Notebooks. so sollten diese keinesfalls unbeaufsichtigt (etwa im Hotel oder in einem Wagen) zurückgelassen werden. dass der Zugriff zu Netzwerkkomponenten auch im Vertretungsfall geregelt möglich ist und unautorisierte Zugriffe auch in Ausnahmesituationen nicht vorkommen können. mobile IT-Geräte auch außer Haus sicher aufzubewahren.5.3. Da die Umfeldbedingungen bei mobilem Einsatz meist außerhalb der direkten Einflussnahme der Benutzerin / des Benutzers liegen. die bei der mobilen Nutzung zu beachten sind: • • • • Die Benutzer/innen mobiler IT-Geräte sind über die potentiellen Gefahren bei Mitnahme und Nutzung eines solchen Gerätes außerhalb der geschützten Umgebung eingehend zu informieren und zu sensibilisieren.5. So weit möglich. Palmtops.6 Serverräume und 9. 9.oder Dateiverschlüsselung dringend zu empfehlen (vgl. so ist die Installation eines Zugriffsschutzes (über Passwort oder Chipkarte) sowie einer Festplatten. So weit möglich sollten solche Informationen in schriftlicher Form . in denen das Gerät unbeaufsichtigt bleibt. 235 .2. muss sie/er versuchen.4 dieses Handbuches [KIT S01] ) gespeichert und verarbeitet.1.Netzwerkkomponenten sollten wie Server in einem gesicherten Serverraum oder einem Schutzschrank aufgestellt sein.4 Nutzung und Aufbewahrung mobiler IT-Geräte Unter mobilen IT-Geräten sind alle für einen mobilen Einsatz geeigneten Geräte zu verstehen. Hierfür können nur einige Hinweise gegeben werden.7 Beschaffung und Einsatz geeigneter Schutzschränke sind zu beachten. Dabei ist zu beachten.5.

vorhanden sein. Zu beachten ist jedoch. Die für den Transport oder für die Zustellung Verantwortlichen (z. Tresor) verschlossen aufbewahrt werden. Darüber hinaus können dort auch Datenträger (in kleinerem Umfang) sowie zusätzliche Hardware.5. um über das Bootpasswort die unerlaubte Nutzung zu verhindern.• • • • Werden mobile IT-Geräte in einem Kraftfahrzeug aufbewahrt. wie etwa Protokolldrucker oder Klimatechnik. Wird der Raum für längere Zeit verlassen. er wird nur sporadisch und zu kurzfristigen Arbeiten betreten. Das Verschließen des Gerätes in einem Schrank behindert Gelegenheitsdiebe. 9. Das Abdecken des Gerätes oder das Einschließen in den Kofferraum bieten Abhilfe. Einige neuere Geräte bieten zusätzlich die Möglichkeit zum Anketten des Gerätes. so sollte das Gerät von außen nicht sichtbar sein.5 Sichere Aufbewahrung der Datenträger vor und nach Versand Vor dem Versand eines Datenträgers ist zu gewährleisten. Poststelle) sind auf die sachgerechte und sichere Aufbewahrung und Handhabung von Datenträgern hinzuweisen. Beschriebene Datenträger sollten bis zum Transport in entsprechenden Behältnissen (Schrank. 236 . sollte zusätzlich das Gerät ausgeschaltet werden. so ist dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen. Der Diebstahl setzt dann den Einsatz von Werkzeug voraus. dass im Serverraum auf Grund der Konzentration von IT-Geräten und Daten ein deutlich höherer Schaden eintreten kann als beispielsweise in einem Büroraum. Alternativ oder ergänzend kann auch eine verschlüsselte Speicherung der Daten vorgenommen werden. 9. Weitere Maßnahmen dazu finden sich in Kapitel Betriebsmittel und Datenträger . Im Serverraum ist kein ständig besetzter Arbeitsplatz eingerichtet. Wird ein mobiles IT-Gerät in fremden Büroräumen vor Ort benutzt. dass für den Zeitraum zwischen dem Speichern der Daten auf dem Datenträger und dem Transport ein ausreichender Zugriffsschutz besteht. In Hotelräumen sollte ein mobiles IT-Gerät nicht offen aufliegen.6 Serverräume Ein Serverraum dient zur Unterbringung eines oder mehrerer Server sowie serverspezifischer Unterlagen.5.B.

4 Geschlossene Fenster und Türen 9.6.11 Rauchverbot 9. ob in ihnen bis zu einer Beflammungszeit von 60 bzw.Für den Schutz von Serverräumen sind die entsprechenden baulichen und infrastrukturellen Maßnahmen. D = Datenträger (z.6 Überspannungsschutz (Innerer Blitzschutz) 9.7 Klimatisierung 8.4 Zutrittskontrolle 9.2. gegen unbefugten Zugriff schützen. zur Anwendung zu bringen. Filme).3 Beaufsichtigung oder Begleitung von Fremdpersonen 9. Die Kürzel bedeuten im Einzelnen: P = Papier aller Art.2. Magnetbänder. die im vorliegenden Kapitel 1 beschrieben werden.1.2. 120 Minuten während eines normierten Testes für die geschützten Datenträger verträgliche Temperaturen erhalten bleiben.7 Beschaffung und Einsatz geeigneter Schutzschränke Schutzschränke können ihren Inhalt gegen die Einwirkung von Feuer bzw.3.2.2 Raumbelegung unter Berücksichtigung von Brandlasten 9.4.B.2 Not-Aus-Schalter 9. 237 .3. Je nach angestrebter Schutzwirkung sind bei der Auswahl geeigneter Schutzschränke folgende Hinweise zu beachten: • Schutz gegen Feuereinwirkung: Bei Schutzschränken unterscheidet man bezüglich Schutz gegen Feuereinwirkung die Güteklassen S60 und S120 nach ÖNORM EN 1047-1. In diesen Güteklassen werden die Schutzschränke darauf geprüft.6 Vermeidung von wasserführenden Leitung 9.5 Alarmanlage 9.4 Lokale unterbrechungsfreie Stromversorgung 9.6 Fernanzeige von Störungen 9.3.5.6. Durch Zusätze in der Klassifizierung werden die zu schützenden Datenträger bezeichnet. Besondere Beachtung ist dabei folgenden Maßnahmen zu widmen: • • • • • • • • • • • • • 9.6.6.8 Handfeuerlöscher 9.

in dem Sicherheitsmerkmale von Schutzschränken kurz beschrieben werden. die zum Schutz vor Feuer und Rauch dienen.• DIS = Disketten und Magnetbandkassetten einschließlich aller anderen Datenträger. dass im Brandfall der Betrieb eines in einem Serverschrank untergebrachten Servers nicht aufrechterhalten werden kann. Bei der Auswahl von Schutzschränken ist auch die zulässige Deckenbelastung am Aufstellungsort zu berücksichtigen. sollte eine Vorrichtung zum automatischen Schließen der Türen im Brandfall vorgesehen werden. Serverschränke: 238 . so können Datensicherungsschränke nach RAL-RG 626/9 verwendet werden.V. Zu beachten bleibt. welche Arten von Datenträgern in ihm aufbewahrt werden sollen. (VDMA) und RALRG 627 für Wertschränke. Hilfestellung bei der Bewertung des Widerstandswertes verschiedener Schutzschränke gibt das VDMA-Einheitsblatt 24990. Dazu sollte vor der Beschaffung eines Schutzschrankes festgelegt werden. Die Schließung sollte lokal durch Rauchgasmelder und/oder extern durch ein Signal einer Brandmeldeanlage (soweit vorhanden) ausgelöst werden können.V. Nach diesen Auswahlkriterien für den Schutzwert des Schutzschrankes ist als Nächstes die Ausstattung des Schrankes bedarfsgerecht festzulegen.und Anlagenbau e. welche Geräte bzw. Sind Zugriffsschutz und Brandschutz in Kombination erforderlich. dass solche Schränke damit Schutz gegen Feuer für einen gewissen Zeitraum bieten. Weitere relevante Normen und Informationen sind VDMA 24992 für Stahlschränke des Verbandes deutscher Maschinen. so dass Datenträger nicht zerstört werden. Bonn ] geeignet sein. jedoch ist davon auszugehen. Nachrüstungen sind in der Regel schwierig. sollten in der Wand oder im Boden verankert werden. Die Unterschiede zwischen den Klassen liegen in der Isolationsleistung. Schutz gegen unbefugten Zugriff: Der Schutzwert gegen unbefugten Zugriff wird neben der mechanischen Festigkeit des Schutzschrankes entscheidend durch die Güte des Schlosses beeinflusst. Schutzschränke. Für den IT-Grundschutz sollten Wertschränke nach RAL-RG 627 [Anmerkung .RAL: Deutsches Institut für Gütesicherung und Kennzeichnung e. Die Innenausstattung des Schutzschrankes ist dieser Festlegung angemessen auszuwählen. die bei DIS-Schränken am höchsten ist. Für den IT-Grundschutz sollten bei Schutz gegen Feuer Schutzschränke der Güteklasse S60 ausreichend sein. die auf Grund ihrer geringen Größe relativ einfach weggetragen werden könnten. da der Schutzwert des Schrankes und seine spezifische Zulassung beeinträchtigt werden können. Bei Schutzschränken. Es sollte auch Raum für zukünftige Erweiterungen mit eingeplant werden.

arithmetische Reihen) bestehen. sogar als Einzigen.B. wenn der Verdacht besteht. Die Ausstattung des Schrankes mit einem lokal arbeitenden Brandfrüherkennungssystem. Verschluss von Schutzschränken: Generell sind Schutzschränke bei Nichtbenutzung zu verschließen. ist empfehlenswert. Dazu ist zu beachten.B. das im Brandfall die Stromzufuhr der Geräte unterbricht (auf der Eingangs. ggf. werden auch als Serverschränke bezeichnet. bei Wechsel des Benutzers. dass eine Hinterlegung im zugehörigen Schutzschrank sinnlos ist. Der Code darf nicht aus leicht zu ermittelnden Zahlen (z. so muss der Code für diese Schlösser geändert werden nach der Beschaffung. damit Administrationsarbeiten vor Ort durchgeführt werden können. dass Administratoren Arbeiten sitzend durchführen können. Andernfalls muss zumindest eine Lüftung vorhanden sein. dass der Code einem Unbefugten bekannt wurde und mindestens einmal alle zwölf Monate. Die Protokollierung der Aktionen am Server dient auch zur Kontrolle der Administratoren. nach Öffnung in Abwesenheit des Benutzers. Es ist also nicht sinnvoll. der in einer Höhe angebracht wird. Nicht im gleichen Schrank untergebracht werden sollten Backup-Datenträger und Protokolldrucker. sofern diese vorhanden ist). Zugriff auf die Protokollausdrucke zu gewähren. in denen wichtige IT-Komponenten (also im Regelfall Server) untergebracht sind. so ist auch bei kurzfristigem Verlassen des Raumes der Schutzschrank zu verschließen. Die jeweils gültigen Codes von Codeschlössern sind aufzuzeichnen und gesichert zu hinterlegen. ihnen. persönliche Daten.Schutzschränke. damit Administrationsarbeiten am Server ungehindert durchgeführt werden können. Die entsprechenden Geräte sollten dann im Schrank mit untergebracht werden. 239 . die ein Öffnen des Schutzschrankes erfordern. So ist zum Beispiel ein ausziehbarer Boden für die Tastatur wünschenswert. Je nach Nutzung des Schrankes können auch eine Klimatisierung und/oder eine USV-Versorgung erforderlich sein.und der Ausgangsseite der USV. • • • • • Werden Schutzschränke mit mechanischen oder elektronischen Codeschlössern verwendet. dass die Ausstattung ergonomisch gewählt ist. In diesen sollte außer für den Server und eine Tastatur auch Platz für einen Bildschirm und weitere Peripheriegeräte wie z. Zu beachten ist. Bandlaufwerke vorgesehen werden. Werden Arbeiten. Backup-Datenträger würden im Falle einer Beschädigung des Servers vermutlich ebenfalls beschädigt. unterbrochen.

240 . so ist abzuwägen. was im Notfall einen schnelleren Zugriff erlauben würde.B. der ÖNORM und des ÖVE.2 Regelungen für Zutritt zu Verteilern Die Verteiler (z. sich Zugriff zu verschaffen. wer welchen Verteiler öffnen darf. Telefon) sind nach Möglichkeit in Räumen für technische Infrastruktur unterzubringen. Datennetze.B. für Energieversorgung.1 Einhaltung einschlägiger Normen und Vorschriften Für nahezu alle Bereiche der Technik gibt es Normen bzw. interne Versorgungsnetze wie Telefon. 9. Rohrpost etc. Mit geordnet ist gemeint. Telefon. dass technische Einrichtungen ein ausreichendes Maß an Schutz für den/die Benutzer/in und Sicherheit für den Betrieb gewährleisten. Bei der Planung und Errichtung von Gebäuden. 9. dass • • • Verteiler nicht bei Malerarbeiten mit Farbe oder Tapeten so verklebt werden.) im Gebäude muss möglich und geordnet sein. z.Wenn der Schutzschrank neben einem Codeschloss ein weiteres Schloss besitzt. zugestellt werden. Vorschriften. beim Einbau technischer Gebäudeausrüstungen (z. so dass es für eine/n Angreifer/in schwieriger ist. Mit möglich ist gemeint. dass sie nur noch mit Werkzeug zu öffnen oder unauffindbar sind. Wasser.4 Zutrittskontrolle ). Der Zutritt zu den Verteilern aller Versorgungseinrichtungen (Strom.B. Gas. In Anhang A werden einige dieser Normen beispielhaft angeführt.6.6 Weitere Schutzmaßnahmen 9.6. dass festgelegt ist.1. ob Code und Schlüssel gemeinsam hinterlegt werden. Verteiler sollten verschlossen sein und dürfen nur von den für die jeweilige Versorgungseinrichtung zuständigen Personen geöffnet werden. Paletten etc. bei deren Umbau. Verteiler nicht mit Möbeln. oder getrennt hinterlegt werden. Diese Regelwerke tragen dazu bei. Gefahrenmeldung.oder Datennetze) und bei Beschaffung und Betrieb von Geräten sind entsprechende Normen und Vorschriften unbedingt zu beachten. Die dort geforderten Maßnahmen sind zu berücksichtigen. für verschlossene Verteiler die Schlüssel verfügbar sind und die Schlösser funktionieren. Die Zugriffsmöglichkeiten können durch unterschiedliche Schlüssel und entsprechende Schlüsselverwaltung geregelt werden (siehe dazu 9. Geräten.

Rechenzentrum. Dabei ist darauf zu achten. Auch nach innen gehende Türen nicht besetzter Räume sollten im Allgemeinen abgeschlossen werden. dass z. um den Einblick zu verhindern oder so zu gestalten.2 Anordnung schützenswerter Gebäudeteile ). Bei laufendem Rechner kann auf das Abschließen der Türen verzichtet werden. Schrank und PC (Schloss für Diskettenlaufwerk.7 Clear Desk Policy ).B. in denen ein Raum nicht besetzt ist. Klimazentrale. der Bildschirm gelöscht wird und das Booten des Rechners die Eingabe eines Passwortes verlangt. so sind geeignete Maßnahmen zu treffen. Solche Bereiche sollten nach Möglichkeit keinen Hinweis auf ihre Nutzung tragen. z. um seine Aktivitäten gezielter und damit Erfolg versprechender vorbereiten zu können. ist der Verschluss des Büros nicht möglich. In manchen Fällen. "Rechenzentrum" oder "EDV-Archiv" geben einem potentiellen Angreifer. Serverraum. Hinweise. Während normaler Arbeitszeiten und sichergestellter kurzer Abwesenheit der Mitarbeiterin/des Mitarbeiters kann von einer zwingenden Regelung für Büroräume abgesehen werden. Dadurch wird verhindert. in Großraumbüros. zu schließen. der zum Gebäude Zutritt hat. 8. Ist es unvermeidbar. 241 . mit der die Nutzung des Rechners nur unter Eingabe eines Passwortes weitergeführt werden kann (passwortunterstützte Bildschirmschoner).B.3 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile Schützenswerte Gebäudeteile sind z.1.a. auch in den höheren Etagen bieten sie einem/einer Einbrecher/in auch während der Betriebszeiten eine ideale Einstiegsmöglichkeit.1. Türschilder wie z. dass Unbefugte Zugriff auf darin befindliche Unterlagen und IT-Einrichtungen erlangen. Ersatzteillager. 9.und Erdgeschoss und. IT in Räumen oder Gebäudebereichen unterzubringen. Verteilungen der Stromversorgung.4 Geschlossene Fenster und Türen Fenster und nach außen gehende Türen (Balkone. je nach Fassadengestaltung. Tastaturschloss. nicht nur ein Fenster einer ganzen Etage mit einem Sichtschutz versehen wird. dass die Nutzung nicht offenbar wird.B. Im Keller.B.6. Telefon) verschließen (s. Terrassen) sind in Zeiten.9. Datenträgerarchiv. In diesem Fall sollte alternativ jede/r Mitarbeiter/in vor ihrer/seiner Abwesenheit Unterlagen und den persönlichen Arbeitsbereich (Schreibtisch. Schalträume. wenn eine Sicherungsmaßnahme installiert ist. die für Fremde leicht von außen einsehbar sind (siehe auch 9.6.

geprüft werden. erst zu spät.und verschlossenen Räumen untergebracht (z. Einbruch.B. wenn die Inbetriebnahme des Gerätes die Eingabe eines Passwortes verlangt und sichergestellt ist.6. 9. So lassen sich Gefährdungen wie Feuer. Diese arbeiten völlig selbstständig. Um die Schutzwirkung aufrechtzuerhalten. Es muss auf jeden Fall sichergestellt werden. die sich in ihrem Frühstadium auf die IT noch nicht auswirken und einfach zu beheben sind. Besonders wirksam ist "Stiller Alarm mit Rückfrage".6 Fernanzeige von Störungen IT-Geräte und Supportgeräte. werden oft in ge. Diebstahl frühzeitig erkennen und Gegenmaßnahmen einleiten. Das führt dazu. ist eine regelmäßige Wartung und Funktionsprüfung der Alarmanlage vorzusehen. Ist keine Alarmanlage vorhanden oder lässt sich die vorhandene nicht nutzen. Räume für technische Infrastruktur u.5 Alarmanlage Ist eine Alarmanlage für Einbruch oder Brand vorhanden und lässt sich diese mit vertretbarem Aufwand entsprechend erweitern. Telefonleitung) an anderer Stelle. Datenträgerarchive. dies erfordert jedoch zusätzlichen organisatorischen Aufwand. entdeckt werden. Funktionsstörungen einer USV oder der Ausfall eines Klimagerätes seien als Beispiele für solche "schleichenden" Gefährdungen angeführt.ä. dass die Passworteingabe keinesfalls umgangen werden kann. die keine oder nur seltene Bedienung durch eine Person erfordern. ohne Anschluss an eine Zentrale. kommen als Minimallösung lokale Melder in Betracht. 242 . dass keine schutzbedürftigen Gegenstände wie Unterlagen oder Datenträger offen aufliegen.6. Serverraum). meist durch ihre Auswirkungen auf die IT. Feuer. Die zuständigen Personen sind über die im Alarmfall einzuleitenden Schritte zu unterrichten. Die Alarmierung erfolgt vor Ort oder mittels einer einfachen Zweidrahtleitung (evtl. Weiters ist zu beachten: • • • Die Alarmanlage muss regelmäßig gewartet bzw. 9. ob zumindest die Kernbereiche der IT (Serverräume. ist zu überlegen.) in die Überwachung durch diese Anlage mit eingebunden werden sollen. dass Störungen.Bei ausgeschaltetem Rechner kann auf das Verschließen des Büros verzichtet werden.

9 Videounterstützte Überwachung 243 . Zusätzlich ist zu beachten. etc. Werden darüber hinaus Forderungen an die Luftfeuchtigkeit gestellt. haben heute einen Anschluss für Störungsfernanzeigen. säurefrei sind. bis zu Rechnerschnittstellen mit dazugehörigem Softwarepaket für die gängigen Betriebssysteme.und Wärmeaustausch eines Raumes manchmal nicht aus. insbesondere bei Umbauarbeiten in bestehenden Räumen und Gebäuden. mit Wassermeldern ausgestattet sein. Lichtschächte und Heizungsanlagen. Viele Geräte. über die eine Warnlampe eingeschaltet werden kann. jederzeit den aktuellen Betriebszustand der angeschlossenen Geräte festzustellen und so Ausfällen rechtzeitig begegnen zu können. so dass der Einbau einer Klimatisierung erforderlich wird. Keller. Lufträume unter Doppelböden.Durch eine Fernanzeige ist es möglich. Dazu muss das Klimagerät allerdings an eine Wasserleitung angeschlossen werden. 9. Über die Schnittstellen ist es oft sogar möglich. 9. solche Störungen früher zu erkennen. Anstriche. So ist etwa bei baulichen Maßnahmen. um eine Korrosion von IT-Bauteilen durch vorbeigeführte Luft aus der Klimaanlage zu vermeiden. auf die man sich verlassen muss. Deren Aufgabe ist es. Um die Schutzwirkung aufrechtzuerhalten ist eine regelmäßige Wartung der Klimatisierungseinrichtung vorzusehen. in denen sich Wasser sammeln und stauen kann oder in denen fließendes oder stehendes Wasser nicht oder erst spät entdeckt wird und in denen das Wasser Schäden verursachen kann. dass die Luftumwälzung durch eine Klimaanlage auch Emissionen aus der Umgebung in die Nähe von empfindlichen ITKomponenten bringen kann.8 Selbsttätige Entwässerung Alle Bereiche.6. Zu diesen Bereichen gehören u. ohne sie ständig prüfen oder beobachten zu können. reicht der normale Luft. die Raumtemperatur durch Kühlung unter dem von der IT vorgegebenen Höchstwert zu halten.6. dass Kleber. 9. Die technischen Möglichkeiten reichen dabei von einfachen Kontakten. kann ein Klimagerät durch Be.4. darauf zu achten. 9.7 Klimatisierung Um den zulässigen Betriebstemperaturbereich von IT-Geräten zu gewährleisten. sollten mit einer selbsttätigen Entwässerung und ggf.6.und Entfeuchtung auch diese erfüllen.6 Vermeidung von wasserführenden Leitungen ist zu beachten. a.

Derartige Überwachungssysteme stellen eine sinnvolle Ergänzung der bestehenden Maßnahmen (vgl. 9.10 Aktualität von Plänen Sämtliche Pläne sind aktuell zu halten und an geeigneten Stellen zu deponieren.6.Zur besseren Absicherung der Infrastruktur sollte bei Bedarf auf ein videounterstütztes Überwachungssystem zurückgegriffen werden.3 Einbruchsschutz ) Zutrittskontrollen ( 9.5 Geeignete Aufstellung und Aufbewahrung ) Weiters ist zu beachten: • 244 Verfügbarkeitsanforderungen ( Abschnitt 7.1.6.1 Geeignete Standortauswahl ) ausreichender Einbruchsschutz ( 9. Abschnitt 1. In diesem Zusammenhang sind die im Kapitel 1 „Bauliche und infrastrukturelle Maßnahmen“ getroffenen Maßnahmen von besonderer Bedeutung.1.11 Vorgaben für ein Rechenzentrum Ein Rechenzentrum gilt als schützenswert und sollte daher im Sinne eines Sicherheitsbereiches konzipiert sein. Nach jedem Eingriff der eine Aktualisierung der Pläne erforderlich macht (bauliche Maßnahmen o.6 ) dar.4 Zutrittskontrolle ) Aufstellung und Anordnung von Geräten ( Abschnitt 9.2 Strategie und Planung ) .ä.1. Im Zuge der Konzeption und Installation müssen Personal sowie zusätzliche technische und infrastrukturelle Vorkehrungen zur Auswertung vorgesehen werden. 9.). sind diese umgehend auf den aktuellen Stand zu bringen. Die Wahl der Aufstellungsplätze der Kameras sollte unter Beiziehung der Betriebsrätin/des Betriebsrates und unter Berücksichtigung des Datenschutzes erfolgen. In diesem Zuge sind auch alle im Umlauf befindlichen Kopien der Pläne durch aktualisierte Kopien zu ersetzen. Aus diesem Katalog sollten folgende Punkte besonders beachtet werden: • • • • geeignete Standortwahl ( 9. Bei geeigneter Aufstellung ist auch die von Überwachungskameras ausgehende Abschreckung ein Vorteil derartiger Systeme.

1. Verfügbarkeit. angemessenes und konsistentes Informationssicherheitsniveau für die gesamte Organisation herzustellen und zu erhalten. 10. Authentizität und Zuverlässigkeit von IT-Systemen gewährleisten soll. Integrität. Festlegung geeigneter Sicherheitsmaßnahmen.1. der die Vertraulichkeit.1 Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener IT-Sicherheit unerlässlich. Überwachung der Implementierung und des laufenden Betriebes der ausgewählten Maßnahmen. und in dem Zusammenhang auch [IKTB-170902-8] ). über eine Durchführung auf der Ebene einzelner Organisationseinheiten ist im Einzelfall zu entscheiden.1 IT-Sicherheitsmanagement Informationssicherheitsmanagement steht für eine kontinuierliche Planungs.und Lenkungsaufgabe zur Umsetzung eines wirksamen Prozesses mit dem Ziel. Ermittlung und Analyse von Bedrohungen und Risiken. Die Umsetzung der in diesem Kapitel angeführten Maßnahmen soll dies gewährleisten. 245 . Dieser Prozess ist zumindest auf Ebene der Gesamtorganisation zu etablieren. ein umfassendes.1 Etablierung eines IT-Sicherheits-Management-Prozesses ISO Bezug: 27002 10. -strategien und -politiken der Organisation. Dabei handelt es sich um einen kontinuierlichen Prozess. Zurechenbarkeit.10 Sicherheitsmanagement in Kommunikation und Betrieb Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 . Zu den Aufgaben des IT-Sicherheitsmanagements gehören: • • • • • Festlegung der IT-Sicherheitsziele. 10.2 Erarbeitung einer organisationsweiten ITSicherheitspolitik . 10. Der IT-Sicherheits-ManagementProzess ist daher ein integraler Bestandteil der organisationsweiten ITSicherheitspolitik (vgl. Festlegung der IT-Sicherheitsanforderungen.10 ff " Management der Kommunikation und des Betriebs ".

• • Förderung des Sicherheitsbewusstseins innerhalb der Organisation sowie Entdecken von und Reaktion auf sicherheitsrelevante Ereignisse. Die folgende Graphik zeigt die wichtigsten Aktivitäten im Rahmen des Informationssicherheitsmanagements und die eventuell erforderlichen Rückkopplungen zwischen den einzelnen Stufen.1 Informationssicherheitsmanagement-Prozess werden die zur Etablierung eines umfassenden Informationssicherheits-Management-Prozesses erforderlichen Schritte detailliert beschrieben. Abbildung 1: Aktivitäten im Rahmen des IT-Sicherheitsmanagements [eh SMG 1. In Kapitel 2.1] 246 .

In diesem Zusammenhang sei auch auf die österreichische Sicherheits.und Verteidigungsdoktrin – Teilstrategie IKT-Sicherheit [OESVD-IT] hingewiesen.3 Erarbeitung von IT-Systemsicherheitspolitiken 247 . "Entwicklung einer organisationsweiten Informationssicherheits-Politik" des vorliegenden Handbuchs.1.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik ISO Bezug: 27001 4.1. Strategien. die unter Berücksichtigung gegebener Randbedingungen grundlegende Ziele. [eh SMG 1. akzeptables Restrisiko und Risikoakzeptanz Klassifikation von Daten Organisationsweite Richtlinien zu Sicherheitsmaßnahmen Disaster Recovery Planung Nachfolgeaktivitäten zur Überprüfung und Aufrechterhaltung der Sicherheit Details und Anleitungen zur Erstellung einer organisationsweiten ITSicherheitspolitik finden sich in Kapitel 5. Jede Organisation sollte eine in schriftlicher Form vorliegende IT-Sicherheitspolitik erarbeiten. Ressorts in der öffentlichen Verwaltung werden auf Basis des IKT-BoardBeschlusses [IKTB-170902-8] explizit zur Umsetzung einer Sicherheitspolitik angehalten.10. die für alle Einsatzbereiche der Informationstechnologie innerhalb einer Organisation zur Anwendung kommen und folgende Inhalte umfassen: • • • • • • • Grundsätzliche Ziele und Strategien Organisation und Verantwortlichkeiten für IT-Sicherheit Risikoanalysestrategien.2] 10. Verantwortlichkeiten und Methoden für die Gewährleistung der IT-Sicherheit festlegen.1 Als organisationsweite IT-Sicherheitspolitik bezeichnet man die Leitlinien und Vorgaben innerhalb einer Organisation. die als langfristig gültiges Dokument zu betrachten ist. Die organisationsweite Informationssicherheits-Politik soll allgemeine Festlegungen treffen.

Die IT-Systemsicherheitspolitik sollte Aussagen zu folgenden Bereichen treffen: Definition und Abgrenzung des Systems.3] 10.1.1. Bedrohungen und Schwachstellen lt.ISO Bezug: 27001 4. welche • • • • • • • • • • • • • • • die grundlegenden Vorgaben und Leitlinien zur Sicherheit in diesem System definiert. "Entwicklung einer organisationsweiten Informationssicherheits-Politik" des vorliegenden Handbuchs. 10.4 Festlegung von Verantwortlichkeiten ISO Bezug: 27002 10.1. Beschreibung der wichtigsten Komponenten Definition der wichtigsten Ziele und Funktionalitäten des Systems Festlegung der IT-Sicherheitsziele des Systems Abhängigkeit der Organisation vom betrachteten IT-System Investitionen in das System Risikoanalysestrategie Werte. Risikoanalyse Sicherheitsrisiken Beschreibung der bestehenden und der noch zu realisierenden Sicherheitsmaßnahmen Gründe für die Auswahl der Maßnahmen Kostenschätzungen für die Realisierung und Wartung (Aufrechterhaltung) der Sicherheitsmaßnahmen Verantwortlichkeiten Details und Anleitungen zur Erstellung von IT-Systemsicherheitspolitiken finden sich in Kapitel 5. Details über die ausgewählten Sicherheitsmaßnahmen beschreibt und die Gründe für die Auswahl der Sicherheitsmaßnahmen dargelegt. [eh SMG 1.1 Für jedes IT-System sollte eine IT-Systemsicherheitspolitik erarbeitet werden.1.3 248 .

249 . ist es erforderlich.) Revision. Dokumentation von IT-Verfahren. Zugangs. Software. die Rollen aller in den IT-Sicherheitsprozess involvierten Personen klar zu definieren. . Weiters ist zu beachten: • Die Regelungen sind den betroffenen Mitarbeiterinnen/Mitarbeitern in geeigneter Weise bekannt zu geben. Datenträger..und Betriebsmittelverwaltung. Es empfiehlt sich. Zutritts-. Schutz gegen Software mit Schadensfunktion (Viren. Wartungs. Anwendungsentwicklung. Würmer.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik und 5 Entwicklung einer organisationsweiten Informationssicherheits-Politik ). 10. Abnahme und Freigabe von Software. Notfallvorsorge und Vorgehensweise bei Verletzung der Sicherheitspolitik. Nähere Erläuterungen dazu finden sich in den nachfolgenden Maßnahmenbeschreibungen.und Zugriffsberechtigungen. IT-Konfiguration. Datenschutz. Datenübertragung.. darüber hinaus detaillierte Regelungen zu folgenden Bereichen zu treffen: • • • • • • • • • • • • • • • Datensicherung.1. Diese Festlegung erfolgt zweckmäßig im Rahmen der organisationsweiten IT-Sicherheitspolitik (vgl. Kauf und Leasing von Hardware und Software.und Reparaturarbeiten.Um eine Berücksichtigung aller wichtigen Sicherheitsaspekte und eine effiziente Erledigung sämtlicher anfallender Aufgaben zu gewährleisten. Datenarchivierung. trojanische Pferde.

Die getroffenen Regelungen sind regelmäßig zu aktualisieren. Sollte bei dieser Zuordnung eine Person miteinander unvereinbare Funktionen wahrnehmen müssen. welche Funktionen nicht miteinander vereinbar sind.4 Im Rahmen der Zuordnung von Aufgaben und Verantwortlichkeiten ist auch festzulegen. die Bekanntgabe zu dokumentieren.3.5 Funktionstrennung ISO Bezug: 27002 10. Beispiele dafür sind: • • • • • Rechteverwaltung und Revision. also auch nicht von einer Person gleichzeitig wahrgenommen werden dürfen ("Funktionstrennung"). Nach der Festlegung der einzuhaltenden Funktionstrennung kann die Zuordnung der Funktionen zu Personen erfolgen.1.6 Einrichtung von Standardarbeitsplätzen 250 .1. um Missverständnisse.1. dass meistens operative Funktionen nicht mit kontrollierenden Funktionen vereinbar sind.4] 10. ungeklärte Zuständigkeiten und Widersprüche zu verhindern. Es empfiehlt sich. so ist dies in einer entsprechenden Dokumentation über die Funktionsverteilung besonders hervorzuheben. 10. [eh SMG 1. [eh SMG 1.• • • Sämtliche Regelungen sind in der aktuellen Form an einer Stelle vorzuhalten und bei berechtigtem Interesse zugänglich zu machen.1. Die dabei getroffenen Festlegungen sind zu dokumentieren und bei Veränderungen im IT-Einsatz zu aktualisieren. Revision und Zahlungsanordnungsbefugnis. Insbesondere wird deutlich. Vorgaben hierfür können aus den Aufgaben selbst oder aus gesetzlichen Bestimmungen resultieren. Datenerfassung und Zahlungsanordnungsbefugnis. Programmierung und Test bei eigenerstellter Software. Netzadministration und Revision.5] 10.

Schulung: Die Teilnehmer/innen werden in dem Umfeld geschult. Zuverlässigkeit. Systemadministration bei Installation und Wartung: • • • Eine gewissenhaft geplante und getestete Installation kann fehlerfrei und mit geringem Arbeitsaufwand installiert werden. Ausfallzeiten werden somit minimiert.und Software können sich Anwender/innen gegenseitig helfen. Der Einsatz nicht zulässiger Software ist einfacher festzustellen. Sie wird durch fachkundiges Personal durchgeführt. Die Planung und Einrichtung erfolgt üblicherweise unter den Aspekten der Aufgabenstellung. IT-Nutzer/innen: • • Bei Gerätewechsel ist keine erneute Einweisung in die IT-Konfiguration erforderlich. Ergonomie. Die einheitliche Arbeitsumgebung erleichtert Wartung und Support.1. IT-Management: Die Beschaffung größerer Stückzahlen gleicher Komponenten ermöglicht Preisvorteile. Geschwindigkeit und Wartbarkeit. Dadurch soll das Vertrauen in das Grundsystem gestärkt werden. Der Aufwand für die Dokumentation des IT-Bestandes wird reduziert. In Anlehnung an den IKT-Board Beschluss vom 17.1 Ein Standardarbeitsplatz ist gekennzeichnet durch einheitliche Hardware und Software sowie deren Konfiguration. Die Einrichtung von Standardarbeitsplätzen ist in mehrfacher Hinsicht vorteilhaft: IT-Sicherheit: • • • • • Standardarbeitsplätze sind leichter in Sicherheitskonzepte einzubinden. das sie am Arbeitsplatz vorfinden.ISO Bezug: 27002 10.2002 [IKTB-170902-7] wird die Verwendung und Umsetzung einer sicheren Initialkonfiguration bei der Auslieferung von Systemen im Bundesbereich empfohlen. 251 .09. Bei Fragen zu Hard. Durch gleiche IT-Ausstattung entfallen "Neidfaktoren" zwischen den einzelnen Benutzerinnen/Benutzern.

wann eine Neuakkreditierung durchzuführen ist. vgl.7 Akkreditierung von IT-Systemen ISO Bezug: 27002 10.8 Change Management ISO Bezug: 27002 10. unter bestimmten Einsatzbedingungen und für eine bestimmte vorgegebene Zeitspanne gewährleistet ist.3. [eh SMG 1. auch Kap. 12.1. Erst nach erfolgter Akkreditierung kann das System .1.7] 10.[eh SMG 1.in Echtbetrieb gehen. Dabei ist insbesondere darauf zu achten.6] 10. 15 Security Compliance Checking und Monitoring Tests Evaluation und Zertifizierung von Systemen Änderungen der eingesetzten Sicherheitsmaßnahmen oder der Betriebsumgebung können eine neuerliche Akkreditierung des Systems erforderlich machen.2 Für jedes IT-System ist sicherzustellen. sollten in der ITSystemsicherheitspolitik festgelegt werden. Die Kriterien.2.5 252 .1.oder gegebenenfalls eine spezifische Anwendung . dass es den Anforderungen der ITSystemsicherheitspolitik genügt. dass die Sicherheit des Systems • • • in einer bestimmten Betriebsumgebung. Techniken zur Akkreditierung sind: • • • Prüfung der Maßnahmen auf Übereinstimmung mit der IT-Sicherheitspolitik (Security Compliance Checking).

neue Hardware.Aufgabe des Change Managements ist es. Änderungen in der Bewertung der eingesetzten IT. so sind die Auswirkungen auf die Gesamtsicherheit des Systems zu untersuchen. die sich aus Änderungen am IT-System ergeben. Alle Änderungen und die dazugehörigen Entscheidungsgrundlagen sind schriftlich zu dokumentieren. Änderungen in der Aufgabenstellung oder in der Wichtigkeit der Aufgabe für die Institution. Integrität oder Verfügbarkeit und Änderungen bei Bedrohungen oder Schwachstellen.B. neue Sicherheitsanforderungen zu erkennen.1 Reaktion auf Änderungen am IT-System ISO Bezug: 27002 10. [eh T2 6.1 Etablierung eines IT-Sicherheits-Management-Prozesses erforderlich werden.3] 10. der notwendigen Vertraulichkeit.1.oder Softwareänderungen in einem IT-System geplant. z. Im Rahmen des Konfigurationsmanagements ist sicherzustellen. Dazu gehören zum Beispiel: • • • • • • Änderungen des IT-Systems (neue Applikationen. neue Netzwerkverbindungen. räumliche Änderungen.).1.1. Änderungen in der Benutzerstruktur (neue. Eine Änderung des IT-Systems oder seiner Einsatzbedingungen kann also • • Änderungen in der Umsetzung des Informationssicherheitsplans die Erstellung eines neuen Sicherheitskonzeptes 253 .8. etwa externe oder anonyme. nach einem Umzug. dass Änderungen an einem IT-System nicht zu einer Verringerung der Effizienz von einzelnen Sicherheitsmaßnahmen und damit einer Gefährdung der Gesamtsicherheit führen. Benutzergruppen). Sind signifikante Hardware. 10.2 Es ist dafür Sorge zu tragen. .. dass auf alle sicherheitsrelevanten Änderungen angemessen reagiert wird. Abhängig von der Bedeutung des Systems und dem Grad der Änderung kann eine neuerliche Durchführung vorangegangener Aktivitäten im Sicherheitsprozess (vgl..

12. 12.7 Abnahme und Freigabe von Software ). 12.und Änderungskonzeptes" (SWPÄ-Konzept.2] 10. 12. den [IT-BVM] sowie den [Common Criteria] .• • eine neue Risikoanalyse oder sogar die Überarbeitung der organisationsweiten Informationssicherheits-Politik erforderlich machen.1.4 254 .9 Sicherstellen der Integrität von Software ).1.3. [eh BET 3. 10.2 Software-Änderungskontrolle (Software Change Control) ist der Teil des Change Managements.2. dass nur abgenommene und freigegebene Software installiert wird (vgl. der sich auf die Gewährleistung der Integrität von Software bei Änderungen bezieht.2 Dokumentation Die im Folgenden angeführten Maßnahmen geben grobe Richtlinien zu den Anforderungen an die Dokumentation.5. 10. 12. Die Ausführungen orientieren sich an den [AVB-IT] .und -Änderungskonzept (SWPÄ-Konzept )).1.1] 10. Dabei wird insbesondere auf die sicherheitsspezifischen Fragen im Rahmen der Dokumentation eingegangen. vgl.8.2. • • • • Es ist sicherzustellen. 10.1 Dokumentation von Software ISO Bezug: 27002 10.5.6 Software-Pflege. 12.1.3. die freigegebene Software(version) nur unverändert installiert werden kann (vgl.1.10 Lizenzverwaltung und Versionskontrolle von Standardsoftware ) Für komplexe Eigenentwicklungen empfiehlt sich die Erstellung eines "SoftwarePflege. 12. Installation und Konfiguration entsprechend den Installationsanweisungen erfolgen (vgl.7.1. In den genannten Dokumenten finden sich auch weitere Details.2.1.1.2 Software-Änderungskontrolle ISO Bezug: 27002 10.1. [eh BET 3.8 Installation und Konfiguration von Software ) und Standardsoftware einer Lizenzverwaltung und Versionskontrolle unterliegt (vgl.

Die Dokumentation muss zumindest beinhalten: • • • • Benutzerdokumentation Dokumentation für Installation und Administration Darüber hinaus können je nach Bedarf folgende Anforderungen bestehen: technische Dokumentation Entwicklungsdokumentation Benutzerdokumentation: Bei der Benutzerdokumentation (in den [IT-BVM] als "Anwendungshandbuch" bezeichnet) handelt es sich um Information über die Software. 255 . die die/der Entwickler/in der/dem Benutzer/in zur Verwendung bereitstellt. Dabei ist zu achten auf: • • die Vollständigkeit und Korrektheit der gelieferten Dokumentation und die laufende Aktualisierung der Dokumentation während der gesamten Nutzungsdauer der Software. Daneben hat die Dokumentation typische und vorhersehbare Fehlersituationen und deren Behebung zu beschreiben. Dies kann und sollte auch vertraglich festgelegt werden (vgl.Für jede Softwarekomponente ist die Verfügbarkeit der zu ihrer Nutzung erforderlichen und/oder zweckmäßigen Dokumentation sicherzustellen. Die Benutzerdokumentation hat alle für die laufende Arbeit notwendigen Abläufe so zu beschreiben. Aus sicherheitstechnischer Sicht soll die Benutzerdokumentation der/dem Endbenutzer/in helfen. dass sie für eine eingeschulte Person verständlich sind. • • die Sicherheitseigenschaften der Software sowie den Beitrag der/des Endbenutzerin/Endbenutzers zur Gewährleistung der Sicherheit bei der Verwendung der Software zu verstehen. Die Benutzerdokumentation sollte in deutscher Sprache vorliegen. etwa [AVB-IT] ).

die für Administratoren von Bedeutung sind.1.1. Technische Dokumentation: Diese muss den zum Zeitpunkt der Installation der Software üblichen Standards entsprechen und so gestaltet sein. 12. sollte nach Möglichkeit .1] 10. zur Durchführung und Überwachung des Betriebs und zur Unterbrechung und Beendigung des Betriebs. Darüber hinaus muss sie Richtlinien zur konsistenten und wirksamen Nutzung der Sicherheitseigenschaften der Software enthalten und darlegen.Sourcecodehinterlegung vereinbart werden. dass sie für eine eingeschulte Person verständlich sind. Dokumentation für Installation und Administration: Bei dieser Dokumentation handelt es sich um Information über die erforderlichen Maßnahmen zur Aufnahme des Betriebs. Änderung und Wartung von Software für den Fall der Handlungsunfähigkeit des Softwareherstellers und den Fall der Einstellung der Weiterentwicklung oder Wartung sicherstellen. so dass diese an definierten Arbeitsplätzen während der Arbeit abgerufen werden kann. 256 . zu konfigurieren und zu bedienen. [eh ENT 2. Die Dokumentation für die Installation und Administration (im Folgenden kurz als "Administratordokumentation". wie solche Eigenschaften zusammenwirken. Diese soll die Möglichkeit einer weiteren Fehlerbehebung.3 Im Falle einer Lieferung von Software.2 Sourcecodehinterlegung ISO Bezug: 27002 10. dass sie für eine/n mit ähnlichen Komponenten vertraute/n Expertin/Experten verständlich und verwertbar ist. die Software in einer sicheren Art und Weise zu installieren.insbesondere bei der Entwicklung von Individualsoftware .2. in den [IT-BVM] als "Betriebshandbuch" bezeichnet) hat alle für die Installation und die laufende Verwaltung des Systems notwendigen Abläufe so zu beschreiben. Daneben hat die Dokumentation typische und vorhersehbare Fehlersituationen und deren Behebung zu beschreiben.4. bei der der Sourcecode nicht mitgeliefert wird.Ebenso empfiehlt sich eine Vereinbarung über die Lieferung der Dokumentation zusätzlich in maschinenlesbarer Form. Sie soll Administratoren helfen. Aus sicherheitstechnischer Sicht muss die Administratordokumentation die sicherheitsspezifischen Funktionen darlegen.

Testprogramme. . so ist die/der Auftraggeber/in berechtigt. auf die Aktualität aller Komponenten sowie der Dokumentation ist zu achten.Durchführung: Die/der Auftragnehmer/in (SW-Hersteller) stellt die Software auf einem Datenträger. Dabei ist zu beachten: • • • • Der Datenträger muss die Software in den ursprünglichen Programmiersprachen zum Zeitpunkt der Installation einschließlich aller seitherigen Änderungen enthalten.B.7. Es ist eine Aufstellung der versiegelt hinterlegten Gegenstände sowie eine Anweisung über die Handhabung des Datenträgers und die Installation der Software beizulegen. Der Datenträger muss die in maschinenlesbarer Form vorliegende Dokumentation enthalten. Die Hinterlegung muss bei jeder Lieferung einer neuen Version wiederholt werden.1 Sourcecodehinterlegung (Muster. die hinterlegten Datenträger zu entnehmen und entweder ein sachkundiges Unternehmen mit den erforderlichen weiteren Arbeiten (Wartung.1. Programm und Datenflusspläne. .1.. der auf dem System der/des Auftraggeberin/Auftraggebers gelesen werden kann..4 257 . Nach der Installation wird der Datenträger mit dem Quellencode samt der dazugehörigen Dokumentation (Inhalt und Aufbau des Datenträgers.. Notar/in) hinterlegt. Anhang B. in der Quellensprache bereit. Testverfahren. [eh ENT 2. Fehlerbehebung.. Tritt beim Hersteller Handlungsunfähigkeit (etwa Liquidation.) von der/ dem Auftragnehmer/in versiegelt und bei der/dem Auftraggeber/in oder einer/einem vertrauenswürdigen Dritten (z.) ein oder stellt sie/er entgegen anders lautenden Vereinbarungen die Weiterentwicklung und/oder Wartung der Software ein.2. Eröffnung eines Konkursverfahrens.3 Dokumentation der Systemkonfiguration ISO Bezug: 27002 10.) zu beauftragen oder diese selbst durchzuführen. Fehlerbehandlung usw. übersetzt sie in Maschinencode und nimmt die Installation auf dem System vor. aus AVB-IT) ). 10.2] 10. Ein Vorschlag zur Formulierung einer entsprechenden vertraglichen Vereinbarung findet sich in den [AVB-IT] (s.

Steuerung. wie die Dokumentation der Datensicherung zu erfolgen hat (vgl. Dies gilt insbesondere für Änderungen an Systemverzeichnissen und -dateien.5. damit auch ein/ e Vertreter/in die Administration jederzeit weiterführen kann. Zur Gewährleistung einer ordnungsgemäßen und funktionierenden Datensicherung ist eine Dokumentation erforderlich.2. Bei Installation neuer Betriebssysteme oder bei Updates sind die vorgenommenen Änderungen besonders sorgfältig zu dokumentieren. Bei einem Netzbetrieb sind sowohl die physikalische Netzstruktur (vgl.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung .5 Dokumentation und Kennzeichnung der Verkabelung ) als auch die logische Netzkonfiguration zu dokumentieren.4 Dokumentation der Datensicherung ISO Bezug: 27002 10.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ) und der Stand der Datensicherung. die für jedes IT-System zumindest folgendes umfassen soll: 258 .1 In einem Datensicherungskonzept muss festgelegt werden.5. Eine entsprechend dokumentierte Initialkonfiguration wird im Rahmen des Online-Angebotes des Chief Information Office des Bundes zur Verfügung stehen.Planung.5 Datensicherung ). Kap. Deren Anwendung ist allerdings auch generell zu empfehlen.3] 10. Speziell im Bundesbereich ist gemäß [IKTB-170902-7] eine definierte sichere Initialkonfiguration zu verwenden.2. Möglicherweise kann durch die Aktivierung neuer oder durch die Änderung bestehender Systemparameter das Verhalten des IT-Systems (insbesondere auch von Sicherheitsfunktionen) maßgeblich verändert werden.2. Nur eine aktuelle Dokumentation der Systemkonfiguration ermöglicht im Notfall einen geordneten Wiederanlauf des IT-Systems. 10. ist generell eine so genannte Vertrauenseinstellung im Zuge der Neuinstallation/-konfiguration vorzunehmen. Dabei ist zu beachten: • • • • Die Dokumentation muss aktuell und verständlich sein. In diesem Zusammenhang: siehe auch 11. [eh ENT 2. Kontrolle und Notfallvorsorge des IT-Einsatzes basieren auf einer aktuellen Dokumentation des vorhandenen IT-Systems. Um das Vertrauen in Betriebssysteme zu sichern. 10. Dazu gehören auch die Zugriffsrechte der einzelnen Benutzer/innen (siehe 11. so dass ihre Verfügbarkeit im Bedarfsfall gewährleistet ist. Die Unterlagen sind gesichert aufzubewahren.

259 . der Datenträger.2. nutzungsorientierte Kabelkennzeichnung. 9. Darüber hinaus bedarf es einer Beschreibung der Vorgehensweise.und Lagepläne). erstellt werden. Trassendimensionierung und -belegung. genaue Führung von Kabeln und Trassen in der Liegenschaft (Einzeichnung in bemaßte Grundriss. Nennung der daran angeschlossenen Netzteilnehmer/ innen. [eh ENT 2.1.5 Dokumentation und Kennzeichnung der Verkabelung ISO Bezug: 27002 10. Standorte von Zentralen und Verteilern mit genauen Bezeichnungen.). Fehlersuche. technische Daten von Anschlusspunkten. Instandsetzung und für erfolgreiche Überprüfung der Verkabelung ist eine gute Dokumentation und eindeutige Kennzeichnung aller Kabel erforderlich.und Software (mit Versionsnummer) und die bei der Datensicherung gewählten Parameter (Art der Datensicherung usw. die einer/einem sachverständigen Dritten eine Wiederherstellung eines Datensicherungsbestandes erlaubt. auf dem die Daten im operativen Betrieb gespeichert sind. nach der die Datenrekonstruktion zu erfolgen hat.6] 10. der Datenträger. In dieser Dokumentation (auch Bestandsplan genannt) sind alle das Netz betreffenden Sachverhalte aufzunehmen: • • • • • • • • genauer Kabeltyp.1. Nutzung aller Leitungen.3 Für Wartung. der Aktualität und der Lesbarkeit. Belegungspläne aller Rangierungen und Verteiler.• • • • • • das Datum der Datensicherung. auf dem die Daten gesichert wurden.2. der benötigten Parameter und der Vorgehensweise. . die für die Datensicherung eingesetzte Hard.und Software. der Datensicherungsumfang (welche Dateien/Verzeichnisse wurden gesichert). Die Güte dieser Revisionsdokumentation ist abhängig von der Vollständigkeit. Auch hier muss eine Beschreibung der erforderlichen Hard.

• • Gefahrenpunkte.B. Nur bestehende und genutzte Verbindungen sind darin aufzuführen. Vollständigkeit und Korrektheit dieser Information zu achten.2. ist eine Aufteilung der Informationen sinnvoll. dass alle Arbeiten am Netz rechtzeitig und vollständig derjenigen/demjenigen bekannt werden. Da es mit zunehmender Größe eines Netzes nicht möglich ist.6 Neutrale Dokumentation in den Verteilern ISO Bezug: 27002 10. Alle weitergehenden Informationen sind in einer Revisionsdokumentation aufzuführen. dazu auch 9.4] 10. ist sicherzustellen. Wichtig dabei ist eine eindeutige Zuordnung aller Angaben untereinander.2. Da diese Dokumentation schutzwürdige Informationen beinhaltet. Es muss möglich sein. denkbar. die den aktuellen Stand von Rangierungen und Leitungsbelegungen wiedergibt.1 Lagepläne der Versorgungsleitungen [eh ENT 2. Es sollen. und Raumnummern reichen in vielen Fällen aus. ist sie sicher aufzubewahren und der Zugriff darauf zu regeln. 9. andere Informationen können in Tabellenform geführt werden. die Vergabe von Fremdaufträgen oder die Freigabe gesicherter Bereiche von der Mitzeichnung dieser Person abhängig zu machen. Um die Aktualität der Dokumentation zu gewährleisten. Verteiler-. Diese Dokumentation ist möglichst neutral zu halten.4.5] 260 . die Ausgabe von Material.3 In jedem Verteiler sollte sich eine Dokumentation befinden. Vgl. sich anhand dieser Dokumentation einfach und schnell ein genaues Bild über die Verkabelung zu machen. Es ist z. vorhandene und zu prüfende Schutzmaßnahmen.1.1. soweit nicht ausdrücklich vorgeschrieben (z. die/der die Dokumentation führt.B. Es ist auf Aktualität. Tatsächliche Lageinformationen sind immer in maßstäbliche Pläne einzuzeichnen. [eh ENT 2. alle Informationen in einem Plan unterzubringen. Leitungs-. für Brandmeldeleitungen) keine Hinweise auf die Nutzungsart der Leitungen gegeben werden.

die Freisetzung interner Ressourcen für andere Aufgaben. Archivierung. und dieser scheint auch für die nächste Zukunft ungebrochen. Speziell in den letzten beiden Jahrzehnten hat sich der Trend zum Outsourcing enorm verstärkt. Werden Dienstleistungen mit Bezug zur IT-Sicherheit ausgelagert. Outsourcing kann sowohl Nutzung und Betrieb von Hardware und Software. Da die Grenzen zwischen klassischem Outsourcing und reinem ASP in der Praxis zunehmend verschwimmen. die Erhöhung der Flexibilität sowie der Wettbewerbsfähigkeit einer Organisation sind nur einige Beispiele. die verbesserte Skalierbarkeit der Geschäfts. die Straffung der internen Verwaltung.10. wo der Auftraggeber den Outsourcing-Vertrag gekündigt hat und die ausgelagerten Geschäftsprozesse wieder in Eigenregie betreibt (Insourcing). aber auch Dienstleistungen betreffen. einer Webseite oder des Wachdienstes. jedoch gehören im Gegensatz zum ASP-Modell die Anwendungen noch dem jeweiligen Kunden. B. keine Anschaffungsoder Betriebskosten für IT-Systeme).3 Dienstleistungen durch Dritte (Outsourcing) ISO Bezug: 27002 10. wird im Folgenden nur noch der Oberbegriff Outsourcing verwendet. Dabei ist es unerheblich. die Möglichkeit einer Kostenersparnis (z. Auftraggeber und Dienstleister sind dabei über das Internet oder ein VPN miteinander verbunden. der Zugriff auf spezialisierte Kenntnisse und Ressourcen. Virenschutz oder der Betrieb eines Virtual Private Networks (VPN). Beispiele sind die Auslagerung des Firewall-Betriebs. Outsourcing ist ein Oberbegriff. Beim Application Hosting ist ebenfalls der Betrieb von Anwendungen an einen Dienstleister ausgelagert. der auf seinen eigenen Systemen einzelne Anwendungen oder Software für seine Kunden betreibt (E-Mail. Web-Shops. Die Gründe für Outsourcing sind vielfältig: die Konzentration einer Organisation auf ihre Kernkompetenzen. die Überwachung des Netzes. wird von Security Outsourcing oder Managed Security Services gesprochen. SAP-Anwendungen. Durch die enge Verbindung zum Dienstleister und 261 . Ebenso findet auf personeller Ebene ein intensiver Kontakt statt. Beim Auslagern von IT-gestützten Organisationsprozessen werden die IT-Systeme und Netze der auslagernden Organisation und ihres Outsourcing-Dienstleisters in der Regel eng miteinander verbunden. Es gibt aber inzwischen auch publizierte Beispiele für gescheiterte OutsourcingProjekte. ob die Leistung in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters erbracht wird. Unter Application Service Provider (ASP) versteht man einen Dienstleister.und Produktionsprozessen ist ein etablierter Bestandteil heutiger Organisationsstrategien. Das Auslagern von Geschäfts. Beschaffung).2 Beim Outsourcing werden Arbeits. Typische Beispiele sind der Betrieb eines Rechenzentrums.oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert.und Produktionsprozesse. der oftmals durch weitere Begriffe ergänzt wird: Tasksourcing bezeichnet das Auslagern von Teilbereichen. so dass Teile von internen Geschäftsprozessen unter Leitung und Kontrolle eines externen Dienstleisters ablaufen. einer Applikation.

die entstehende Abhängigkeit von der Dienstleistungsqualität ergeben sich Risiken für den Auftraggeber. betriebswirtschaftliche Aspekte mit Kosten-Nutzen-Abschätzung. siehe dazu Kapitel 6. Den Schwerpunkt dieses Bausteins bilden daher Maßnahmen. Machbarkeitsstudie mit Zusammenstellung der Rahmenbedingungen. In der Regel bleibt der Auftraggeber weiterhin gegenüber seinen Kunden oder staatlichen Stellen voll verantwortlich für Dienstleistungen oder Produkte. Abhängigkeiten.2 Gefährdungen beim Outsorcing 10. technischen und organisatorischen Randbedingungen auch die sicherheitsrelevanten Aspekte bedacht werden. unabhängig davon. Dabei darf die Bedeutung der rechtlichen Rahmenbedingungen nicht unterschätzt werden. welche Aufgaben oder IT-Anwendungen generell für Outsourcing in Frage kommen. durch die im schlimmsten Fall sogar die Geschäftsgrundlage des Unternehmens oder der Behörde vital gefährdet werden können.1 Festlegung einer Outsourcing-Strategie ISO Bezug: 27002 10.2. die sich mit ITSicherheitsaspekten des Outsourcing beschäftigen. Nach ersten strategischen Überlegungen muss zunächst geklärt werden.3. zukünftige Planungen). Die Gefährdungslage eines Outsourcing-Vorhabens ist ausgesprochen vielschichtig. Eine gute Planung des Outsourcing-Vorhabens ist daher wichtig. ist zunächst kostenintensiv und mit Risiken verbunden.) Der Betrachtung von Sicherheitsaspekten und der Gestaltung vertraglicher Regelungen zwischen Auftraggeber und Outsourcing-Dienstleister kommt im Rahmen eines Outsourcing-Vorhabens somit eine zentrale Rolle zu. 262 . Dazu zählen ebenfalls geeignete Maßnahmen zur Kontrolle der vertraglich vereinbarten Ziele und Leistungen sowie der IT-Sicherheitsmaßnahmen.2 Die Bindung an einen Outsourcing-Dienstleister erfolgt auf lange Sicht. Dabei müssen neben den wirtschaftlichen. Folgende Gesichtspunkte sollten betrachtet werden: • • • Unternehmensstrategie (Flexibilität. Gesetze könnten beispielsweise das Auslagern bestimmter Kernaufgaben einer Institution generell verbieten oder zumindest weitreichende Auflagen enthalten und die Beteiligung von Aufsichtsbehörden vorschreiben. (Beispielsweise könnten sensitive Organisationsinformationen gewollt oder ungewollt nach außen preisgegeben werden. ob einzelne Aufgabenbereiche ausgelagert wurden.

obwohl ihr eine zentrale Bedeutung zukommt. Dieser Punkt ist erfahrungsgemäß der am häufigsten unterschätzte. eingeführt und durchgeführt werden. sollte sich die Mühe machen nachzurechnen. denen im Outsourcing-Szenario eine entscheidende Rolle zukommt. um seinen Gewinn zu maximieren. der über Outsourcing nachdenkt. Auch dadurch ergibt sich ein erhöhtes Gefahrenpotenzial. dass eine seriöse Leistungserbringung zu den versprochenen niedrigen Kosten höchst unwahrscheinlich ist. die von Anfang an vertraglich fixiert worden sind.im Gegensatz zum OutsourcingDienstleister . Die Folgen der notwendigen Umstellungen müssen geklärt und abgeschätzt werden. Stellt sich heraus. Während IT-ManagerInnen in der Regel sehr kritisch und kostenbewusst sind und Versprechungen von Herstellern und Beratern mit großer Skepsis begegnen. ist beim Outsourcing leider oft das Gegenteil zu beobachten. dass die Dienstleistungsqualität unzureichend ist. 263 . dass höchstens die Dienstleistungen in der Zukunft erbracht werden. damit Auftraggeber und Auftragnehmer beide von dem Vertragsverhältnis profitieren. Für jeden Outsourcing-Dienstleister besteht ein nicht zu unterschätzender Interessenskonflikt: Einerseits muss er die Dienstleistung möglichst kostengünstig erbringen. Jeder IT-Manager. andererseits erwartet der Auftraggeber hohe Dienstleistungsqualität. Generell ist nämlich zu bedenken: • • • • • • Die Entscheidung zum Outsourcing ist in der Regel nicht einfach zu revidieren. Je nach Outsourcing-Vorhaben betrifft dies dann auch Daten mit hohem Schutzbedarf. seine IT-Kosten signifikant senken zu können. Die Praxis lehrt jedoch. weil der Auftraggeber Leistungen erwartet. Der Dienstleister hat Zugriff auf Daten und IT-Ressourcen des Auftraggebers. In der Regel ist es erforderlich. Im Rahmen eines Outsourcing-Vorhabens müssen neue Prozesse und Arbeitsabläufe entworfen. die er . Für die technische Umsetzung des Outsourcing-Vorhabens ist es notwendig. sind Nachbesserungen in der Regel ohne hohe zusätzliche Kosten nicht zu erwarten. Die Bindung an den Dienstleister erfolgt unter Umständen sehr langfristig. Dadurch ergibt sich automatisch ein erhöhtes Gefahrenpotenzial. Der Outsourcing-Auftraggeber verliert dadurch die alleinige und vollständige Kontrolle über Daten und Ressourcen. Bei dieser Rechnung stellt sich vielleicht heraus. Allzu leicht verfällt hier der Auftraggeber den Werbeaussagen der Dienstleister in der frohen Erwartung. dass zwischen Auftraggeber und Dienstleister Daten übertragen werden.als selbstverständlich erachtet. zu welchen Kosten ein Dienstleister die vereinbarte Leistung erbringen muss. Dies gilt sowohl für technische als auch organisatorische Sicherheitsaspekte.Die IT-Sicherheit wird leider häufig zu Beginn der Planung vernachlässigt. dass Mitarbeiter oder Subunternehmer des Outsourcing-Dienstleisters (und damit Betriebsfremde) zeitweise in den Räumlichkeiten des Auftraggebers arbeiten müssen. Flexibilität und kundenfreundliches Verhalten.

Fixe Kosten können so in variable umgewandelt werden.und Nachteile von Outsourcing mit Bezug zur IT-Sicherheit. Gerade in der IT-Sicherheit ist es sehr zeitaufwändig und benötigt viel technisches Wissen. Vorteil: Im Idealfall kann durch das Outsourcing-Vorhaben ein besseres ITSicherheitsniveau erreicht werden. sicherheitskritische Anwendungen betrieben werden können. so dass dadurch auch neue. In Folge können sich jedoch durch die Erweiterungen (z. In der Folge muss das festgelegte Sicherheitsniveau jedoch auch für das ausgeweitete Angebot sichergestellt werden. B. muss daher immer eine individuelle Sicherheitsanalyse durchgeführt werden. neue Dienstleistungen (z. Die Ergebnisse der Sicherheitsanalyse gehen unmittelbar in die Kosten-Nutzen-Abschätzung ein. von ITSystemen) auch neue Sicherheitsprobleme ergeben.Um die Outsourcing-Strategie festzulegen. Security-Bulletins. das Geschäftsmodell und das Dienstleistungs. In dieser frühen Projektphase wird das Sicherheitskonzept naturgemäß nur Rahmenbedingungen beschreiben und keine detaillierten Maßnahmen enthalten. Die Auswirkungen eines Outsourcing-Vorhabens auf die Aufgabenerfüllung. da dies vom Outsourcing-Dienstleister unter Umständen auch kurzfristig eingekauft werden kann. beispielsweise können Systeme. Ressourcen oder der Personalbedarf schneller angepasst bzw. Vorteil: Es besteht mehr Flexibilität.oder Produktportfolio müssen ebenfalls berücksichtigt werden. B. Die nachfolgenden Hinweise beleuchten Vor. erweitert werden. Anforderungen an die IT selbst zu bestimmen und zu kontrollieren in ausreichendem Maße erhalten werden. Nur so kann letztendlich festgestellt werden. langfristigen Outsourcing-Strategie den Blick nicht nur auf die Einsparung von Kosten richten. Insbesondere an die Weiterentwicklung und Pflege selbstentwickelter IT-Systeme und Anwendungen sollte gedacht werden. regelmäßig die Flut an Sicherheitshinweisen. • • • Vorteil: Es besteht die Möglichkeit. durch Diversifikation oder Ausweitung der Produktpalette) zu etablieren. dass die Fähigkeit. Sollen Standardabläufe oder Kerngeschäftsprozesse ausgelagert werden? Wichtig ist in diesem Zusammenhang. Das Management darf bei der Entwicklung einer erfolgversprechenden. Schlussendlich wird dennoch ein gewisses Restrisiko durch den Outsourcing-Auftraggeber zu tragen sein. Sind die sicherheitsrelevanten Gefährdungen analysiert worden. ihre Relevanz zu erkennen und bei Bedarf rasch die richtigen Schritte einzuleiten. da der Dienstleister Spezialisten beschäftigt. wie bestehende IT-Systeme abgegrenzt und getrennt werden können. damit Teile davon ausgelagert werden können. 264 . kann festgelegt werden. Updatemeldungen und Bug-Reports auszuwerten. ob und wie diesen begegnet werden soll.

vor allem wenn es zu Meinungsverschiedenheiten zwischen Auftraggeber und Dienstleister kommt. eine Neugestaltung ihrer IT-Systeme und Anwendungen gegen interne Widerstände durchzusetzen. können sich gravierende Sicherheitsprobleme ergeben. werden Sicherheitslücken womöglich nicht einmal entdeckt.und Softwarelösungen. die sich gegenseitig vertreten können. Dienstleister hingegen können in der Regel auf mehrere gleich qualifizierte ExpertInnen zurückgreifen. Urlaub) oder verlassen die Institution. Nachteil: Eine Ausweitung des Dienstleistungsangebots oder die Erweiterung von IT-Systemen ist nicht mehr allein eine Entscheidung des eigenen Managements. Dienstleister kompensieren nicht selten günstige Konditionen bei Vertragsabschluss durch hohe Forderungen bei späteren Sonderwünschen oder neuen Anforderungen des Auftraggebers. Nachteil: Der Aufwand für die Kontrolle der Dienstleistungsqualität darf nicht unterschätzt werden. alle Parameter zu kennen und auch richtig einzuschätzen. Der Outsourcing-Dienstleister muss immer an der Diskussion beteiligt werden. so können dadurch gravierende ITSicherheitslücken entstehen. Stehen sie einmal nicht zur Verfügung (Krankheit. Ist zusätzlich intern nicht mehr das Fachwissen vorhanden. Vorteil: Gerade in Unternehmen oder Behörden mit kleiner IT-Abteilung haben einzelne MitarbeiterInnen oft einen hohen Stellenwert. Der strategische Wert der folgenden Ressourcen muss unter den Rahmenbedingungen des Outsourcing-Vorhabens eingeschätzt werden: • • Know-how MitarbeiterInnen 265 . können sich Sicherheitslücken ergeben. Der dann entstehende Kostendruck führt oftmals zu Einsparungen bei der IT-Sicherheit. Vorteil: Von einigen Institutionen wird Outsourcing häufig als vielleicht einzige Möglichkeit gesehen. Im Zuge des Outsourcings soll eine heterogene Systemlandschaft aufgeräumt und standardisiert werden. Sollten hierbei Defizite festgestellt werden. immer wieder die richtige Balance zwischen Sicherheit und "mehr Funktionalität" zu finden. können diese schwierig und zeitaufwendig zu beheben sein. Es ist daher wichtig. um das Sicherheitsniveau beim Outsourcing-Dienstleister zu kontrollieren. Wenn Fragen der IT-Sicherheit dann nicht zeitnah gelöst werden. Eine umfassende Kosten-Nutzen-Analyse jedes Outsourcing-Vorhabens ist essentiell für den strategischen und wirtschaftlichen Erfolg. steigende Vernetzung und steigende Anforderungen der Nutzer machen es zudem außerordentlich schwierig.• • • • • Zunehmende Komplexität der angebotenen Hard. Nachteil: Wenn das Know-how der vom Outsourcing-Dienstleister eingesetzten SpezialistInnen nicht angemessen ist. weil es keinen gleichwertigen Vertreter gibt. immer kürzere Produktzyklen.

3 Wahl eines geeigneten OutsourcingDienstleisters).• IT-Systeme und Anwendungen Bei der Kosten-Nutzen-Analyse können Studien und Erfahrungsberichte anderer Institutionen wertvolle Informationen liefern.3. wie und ob die gewünschten IT-Sicherheitsanforderungen durch die anbietenden Dienstleister geleistet werden können (siehe auch 10.2 Wenn eine Outsourcing-Strategie festgelegt wurde. das auf den hier formulierten Anforderungen aufbaut und nach Auswahl des Dienstleisters ausgearbeitet wird. Danach wird in der Angebotsphase abgeglichen.5 Erstellung eines IT-Sicherheitskonzepts für das OutsourcingVorhabenbeschrieben. Dabei sind Sicherheitsanforderungen an den Outsourcing-Dienstleister selbst. Es empfiehlt sich unter diesem Gesichtspunkt außerdem. Abschließend ist die Outsourcing-Strategie zu dokumentieren.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben ISO Bezug: 27002 10. die im Rahmen eines laufenden Outsourcing-Vorhabens gemachten Erfahrungen in die Dokumentation der Outsourcing-Strategie zu integrieren. Die Ziele. 10.3. 266 . Es ist zu bedenken. Chancen und Risiken des Outsourcing-Vorhabens sollten eindeutig beschrieben werden. die benutzte Technik (inklusive Kommunikationswege und -dienste). dass das Festlegen von IT-Sicherheitsanforderungen ein iterativer Prozess ist: • • Zunächst werden die gewünschten IT-Sicherheitsanforderungen durch den Auftraggeber spezifiziert. müssen die ITSicherheitsanforderungen so konkret ausgearbeitet werden.3. dass auf ihrer Basis der geeignete Dienstleister ausgesucht werden kann. aber auch an die eigene Organisation zu stellen. Die Erstellung eines detaillierten Sicherheitskonzeptes. Es sollte dabei auch auf Fehlentscheidungen und daraus abgeleitete Empfehlungen für die Zukunft hingewiesen werden. wird in 10.

Es muss eine Ist-Strukturanalyse von IT-Systemen und Anwendungen (siehe auch 10. müssen diese detailliert beschrieben werden. aufwendig sein. Zeitrestriktionen für den Alarmierungsplan) können spezifiziert werden. Räumen) bezüglich Vertraulichkeit. B. Zusätzlich müssen sowohl Outsourcing-Dienstleister als auch der Auftraggeber selbst ein ITSicherheitskonzept besitzen und dieses umgesetzt haben. Dies hängt entscheidend von der Sicherheitsstrategie und bereits vorhandenen Systemen und Anwendungen ab. Sollten darüber hinausgehende Anforderungen bestehen. B. so dass alle Schnittstellen identifiziert werden können. nach Fachaufgabe. 267 . B. B. In der Endphase dieses Abstimmungsprozesses müssen dann auch die Sicherheitsanforderungen für die konkrete Umsetzung definiert werden. Organisation.1 Festlegung einer Outsourcing-Strategie) erfolgen. Natürlich sind auch relevante Gesetze und Vorschriften zu beachten.3. von Anwendungen. B. Geschäftsprozess. Dies kann besonders in Fällen. • Generell ergeben sich für Outsourcing-Szenarien folgende Mindestsicherheitsanforderungen: • • • • Die Umsetzung der Anforderungen des Sicherheitshandbuchs ist eine Minimalforderung an beide Outsourcing-Parteien. Zugriffsrechte auf Daten und Systeme) dem Outsourcing-Dienstleister vom Auftraggeber eingeräumt werden. Die Anforderungen an Infrastruktur. das diesem Sicherheitshandbuch entspricht. Kommunikationsverbindungen. Es ist wichtig. basierend auf den eingesetzten Betriebssystemen oder Sicherheitsmechanismen) erarbeitet werden. welche Rechte (z. Es genügt hier oftmals die Verpflichtung auf ein Sicherheitsniveau. in denen Auftraggeber oder Dienstleister länderübergreifend oder weltweit operieren. Im Rahmen der IT-Sicherheitsanforderungen ist festzulegen. so muss mit diesem die weitere Verfeinerung der IT-Sicherheitsanforderungen (z. Personal und Technik müssen beschrieben werden.1 Festlegung einer OutsourcingStrategie). An die Schnittstellen können dann entsprechende technische Sicherheitsanforderungen gestellt werden. die relevanten IT-Verbünde genau abzugrenzen (z. Systemen. IT-Systemen). Integrität und Verfügbarkeit erfolgen (siehe auch 10. Es muss eine Schutzbedarfsfeststellung (z.• Ist ein Dienstleister ausgewählt. Zutrittsrechte.3. Beispielsweise könnten folgende Punkte in Abhängigkeit vom Outsourcing-Vorhaben detailliert werden: • Anforderungen an sicherheitskritische organisatorische Prozesse (z.

Die Ausschreibung sollte die 268 . Spezielle ITSicherheitsanforderungen müssen jedoch eventuell an das von Dienstleistern umsetzbare IT-Sicherheitsniveau angepasst werden. Allgemeine Anforderungen bezüglich Kontrolle und Messung von Sicherheit. Generell bilden die festgelegten IT-Sicherheitsanforderungen eine der Grundlagen für die Wahl eines geeigneten Outsourcing-Dienstleisters. Spezielle Verfahren zur Absicherung der Kommunikation zwischen Dienstleister und Auftraggeber wie Einsatz von Verschlüsselungs. auf die sich auch geeignete Dienstleister bewerben.und Signaturverfahren können fest vorgegeben werden. Anforderungen an die Verfügbarkeit von Diensten und IT-Systemen können gestellt werden.3 Wahl eines geeigneten Outsourcing-Dienstleisters ISO Bezug: 27002 10. Zeitintervalle. Anforderungen an die Protokollierung und Auswertung von Protokolldateien können festgelegt werden. Beispielsweise kann in diesem Zusammenhang der Grad und die Methode der Lastverteilung (z. B.3. Audits (unter Umständen durch unabhängige Dritte) können spezifiziert werden.2 Bei der Wahl eines geeigneten Outsourcing-Dienstleisters sind ein möglichst detailliertes Anforderungsprofil und ein darauf basierendes Pflichtenheft entscheidende Erfolgsfaktoren. dass ein IT-Sicherheitsbeauftragter / eine IT-Sicherheitsbeauftragte mit speziellen Kenntnissen (z. dass keine IT-Systeme des Auftraggebers in Räumen untergebracht werden dürfen. Nur so kann eine bedarfsgerechte Ausschreibung erfolgen. Vorgaben an die Mandantenfähigkeit sowie die diesbezügliche Trennung von Hard.und Software können formuliert werden. für Web-Server mit Kundenzugriff bei sehr vielen Kunden) vorgegeben werden. B. Zuständigkeiten. z. B. Host-Kenntnissen) beim Outsourcing-Dienstleister benannt werden muss Der Einsatz zertifizierter Produkte (z. gemäß Common Criteria) beim Outsourcing-Dienstleister kann gefordert werden. Beispielsweise kann festgelegt werden. in denen bereits Systeme anderer Mandanten des Dienstleisters stehen. Qualität oder auch Abläufen und organisatorischen Regelungen können festgelegt werden. 10. B.• • • • • • • • Spezielle Anforderungen an bestimmte Rollen können festgelegt werden. Es kann beispielsweise gefordert werden. wie unangekündigte Kontrollen vor Ort. Gewünschte Verfahren oder Mechanismen für die Kontrolle und Überwachung.

andere Sicherheitskultur.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben). Weiterhin müssen den potenziellen Dienstleistern auch möglichst detailliert • • die IT-Sicherheitsanforderungen und die Kriterien zur Messung von Servicequalität und Sicherheit mitgeteilt werden (siehe 10. andere Haftungsregelungen. um mögliche Einflussfaktoren im Vorfeld abzuklären. Dabei ist auf Interessenskonflikte durch Geschäftsbeziehungen zu Konkurrenten des Auftraggebers und auf die Unabhängigkeit von bestimmten Herstellern (z. die Detailanforderungen bezüglich Sicherheit nur gegen eine Vertraulichkeitsvereinbarung (Non-Disclosure-Agreement) an Dienstleister herauszugeben. Das Anforderungsprofil hängt stark von der Art des Outsourcing-Vorhabens ab. Die Organisationsform eines Dienstleisters kann in Betracht gezogen werden. B. Dazu gehören beispielsweise: fremde Gesetzgebung. da sich daraus Hinweise auf existierende oder geplante Sicherheitsmechanismen ableiten lassen. 269 . Die Eigentümerstruktur sollte recherchiert werden. B. so dass ein einzelner Auftraggeber nur einer unter vielen ist und keine bevorzugte Stellung einnimmt. da dies z. nach ISO/IEC 27001 oder ISO 9000. Die Größe des Dienstleisters kann bei der Auswahl ein Argument sein. Bei großen Unternehmen ist zu bedenken. die Konkurrenten des Auftraggebers sind) zu achten. Zulieferer. durch die landesspezifische Gesetzgebung zugelassene und verwendbare Sicherheitsmechanismen. B. enthalten. Ein Qualitätsnachweis bzw. die Haftungsgrenzen beeinflussen kann. da dies darauf hinweist. Der Dienstleister sollte Referenzen für ähnliche OutsourcingVorhaben aufweisen können. dass diese sehr viele Auftraggeber und Projekte haben. Bei kleinen Unternehmen könnte das Insolvenzrisiko höher sein. z. in welchem Wirtschaftssektor der Anbieter seine Stärken hat. Als wichtige grundsätzliche Bewertungskriterien für Dienstleister und dessen Personal können gelten • • • • • • Bei ausländischen Dienstleistern müssen besondere Aspekte bedacht werden. welches nicht zwangsläufig dem Niveau des Auftraggebers entsprechen muss.3. Spionagerisiko. im Partnerunternehmen bzw.• • Beschreibung des Outsourcing-Vorhabens (Aufgabenbeschreibung und Aufgabenteilung) sowie Beschreibungen zum geforderten Qualitätsniveau. Die Kundenstruktur sollte beachtet werden. eine Zertifizierung. In Einzelfällen kann es notwendig sein. ist eine sinnvolle Forderung.

Dabei sollten auch die Vertretungsregelungen und die Arbeitszeiten hinterfragt werden. die im Folgenden beschrieben werden.2 Nachdem ein Outsourcing-Dienstleister ausgewählt wurde. Je höher der Schutzbedarf der ausgelagerten IT-Systeme und Anwendungen ist. Umfang und Detaillierungsgrad der vertraglichen Regelungen hängen immer vom speziellen Outsourcing-Projekt ab. Der Dienstleister sollte auf Einhaltung des Sicherheitshandbuchs und auf die vom Auftraggeber vorgegebenen Sicherheitsanforderungen verpflichtet werden (siehe 10. Bei der Wahl ausländischer Partner muss eine gemeinsame Sprache für die Kommunikation zwischen den eigenen MitarbeiterInnen und denen des Dienstleisters festgelegt werden. dass die im Angebot genannten MitarbeiterInnen auch später tatsächlich eingesetzt werden. Die Aspekte. müssen alle Aspekte des Outsourcing-Vorhabens vertraglich in sogenannten Service Level Agreements (SLAs) festgehalten und geregelt werden. Dazu gehört natürlich. • • • • Die Qualifikation der MitarbeiterInnen muss in die Bewertung der Angebote einfließen. ob eine Sicherheitsüberprüfung der MitarbeiterInnen vorliegt bzw. Es ist nach der Projektvergabe darauf zu achten. ein IT-Sicherheitskonzept inklusive eines Notfallvorsorgekonzepts zu erstellen und Sicherheitsmaßnahmen sowie Systeme und Anwendungen zu dokumentieren.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister ISO Bezug: 27002 10.2 Regelungen für den Einsatz von Fremdpersonal). dass viele Personen aus Angst. Die Anzahl der verfügbaren MitarbeiterInnen muss bewertet werden.3. Die Erfahrungen zeigen.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben). lieber zu wichtigen Fragen schweigen. desto sorgfältiger und detaillierter muss der Vertrag zwischen Auftraggeber und Dienstleister ausgehandelt werden. sind als Hilfsmittel und Checkliste bei der Vertragsgestaltung zu sehen.3.• Auskünfte über die aktuelle wirtschaftliche Lage sowie Erwartungen an die zukünftige Geschäftsentwicklung der Dienstleister sollten eingeholt werden. 10. Hierbei sollte auch hinterfragt werden. ob die vorhandenen Sprachkenntnisse für die Klärung von Detailproblemen ausreichen. eine solche durchgeführt werden kann. Entsprechend dem erforderlichen Sicherheitsniveau für das OutsourcingVorhaben sollte in die Bewertung der Angebote mit aufgenommen werden. wenn sie ihre Sprachfähigkeiten als nicht perfekt einschätzen. Auch an die MitarbeiterInnen eines Dienstleisters sind diverse Anforderungen zu stellen (siehe auch 8. 270 . Art. sich zu blamieren. dass der Outsourcing-Dienstleister sich verpflichtet.

z. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages. Arbeitsabläufen und Zuständigkeiten • • • • • • Verfahren zur Behebung von Problemen. auch eine genaue quantitative Leistungsbeschreibung vertraglich zu fixieren. wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen. Generell wäre eine allgemeine Verpflichtung auf die Einhaltung des Sicherheitshandbuchs zwar zufriedenstellend. Zutrittskontrolle. die aus Sicherheitssicht geregelt werden sollten: Infrastruktur • Absicherung der Infrastruktur des Dienstleisters (z. Reaktionszeiten. zu Verfügbarkeitsanforderungen.. Anzahl der MitarbeiterInnen. Dadurch lassen sich später Streitigkeiten zwischen den Parteien vermeiden.und Zugriffsberechtigungen für Mitarbeiterinnen des Auftraggebers zu den Räumlichkeiten und IT-Systemen des Dienstleisters 271 .und Zugriffsberechtigungen für MitarbeiterInnen des Dienstleisters zu den Räumlichkeiten und IT-Systemen des Auftraggebers Zutritts.Zusätzlich zur allgemeinen Leistungsbeschreibung empfiehlt es sich jedoch immer.) Organisatorische Regelungen/ Prozesse • • Festlegung von Kommunikationswegen und Ansprechpartnern Festlegung von Prozessen. alle vereinbarten Leistungen so genau und eindeutig wie möglich vertraglich festzuhalten. B. die aufgrund unterschiedlicher Interpretationen der beschriebenen Leistungen notwendig werden. sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden. Brandschutz. Auch die Erstellung des IT-Sicherheitskonzeptes selbst sollte Vertragsbestandteil sein. Benennung von AnsprechpartnerInnen mit den nötigen Befugnissen regelmäßige Abstimmungsrunden Archivierung und Löschung von Datenbeständen (insbesondere bei Beendigung des Vertragsverhältnisses) Zugriffsmöglichkeiten des Dienstleisters auf IT-Ressourcen des Auftraggebers: Wer greift wie auf welches System zu? Wie sind die Zuständigkeiten und Rechte? Zutritts. zur Verfügung stehendem Speicherplatz. B.. . Rechenleistung. Supportzeiten. es empfiehlt sich jedoch immer. Im Folgenden findet sich eine Themenliste von Aspekten. Insbesondere ist zu klären.

juristische Rahmenbedingungen • • • Eine Verpflichtung auf die Einhaltung von geltenden Normen und Gesetzen sowie der vereinbarten Sicherheitsmaßnahmen und sonstigen Rahmenbedingungen ist vertraglich zu regeln. diese grundsätzlich auszuschließen. wie bei einem Streik des Personals des Dienstleisters die Verfügbarkeit von Daten und Systemen sichergestellt werden kann. Serviceverträge. welche Systeme redundant ausgelegt sein müssen Von besonderer Bedeutung können Regelungen im Fall höherer Gewalt sein. Subunternehmer und Unterauftragnehmer des Dienstleisters ist zu regeln. Die Einbindung Dritter. Schwere und Dringlichkeit erforderliche Handlungen beim Eintreten eines Störfalls Reaktionszeiten und Eskalationsstufen Mitwirkungspflicht des Auftraggebers bei der Behebung von Notfällen Art und zeitliche Abfolge von regelmäßigen und adäquaten Notfallübungen Art und Umfang der Datensicherung Vereinbarung. Die Eigentums.) übernimmt. Ebenso sind Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) vertraglich zu fixieren. ob bzw. 272 . Softwarelizenzen etc. kann der Auftraggeber von derartigen Vorkommnissen gänzlich überrascht werden. Besonders wenn Dienstleister und Auftraggeber unterschiedlichen Branchen angehören oder ihren Sitz in verschiedenen Ländern haben. sondern sinnvolle Regelungen festzulegen.Personal • • • • • • • • • • • Gestaltung der Arbeitsplätze von externen MitarbeiterInnen (Einhalten von Computerarbeitsplatzrichtlinien) Festlegung und Abstimmung von Vertretungsregelungen Verpflichtung zu Fortbildungsmaßnahmen Notfallvorsorge Kategorien zur Einteilung von Fehlern und Störfällen nach Art. Es sollte beispielsweise geklärt sein. Es ist auch zu klären. In der Regel empfiehlt es sich nicht.und Urheberrechte an Systemen. ob der Dienstleister bereits bestehende Verträge mit Dritten (Hardwareausstattung. Haftung. Software und Schnittstellen sind festzulegen.

Prozeduren.• • • • • • Die Weiterverwendung der vom Dienstleister eingesetzten Tools. Auf ein ausreichend flexibles Kündigungsrecht ist zu achten. Sanktionen oder Schadensersatz bei Nichteinhaltung der Dienstleistungsqualität müssen festgelegt werden. B. B. die nur zufällig nicht zu einem größeren Schaden geführt haben? • Insolvenz des Dienstleisters Das Recht auf Schadensersatzzahlungen ist wertlos. können spezifiziert werden. dass aus Kostengründen andere Sicherheitsmaßnahmen vernachlässigt werden. z. dass Schadensersatzzahlungen nur das allerletzte Mittel sind und nicht dazu führen dürfen. • • Wie wird beispielsweise ein Imageschaden gemessen? Mandantenfähigkeit • Die notwendige Trennung von IT-Systemen und Anwendungen verschiedener Kunden muss vereinbart werden. Die Bedeutung von Schadensersatzzahlungen und juristischen Konsequenzen sollte dabei nicht überschätzt werden. der Verursacher überführt werden (z. Alle vorhandenen Daten inklusive Datensicherungen sind ebenfalls zurückzugeben oder (je nach Vereinbarung) zu vernichten. wenn diese die Zahlungsfähigkeit des Dienstleisters übersteigen und dieser Insolvenz anmeldet. Der Auftragnehmer ist zu verpflichten. Batchprogramme ist für den Fall der Beendigung des Dienstleistungsverhältnisses zu regeln. nach Beendigung des Auftrags alle Hardund Software inklusive gespeicherter Daten. • Katastrophale Schäden Eine Konventionalstrafe kommt zu spät. Zu bedenken sind nämlich die folgenden Punkte • Quantifizierbarkeit des Schadens Wie ist es zu bewerten. die dem Auftraggeber gehören. 273 . Nachweis von Spionage oder Manipulationen)? Es ist immer zu bedenken. Die Aufteilung von Risiken zwischen Auftraggeber und Dienstleister muss bedacht werden. • Kann ein Schaden nachgewiesen bzw. Haftungsfragen im Schadensfall sind zu klären. Nachfolgend fallen dann mindestens Kosten für den Umzug zu einem neuen Dienstleister an. Sicherheit lässt sich nicht mit juristischen Mitteln erzielen. Regelungen für das Ende des Outsourcing-Vorhabens. zurückzugeben. Skripte. wenn der Auftraggeber durch das Ausmaß des Schadensereignisses seiner Geschäftsgrundlage beraubt wird und im schlimmsten Fall durch die Schadensfolgen die Zahlungsunfähigkeit eintritt. für einen Wechsel oder bei Insolvenz des Dienstleisters. wenn gravierende Pflichtverletzungen aufgedeckt werden.

diese in seinem Sinne weiterzuentwickeln.und Produktionssystemen Zuständigkeiten bei der Erstellung von Testkonzepten Festlegen von zu benutzenden Testmodellen Zuständigkeiten bei Auftraggeber und Dienstleister bei der Durchführung von Tests (z. Falls notwendig. muss vereinbart werden. dass Probleme bei anderen Kunden nicht die Abläufe und Systeme des Auftraggebers beeinrächtigen. die es ermöglichen. dass Daten des Auftraggebers unter keinen Umständen anderen Kunden des Outsourcing-Dienstleisters zugänglich werden. wenn beispielsweise gesetzliche Vorgaben geändert wurden. gestiegene Anforderungen oder knapp werdende Ressourcen reagiert wird. h. Falls notwendig. Testverfahren für neue Soft. Abnahmeund Freigabeprozeduren) 274 . Dies gilt insbesondere. Es kann auch sinnvoll sein. Der Evolutionspfad von Systemen muss daher geregelt werden. wie auf Systemerweiterungen. • Es ist sicherzustellen. Nicht selten übernimmt der Dienstleister selbstentwickelte Systeme oder Software vom Auftraggeber. dass die vom Dienstleister eingesetzten Mitarbeiter nicht für andere Auftraggeber eingesetzt werden. Der Zeitrahmen für die Behebung von Fehlern ist festzulegen. • Änderungsmanagement und Testverfahren • • • • • Es müssen Regelungen gefunden werden. Es ist festzulegen. der damit die Fähigkeit verliert.• • Es ist sicherzustellen. diese auf Verschwiegenheit zu verpflichten. dass der Auftraggeber immer in der Lage ist.und Hardware sind zu vereinbaren. Eine kontinuierliche Verbesserung der Dienstleistungsqualität und des ITSicherheitsniveaus sollte bereits in den SLAs festgeschrieben werden. so dass die eingesetzten MitarbeiterInnen nicht mit anderen MitarbeiterInnen des Dienstleisters auftraggeberbezogene Informationen austauschen dürfen. Dabei sind folgende Punkte einzubeziehen: • • • • • Regelungen für Updates und Systemanpassungen Trennung von Test. sich neuen Anforderungen anzupassen. Mitarbeit oder Hilfestellung des Auftraggebers. B. dezidierte Hardware) vereinbart werden. In diesem Zusammenhang ist auch die Betreuung und Weiterentwicklung bereits vorhandener Systeme zu regeln. muss die physikalische Trennung (d.

ohne dass der Auftraggeber sich vorbereiten konnte. Einsichts-. Es ergeben sich jedoch folgende Besonderheiten. Das IT-Sicherheitskonzept. die berücksichtigt werden müssen: • Am Outsourcing-Vorhaben sind aus technischer Sicht in der Regel drei Parteien beteiligt: • • Outsourcing-Auftraggeber Outsourcing-Dienstleister 275 . B. die beim Auftraggeber Prüfungen durchführen müssen (z. Aufsichtsbehörden) müssen auch beim Outsourcing-Dienstleister die entsprechenden Kontrollmöglichkeiten (z.3. Der Auftraggeber muss die dazu notwendigen Auskunfts-. Dateneinsicht) eingeräumt werden. Zutrittsund Zugangsrechte besitzen. Zutrittsrechte.) Genehmigungsverfahren für die Durchführung von Tests Festlegung zumutbarer Qualitätseinbußen während der Testphase (z. Durch unerwartete Fehler dabei werden wichtige Anwendungen gestört. muss dies bereits im Vertrag geregelt sein.2 Für jedes Outsourcing-Vorhaben muss ein IT-Sicherheitskonzept existieren. das nach Beauftragung eines Dienstleisters erarbeitet wird. Outsourcing-Projekte sind dadurch gekennzeichnet. wird daher in den wenigsten Fällen gleich vollständig und endgültig sein und muss während der Migrationsphase von allen Beteiligten stetig weiterentwickelt und konkretisiert werden.5 Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben ISO Bezug: 27002 10. Wenn unabhängige Dritte Audits oder BenchmarkTests durchführen sollen. Verfügbarkeit) Kontrollen • • Dienstleistungsqualität und IT-Sicherheit müssen regelmäßig kontrolliert werden. Dieses kann unter anderem auf Grundlage dieses Sicherheitshandbuchs erstellt sein. dass sich viele technische und organisatorische Details erst im Laufe der Planung und bei Migration der Systeme ergeben. Allen Institutionen.• • • Informationspflicht und Absprache vor wichtigen Eingriffen ins System (Negativbeispiel: Der Dienstleister spielt ein neues Betriebssystem auf dem Server ein. B. B. 10. Generell unterscheiden sich IT-Sicherheitskonzepte für Outsourcing-Vorhaben nur wenig von IT-Sicherheitskonzepten für selbstbetriebene IT-Systeme.

Für die Migrationsphase muss eine IT-Sicherheitskonzeption erstellt werden. dass im Zweifelsfall mit entsprechendem Nachdruck gehandelt werden kann. dass auf beiden Seiten Verantwortlichkeiten auch auf hohen Ebenen definiert werden. welches die Sicherheit im Zusammenspiel der Einzelsysteme betrachtet. ob es vorhanden und ausreichend ist. 276 . Dieses kann auch durch externe ExpertInnen verstärkt werden. in der verstärkt mit Sicherheitsvorfällen zu rechnen ist. Aufbauend auf den dort beschriebenen grundlegenden Anforderungen muss im ITSicherheitskonzept die detaillierte Ausgestaltung erfolgen. sollte aber in einem Audit prüfen. Damit sind ITSicherheitskonzepte erforderlich: • • • • • • für den Einflussbereich des Outsourcing-Dienstleisters. Die in 10. Erfahrungsgemäß ist der Übergang (Migration) von Aufgaben und IT-Systemen vom Auftraggeber zum Outsourcing-Dienstleister eine Projektphase. Die verschiedenen Teil-Konzepte müssen zwischen Auftraggeber und Dienstleistern abgestimmt werden.3.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhabenund 10. wobei beispielsweise die Maßnahmen konkretisiert und Ansprechpartner namentlich festgelegt werden. Nur so kann sichergestellt werden. Jeder Beteiligte muss ein eigenes IT-Sicherheitskonzept erstellen und umsetzen. Die Zuständigkeit für die Netzanbindung fällt dabei in der Regel dem Outsourcing-Dienstleister zu.3. welches auch das spezielle Outsourcing-Vorhaben umfasst. der Netzprovider stellt die Anbindung zwischen den Outsourcing-Parteien bereit. für den Einflussbereich des Auftraggebers sowie für die Schnittstellen und die Kommunikation zwischen diesen Bereichen. Für das Audit kann der Auftraggeber dabei auch auf externe Dritte zurückgreifen. Dabei ist es wichtig.• Netzprovider.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister genannten Sicherheitsanforderungen bilden dabei die Basis für das IT-Sicherheitskonzept. Die Verantwortlichkeiten und Hierarchien für die Migrationsphase sind festzulegen. Zusätzlich ist darauf zu achten. dass klare Führungsstrukturen geschaffen und auf beiden Seiten eindeutige AnsprechpartnerInnen definiert werden. um spezielles Know-how verfügbar zu machen. Zusätzlich zu den Einzelkonzepten ist ein IT-Sicherheitskonzept für das Gesamtsystem zu erstellen. Dabei ist der Auftraggeber am ITSicherheitskonzept des Outsourcing-Dienstleisters nicht direkt beteiligt. Aus diesem Grund müssen im Sicherheitskonzept Regelungen und Maßnahmen zur Migration behandelt werden: • • • Es ist ein gemischtes Team aus MitarbeiterInnen des Auftraggebers und des Outsourcing-Dienstleisters zu bilden.

Abnahmeprozeduren erarbeitet und die Produktionseinführung geplant werden. beispielsweise in der Behandlung von Fehlfunktionen und sicherheitsrelevanten Vorkommnissen eingestellt hat. Während der Migration muss ständig überprüft werden. Es sind geeignete interne MitarbeiterInnen für die Test-. Zusätzlich müssen Störungen durch notwendige Tests einkalkuliert werden. Einführungsphase und den späteren Betrieb auszuwählen. Dies birgt die Gefahr des Social Engineering (z. Applikationen und IT-Systeme des Auftraggebers genau kennen lernen und dahingehend eingewiesen werden. müssen ausreichend dokumentiert sein. Dazu ist im Vorfeld zu überprüfen. Zeiten der Erreichbarkeit. ob die SLAs oder die vorgesehenen IT-Sicherheitsmaßnahmen angepasst werden müssen.• • • • • • • Die erforderlichen Tests müssen geplant und durchgeführt werden. Dies bedeutet insbesondere: • • Alle Sicherheitsmaßnahmen müssen konkretisiert werden. Der störungsfreie Betrieb ist durch genaue Ressourcenplanung und Tests sicherzustellen. In der Regel sind die MitarbeiterInnen dabei mit neuen und unbekannten AnsprechpartnerInnen konfrontiert. Die produktiven Systeme dürfen dabei nicht vernachlässigt werden. da sich erfahrungsgemäß während der Migrationsphase immer Änderungen ergeben. sind verstärkt MitarbeiterInnen zu Bereitschaftsdiensten zu verpflichten. Bis sich bei allen Beteiligten die notwendige Routine. Anruf eines vermeintlichen Mitglieds des Sicherheitsteams des Dienstleisters). Die Dokumentation neuer Systeme oder Teilsysteme muss dabei ebenfalls sichergestellt sein. B. Die Prüfung der Dokumentation auf Vollständigkeit muss dabei ebenso bedacht werden wie das Anpassen der vorhandenen Dokumentation auf die veränderten Randbedingungen durch das Outsourcing-Vorhaben. AnsprechpartnerInnen und Zuständigkeiten werden mit Namen und notwendigen Kontaktdaten (Telefon. Der Dienstleister muss die relevanten Abläufe. dass das ITSicherheitskonzept aktualisiert wird. Vertraglich kann sich ein Auftraggeber natürlich auch ein Mitspracherecht bei der Personalauswahl des OutsourcingDienstleisters einräumen lassen. die der Dienstleister übernehmen soll. eventuell erforderliche Zuordnungsbegriffe wie Kundennummern) dokumentiert. Anwendungen und IT-Systeme. In der Einführungsphase des Outsourcing-Vorhabens und der ersten Zeit des Betriebs muss dem Notfallkonzept besondere Aufmerksamkeit geschenkt werden. Die MitarbeiterInnen des Auftraggebers sind zum Verhalten während und nach der Migrationsphase zu schulen. Nach Abschluss der Migration muss sichergestellt werden. 277 . ob die vorgesehenen MitarbeiteInnenr zur Verfügung stehen.

wobei auch die eingestellten sicherheitsrelevanten Parameter zu erfassen sind. um Angriffe frühzeitig zu erkennen Einsatz von Datei-Integrität-Prüfungssystemen. Da die Details eines IT-Sicherheitskonzeptes direkt vom Outsourcing-Vorhaben abhängen.• • Die Systemkonfigurationen ist zu dokumentieren. Dabei ist vor allem darauf zu achten. dass alle Ausnahmeregelungen. für die das "Vier-Augen-Prinzip" anzuwenden ist Hard-/Software Einsatz gehärteter Betriebssysteme. um Veränderungen z. wie z. um eine möglichst umfassende Protokollierung zu ermöglichen Einsatz kaskadierter Firewallsysteme zur Erhöhung des Perimeterschutzes auf Seiten des Dienstleisters sorgfältige Vergabe von Benutzer-Kennungen. und den organisatorischen. B. nach erfolgreichen Angriffen. die im ITSicherheitskonzept im Detail beschrieben werden sollten. um Angriffe möglichst zu erschweren Einsatz von Intrusion-Detection-Systemen (IDS). erweiterte Zugriffsrechte. Neben einem Überblick über die Gefährdungslage. aufgehoben werden. ist die Liste als Anregung zu verstehen und erhebt keinen Anspruch auf Vollständigkeit. Das Personal ist durch Schulungsmaßnahmen auf den Regelbetrieb vorzubereiten. die der Motivation der Sicherheitsmaßnahmen dient. Verbot von Gruppen-IDs für Personal des Dienstleisters 278 . insbesondere Regelungen zum Anfertigen von Kopien und Löschen/Vernichten Festlegung von Aktionen. die während der Migrationsphase notwendig waren. infrastrukturellen und personellen Sicherheitsmaßnahmen können Maßnahmen aus folgenden Bereichen sinnvoll sein: Organisation • • • • • • • • Umgang mit Daten und schützenswerten Betriebsmitteln wie Druckerpapier und Speichermedien. Als letzte Aufgabe muss das Outsourcing-Vorhaben nach der Migrationsphase in den sicheren Regelbetrieb überführt werden. Im Folgenden sind einige Aspekte und Themen aufgelistet. zu erkennen Einsatz von Syslog. B.und Timeservern.

Router. 10. Zeitintervalle. Die Besonderheiten beim Outsourcing-Betrieb ergeben sich dadurch. unangekündigte Kontrollen vor Ort.Kommunikation • • • • Absicherung der Kommunikation (z. beim Outsourcing-Dienstleister sowie für die Schnittstellen zwischen Auftraggeber und Dienstleister (z. Dienstqualität. Im Notfallvorsorgekonzept müssen diese Vorgaben genau spezifiziert und im Detail beschrieben werden: • Zuständigkeiten.6 Notfallvorsorge beim Outsourcing beschrieben. um sensitive Daten zu schützen Authentisierungsmechanismen Detailregelungen für weitere Netzanbindungen (siehe 10. elektronische Signatur) zwischen Dienstleister und Auftraggeber.2 Für die Notfallvorsorge beim Outsourcing gelten grundsätzlich die gleichen Anforderungen wie beim nicht ausgelagerten Betrieb von IT-Systemen. durch Verschlüsselung. welche Aspekte bereits im Service Level Agreement geregelt werden sollten. 279 . Telekommunikationsprovider) existieren. Abläufen und organisatorische Regelungen Notfallvorsorge • Das Notfallvorsorgekonzept ist in 10.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister sind einige Hinweise gegeben.3.3. B. In 10. Generell müssen Notfallvorsorgekonzepte für die Systeme beim Auftraggeber.8.3.1 Richtlinien beim Datenaustausch mit Dritten) Kontrollen und QS • Detailregelungen (z. AnsprechpartnerInnen und Abläufe müssen klar geregelt und vollständig dokumentiert werden.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet)) Detailregelungen für den Datenaustausch (siehe 10. Zuständigkeiten. dass auch die Notfallvorsorge auf unterschiedliche Parteien aufgeteilt ist und durch die Verteilung der IT-Komponenten auch zusätzliche Komponenten neu hinzukommen. Detailgrad) für Kontrollen und Messung von Sicherheit.9.6 Notfallvorsorge beim Outsourcing ISO Bezug: 27002 10. Netzverbindung. B. B.

Aktionen zu definieren.• • • • Detailregelungen für die Datensicherung sind zu erstellen (z. damit er richtig reagieren kann. die nur beim Auftraggeber vorhanden sind. Oftmals werden die Systeme des Auftraggebers von Personal des Dienstleisters betrieben. Programmfehler. Datenträger voll. falsche Parametereinstellung). ohne umfangreiche Kenntnisse über das System zu besitzen. Die Verantwortung für die Anwendung liegt dennoch ausschließlich beim Auftraggeber. Verarbeitung eines falschen Datensatzes. Eskalationsstrategien. B. damit mit angemessener Umsicht gehandelt werden kann. benötigt der Outsourcing-Dienstleister detaillierte und umfangreiche Anweisungen sowie Listen mit Ansprechpartnern auf Seiten des Auftraggebers. Meist ist aber dennoch eine Kooperation mit dem Auftraggeber notwendig. die explizit verboten sind (z. Es kann dabei auch sinnvoll sein. dem Dienstleister Informationen bezüglich des Schutzbedarfs der betroffenen Daten und Systeme zur Verfügung zu stellen. Virenschutz). B. Bei technischen Fehlern ohne Auswirkungen auf andere Anwendungen wird der Outsourcing-Dienstleister den Fehler zwar selbst beheben können. B. Vertretungsregelungen. Liegen anwendungsspezifische Probleme vor. 280 . B. die auf den IT-Systemen betrieben werden. Netzprobleme) oder anwendungsspezifische (z. Tritt ein Fehler in der Anwendung auf. muss erarbeitet werden. Reboot einer Maschine). wie er dabei vorgehen darf. Besonders bei Problemen mit komplizierten Anwendungen oder bei umfangreichen Batch-Prozessen sind häufig Kenntnisse erforderlich. Wichtig ist in diesem Fall auch. muss der Outsourcing-Dienstleister unter Umständen eine Fehlerbehebung herbeiführen. Durch das Notfallvorsorgekonzept müssen dem Outsourcing-Dienstleister daher genaue Anweisungen zur Verfügung gestellt werden. Verfügbarkeit. um ungewünschte Seiteneffekte auf Applikationsebene zu verhindern. Ein Fehlverhalten einer Anwendung kann technische Ursachen haben (z. Die IT-Sicherheit hängt in Notfällen entscheidend von der Qualität der Arbeitsanweisungen für das Personal des Outsourcing-Dienstleisters ab. getrennte Backup-Medien für jeden Klienten. Detaillierte Arbeitsanweisungen mit konkreten Anordnungen für bestimmte Fehlersituationen sind zu erstellen. das keine Detailkenntnisse über die Anwendungen besitzt. Ein Konzept für Notfallübungen. die regelmäßig durchgeführt werden müssen.

Trojanische Pferde anwendbar.B. wie z. Bei den meisten über E-Mail verbreiteten "Viren" handelt es sich eigentlich um Würmer. Verbreitung: Während früher Viren meist durch den Austausch verseuchter Datenträger verbreitet wurden. Integrität und/oder Verfügbarkeit von Daten oder Programmen. an anderen Programmen oder deren Umgebung vornehmen. Die angeführten Maßnahmen sind großteils auch gegen andere Arten von Software mit Schadensfunktion. beispielsweise dem Datum oder einer bestimmten Eingabe. die zur Vereinfachung im Folgenden generell als "Viren" bezeichnet werden. Logische Bomben: Programme. Überschreiben oder sonstige Veränderungen unkontrollierbare Schäden an Programmen und Daten bewirken können.unabhängig von der eigentlichen Schadensfunktion . ohne Selbstreproduktion. 281 . Damit verursachen sie zusätzliche Arbeit und Kosten und haben einen negativen Einfluss auf die Vertraulichkeit. Trojanische Pferde: Selbständige Programme mit verdeckter Schadensfunktion. selbstreproduzierende Programme. die .10. die sich in einem System (vor allem in Netzen) ausbreiten. wird heute zunehmend die Verbreitung über Internet bzw. deren Schadensfunktion von einer logischen Bedingung gesteuert wird.4 Schutz vor Schadprogrammen und Schadfunktionen ISO Bezug: 27002 10. Dies sind Programme. in andere Programme oder Dateien eingebettete Programmroutinen. dazu auch [NSA-EEC1] ) Das nachfolgende Kapitel beschäftigt sich vorwiegend mit dem Schutz gegen Viren und Würmer. Zu den Programmen mit Schadensfunktionen gehören: Viren: Nicht-selbständige. E-Mail zum Problem.4 Computer-Viren (im Rahmen dieses Handbuchs der Einfachheit halber als Viren bezeichnet) gehören zu den "Programmen mit Schadensfunktionen" ("maliziöse Software"). Trojanische Pferde dienen vor allem dazu. die verdeckte Funktionen enthalten und damit durch Löschen.schon durch ihr massenhaftes Auftreten und ihre rasante Verbreitung großes Aufsehen erregen und zu hohen Schäden führen. (vgl. Würmer: Selbständige. die sich selbst reproduzieren und dadurch von dem/der Anwender/in nicht kontrollierbare Manipulationen in Systembereichen. Computer auszuspionieren.

7 Um für ein komplexes IT-System oder eine gesamte Organisation einen effektiven Virenschutz zu erreichen. Die nachfolgend angeführten Maßnahmen dienen einer Vorbeugung gegen Virenbefall bzw. einer Verringerung des Schadens im Falle eines Befalls. [eh SYS 4.4.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall ISO Bezug: 27002 10.10. im Falle eines Virenbefalls den Schaden möglichst zu begrenzen. um einem Virenbefall soweit wie möglich vorzubeugen. ist ein mehrstufiges Schutzkonzept erforderlich.4.5.4.1] 10. 10. Die anzuwendenden Maßnahmen sind daher vor dem Hintergrund des Gesamtsystems und der jeweils gültigen Policy vorzuschreiben. Die nachfolgenden Maßnahmen geben eine Reihe von generellen Empfehlungen zum Virenschutz. .5 ).4.5. 11. bei dem in jeder Stufe angemessene und aufeinander abgestimmte Schutzmaßnahmen realisiert werden. bzw. sondern auch die Abstimmung dieser Maßnahmen aufeinander. desto geringer wird das allgemeine Risiko. 10. Je mehr bzw.1 ). Für die Effizienz des Virenschutzkonzeptes sind dabei nicht nur die ausgewählten Maßnahmen selbst von Bedeutung. die an die Erfordernisse der betroffenen Institution anzupassen sind. • • 282 Regelmäßige Durchführung einer Datensicherung (vgl. Sichere Aufbewahrung der Sicherheitskopien von Datenträgern (vgl.1 Erstellung eines Virenschutzkonzepts ISO Bezug: 27002 10.1. je exakter die Empfehlungen umgesetzt werden. Schutzmaßnahmen sind zu treffen: • • • auf Ebene der Firewall auf Server-Ebene auf Client-Ebene Neben den technischen Schutzmaßnahmen sind auch organisatorische und personelle Maßnahmen erforderlich. Allerdings können ggf bestimmte (auch notwendige / vorgesehene) Funktionen nicht mehr oder zumindest weniger produktiv durchgeführt werden.

die der Verbreitung von Schadprogrammen entgegenwirken. Übermittlung von vertraulichen Informationen aus dem geschützten Netz) benötigen definierte Verbindungswege in das Internet (Ports.3 Datenträgeraustausch ).u.VBS.4. *.7. Gateways bieten meist auch Möglichkeiten ohne teure Zusatzprodukte Maßnahmen zu setzen. auch 10. • [eh SYS 4.und Fax-Nummer) benannt werden. gleich zentral abgeblockt werden. DVD.1 Viele Schadfunktionen (Nachladen von Code aus dem Internet. USB-Stick.).2] 10. Nutzung von nur einmal beschreibbaren Medien bei allen Datenträgern.EXE). "Private" Insel-Lösungen auf einzelnen Arbeitsplatz-Rechnern sollten nicht zugelassen werden. Daher ist durch eine restriktive Politik bei den Filterregeln der Firewalls eine wesentliche Erhöhung der Sicherheit erreichbar.BAT. die im täglichen Arbeitsablauf nicht als Anhänge von E-Mails vorkommen. das Booten von externen Datenträgern (CD. Internet) (s. etc.und ausgehenden Dateien über externe Netzwerke (EMails. *. *. in der BootReihenfolge die System-Festplatte an erster Stelle einzustellen bzw. um die Sicherheit des Gesamtsystems nicht zu gefährden. die Programme beinhalten) und bei allen ausgehenden Datenträgern.• • • • • • • Setzen eines Schreibschutzes bzw.) ganz zu unterbinden. 283 . Überprüfung aller vorinstallierten Neugeräte und gewarteten Geräte.B. *. die auch über entsprechende Sicherheitsfunktionen verfügen. Überprüfung aller ein.4. auf die nicht geschrieben werden muss (gilt insbesondere für Datenträger. Adressen).3 Empfohlene Virenschutzmaßnahmen auf Firewall-Ebene ISO Bezug: 27002 10. Dies gilt in besonderem Maße für E-Mail-Programme.WSH. um ihre Wirkung entfalten zu können.und ausgehenden Datenträger (vgl. Die Unterteilung der Festplatte in mehrere Partitionen kann die Rekonstruktion von Daten nach einem Virus-Schaden erleichtern (Anmerkung: Dies gilt auch bei einem Headcrash). Als vorbeugende Maßnahme gegen Virenbefall empfiehlt es sich. Es sollten nur vertrauenswürdige Programme zugelassen sein. Überprüfung aller ein. Dabei können Dateitypen (z. Telefon. Für Probleme sollte ein zentraler Ansprechpartner (E-Mail-Adresse.

4.1 Auf E-Mail-Servern und allen Servern die zum Datenausgetausch genutzt werden sollten Virenschutzprogramme zur zentralen Überprüfung des E-Mail-Verkehrs und der ausgetauschten Dateien installiert werden (vgl.5 Empfohlene Virenschutzmaßnahmen auf Client-Ebene und Einzelplatzrechnern ISO Bezug: 27002 10.4] 10. .4 Empfohlene Virenschutzmaßnahmen auf Server-Ebene ISO Bezug: 27002 10. damit während der Abwesenheit der berechtigten Benutzerin bzw.). [eh SYS 4. Dabei kann Mail mittels Virenscanner verschiedener Hersteller überprüft werden und .8 Auswahl und Einsatz von Virenschutzprogrammen ). ist in Form einer erweiterten Gatewayfunktionalität oder der Einbindung über eigene Protokolle (z. Mailprogramm. Content Vectoring Protocol) möglich. etc. um beispielsweise auch Schutz bei verschlüsselter Kommunikation zu erreichen. die den Verkehr auf Viren und auch den Content der Mails scannen können.2 • • • 284 Aktivierung aller vorhandenen Sicherheitsfunktionen des Rechners (PasswortSchutz.4.4. Einsatz eines aktuellen Virenschutzprogrammes mit aktuellen Signatur-Dateien.sogar vor dem Vorliegen der neuen Virensignaturen .2. des berechtigten Benutzers Unbefugte keine Möglichkeit haben. dazu auch 10. das im Hintergrund läuft (resident) und bei bekannten Viren Alarm schlägt.3] 10. [eh SYS 4. empfiehlt es sich. durch unbedachte oder gewollte Handlungen den Rechner zu gefährden. empfiehlt sich die Installation dezentraler Virenschutzprogramme.4.B.Der Einsatz spezieller Rechner.4. (Auch wenn am Mail-Server bereits ein Virenschutzprogramm zum Einsatz kommt.) Aktivierung der Anzeige aller Dateitypen im Browser bzw.4. dass seine/ihre Mail nicht zugestellt werden konnte. Dabei ist auf eine regelmäßige Aktualisierung der eingesetzten Programme zu achten. Bildschirmschoner mit Passwort. 10.7. 11.durch das Filtern entsprechender Textbegriffe die Ausbreitung neuer Schadsoftware gestoppt werden.1. dem/der Absender/in einer solchen E-Mail eine automatisierte Nachricht zukommen zu lassen. Sollten Informationen geblockt werden.

2 Die Sensibilisierung der Endanwender/innen für die Virenproblematik stellt eine wichtige Komponente beim Schutz gegen Viren dar.) und Beachtung von Warnmeldungen.4. zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc. VBS) aus unbekannten Quellen etc.).1. etc. ob der Text der Nachricht auch zum/ zur Absender/in passt (englischer Text von deutscher Partnerin bzw. wirkungsvoll ergänzt (vgl. die regeln. Java. 10.6. etc.15 ). Auch laufende Informationen zu diesem Thema.5] 10.4.4. Kein "Doppelklick" bei ausführbaren Programmen (*. deutschem Partner. welche Programme auf das Internet zugreifen dürfen. [eh SYS 4. vertrauenswürdigen Absenderinnen bzw. Powerpoint. Vorsicht bei mehreren E-Mails mit gleichlautendem Betreff. die Möglichkeiten zu ihrer Erkennung und Vermeidung sowie die notwendigen Handlungsanweisungen im Falle eines (vermuteten) Virenbefalls hingewiesen werden. Die Ausführung von aktiven Inhalten in E-Mail-Programmen immer unterbinden (entsprechende Optionen setzen). (sofern sie nicht bereits auf Firewall-Ebene gefiltert wurden).COM. Absendern prüfen. 10. etwa über das Intranet oder in Form interner Publikationen. 285 . kann der Schadsoftware ebenfalls gezielt entgegen gewirkt werden. Keine Nutzung von Applikationsverknüpfungen für Anwendungen mit potentiell aktivem Code (MS-Office) im Browser. Sofern möglich: Wahl der höchsten Stufen in den Sicherheitseinstellungen von Internet-Browsern (Deaktivieren von aktiven Inhalten (ActiveX. die keine Informationen über die aufrufenden Programme hat. JavaScript) und Skript-Sprachen (z.BAT.• • • • • Aktivierung des Makro-Virenschutzes von Anwendungsprogrammen (MS Word. *. Erkennung von Viren durch den Benutzer ISO Bezug: 27002 10.) und ob die Anlage (Attachment) auch erwartet wurde. Durch den Einsatz eines Firewall-Produkts auf den Einzelplatzrechnern (Personal Firewalls). sind empfehlenswert. *. Erkennen potentieller Gefahren bei eingehender E-Mail und Abwehrmaßnahmen: • • • Bei E-Mail auch von vermeintlich bekannten bzw. keine Aktivierung von Anwendungen über Internet. Excel. Dadurch wird die zentrale Firewall.EXE) oder ScriptSprachen (*.6 Vermeidung bzw. Daher sollte in Schulungen regelmäßig auf die Gefahr von Viren.B. Visual Basic Script.VBS.).

) sowie Bildschirmschonern (*. auch in Teilen des kommerziellen Bereiches wird ein sofortiges Löschen von offensichtlich unsinnigen oder sonst wie verdächtigen Mails empfehlenswert sein. Freunde. etc. Bekannte oder Kolleginnen/Kollegen folgen. Dazu sind sog. In Bereichen. Außerdem sollten als E-Mail-Editor keine Programme mit der Funktionalität von Makro-Sprachen (z. Maßnahmen bei ausgehender E-Mail: Durch Beachtung der nachfolgenden Maßnahmen kann die Gefahr reduziert werden.B. Nur vertrauenswürdige E-Mail-Attachments öffnen (z. B. Empfohlene Verhaltensregeln im Verdachtsfall: Verdächtige E-Mails bzw.SCR). deren Attachments sollten auf keinen Fall von dem/der Endanwender/in geöffnet werden. dass Attachments nicht automatisch geöffnet werden.• • • • Vorsicht auch bei Dateien von Anwendungsprogrammen (Office. wo dies entweder aufgrund gesetzlicher Vorschriften oder kommerzieller Überlegungen nicht möglich ist. Auch eine E-Mail im HTML-Format kann aktive Inhalte mit Schadensfunktion enthalten. Kettenbrief). Keine unnötigen E-Mails mit Scherz-Programmen und ähnlichem versenden. "Quarantänebereiche" einzurichten. in letzter Konsequenz sogar nach telefonischer Absprache). • • • Vermeidung aktiver Inhalte in E-Mails. Bei der Verwendung des HTML-Formates ist ebenfalls Vorsicht geboten. Spezialisten untersucht und weiterbehandelt werden können. MS Word) oder Scripts eingesetzt werden. dass die Art des DateiAnhangs (Attachment) bei Sabotageangriffen oft getarnt ist und über ein Icon nicht sicher erkannt werden kann. einen Computer-Virus enthalten können. sondern direkt nur an den IT-Sicherheitsbeauftragten senden. Es handelt sich nämlich meist um irritierende und belästigende Mails mit Falschmeldungen (Hoax oder "elektronische Ente". Im Privatbereich und ev. um der Gefahr einer Vireninfektion zu begegnen. da diese evtl. ist dafür zu sorgen. wie sie diese Spezialistinnen/Spezialisten erreichen oder Mails an solche Bereiche weiterleiten können. Es ist zu beachten. Die Konfiguration der E-Mail-Clients sollte so eingestellt sein. dass ein/e Endanwender/in unabsichtlich Viren verteilt. Benutzer/innen müssen wissen. in denen die Mails von Spezialistinnen bzw. dass verdächtige E-Mails in entsprechend sicherer Umgebung geöffnet und analysiert werden können. Mails oder Anhängen an Freundinnen bzw. 286 . Keinen Aufforderungen zur Weiterleitung von Warnungen.

Je nach vorliegendem Schadprogramm sind Verfahren zur differenzierten EMail-Filterung (z.1. 287 . auch angegebenen Prüfsumme. keine Attachments.7 Erstellung von Notfallplänen im Fall von Vireninfektionen ISO Bezug: 12.) Makro-Viren bzw. dass unzulässige Veränderungen. zu verändern oder zu löschen. Scripts mit Schadensfunktion enthalten können.6. Daher sollten solche Dateien sofort gelöscht werden. die nicht von dem/der Benutzer/in selbst verfasst wurden. dürfen diese Systeme allenfalls kurzzeitig deaktiviert werden.4. PDF. nur Post-Eingang. 14. weiterzuleiten. Tabellen. stellen hierbei eine besondere Gefahr dar. Mit einem aktuellen Virenschutzprogramm sollten vor der Installation die Dateien immer überprüft werden. ob E-Mails im Ausgangs-Postkorb stehen.6] 10. Da EMail mittlerweile das zentrale Informationsmedium geworden ist. vorgenommen worden sind. Gepackte (komprimierte) Dateien sollten erst entpackt und auf Viren überprüft werden. sollte nach einem Download immer überprüft werden. stellen einen Hauptverbreitungsweg für Viren und Trojanische Pferde dar. Private Homepages. • • • • Programme sollten nur von vertrauenswürdigen Seiten geladen werden.• Gelegentlich prüfen. damit nach wie vor Warnungen möglich sind. Die Angabe der Größe von Dateien. etc. dass auch Dateien von Office.3 • • Die Informationswege für Notfälle sind zu planen. [eh SYS 4. Es muss darauf hingewiesen werden. dass zu entpackende Dateien nicht automatisch gestartet werden. um Benutzerdaten auszuspähen. Größenbeschränkung.B. Filterung von bestimmten Betreffs) vorzubereiten und auch zu testen. Bei Abweichungen von der vorgegebenen Größe oder Prüfsumme ist zu vermuten. die bei anonymen Webspace-Providern eingerichtet werden. 13. die aus dem Internet abgerufen werden. Installierte Entpackungsprogramme sollten so konfiguriert sein. meist durch Viren. Verhalten bei Downloads aus dem Internet: Daten und Programme. also insbesondere von den Originalseiten der Ersteller/innen. Ausweichwege für die Kommunikation und Vertretungsregeln festzulegen.und anderen Anwendungsprogrammen (Text-.und Präsentations-Dateien. die zuständigen Funktionen oder Personen zu definieren. sowie einer evtl.

Wenn immer möglich. Funktionsfähigkeit hergestellt werden kann. Ein weiterer Vorteil ist.1 Zum Schutz vor Viren können unterschiedliche Wirkprinzipien genutzt werden. notfalls auch durch Fax. viele Viren zu finden.4.• • • Es muss sichergestellt sein. Zahlreiche Programme bieten auch die Möglichkeit einer Entfernung gefundener Viren an. Die Betriebsart des Virenschutzprogramms hat entscheidenden Einfluss auf die Akzeptanz bei den Anwenderinnen/Anwendern und damit auf die tatsächlich erreichte Schutzfunktion. Zu beachten ist. neu hinzugekommene jedoch meist nicht erkennen können. sondern sie auch möglichst exakt identifizieren.4. Programme. da sie nur die zu ihrem Erstellungszeitpunkt bekannten Viren berücksichtigen. Man kann daher eine Infektion mit bekannten Viren grundsätzlich vermeiden. die festlegen. sind alternative Verfahren zur zeitnahen Warnung vorzusehen (z. 288 . Gateways und Clients eingestellt werden. welche Rechner in welcher Reihenfolge in betriebsbereiten Zustand zu bringen sind. dass man durch das Virenschutzprogramm eine genauere Information über den jeweils entdeckten Virus erhält. die Speichermedien nach bekannten Viren durchsuchen . ob und welche Schadensfunktionen vorhanden sind. haben sich in der Vergangenheit als effektivstes und wirksamstes Mittel in der Viren-Bekämpfung erwiesen. Ein gutes Virenschutzprogramm muss daher nicht nur in der Lage sein. Von Vorteil ist. [eh SYS 4. Spezialisten betraut werden. damit in kürzester Zeit eine. Die bekannten Viren sind durch Spezialistinnen bzw. Daher ist eine regelmäßige Aktualisierung des Virenschutzprogramms erforderlich.8 Auswahl und Einsatz von Virenschutzprogrammen ISO Bezug: 27002 10. dass bei Vorliegen eines neuen Virus die Updates der Virenschutzprogramme möglichst rasch auf Servern. so dass man weiß. dass Virenschutzprogramme mit der Zeit ihre Wirksamkeit verlieren. Spezialisten analysiert worden. dass neu erhaltene Software oder Datenträger schon vor dem ersten Einsatz geprüft werden können. SMS. wenn auch eingeschränkte. Sollten durch einen neuen Virus die üblichen Informationswege nicht verfügbar sein. Die entsprechenden Verteilwege und Maßnahmen sind vorzubereiten und selbstverständlich auch regelmäßig zu testen.7] 10. Ebenso wie andere Programme können sie durch Aufruf (transient) oder im Hintergrund (resident) genutzt werden. sollten mit der Entfernung Spezialistinnen bzw.und Restore-Strategien zu erarbeiten. B. dass die Qualität dieser Entfernungsroutinen sehr unterschiedlich ist. Lautsprecherdurchsagen). Für den Notfall sind Backup. Hierbei ist zu beachten.

z. Prüfergebnis mit Prüfumfang. wobei gängige Komprimierungsfunktionen wie PKZIP unterstützt werden sollten. Datum und Uhrzeit der Überprüfung. Eine ständige Aktualisierung bezüglich neuer Viren muss vom Hersteller sichergestellt sein. Eine weitere präventive Maßnahme ist der Einsatz von ChecksummenPrüfprogrammen . die folgende Daten festhält: • • • • • Versionsstand des Programms. Beim residenten Betrieb wird das Virenschutzprogramm beim Start des Rechners in den Speicher geladen und verbleibt dort aktiv bis zum Ausschalten. Hierbei werden zum Schutz vor Veränderung von den zu prüfenden Dateien oder Systembereichen (z. er/sie kann inzwischen seine/ihre eigentliche Arbeit. beendet seine Arbeit danach und macht den Speicher wieder frei. Boot. das Schreiben von Texten. die regelmäßig kontrolliert werden.Beim transienten Betrieb wird das Programm aufgerufen. Gefundene Viren müssen mit einer vollständigen Pfad-Angabe angezeigt werden. 289 . Angabe aller benutzten Parameter. erkannte Viren zu entfernen. sondern auch andere unberechtigte Veränderungen an Dateien. Auf diese Weise können nicht nur Verseuchungen mit bisher unbekannten Viren erkannt werden. durchsucht die eingestellten Teile des Computers.und Partition-Sektor) Prüfsummen berechnet. Es verrichtet seine Tätigkeit. ohne dass der/die Anwender/in dabei mitwirkt. die es erlaubt. ausführen. ohne weitere Schäden an Programmen oder Daten zu verursachen. insbesondere müssen alle sehr stark verbreiteten Viren erkannt werden. Das Programm sollte über eine Protokollierungsfunktion verfügen. Sinnvoll ist eine Funktionalität. die nicht geprüft werden konnten. Meist löst der/die Anwender/in den Aufruf aus.B. Nach Möglichkeit muss das Produkt als residentes Programm eine permanente Virenkontrolle ermöglichen.B. Anzahl und Identifikation der Dateien und Objekte. bevor die Suchfunktion ausgeführt wird. Das Programm sollte Viren auch in komprimierter Form finden. Das Programm muss seine eigene Virenfreiheit feststellen. Im Wesentlichen sollte ein Virenschutzprogramm folgende Eigenschaften erfüllen: • • • • • • • • Der Umfang der erkannten Viren sollte möglichst groß sein und dem aktuell bekannten Bestand entsprechen.

Untersuchung aller anderen Datenträger (USB-Sticks. [eh SYS 4. geprüften Notfall-CD (evtl. unerklärliches Systemverhalten.4. Programmdateien werden länger. 290 . Ist die Quelle auf Original-Datenträger zurückzuführen. etc. die Quelle der Vireninfektion festzustellen.1. Überprüfen des Rechners mit einem aktuellen Virenschutzprogramm um festzustellen. Gibt es Anzeichen. Falls dies nicht möglich ist. Booten des Rechners von einer einwandfreien. Bereichs-IT-Sicherheitsverantwortliche/r. Darüber hinaus sind jeweils Beschreibungen von Sofortmaßnahmen und Maßnahmen zum Entfernen des Virus anzugeben. veränderte Dateiinhalte. handelt.9 Verhaltensregeln bei Auftreten eines Virus ISO Bezug: 27002 10. Grundregel: Falls möglich. Liegt die Quelle in Dateien oder E-Mail. 13 teilw. dass es offensichtlich nicht aktualisiert wurde. nicht auffindbare Dateien. ob tatsächlich ein Virus aufgetreten ist und um welchen Virus es sich ggf.• • Das Programm sollte eine Warnung ausgeben.) auf Virenbefall und Entfernung eventuell vorhandener Viren. ständige Verringerung des freien Speicherplatzes.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall ). Helpdesk) zu Hilfe geholt werden. sollten folgende Schritte durchgeführt werden: • • • • • • • • Beenden der laufenden Programme und Abschalten des Rechners. wenn ein Datenaustausch vom infizierten Rechner erfolgte. dass ein Rechner von einem Virus befallen ist (z. sollten fachkundige Betreuer/innen (Administrator. so ist der/die Ersteller/in der Datei zu unterrichten.4.B.8] 10. dann sollte der Hersteller informiert werden. Es sollte versucht werden. vorher Boot-Reihenfolge im BIOS-Setup ändern. siehe 10. Entfernen des Virus abhängig vom jeweiligen Virustyp. ohne dass etwas abgespeichert wurde). Erneute Überprüfung der Festplatte mit dem Viren-Suchprogramm. Warnung an andere IT-Benutzer/innen. Wechselplatten. wenn es feststellt.4. so sind zur Feststellung des Virus und zur anschließenden Beseitigung folgende Schritte durchzuführen. Das Programm sollte eine Liste der erkennbaren Viren und ihre Beschreibung beinhalten.

Darüber hinaus sind die Verantwortlichkeiten für die regelmäßig durchzuführenden Aktualisierungen innerhalb der Organisation zu definieren. [eh SYS 4.at zur Behandlung beziehungsweise Verhinderung von Sicherheitsvorfällen im Bereich der Informations.4. sich nur auf die periodischen Updates des Virenschutzprogramm-Herstellers zu verlassen. die eine ähnlich wirksame Erkennung von Schadfunktionen in ActiveX-Controls.4. die Daten aus den Datensicherungen und die Programme aus den Sicherungskopien der Programme (vgl. [eh SYS 4. Neben der Aktualisierung der eingesetzten Software ist auch die Information über neue Computerviren. so muss versucht werden. sowie Informationen über empfohlene aktive und passive Gegenmaßnahmen.4. Anschließend ist das wiederhergestellte System noch einmal auf Schadsoftware zu überprüfen.a. mit einem Warnsystem für Computerviren und sonstigen schädigenden Inhalten eine Informationsbasis und ein Verteilsystem für derartige Informationen geschaffen. Java-Applets oder Scripting-Programmen ermöglichen. besonders wichtig.10] 10.Sollte der Virus Daten gelöscht oder verändert haben. die durch die Übertragung aktiver Inhalte zu den Rechnern im zu schützenden Netz entstehen.6 Sicherungskopie der eingesetzten Software ) zu rekonstruieren. Dabei wird u. Im Bereich der öffentlichen Verwaltung wurde ein eigenes Government Computer Emergency Response Team (GovCERT. Dieses wird in Kooperation mit CERT. 10. Dabei genügt es oft nicht.5.und Kommunikationstechnologien betrieben.2 Eines der größten Probleme bei der Konzeption eines Sicherheitsgateways (Firewall) ist die Behandlung der Probleme. welches den geeigneten Stellen der öffentlichen Verwaltung und der Wirtschaft zur Verfügung steht.9] 10. Bereits bei der Beschaffung von Virenschutzprogrammen ist daher für die Aktualisierbarkeit und die Versorgung von entsprechenden Updates durch den Hersteller Sorge zu tragen.11 Schutz vor aktiven Inhalten ISO Bezug: 27002 10. wie sie im Bereich der Computer-Viren möglich ist.AT) eingerichtet. 291 . Derzeit existieren noch keine brauchbaren Programme.10 Warnsystem für Computerviren – Aktualisierung von Virenschutzprogrammen Im Zusammenhang mit Computerviren ist die permanente Aktualität des verwendeten Virenschutzprogrammes von größter Wichtigkeit.

um kaum zu kontrollierende IP-Verbindungen aufbauen zu können. . die Endung . In der Regel werden aktive Inhalte anhand der entsprechenden Tags aus einer HTML-Seite erkannt und gelöscht. Browser-Profile bei Mozilla Firefox). so dass keine potenziell schädlichen Programme mehr auf den Client-Rechnern eintreffen. Idealerweise sollte ein Browser die Möglichkeit bieten. wenn Netz-Computer (NC) oder ähnliches eingesetzt werden sollen. Die Kontrolle aktiver Inhalte kann auf verschiedene Weise geschehen: • • Zentrale Filterung der aktiven Inhalte auf der Firewall Sämtliche als schädlich eingestuften Inhalte werden von einer Komponente der Firewall gefiltert. Um diese Eigenschaft trotz der Verwendung eines Paketfilters vollständig unterstützen zu können. Dabei ist allerdings zu beachten.NET Assemblies und anderen aktiven Inhalten. von dem es geladen worden ist. können JavaApplets verwendet werden. Zusätzliches Schadenspotenzial resultiert auch aus der Möglichkeit. dass wegen der komplexen Möglichkeiten der aktuellen HTMLSpezifikation oft nicht alle zu löschenden Tags von den Sicherheitsproxies erkannt werden. Ist das der Fall. B. dass es auf Grund von Schwachstellen in den Browsern Angreifern möglich sein kann. Die Umsetzung einer WhitelistStrategie für aktive Inhalte wird von verschiedenen Browsern in unterschiedlicher Weise und mehr oder weniger gut unterstützt (Beispiele: Zonenmodell des Microsoft Internet Explorers. die auch ohne spezielle Initiierung durch den/die AnwenderIn Programme vom Server laden müssen. lässt sich anhand des folgenden Beispiels darstellen: Ein Java-Applet bzw. entsprechende 292 . die Ausführung bestimmter Typen aktiver Inhalte getrennt für einzelne Server oder Domains freigeben oder verbieten zu können. die z.Die Größe der Gefährdung. Diese zur Zeit noch recht wenig benutzte Möglichkeit ist eine zentrale Voraussetzung. beispielsweise in HTML-E-Mails. oder sie werden durch einen Textbaustein ersetzt. JavaScript aus Java heraus auszuführen. müssen sehr viel mehr Ports freigeschaltet werden oder es muss ein dynamischer Paketfilter eingesetzt werden. Aktive Inhalte werden über spezielle Tags innerhalb einer HTML-Seite eingebunden. Dezentrale Abwehr auf den angeschlossenen Clients Die Ausführung aktiver Inhalte sollte normalerweise durch entsprechende Einstellungen im Browser unterbunden werden.jar (Java-Archive) haben.class verschickt werden müssen. die von aktiven Inhalten für die Rechner im zu schützenden Netz ausgeht. der dem Anwender einen Hinweis über die Tatsache der Filterung gibt. Es sollte unbedingt beachtet werden. Stattdessen können auch komprimierte Dateien eingesetzt werden. Das bedeutet. dass ein JavaFilter auch alle von den verwendeten Browsern unterstützten Dateiendungen für Java-Dateien kennen muss. Ähnliche Probleme existieren im Zusammenhang mit Flash-Objekten. dass beispielsweise Java-Applets nicht notwendigerweise als Datei mit der Endung . Weiterhin ist problematisch. dass auch aktive Inhalte außerhalb von Webseiten gefiltert werden müssen. der Browser darf gemäß der Java-Spezifikationen eine Netzverbindung zu dem Server aufbauen. Das Problem besteht dabei darin.

Diese Sicherheit ist jedoch nur indirekt. die die Ausführung aktiver Inhalte kontrollieren und auf unbedenkliche Operationen beschränken können.• Einschränkungen zu umgehen. Die Entscheidung. Die Signatur dient dazu. 293 . die Integrität und Authentizität des jeweiligen aktiven Inhalts zu schützen. Zudem muss sichergestellt werden. Beispielsweise bieten einige Personal Firewalls die Möglichkeit einer Überwachung anderer Programme. Personal Firewalls bieten zusammen mit Anti-VirenProgrammen einen recht guten Schutz vor bösartigen aktiven Inhalten. so dass der intendierte Schutz tatsächlich nicht oder nicht in vollem Umfang existiert. Java-Applets. Bei allen drei Optionen ist eine Sensibilisierung der Benutzer zusätzlich notwendig. die in Zusammenarbeit mit dem Anbieter der aktiven Inhalte die Signatur erstellt. Allerdings muss berücksichtigt werden. Selbst die vollständige Deaktivierung der Ausführung aktiver Inhalte bietet aber nur einen begrenzten Schutz vor bösartigen aktiven Inhalten. so bietet dies eine erhöhte Sicherheit vor Schadfunktionen. dass die richtige Konfiguration dieser Programme zusätzlichen Administrationsaufwand erfordert. Die Entscheidung für eine bestimmte Vorgehensweise und die Gründe. die auf dem Client-Rechner installiert werden und dort meist mehrere Funktionen wahrnehmen. die versuchen eine Netz-Verbindung aufzubauen. dass die Einstellungen auf den Clients bei allen unter Punkt 2 und 3 genannten Schutzvorkehrungen nicht versehentlich oder absichtlich vom Benutzer deaktiviert oder umgangen werden können. Solche Verbindungsaufnahmen können dann meist entweder automatisch anhand festgelegter Regeln oder im Einzelfall vom Benutzer selbst erlaubt oder verboten werden. Sie bieten meist neben der Funktion eines lokalen Paketfilters weitere Funktionen an. Makroviren und Trojanischen Pferden schützen. wie mit aktiven Inhalten in Webseiten umgegangen wird. Installation von Anti-Viren-Software und Personal Firewalls auf den Clients Anti-Viren-Produkte können vor Viren. Sie bieten einen guten Schutz vor bereits bekannten Schadprogrammen. und dass Personal Firewalls selbst Sicherheitslücken aufweisen können. hängt in erster Linie vom Schutzbedarf der betreffenden Clients ab. sollten nachvollziehbar dokumentiert werden. die dafür ausschlaggebend waren. die das System gefährden. Aufgrund der Vielzahl von Software-Schwachstellen in den Browsern können die Sicherheitseinstellungen umgangen werden. da der Nutzer auf die Vertrauenswürdigkeit der Signaturstelle. Werden ausschließlich signierte aktive Inhalte zugelassen. Acitve-X Objekte und mit Einschränkungen auch Javascript können mit einer digitalen Signatur versehen werden. die durch aktive Inhalte automatisch heruntergeladen wurden. In einigen Fällen bieten sie auch sogenannte "Sandboxen". Personal Firewalls sind Programme. angewiesen ist.

sind dafür zu gravierend.4 294 . ob die Verwendung der aktiven Inhalte wirklich notwendig ist. Anwendungen aktive Inhalte zwingend nötig sind. sollte kritisch hinterfragt werden. Oft lassen sich aktive Inhalte bei gleichwertiger Funktionalität durch serverseitig dynamisch erzeugte Webseiten ersetzen. die durch bösartige aktive Inhalte in Verbindung mit Schwachstellen in Webbrowsern oder im unterliegenden Betriebssystem entstehen können. Epfehlungen für normalen Schutzbedarf: • • • Allgemein: Deaktivierung aktiver Inhalte im Browser und Freischaltung nur für vertrauenswürdige Websites. sollten sie nur für die betreffenden Server freigegeben werden.12 Sicherer Aufruf ausführbarer Dateien ISO Bezug: 27002 10. sollten deutlich restriktiver sein als bei normalem Schutzbedarf. Bei Neuentwicklungen browserbasierter Anwendungen oder bei einer Weiterentwicklung einer bestehenden Anwendung. Virenscanner auf dem Client Eine Filterung aktiver Inhalte auf dem Sicherheitsgateway mit Freischaltung für vertrauenswürdige Websites (Whitelist) Zusätzlich Filterung von Cookies (Whitelist) Die Kriterien. um sicher zu stellen.Eine zu "liberale" Einstellung oder gar eine generelle Freigabe aktiver Inhalte ist auch bei normalem Schutzbedarf nicht zu empfehlen. Falls für bestimmte.4. Virenscanner auf dem Client Eine Filterung aktiver Inhalte auf dem Sicherheitsgateway mit Freischaltung für vertrauenswürdige Websites (Whitelist) Epfehlungen für hohen Schutzbedarf: • • • • • • Deaktivierung aktiver Inhalte im Browser und Freischaltung nur für vertrauenswürdige Websites.5] 10. die aktive Inhalte im Browser benötigt. für welche Websites aktive Inhalte freigeschaltet werden. Eine ergänzende Sicherheitsanalyse wird empfohlen. dass ein angemessenes Sicherheitsniveau erreicht wurde [eh SYS 8. Die möglichen Schäden.

Diese Dienste dürfen. Hierfür können beispielsweise separate Testsysteme eingesetzt werden oder spezielle Benutzerkonten ohne weitere Privilegien. z.Ausführbare Dateien können direkt gestartet werden. die das jeweils aktuelle Arbeitsverzeichnis enthalten. unter Unix oder Linux beispielsweise durch chroot-Umgebungen. Im Weiteren muss sichergestellt werden.7 Abnahme und Freigabe von Software) Ein Angreifer könnte eine ausführbare Datei soweit verändern. die für einen späteren Einsatz auf einem Produktivsystem getestet werden soll. der die Datei ausführt. Ein Angreifer könnte sonst eine modifizierte Datei mit dem selben Namen in ein Verzeichnis kopieren. Um dies zu verhindern. . dürfen als Angabe in der PATH- 295 . weil sie sich in der Entwicklung befinden. Unter Windows sind ausführbare Dateien an ihrer Dateiendung (beispielsweise . Dasselbe gilt für neue Software. wenn möglich. dass nur die gewünschte. dass er die Privilegien des Benutzers erhält. Über klare Trennungen von Rechten.exe. Es muss sichergestellt werden.bat. dass diese Applikationen Schaden anrichten. nur über ein entsprechendes Programm angesehen werden. B. Auch bereits getestete Software kann die Sicherheit beeinträchtigen. in denen nach den ausführbaren Dateien gesucht werden soll. Dies betrifft vor allem sehr komplexe Anwendungen wie zum Beispiel Webserver. Wird beim Aufruf in den Verzeichnissen nach der Datei gesucht. Nur so kann verhindert werden. in der entsprechenden Reihenfolge in der PATH-Variable eingetragen. Ein Schreibzugriff darf nur Administratoren gestattet werden Ausführbare Dateien für die Schreibrechte benötigt werden. Im Gegensatz hierzu können Anwendungsdaten. dürfen nur in separaten Bereichen verwendet werden. (Siehe auch 12. wie Textdateien. dürfen ausführbare Dateien nur lesbar sein. . dass nur freigegebene Versionen ausführbarer Dateien und keine eventuell eingebrachten modifizierten Versionen (insbesondere Trojanische Pferde) aufgerufen werden. So kann bei einem erfolgreichen Angriff der eintretende Schaden begrenzt werden. nicht mit Administrator-Rechten gestartet werden. muss nachgedacht werden. dass jeder Prozess nur so viele Rechte erhält wie unbedingt notwendig sind.com. Schon beim Start von Anwendungen muss sichergestellt werden. Relative Verzeichnisangaben.vbs. Die Anzahl der angegebenen Verzeichnisse sollte gering und überschaubar gehalten werden. .cmd) und unter Unix oder Linux durch Dateirechte (x-Flag) erkennbar. Hierfür eignen sich ebenfalls Benutzerkonten mit eingeschränkten Privilegien. könnte die modifizierte statt die gewünschte Datei ausgeführt werden Bei vielen Betriebssystemen werden die Verzeichnisse. die den eintretenden Schaden begrenzen können. auf das er Schreibrechte hat.1. freigegebene Version ausgeführt werden kann. .

4 E-Mail ist einer der wichtigsten Übertragungswege für Computer-Viren und Würmer. Für den Umgang mit Dateiformaten. Gefährlich wird es erst. Dies führt allerdings erfahrungsgemäß zu großen Akzeptanzproblemen seitens der Kunden und der MitarbeiterInnen. oder ob die Informationen nicht genauso gut als Text in die E-Mail direkt eingefügt werden kann. der E-Mail-Client sollte außerdem so eingerichtet sein. die ausführbaren Code enthalten und damit ungeahnte Nebeneffekte auslösen können. die eventuell in den Dateien enthaltenen Programmcode. Dies muss regelmäßig überprüft werden. 296 . wenn E-Mail-Anhänge ausgeführt werden oder die E-Mail HTML-basiert ist (siehe unten). Durch ein Zuviel an Anhängen kann die Verfügbarkeit eines EMail-Clients oder des E-Mail-Servers beeinträchtigt werden. diese am E-Mail-Gateway herauszufiltern. wie Makros oder Skripte. nicht ausführen. Wichtig ist aber auf jeden Fall. 10. Vor dem Absenden einer E-Mail sollte sich jeder überlegen. die als potentiell problematisch eingeschätzt werden.4. ob es wirklich nötig ist. können verschiedene Regelungen getroffen werden. sondern das Programm vor der Ausführung warnt bzw. sollte überlegt werden. Eine rein textbasierte E-Mail ohne Anhänge ist dabei ungefährlich. Ansonsten sollten Dateien in möglichst "ungefährlichen" Formaten weitergegeben werden. Das Betriebssystem bzw. indem die Gefährdungspotenziale durch entsprechende Konfiguration und Sicherheitswerkzeuge minimiert werden. Besser ist es im allgemeinen.13 Vermeidung gefährlicher Dateiformate ISO Bezug: 27002 10. Wenn sich die Versendung von Dateien in "gefährlichen" Formaten nicht vermeiden lässt. ein Attachment anzuhängen. zumindest nachfragt. den Empfänger mit einer kurzen E-Mail darauf hinzuweisen. Die restriktivste Form ist es. Die größere Gefahr sind aber Anhänge. einerseits die MitarbeiterInnen für die Problematik zu sensibilisieren und zum Mitdenken anzuregen und sie andererseits technisch zu unterstützen. ob die Datei geöffnet werden soll.Variable nicht enthalten sein. Ausführbare Dateien sollen nur in dafür vorgesehenen Verzeichnissen gespeichert sein. dass Dateien zunächst nur in Viewern oder anderen Darstellungsprogrammen angezeigt werden. dass Anhänge nicht versehentlich gestartet werden können.. dass alle Betroffenen sich der Problematik bewusst sind und entsprechend vorsichtig mit diesen Dateiformaten umgehen. dass als nächstes eine EMail mit solchen Attachments zu erwarten ist. das Öffnen aller als problematisch eingestuften Dateiformate zu verbieten bzw. Prinzipiell können E-Mails Anhänge in beliebiger Art und Menge beigefügt werden. Der E-Mail-Client sollte so eingestellt sein. In den in einer PATH-Variable enthaltenen Verzeichnissen darf nur der jeweilige Eigentümer Schreibrechte erhalten.

ZIP (hier sollten die Benutzer allerdings gewarnt werden. da HTML-Mails eingebetteten JavaScript. . Andererseits kann dies aber auch dazu führen.EXE.REG) sowie Bildschirmschoner (. . . ein Hersteller seinem Produkt neue Features hinzufügt. dass der PDF-Reader auf dem Endgerät als Standard installiert ist und nicht Adobe Acrobat).PPT.JS oder *. *. Registrierungsdateien (. RTF (mit COM-Object-Filter).REG) als Standardvorgang Bearbeiten statt Zusammenführen eingestellt ist. bzw. nicht makrofähigen Texteditor geöffnet werden. GIF-. Außerdem sollte die Möglichkeit überprüft werden.BAT unter Windows.oder VisualBasic-Skript-Code enthalten können. Vorsichtshalber sollte für alle diese Dateitypen eine "ungefährliche" Standardapplikation festgelegt werden. in eingehenden E-Mails enthaltene aktive Inhalte herauszufiltern. Durch Kombination verschiedener Sicherheitslücken in E-Mail-Clients und Browsern ist es in der Vergangenheit immer wieder zu Sicherheitsproblemen mit HTMLformatierten E-Mails gekommen Generell sollten möglichst keine HTML-formatierten E-Mails oder solche mit aktiven Inhalten zu versenden. • • Als weitgehend harmlos gelten bisher ASCII-. . die ungeplante Nebenwirkungen haben. PDF (dabei ist darauf zu achten.SCR).oder Shellskripte unter Unix).XLS. 297 . innerhalb deren aber eventuelle ComputerViren keinen Schaden auslösen können. B. JPEG-formatierte Dateien. Dies ist einerseits oft lästig.COM.Im Folgenden werden einige Einschätzungen verschiedener Dateiformate gegeben.VBS. wenn sie aktiviert wird Mit Zusatzmaßnahmen als vertretbar angesehen werden können: HTML. wenn z. dass die enthaltenen Dateien problematisch sein können). Diese können sich allerdings jederzeit ändern. mit der diese zwar geöffnet werden. damit der Benutzer diese nicht unbewusst öffnet. Dadurch wird die Datei zunächst in einem Editor dargestellt und nicht der Registrierungsdatenbank hinzugefügt.PIF) oder Skript-Sprachen (. Word. Powerpoint (. . wenn ein JavaScript-Filter oder andere Sicherheitsvorkehrungen eingesetzt werden. SXW usw. dass bereits bei der Anzeige solcher E-Mails auf dem Client ungewollte Aktionen ausgelöst werden. ein Tüftler solche Nebenwirkungen herausfindet. ebenso wie Perl. Star Office oder Open Office mit integrierter Makrosprache. B. Als möglicherweise gefährlich sollten die folgenden Dateiformate behandelt werden: alle Dateiformate von Office-Paketen wie Microsoft Office. Windows-Betriebssysteme sollten außerdem so konfiguriert sein. Besonders kritisch sind alle ausführbaren Programme (wie . bei denen HTML-formatierte EMails als solche zu erkennen sind. weil nicht alle E-Mail-Clients dieses Format anzeigen können.VBS. Weiterhin sollten E-Mail-Clients gewählt werden.BAT grundsätzlich mit einem einfachen. beispielsweise an der Firewall. z. Beispielsweise sollten Dateitypen wie *.JS.DOC.). dass bei Registrierungsdateien (. • Immer mehr E-Mails sind heutzutage auch HTML-formatiert. Excel. SDW. .

monatlich . 10. Es sind Regelungen zu treffen.1 Regelmäßige Datensicherung ISO Bezug: 27002 10. In den meisten Rechnersystemen können diese weitgehend automatisiert erfolgen. Grundsätzlich sollten alle Benutzer für diese Problematik sensibilisiert sein. Eine geeignete Differenzierung kann die Übersichtlichkeit vergrößern sowie Aufwand und Kosten sparen helfen. Partitionen bzw. Empfehlenswert ist die Erstellung eines Datensicherungskonzeptes (vgl. 10. welche Daten von wem wann gesichert werden.5. mit Hilfe von serverseitigen Tools in ein reines Textformat umgewandelt und danach mit einem entsprechenden Hinweis an die Benutzer weitergeleitet werden (dabei können allerdings Informationen verloren gehen). nicht direkt an die Benutzer weitergeleitet werden.: Sicherung der selbsterstellten Dateien und der individuellen Konfigurationsdateien.B. die bei der regelmäßigen Datensicherung berücksichtigt werden. wo sie mit besonderen Sicherheitsvorkehrungen vom Empfänger eingesehen werden können (je nach E-Mail-Aufkommen kann dies allerdings einen nicht akzeptablen Aufwand mit sich bringen). wöchentlich.5 Datensicherung Unabdingbare Voraussetzung für jeden Business Continuity Plan ist die Planung und Durchführung einer ordnungsgemäßen Datensicherung. Zeitintervall: z.1 Zur Vermeidung von Datenverlusten müssen regelmäßige Datensicherungen durchgeführt werden. ob diese • • • unverändert an die Benutzer weitergeleitet und die Benutzer für den verantwortungsvollen und vorsichtigen Umgang mit solchen E-Mails geschult und sensibilisiert werden.Generell sollte eine Vorgabe innerhalb einer Organisation zum Umgang mit HTMLformatierten E-Mails erstellt werden. Z. Abhängig von der Menge und Wichtigkeit der laufend neu gespeicherten Daten und vom möglichen Schaden bei Verlust dieser Daten ist Folgendes festzulegen: • • 298 Umfang der zu sichernden Daten: Am einfachsten ist es.5. täglich. 10.5. sondern an einen besonderen Arbeitsplatz. Verzeichnisse festzulegen.2 Entwicklung eines Datensicherungskonzeptes ).B. Beim Empfang von HTML-formatierten E-Mails sollte festgelegt werden.

Daher und zur Senkung der Kosten sollen zwischen den Komplettsicherungen regelmäßig inkrementelle Sicherungen durchgeführt werden. Wechselplatten.B. Falls bei vernetzten Rechnern nur die Server-Platten gesichert werden. nur die seit der letzten Komplettsicherung neu erstellten Daten werden gesichert. ist wichtig. das heißt. Speichermedien (abhängig von der Datenmenge): z. Sie braucht dann von der regelmäßigen Datensicherung nicht erfasst zu werden. verbleibender Platz auf den Speichermedien) Dokumentation der erstellten Sicherungen (Datum. Alle Benutzer/innen sollten über die Regelungen zur Datensicherung informiert sein. Für eingesetzte Software ist in der Regel die Aufbewahrung der Originaldatenträger und deren Sicherungskopien ausreichend. bleiben in Abhängigkeit vom Zeitpunkt des Verlustes nur zwei bis drei Wochen Zeit. freitags abends Anzahl der aufzubewahrenden Generationen: z. zum Beispiel sofort nach Erstellung wichtiger Dateien oder mehrmals täglich. insbesondere bei automatischer Durchführung (Fehlermeldungen. Beschriftung der Datenträger) Wegen des großen Aufwands können Komplettsicherungen in der Regel höchstens einmal täglich durchgeführt werden. Eine inkrementelle Sicherung kann häufiger erfolgen. 299 . wie lange die Daten wiedereinspielbar sind. Werden zum Beispiel bei wöchentlicher Komplettsicherung nur zwei Generationen aufbewahrt. um ggf. Die Vereinbarkeit mit dem laufenden Betrieb ist sicherzustellen. Werden zwischen zwei Komplettsicherungen mehrere inkrementelle Sicherungen durchgeführt. Benutzer/in) Zuständigkeit für die Überwachung der Sicherung. Art der Durchführung der Sicherung. auf Unzulänglichkeiten (zum Beispiel zu geringes Zeitintervall für ihren Bedarf) hinweisen oder individuelle Ergänzungen vornehmen zu können (zum Beispiel zwischenzeitliche Spiegelung wichtiger Daten auf der eigenen Platte). dass die zu sichernden Daten regelmäßig von den Benutzerinnen und Benutzern oder automatisch dorthin überspielt werden. ist sicherzustellen.B.B. können auch jeweils nur die seit der letzten inkrementellen Sicherung neu erstellten Daten gesichert werden. etc. Bänder. Auch die Information der Benutzer/innen darüber. gewählte Parameter. Wiederaufbereitung der Datenträger (Löschung vor Wiederverwendung) Zuständigkeit für die Durchführung (Systemadministration. außerdem die Freitagabend-Sicherungen der letzten zwei Monate. Bei täglicher Komplettsicherung werden die letzten sieben Sicherungen aufbewahrt. Die seit der letzten Sicherung erstellten Daten können nicht wiedereingespielt werden.• • • • • • • Zeitpunkt: z. nachts. DVDs. um die Wiedereinspielung vorzunehmen.

in denen eingehende Untersuchungen und die Erstellung eines Datensicherungskonzeptes zu aufwendig sind.2 Übungen zur Datenrekonstruktion ). Das IT-System. Für die Gewährleistung einer funktionierenden Datensicherung müssen praktische Übungen zur Datenrestaurierbarkeit verpflichtend vorgesehen sein (siehe 14.2 Entwicklung eines Datensicherungskonzeptes ISO Bezug: 27002 10.[eh BCP 1. 300 .2] 10.1 Für eine Organisation ist festzulegen.2. Weiters ist dafür Sorge zu tragen. dass alle betroffenen ITSysteme im Datensicherungskonzept berücksichtigt werden und das Konzept stets den aktuellen Anforderungen entspricht. Minimaldatensicherungskonzept (Beispiel): • Software: Sämtliche Software. Damit können viele Fälle.1] 10. ist einmalig mittels einer Vollsicherung zu sichern. eine Lösung zu finden. Diese Lösung muss auch jederzeit aktualisierbar und erweiterbar sein.5. Ein möglicher Aufbau eines Datensicherungskonzeptes ist in Anhang B angeführt. für die noch kein Datensicherungskonzept erarbeitet wurde.1 Die Verfahrensweise der Datensicherung wird von einer großen Zahl von Einflussfaktoren bestimmt. die generell für alle IT-Systeme gültig ist und damit auch für neue ITSysteme. welche Minimalforderungen zur Datensicherung eingehalten werden müssen. Im Datensicherungskonzept gilt es. also sowohl Eigenentwicklungen als auch Standardsoftware. Weiterhin ist damit eine Grundlage gegeben. die Änderungsfrequenz der Daten und die Verfügbarkeitsanforderungen sind einige dieser Faktoren. das Datenvolumen. Einzelne Punkte eines Datensicherungskonzeptes werden in den nachfolgenden Maßnahmen näher ausgeführt.3 Festlegung des Minimaldatensicherungskonzeptes ISO Bezug: 27002 10.5. [eh BCP 1.5. Ein Beispiel soll dies erläutern.5. die diese Faktoren berücksichtigt und gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist. pauschal behandelt werden.

Trotzdem kann es aus verschiedenen Gründen notwendig sein. Hierbei ist grundsätzlich zu beachten: 301 . kryptographische Schlüssel zu speichern. USB-Stick (dient vor allem zur Schlüsselverteilung bzw. Protokolldaten: Sämtliche Protokolldaten sind mindestens einmal monatlich mittels einer Vollsicherung im Drei-Generationen-Prinzip zu sichern.3] 10. wie sinnvollerweise eine Datensicherung der verschlüsselten Daten erfolgen sollte. die Schlüsselhinterlegung als Vorbeugung gegen Schlüsselverlust oder im Rahmen von Vertretungsregelungen. siehe 12. die dauerhaft auf kryptographische Schlüssel zugreifen müssen.3. ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. Datensicherung der Schlüssel Es muss sehr genau überlegt werden.• • • Systemdaten: Systemdaten sind mindestens einmal monatlich mit einer Generation zu sichern.B.6. 12.B. zur Kommunikationsverschlüsselung.4 Datensicherung bei Einsatz kryptographischer Verfahren ISO Bezug: 27002 10. Anwendungsdaten: Alle Anwendungsdaten sind mindestens einmal monatlich mittels einer Vollsicherung im Drei-Generationen-Prinzip zu sichern. da jede Schlüsselkopie eine potentielle Schwachstelle ist. ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. Neben der Frage. Daneben ist es auch zweckmäßig. die Speicherung in IT-Komponenten. Chipkarte. zum Schlüsselaustausch. die Konfigurationsdaten der eingesetzten Kryptoprodukte zu sichern.2 Beim Einsatz kryptographischer Verfahren darf die Frage der Datensicherung nicht vernachlässigt werden.5. Es gibt unterschiedliche Methoden der Schlüsselspeicherung: • • • die Speicherung zu Transportzwecken auf einem transportablen Datenträger. z. also z. [eh BCP 1.1.7 Key-Management ).5. muss auch überlegt werden.

ä. sondern meist alle Daten unbrauchbar. beim Einsatz von Verschlüsselung während der Datenspeicherung notwendig. zur Archivierung von Daten oder zur Generierung von Kommunikationsschlüsseln eingesetzt werden. in Tresoren. dass die verwendeten kryptographischen Algorithmen und die Schlüssellänge noch dem Stand der Technik entsprechen. ist das Risiko des Schlüsselverlustes (etwa durch Bitfehler oder Festplattendefekt) erhöht. sollten sie auf jeden Fall in verschlüsselter Form gespeichert werden. Von langlebigen Schlüsseln. Falls jedoch für die Schlüsselspeicherung eine reine Softwarelösung gewählt wurde. In diesem Fall ist es unter Umständen weniger aufwendig. Hierbei ist zu bedenken. sind nicht nur einige Datensätze. bei denen Schlüssel oder Passwörter in der Anwendung gespeichert werden. Die Langzeitspeicherung von verschlüsselten oder signierten Daten bringt viele zusätzliche Probleme mit sich. also die Speicherung eines Schlüssels in Schlüsselhälften oder Schlüsselteilen. Bei der langfristigen Archivierung von Daten kann es daher sinnvoller sein.B. die die Schlüssel bei Angriffen automatisch löscht.h.• • • Kryptographische Schlüssel sollten so gespeichert bzw. dass die Datenträger regelmäßig aufgefrischt werden und jederzeit noch die technischen Komponenten zum Verarbeiten dieser zur Verfügung stehen. als bei jedem Schlüsselverlust alle Kommunikationspartner zu informieren. die z. aufbewahrt werden. dass Unbefugte sie nicht unbemerkt auslesen können. Treten hierbei Fehler auf. die nicht im Archiv gelagert waren. Datensicherung der verschlüsselten Daten Besondere Sorgfalt ist bei der Datensicherung von verschlüsselten Daten bzw. sollten auf jeden Fall Sicherungskopien angefertigt werden. Die verwendeten Kryptomodule sollten vorsichtshalber immer archiviert werden. da die Erfahrung zeigt. Als weitere Variante kann auch das Vier-Augen-Prinzip bei der Schlüsselspeicherung benutzt werden. diese unverschlüsselt zu speichern und dafür entsprechend sicher zu lagern. Beispielsweise könnten Schlüssel in spezieller Sicherheitshardware gespeichert werden. Damit eine unautorisierte Nutzung ausgeschlossen ist. Falls sie in Software gespeichert werden. d. Hierbei muss nicht nur sichergestellt werden. eine ausreichend gesicherte Möglichkeit der Schlüsselhinterlegung zu schaffen. 302 . wenn keine Chipkarte o. sondern auch. also z. sollten auch von privaten Signaturschlüsseln im Allgemeinen keine Kopien existieren.B. dass die meisten Standardanwendungen. Von Kommunikationsschlüsseln und anderen kurzlebigen Schlüsseln sollten keine Kopien erstellt werden. dies im Allgemeinen mit leicht zu brechenden Verfahren tun. verwendet wird. dass auch noch nach Jahren Daten auftauchen.

Je nach Anforderungen und geforderte Ausfallsicherheit (Katastrophenvorsorge – vgl.aufbewahrt werden.4] 10.1 ) kann es notwendig sein das Datenarchiv an einem gänzlich anderen Ort zu halten.) der Datensicherungsbestand zur Verfügung steht.5. Damit wird sichergestellt. Die gewählte Konfiguration sollte dokumentiert sein.5.5] 10.1 303 . und dass im Falle der Unzugänglichkeit der Infrastruktur (beispielsweise aufgrund von Verschüttungen. [eh BCP 1. Für den Katastrophenfall müssen die Backup-Datenträger räumlich getrennt vom Rechner . Ein ausreichend schneller Zugriff im Bedarfsfall muss gewährleistet sein.1 Backup-Datenträger unterliegen besonderen Anforderungen hinsichtlich ihrer Aufbewahrung: • • • Der Zugriff auf diese Datenträger darf nur befugten Personen möglich sein. o.ä.Datensicherung der Konfigurationsdaten der eingesetzten Produkte Bei komplexeren Kryptoprodukten sollte nicht vergessen werden. Zu beachten sind auch die Anforderungen aus 10.6 Sicherungskopie der eingesetzten Software ISO Bezug: 27002 10.5. so dass eine Entwendung ausgeschlossen werden kann. 14.1.auf jeden Fall in einem anderen Brandabschnitt.5. dass der Datenbestand eines derartigen Notfallarchivs nicht aufgrund der gleichen Schadensursache zerstört wird.5 Geeignete Aufbewahrung der Backup-Datenträger ISO Bezug: 27002 10. damit sie nach einem Systemversagen oder einer Neuinstallation schnell wieder eingerichtet werden kann. wenn möglich disloziert .7. deren Konfigurationsdaten zu sichern. [eh BCP 1.2 Datenträgerverwaltung .

Von den Originaldatenträgern von Standardsoftware bzw. von der Originalsoftware bei Eigenentwicklungen ist sofern möglich eine Sicherungskopie zu erstellen, von der bei Bedarf die Software wieder eingespielt werden kann. Die Originaldatenträger und die Sicherungskopien sind getrennt voneinander aufzubewahren. Es ist darauf zu achten, dass der physikalische Schreibschutz des Datenträgers ein versehentliches Löschen oder Überschreiben der Daten verhindert Ein unerlaubter Zugriff, z.B. zur Erstellung einer Raubkopie, muss ausgeschlossen sein. [eh BCP 1.6]

10.5.7 Beschaffung eines geeigneten Datensicherungssystems
ISO Bezug: 27002 10.5.1 Ein Großteil der Fehler, die beim Erstellen oder Restaurieren einer Datensicherung auftreten, sind Fehlbedienungen. Daher sollte bei der Beschaffung eines Datensicherungssystems nicht allein auf dessen Leistungsfähigkeit geachtet werden, sondern auch auf seine Bedienbarkeit und insbesondere auf seine Toleranz gegenüber Benutzerfehlern. Bei der Auswahl von Sicherungssoftware sollte darauf geachtet werden, dass sie die folgenden Anforderungen erfüllt:

• • • •

Die Datensicherungssoftware sollte ein falsches Medium ebenso wie ein beschädigtes Medium im Sicherungslaufwerk erkennen können. Sie sollte mit der vorhandenen Hardware problemlos zusammenarbeiten. Es sollte möglich sein, Sicherungen automatisch zu vorwählbaren Zeiten bzw. in einstellbaren Intervallen durchführen zu lassen, ohne dass hierzu manuelle Eingriffe (außer dem eventuell notwendigen Bereitstellen von Sicherungsdatenträgern) erforderlich wären. Es sollte möglich sein, einen oder mehrere ausgewählte Benutzerinnen oder Benutzer automatisch über das Sicherungsergebnis und eventuelle Fehlermeldungen per E-Mail oder ähnliche Mechanismen zu informieren. Die Durchführung von Datensicherungen inklusive des Sicherungsergebnisses und möglicher Fehlermeldungen sollten in einer Protokolldatei abgespeichert werden. Die Sicherungssoftware sollte die Sicherung des Backup-Mediums durch ein Passwort oder, je nach Vertraulichkeitsanforderungen, durch Verschlüsselung unterstützen. Weiters sollte sie in der Lage sein, die gesicherten Daten in komprimierter Form abzuspeichern.

304

• • • •

Durch Vorgabe geeigneter Include- und Exclude-Listen bei der Datei- und Verzeichnisauswahl sollte genau spezifiziert werden können, welche Daten zu sichern sind und welche nicht. Es sollte möglich sein, diese Listen zu Sicherungsprofilen zusammenzufassen, abzuspeichern und für spätere Sicherungsläufe wieder zu benutzen. Es sollte möglich sein, die zu sichernden Daten in Abhängigkeit vom Datum ihrer Erstellung bzw. ihrer letzten Modifikation auszuwählen. Die Sicherungssoftware sollte die Erzeugung logischer und physischer Vollkopien sowie inkrementeller Kopien (Änderungssicherungen) unterstützen. Die zu sichernden Daten sollten auch auf Festplatten und Netzlaufwerken abgespeichert werden können. Die Sicherungssoftware sollte in der Lage sein, nach der Sicherung einen automatischen Vergleich der gesicherten Daten mit dem Original durchzuführen und nach der Wiederherstellung von Daten einen entsprechenden Vergleich zwischen den rekonstruierten Daten und dem Inhalt des Sicherungsdatenträgers durchzuführen. Bei der Wiederherstellung von Dateien sollte es möglich sein auszuwählen, ob die Dateien am ursprünglichen Ort oder auf einer anderen Platte bzw. in einem anderen Verzeichnis wiederhergestellt werden. Ebenso sollte es möglich sein, das Verhalten der Software für den Fall zu steuern, dass am Zielort schon eine Datei gleichen Namens vorhanden ist. Dabei sollte man wählen können, ob diese Datei immer, nie oder nur in dem Fall, dass sie älter als die zu rekonstruierende Datei ist, überschrieben wird, oder dass in diesem Fall eine explizite Anfrage erfolgt.

Falls mit dem eingesetzten Programm die Datensicherung durch ein Passwort geschützt werden kann, sollte diese Option genutzt werden. [eh BCP 1.7]

10.5.8 Datensicherung bei mobiler Nutzung eines IT-Systems
ISO Bezug: 27002 9.2.5, 10.5.1, 10.7.1, 10.8.1 teilw, 11.7.1 IT-Systeme im mobilen Einsatz (z.B. Laptops, Notebooks) sind in aller Regel nicht permanent in ein Netz eingebunden. Der Datenaustausch mit anderen IT-Systemen erfolgt üblicherweise über Datenträger oder über temporäre Netzanbindungen. Letztere können beispielsweise durch Remote Access oder direkten Anschluss an ein LAN nach Rückkehr zum Arbeitsplatz realisiert sein. Anders als bei stationären Clients ist es daher bei mobilen IT-Systemen meist unvermeidbar, dass Daten zumindest zeitweise lokal anstatt auf einem zentralen Server gespeichert werden. Dem Verlust dieser Daten muss durch geeignete Datensicherungsmaßnahmen vorgebeugt werden. Generell bieten sich folgende Verfahren zur Datensicherung an: 305

Datensicherung auf externen Datenträgern:
Der Vorteil dieses Verfahrens ist, dass die Datensicherung an nahezu jedem Ort und zu jeder Zeit erfolgen kann. Nachteilig ist, dass ein geeignetes Laufwerk und genügend Datenträger mitgeführt werden müssen und dass für den/die Benutzer/ in zusätzlicher Aufwand für die ordnungsgemäße Handhabung der Datenträger entsteht. Die Datenträger sollten eine ausreichende Speicherkapazität besitzen, so dass der/ die Benutzer/in nicht mehrere Datenträger pro Sicherungsvorgang in das Laufwerk einlegen muss. Bei unverschlüsselter Datenhaltung ergibt sich außerdem die Gefahr, dass Datenträger abhanden kommen und dadurch sensitive Daten kompromittiert werden können. Die Datenträger und das mobile IT-System sollten möglichst getrennt voneinander aufbewahrt werden, damit bei Verlust oder Diebstahl des ITSystems die Datenträger nicht ebenfalls abhanden kommen. Nach Rückkehr zum Arbeitsplatz müssen die Datensicherungen auf den Datenträgern in das Backup-System oder in das Produktivsystem bzw. die zentrale Datenhaltung der Organisation eingebracht werden.

Datensicherung über temporäre Netzverbindungen
Wenn die Möglichkeit besteht, das IT-System regelmäßig an ein Netz anzuschließen, beispielsweise über Remote Access, kann die Sicherung der lokalen Daten auch über die Netzanbindung erfolgen. Vorteilhaft ist hier, dass der/die Benutzer/in keine Datenträger verwalten und auch kein entsprechendes Laufwerk mitführen muss. Weiterhin lässt sich das Verfahren weitgehend automatisieren, beispielsweise kann die Datensicherung beim Einsatz von Remote Access nach jedem Einwahlvorgang automatisch gestartet werden. Entscheidend bei der Datensicherung über eine temporäre Netzverbindung ist, dass deren Bandbreite für das Volumen der zu sichernden Daten ausreichen muss. Die Datenübertragung darf nicht zu lange dauern und nicht zu übermäßigen Verzögerungen führen, wenn der/die Benutzer/in gleichzeitig auf entfernte Ressourcen zugreifen muss. Bei manchen Zugangstechnologien (z.B. Modem, Mobiltelefon) bedeutet dies, dass nur geringe Datenmengen pro Sicherungsvorgang transportiert werden können. Einige Datensicherungsprogramme bieten daher die Möglichkeit an, lediglich Informationen über die Änderungen des Datenbestands seit der letzten Datensicherung über die Netzverbindung zu übertragen. In vielen Fällen kann hierdurch das zu transportierende Datenvolumen stark reduziert werden. Eine wichtige Anforderung an die zur Datensicherung verwendete Software ist, dass unerwartete Verbindungsabbrüche erkannt und ordnungsgemäß behandelt werden. Die Konsistenz der gesicherten Daten darf durch Verbindungsabbrüche nicht beeinträchtigt werden. 306

Bei beiden Verfahren zur Datensicherung ist es wünschenswert, das Volumen der zu sichernden Daten zu minimieren. Neben dem Einsatz verlustfreier Kompressionsverfahren, die in viele Datensicherungsprogrammen integriert sind, können auch inkrementelle oder differentielle Sicherungsverfahren zum Einsatz kommen Hierdurch erhöht sich jedoch u.U. der Aufwand für die Wiederherstellung einer Datensicherung. [eh BCP 1.8]

10.5.9 Verpflichtung der Mitarbeiter/innen zur Datensicherung
ISO Bezug: 27002 8.2.2, 10.5.1 Da die Datensicherung eine wichtige IT-Sicherheitsmaßnahme darstellt, sollten die betroffenen Mitarbeiter/innen - vorzugsweise in schriftlicher Form - zur Einhaltung des Datensicherungskonzeptes bzw. des Minimaldatensicherungskonzeptes verpflichtet werden. Eine regelmäßige Motivation zur Datensicherung und Kontrolle auf Einhaltung ist empfehlenswert. [eh BCP 1.9]

10.6 Netzsicherheit
Zur Unterstützung der System-/Netzwerkadministration ist der Einsatz von entsprechenden Tools (z.B. CAD-Programmen, speziellen Tools für Netzpläne, Kabelmanagementtools im Zusammenhang mit Systemmanagementtools o.ä.) empfehlenswert. Eine konsequente Aktualisierung aller Informationen bei Umbauten oder Erweiterungen ist ebenso zu gewährleisten wie eine eindeutige und nachvollziehbare Dokumentation (vgl. auch 9.4.1 Lagepläne der Versorgungsleitungen). Gerade im Zusammenhang mit dem Absichern von Netzwerken gibt es eine Reihe weiterführender Literatur. Exemplarisch sei an dieser Stelle „The 60 Minute Network Security Guide“ der NSA [NSA-SD7] genannt.

10.6.1 Sicherstellung einer konsistenten Systemverwaltung
ISO Bezug: 27002 6.1.2, 10.10.1,10.10.2, 10.10.4, 11.1.1, 11.5.2, 12.4.1 In vielen komplexen IT-Systemen gibt es eine Administratorrolle, die keinerlei Beschränkungen unterliegt. Durch fehlende Beschränkungen ist die Gefahr von Fehlern oder Missbrauch besonders hoch.

307

Um Fehler zu vermeiden, soll unter dem Super-User-Login nur gearbeitet werden, wenn es notwendig ist. Andere Arbeiten soll auch der Administrator nicht unter der Administrator-Kennung erledigen. Insbesondere dürfen keine Programme anderer Benutzer/innen unter der Administrator-Kennung aufgerufen werden. Ferner sollte die routinemäßige Systemverwaltung (z.B. Backup, Einrichten einer/eines neuen Benutzerin/Benutzers) nur menügesteuert durchgeführt werden können. Für alle Administratoren sind zusätzliche Benutzerkennungen einzurichten, die nur über die eingeschränkten Rechte verfügen, die die Administratoren zur Aufgabenerfüllung außerhalb der Administration benötigen. Für Arbeiten, die nicht der Administration dienen, sollen die Administratoren ausschließlich diese zusätzlichen Benutzerkennungen verwenden. Falls das Betriebssystem erlaubt, sollte der Administrator grundsätzlich nicht als Superuser, sondern unter seiner persönlichen Benutzerkennung einsteigen und erst dann in die Superuser-Rolle wechseln. Bekannte Kennungen, wie etwa root, guest oder administrator, sind zu löschen, stillzulegen oder nach Bedarf zu modifizieren. Bekannte Passwörter (Firmenkennungen und Firmen-Passwörter) sind zu löschen bzw. zu ändern, insbesondere bei Netzwerkkomponenten (Router, Switches, ...). Alle durchgeführten Änderungen sollten dokumentiert werden, um diese nachvollziehbar zu machen und die Aufgabenteilung zu erleichtern. [eh SYS 6.1]

10.6.2 Ist-Aufnahme der aktuellen Netzsituation
ISO Bezug: 27002 6.2.1, 7.1.1, 10.6.2, 11.4 Die Bestandsaufnahme der aktuellen Netzsituation ist Voraussetzung für

• •

eine gezielte Sicherheitsanalyse des bestehenden Netzes sowie für die Erweiterung eines bestehenden Netzes.

Hierzu ist eine Ist-Aufnahme mit einhergehender Dokumentation der folgenden Aspekte, die z.T. aufeinander aufbauen, notwendig:

• • •
308

Netztopographie, Netztopologie, verwendete Netzprotokolle,

• •

Kommunikationsübergänge im LAN und zum WAN sowie Netzperformance und Verkehrsfluss.

Unter der Topographie eines Netzes wird die rein physikalische Struktur eines Netzes in Form der Kabelführung verstanden. Im Gegensatz dazu handelt es sich bei der Netztopologie um die logische Struktur eines Netzes. Die Topographie und Topologie eines Netzes sind nicht notwendig identisch. [eh SYS 6.3]

10.6.3 Analyse der aktuellen Netzsituation
ISO Bezug: 27002 7.1.1, 10.6.2, 11.4, 11.4.7, 12.6.1 Diese Maßnahme baut auf den Ergebnissen der Ist-Aufnahme nach 10.6.2 IstAufnahme der aktuellen Netzsituation auf und erfordert spezielle Kenntnisse im Bereich der Netztopologie, der Netztopographie und von netzspezifischen Schwachstellen. Darüber hinaus ist Erfahrung bei der Beurteilung der eingesetzten individuellen IT-Anwendungen hinsichtlich Vertraulichkeit, Integrität bzw. Verfügbarkeit notwendig. Eine Analyse der aktuellen Netzsituation besteht im Wesentlichen aus einer Strukturanalyse, einer Schutzbedarfsfeststellung und einer Schwachstellenanalyse.

Strukturanalyse
Diese besteht aus einer Analyse der nach 10.6.2 Ist-Aufnahme der aktuellen Netzsituation angelegten Dokumentationen. Die Strukturanalyse muss von einem Analyseteam durchgeführt werden, das in der Lage ist, alle möglichen Kommunikationsbeziehungen nachzuvollziehen oder auch herleiten zu können. Als Ergebnis muss das Analyseteam die Funktionsweise des Netzes verstanden haben und über die prinzipiellen Kommunikationsmöglichkeiten informiert sein. Häufig lassen sich bei der Strukturanalyse bereits konzeptionelle Schwächen des Netzes identifizieren.

Detaillierte Schutzbedarfsfeststellung
Bei besonders schutzwürdigen Applikationen sind in einer detaillierten Schutzbedarfsfeststellung zusätzlich die Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität in einzelnen Netzbereichen bzw. Segmenten zu berücksichtigen.

309

Hierzu ist es notwendig festzustellen, welche Anforderungen auf Grund der verschiedenen IT-Verfahren bestehen und wie diese auf die gegebene Netzsegmentierung Einfluss nehmen. Als Ergebnis muss erkenntlich sein, in welchen Netzsegmenten besondere Sicherheitsanforderungen bestehen.

Analyse von Schwachstellen im Netz
Basierend auf den bisher vorliegenden Ergebnissen erfolgt eine Analyse der Schwachpunkte des Netzes. Hierzu gehört insbesondere bei entsprechenden Verfügbarkeitsanforderungen die Identifizierung von nicht redundant ausgelegten Netzkomponenten (SinglePoint-of-Failures). Weiterhin müssen die Bereiche benannt werden, in denen die Anforderungen an Verfügbarkeit, Vertraulichkeit oder Integrität nicht eingehalten werden können bzw. besonderer Aufmerksamkeit bedürfen. Zudem ist festzustellen, ob die gewählte Segmentierung hinsichtlich Bandbreite und Performance geeignet ist. Es ist zu beachten, dass diese Maßnahme insbesondere in der Designphase für ein neues Netz oder einen neuen Netzteil sinnvoll ist, Änderungen in bestehenden Netzen können aus wirtschaftlichen Aspekten oft sehr schwierig sein. [eh SYS 6.4]

10.6.4 Entwicklung eines Netzkonzeptes
ISO Bezug: 27002 10.6.1, 11.4 Um den Anforderungen bezüglich Verfügbarkeit (auch Bandbreite und Performance), Vertraulichkeit und Integrität zu genügen, muss der Aufbau, die Änderung bzw. die Erweiterung eines Netzes sorgfältig geplant werden. Hierzu dient die Erstellung eines Netzkonzeptes. Die Entwicklung eines Netzkonzeptes unterteilt sich in einen analytischen und einen konzeptionellen Teil:

Analyse
Zunächst ist zu unterscheiden, ob ein bestehendes Netz zu erweitern bzw. zu verändern ist oder ob das Netz vollständig neu aufgebaut werden soll.

310

Im ersten Fall sind vorab die Maßnahmen 10.6.2 Ist-Aufnahme der aktuellen Netzsituation und 10.6.3 Analyse der aktuellen Netzsituation zu bearbeiten. Im zweiten Fall entfallen diese Maßnahmen. Stattdessen sind die Anforderungen an die Netzkommunikation zu ermitteln sowie eine Schutzbedarfsfeststellung des zukünftigen Netzes durchzuführen. Zur Ermittlung der Kommunikationsanforderungen ist der zukünftig zu erwartende Daten- und Verkehrsfluss zwischen logischen oder organisatorischen Einheiten festzustellen, da die zu erwartende Last die Segmentierung des zukünftigen Netzes beeinflussen muss. Die notwendigen logischen bzw. physikalischen Kommunikationsbeziehungen (dienste-, anwender-, gruppenbezogen) sind ebenfalls zu eruieren und die Kommunikationsübergänge zur LAN/LAN-Kopplung oder über ein WAN zu ermitteln. Die Schutzbedarfsanforderungen des Netzes werden aus denen der geplanten oder bereits bestehenden IT-Verfahren abgeleitet. Daraus werden physikalische und logische Segmentstrukturen gefolgert, so dass diesen Anforderungen (z.B. hinsichtlich Vertraulichkeit) durch eine Realisierung des Netzes Rechnung getragen werden kann. Zum Beispiel bestimmt der Schutzbedarf einer IT-Anwendung die zukünftige Segmentierung des Netzes. Schließlich muss versucht werden, die abgeleiteten Kommunikationsbeziehungen mit den Schutzbedarfsanforderungen zu harmonisieren. Unter Umständen sind hierzu Kommunikationsbeziehungen einzuschränken, um dem festgestellten Schutzbedarf gerecht zu werden. Abschließend sind die verfügbaren Ressourcen zu ermitteln. Hierzu gehören sowohl Personalressourcen, die erforderlich sind, um ein Konzept zu erstellen und umzusetzen bzw. um das Netz zu betreiben, als auch die hierfür notwendigen finanziellen Ressourcen. Die Ergebnisse sind entsprechend zu dokumentieren.

Konzeption
Im nächsten Schritt sind die Netzstruktur und die zu beachtenden Randbedingungen zu entwickeln. Dabei sind neben den oben genannten Gesichtspunkten auch die künftig zu erwartenden Anforderungen (z.B. hinsichtlich Bandbreite) sowie die örtlichen Gegebenheiten zu berücksichtigen. Die Erstellung eines Netzkonzeptes erfolgt analog 10.6.2 Ist-Aufnahme der aktuellen Netzsituation und besteht danach prinzipiell aus den folgenden Schritten, wobei diese Schritte nicht in jedem Fall streng aufeinander folgend ausgeführt werden können. In einigen Teilen beeinflussen sich die Ergebnisse der Schritte gegenseitig, so dass eine regelmäßige Überprüfung und Konsolidierung der Teilergebnisse vorgenommen werden muss. 311

• • •

Konzeption der Netztopographie und der Netztopologie, der physikalischen und logischen Segmentierung Konzeption der verwendeten Netzprotokolle Konzeption von Kommunikationsübergängen im LAN und WAN

[eh SYS 6.5]

10.6.5 Entwicklung eines Netzmanagementkonzeptes
ISO Bezug: 27002 10.6.1, 10.10 Netzmanagement umfasst die Gesamtheit der Vorkehrungen und Aktivitäten zur Sicherstellung des effektiven Einsatzes eines Netzes. Hierzu gehört beispielsweise die Überwachung der Netzkomponenten auf ihre korrekte Funktion, das Monitoring der Netzperformance und die zentrale Konfiguration der Netzkomponenten. Netzmanagement ist in erster Linie eine organisatorische Problemstellung, deren Lösung mit technischen Mitteln - einem Netzmanagementsystem lediglich unterstützt werden kann. Abzugrenzen vom Netzmanagement ist das Systemmanagement, welches sich in erster Linie mit dem Management verteilter Systeme befasst. Hierzu gehören beispielsweise eine zentrale Verwaltung der Benutzer/innen, Softwareverteilung, Management der Anwendungen usw. In einigen Bereichen, wie z.B. dem Konfigurationsmanagement (dem Überwachen und Konsolidieren von Konfigurationen eines Systems oder einer Netzkomponente) sind Netz- und Systemmanagement nicht klar zu trennen. In der ISO/IEC-Norm 7498-4 bzw. als X.700 der ITU-T [ITU-T] ist ein Netz- und Systemmanagement-Framework definiert. Vor der Beschaffung und dem Betrieb eines solchen Netzmanagementsystems ist im ersten Schritt ein Konzept zu erstellen, in dem alle Sicherheitsanforderungen an das Netzmanagement formuliert und angemessene Maßnahmen für den Fehleroder Alarmfall vorgeschlagen werden. Dabei sind insbesondere die folgenden Bestandteile eines Netzmanagementkonzeptes bei der Erstellung zu berücksichtigen und in einem Gesamtzusammenhang darzustellen:

• • • • •
312

Performancemessungen zur Netzanalyse (siehe 10.6.3 Analyse der aktuellen Netzsituation ), Reaktionen auf Fehlermeldungen der überwachten Netzkomponenten, Fernwartung / Remote-Control, insbesondere der aktiven Netzkomponenten, Generierung von Trouble-Tickets und Eskalation bei Netzproblemen, Protokollierung und Audit (Online und/oder Offline),

• • •

Einbindung eventuell vorhandener proprietärer Systeme bzw. von Systemen mit unterschiedlichen Managementprotokollen (z.B. im Telekommunikationsbereich), Konfigurationsmanagement aller im Einsatz befindlichen IT-Systeme, Verteilter Zugriff auf die Netzmanagementfunktionalitäten. (Für die Administration oder für das Audit kann ein Remotezugriff auf die Netzmanagementfunktionalitäten notwendig sein. Hier ist insbesondere eine sorgfältige Definition und Vergabe der Zugriffsrechte notwendig.)

[eh SYS 6.6]

10.6.6 Sicherer Betrieb eines Netzmanagementsystems
ISO Bezug: 27002 10.6.1, 10.6.2 Für den sicheren Betrieb eines Netzmanagementtools oder eines komplexen Netzmanagementsystems, welches beispielsweise aus mehreren verschiedenen Netzmanagementtools zusammengesetzt sein kann, ist die sichere Konfiguration aller beteiligten Komponenten zu überprüfen und sicherzustellen. Hierzu gehören die Betriebssysteme, auf denen das oder die Netzmanagementsysteme betrieben werden, die zumeist notwendigen externen Datenbanken für ein Netzmanagementsystem, das verwendete Protokoll und die aktiven Netzkomponenten selbst. Vor dem Betrieb eines Netzmanagementsystems muss die Ermittlung der Anforderungen an den Betrieb und die Erstellung eines Netzmanagementkonzeptes stehen (siehe 10.6.5 Entwicklung eines Netzmanagementkonzeptes ). Für den sicheren Betrieb eines Netzmanagementsystems sind folgende Daten relevant:

• • • •

Konfigurationsdaten des Netzmanagementsystems, die sich in entsprechend geschützten Verzeichnissen befinden müssen. Konfigurationsdaten der Netzkomponenten (Metakonfigurationsdateien), die sich ebenfalls in entsprechend geschützten Verzeichnissen befinden müssen. Passwortdateien für das Netzmanagementsystem. Hierbei ist beispielsweise auf die Güte des Passwortes und die Möglichkeit einer verschlüsselten Speicherung des Passwortes zu achten. Eine Administration der aktiven Netzkomponenten über das Netz sollte dann eingeschränkt werden und eine Administration über die lokalen Schnittstellen erfolgen, wenn die Erfüllung der Anforderungen an Vertraulichkeit und Integrität der Netzmanagementinformationen nicht gewährleistet werden kann. In diesem Fall ist auf ein zentrales Netzmanagement zu verzichten.

[eh SYS 6.7]

313

10.6.7 Sichere Konfiguration der aktiven Netzkomponenten
ISO Bezug: 27002 10.6.1, 11.4.4, 11.7.2 Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig konfiguriert werden. Denn während durch eine fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer/innen betroffen sind, die die entsprechenden Dienste dieses Systems nutzen, können bei einer Fehlkonfiguration eines Routers größere Teilnetze bzw. sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert werden. Im Rahmen des Netzkonzeptes (siehe 10.6.4 Entwicklung eines Netzkonzeptes ) sollte auch die sichere Konfiguration der aktiven Netzkomponenten festgelegt werden. Dabei gilt es insbesondere Folgendes zu beachten:

• • •

Für Router und Layer-3-Switching muss ausgewählt werden, welche Protokolle weitergeleitet und welche nicht durchgelassen werden. Dies kann durch die Implementation geeigneter Filterregeln geschehen. Es muss festgelegt werden, welche IT-Systeme in welcher Richtung über die Router kommunizieren. Auch dies kann durch Filterregeln realisiert werden. Sofern dies von den aktiven Netzkomponenten unterstützt wird, sollte festgelegt werden, welche IT-Systeme Zugriff auf die Ports der Switches und Hubs des lokalen Netzes haben. Hierzu wird die MAC-Adresse des zugreifenden ITSystems ausgewertet und auf ihre Berechtigung hin überprüft.

Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der Routing-Updates erforderlich. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich, um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen. Dabei kann man zwei verschiedene Sicherheitsmechanismen unterscheiden:

Passwörter Die Verwendung von Passwörtern schützt die so konfigurierten Router vor der Annahme von Routing-Updates durch Router, die nicht über das entsprechende Passwort verfügen. Hierdurch können also Router davor geschützt werden, falsche oder ungültige Routing-Updates anzunehmen. Der Vorteil von Passwörtern gegenüber den anderen Schutzmechanismen ist ihr geringer Overhead, der nur wenig Bandbreite und Rechenzeit benötigt. Kryptographische Prüfsummen

314

Prüfsummen dienen zur Wahrung der Integrität von gültigen Routing-Updates, bzw. Message Authentication Codes schützen vor deren unbemerkten Veränderungen. Dies wird in der Regel bereits durch das Routing Protokoll gewährleistet. Vgl. auch den NSA „Router Security Configuration Guide“ [NSA-CIS2] . [eh SYS 6.8]

10.6.8 Festlegung einer Sicherheitsstrategie für ein ClientServer-Netz
ISO Bezug: 27002 6.2.3, 8.2.2, 8.3.3, 10.1, 10.6, 10.9, 10.10, 11.1, 11.2, 11.4.1, 11.5, 11.7.1 Nachfolgend wird eine methodische Vorgehensweise aufgezeigt, mittels derer eine umfassende Sicherheitsstrategie für ein Client-Server-Netz entwickelt werden kann. Abhängig vom verwendeten Betriebssystem und den eingesetzten Konfigurationen ist für die jeweilige Ausprägung individuell zu entscheiden, welche der beschriebenen Schritte anzuwenden sind. In der Sicherheitsstrategie muss aufgezeigt werden, wie ein Client-Server-Netz für die jeweilige Organisation sicher aufgebaut, administriert und betrieben wird. Nachfolgend werden die einzelnen Entwicklungsschritte einer solchen Strategie vorgestellt:

Definition der Client-Server-Netzstruktur Im ersten Schritt sind die logische Struktur des Client-Server-Netzes, insbesondere die Zuordnung der Server und der Netz-Domänen festzulegen. Nach Möglichkeit sollte auf die Verwendung von Peer-to-Peer-Funktionalitäten verzichtet werden, da diese die Sicherheit des Client-Server-Netzes beeinträchtigen können. Sofern sich dies jedoch nicht vermeiden lässt, sind verbindliche Regelungen für die Nutzung von Peer-to-Peer-Funktionalitäten zu treffen. Regelung der Verantwortlichkeiten Ein Client-Server-Netz sollte von geschulten Netzadministratoren nebst Stellvertreterinnen/Stellvertretern sicher betrieben werden. Diese allein dürfen Sicherheitsparameter im Netz verändern. Sie sind z.B. dafür zuständig, auf den Servern den entsprechenden Verantwortlichen Administrationsrechte und -werkzeuge zur Verfügung zu stellen, damit diese die Vergabe von Dateiund Verzeichnisberechtigungen, die Freigabe der von anderen benötigten Verzeichnisse bzw. Anwendungen, den Aufbau von Benutzergruppen und -accounts sowie die Einstellung der Systemrichtlinien für Benutzer/innen, Zugriffskontrolle und Überwachung vornehmen können. Die Verantwortlichkeiten der einzelnen Benutzer/innen im Client-Server-Netz sind unter Schritt 11 dargestellt. 315

Festlegung von Namenskonventionen Um die Verwaltung des Client-Server-Netzes zu erleichtern, sollten eindeutige Namen für die Rechner, Benutzergruppen und die Benutzer/innen verwendet werden. Zusätzlich sollten Namenskonventionen für die Freigabenamen von Verzeichnissen oder Druckern eingeführt werden. Sollen keine Rückschlüsse auf den Inhalt eines freigegebenen Verzeichnisses möglich sein, sind entsprechende Pseudonyme zu verwenden. Festlegung der Regeln für Benutzeraccounts Vor der Einrichtung von Benutzeraccounts sollten die Restriktionen, die für alle bzw. für bestimmte dieser Accounts gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf fehlerhafte Login-Vorgänge. Einrichtung von Gruppen Zur Vereinfachung der Administration sollten Benutzeraccounts, für die die gleichen Anforderungen gelten, zu Gruppen zusammengefasst werden. Benutzerrechte sowie Datei-, Verzeichnis- und Freigabeberechtigungen und ggf. weitere vordefinierte Funktionen werden dann den Gruppen und nicht einzelnen Benutzeraccounts zugeordnet. Die Benutzeraccounts erben die Rechte und Berechtigungen der Gruppen, denen sie angehören. So ist es z.B. denkbar, alle Mitarbeiter/innen einer Abteilung in einer Gruppe zusammenzufassen. Eine Zuweisung von Benutzerrechten und -berechtigungen an einzelne Benutzer/ innen sollte nur erfolgen, wenn dies ausnahmsweise unumgänglich ist. Festlegung von Benutzerrechten Rechte gestatten einem/einer Benutzer/in die Ausführung bestimmter Aktionen auf dem System. Sie beziehen sich auf das gesamte System, sind keinem speziellen Objekt zugeordnet und können die Berechtigungen für ein Objekt außer Kraft setzen, da ein Recht Vorrang vor allen Datei- und Verzeichnisberechtigungen haben kann. Festlegung der Vorgaben für Protokollierung Bei der Konfiguration der Protokollierung ist zu beachten, dass ein Mehr an Protokollierung nicht unbedingt auch die Sicherheit des überwachten Systems erhöht. Protokolldateien, die nicht ausgewertet werden oder die auf Grund ihres Umfangs nur mit großem Aufwand auswertbar sind, führen nicht zu einer besseren Kontrolle der Systemabläufe, sondern sind letztlich nutzlos. Aus diesen Gründen sollte die Protokollierung so eingestellt werden, dass sie im Normalfall nur die wirklich bedeutsamen Ereignisse aufzeichnet. Dabei sind selbstverständlich die gesetzlichen Vorgaben, insbesondere die Anforderungen aus dem Datenschutzgesetz, vorrangig zu beachten (vgl. dazu auch Kapitel 10.10 Protokollierung und Monitoring ). Regelungen zur Datenspeicherung

316

die Vergabe von Zugriffsrechten. Erst nach ausreichender Schulung kann der Echtbetrieb aufgenommen werden. welche Benutzer/innen zu welchen Punkten geschult werden müssen. welche Verzeichnisse und ev. sofern ihnen Rechte zur Ausführung administrativer Funktionen gegeben werden. wo Benutzerdaten gespeichert werden. In der Regel beschränken sich diese Verantwortlichkeiten jedoch auf die Vergabe von Zugriffsrechten auf die eigenen Dateien. • Auch die Endbenutzer/innen müssen in einem Client-Server-Netz bestimmte Verantwortlichkeiten übernehmen. unter denen dann die Dateien und Verzeichnisse der Projekte bzw. dass Benutzerdaten nur auf einem Server abgelegt werden.und projektspezifischen Daten untereinander sowie von den Programmen und Daten des Betriebssystems durchzusetzen.und benutzerbezogene Dateiablage unterstützt wird. mit der eine projekt. So ist denkbar. Einrichtung von Projektverzeichnissen Um eine saubere Trennung von benutzer. Dies gilt analog für die Freigabe von Druckern. bestimmte Benutzerdaten nur auf der lokalen Festplatte abzulegen. Vergabe der Zugriffsrechte Es ist festzulegen. Nach welcher Strategie verfahren werden soll.• • • Es ist festzulegen. Verantwortlichkeiten für Administratoren und Benutzer/innen im ClientServer-Netz Neben der Wahrnehmung der Netzmanagementaufgaben (siehe Pkt. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit des Systems gründlich zu schulen. Es ist festzulegen. So können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden. sollte eine geeignete Verzeichnisstruktur festgelegt werden. das Hinterlegen und den Wechsel von Passwörtern und die Durchführung von Datensicherungen. welche Dateien für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind. 317 . sofern diese explizit festgelegt und nicht von Voreinstellungen des übergeordneten Verzeichnisses übernommen werden. Dies können zum Beispiel Verantwortlichkeiten sein für • • • • die Auswertung der Protokolldateien auf den einzelnen Servern oder Clients. Eine generelle Empfehlung ist hier nicht möglich. welche Verantwortung die einzelnen Administratoren im Client-Server-Netz übernehmen müssen. Schulung Abschließend muss festgelegt werden. Eine Datenspeicherung auf der lokalen Festplatte ist bei diesem Modell nicht erlaubt. 2) müssen weitere Verantwortlichkeiten festgelegt werden. Benutzer/innen in jeweils eigenen Unterverzeichnissen abgelegt werden. muss jeweils im konkreten Einzelfall festgelegt werden. Möglich ist aber auch.

) unterstreicht die Forderung nach einem WLAN. sollte WEP nicht mehr eingesetzt werden. um nicht durch die Einführung von WLANs die Sicherheit des gesamten lokalen Netzwerkes zu kompromittieren. sofern die 318 . Weiters ist sie laufend etwaigen Veränderungen im Einsatzumfeld anzupassen. so dass die Schlüssel manuell administriert werden müssen. in jeder WLAN-Komponente in einem Netz muss derselbe WEP-Schlüssel eingetragen sein.). Sicherheitstechnisch entstehen neue Gefährdungen und es sind einige Maßnahmen zu beachten.2 (teilw. Die steigende Zahl von portablen Computern (Notebooks. Der Einsatz von Richtantennen hilft dabei die unbeabsichtigte räumliche Ausstrahlung zu unterbinden. die diese eindeutige SSID nicht kennen. d.4 Drahtlose Netzwerke bzw. [eh SYS 6. so genannte Wireless LAN (WLAN) – Lösungen ergänzen zunehmend LAN Netzwerke. Deaktivieren des Sendens der Service Set ID: Die Service Set ID (SSID) ist ein Name des WLANs. bieten Schutz vor Zugriffen durch Dritte. Folgende Maßnahmen sind zu beachten.6. 11. Smartphones etc. Somit soll die Option des Sendens der SSID deaktiviert werden.6. Zum einen bieten sie Flexibilität bei der Arbeitsplatzgestaltung und zum anderen sind für deren Aufbau keine aufwendigen Verkabelungsarbeiten notwendig.9 Wireless LAN (WLAN) ISO Bezug: 27002 10. Bei unerwünschten Reichweiten müssen entsprechende Gegenmaßnahmen ergriffen werden. Bei der Schlüssellänge ist es sinnvoll den Schlüssel mit der größten Länge zu wählen. statischer Schlüssel verwendet. Testen des Umkreises: Der mögliche Empfang im Umkreis der Organisation muss überprüft werden. Weiterhin sieht WEP kein dynamisches Schlüsselmanagement vor. Dessen Bekanntgabe an Knoten. über den Knoten an das Netz verbinden. Geeignete Verschlüsselungsoptionen aktivieren: Verschlüsselungsoptionen wie WiFi Protected Access (WPA). ist zu verhindern.10] 10. Da WEP-Schlüssel in kürzester Zeit kompromittiert werden können. h. Bei WEP wird nur ein einziger. wenn es um die Installation und Konfiguration eines WLANs geht: • • • • Geeignete Positionierung und Ausrichtung der Zugriffspunkte und Antennen: Die Ausstrahlung soll über die Organisationsgrenzen hinweg weitgehend verhindert werden.Die so entwickelte Sicherheitsstrategie ist zu dokumentieren und im erforderlichen Umfang den Benutzerinnen/Benutzern des Client-Server-Netzes mitzuteilen. PDAs.

Damit so etwas überhaupt funktioniert. Bei IEEE 802. das die Nutzung dynamischer kryptographischer Schlüssel statt ausschließlich statischer bei WEP erlaubt.1X ist.verwendeten Endgeräte dies zulassen. spezifiziert IEEE 802. Die Nutzung der PSK ist in der Kombination mit WPA bzw. dass regelmäßig und insbesondere nach einer erfolgreichen Authentifizierung des WLAN-Clients am Access Point ein neuer Schlüssel (PMK) bereitgestellt wird. Bei WPA wird TKIP eingesetzt.1X eine Schnittstelle zwischen Client.11i auf einen anderen Standard zurück und zwar auf IEEE 802. Ab einer gewissen Größe eines WLANs ist das Ausrollen eines neuen Schlüssels mit erheblichen Problemen verbunden. Dictionary-Attacken. Der Pairwise Master Key (PMK) kann über zwei verschiedene Wege auf die beteiligten WLANKomponenten gelangen: • • Statische Schlüssel: Der PMK kann (analog zu WEP) manuell als ein statischer Schlüssel. Es besteht meist die Möglichkeit den gemeinsamen geheimen Schlüssel auch über Passwörter festzulegen. Die verwendbaren Schlüssellängen sollten demnach bei der Anschaffung der WLAN-Komponenten bereits berücksichtigt werden.1X. ist er anfällig gegenüber Wörterbuch. wenn der Nutzer sich erfolgreich dem Netz gegenüber authentisiert hat. Dieser Schlüssel wird als Pairwise Master Key (PMK) bezeichnet. TKIP und CCMP sind symmetrische Verfahren. Netzelement und einem Authentisierungssystem. EAPOL bezeichnet). alle Kommunikationspartner müssen daher einen gemeinsamen Schlüssel konfiguriert haben. Die Authentisierung erfolgt also auf Schicht 2. auf Access Points und Clients konfiguriert werden.11i (WPA2) kommt CCMP als kryptographisches Verfahren zur Integritätssicherung und zur Verschlüsselung der Nutzdaten hinzu. als Pre-Shared Key (PSK) bezeichnet. die Schlüssel zum Schutz der Kommunikation oder zur Authentisierung mindestens alle drei bis sechs Monate zu wechseln. Hat ein solcher PSK eine zu geringe Komplexität (im Sinne der Länge des Schlüssels und der Zufälligkeit der Zeichen). WPA2 möglich. der dafür sorgt. dass die Freischaltung eines Netzports erst dann erfolgt. Dieser Standard ist zur portbasierten Netzzugangskontrolle in kabelbasierten Netzen entworfen worden. ist zu empfehlen. Sollte WPA-PSK bzw. Daher sollten diese Passwörter eine hohe Komplexität und eine Länge von mindestens 20 Stellen besitzen. Grundsätzliche Idee in IEEE 802. Diese Schnittstelle basiert auf dem Extensible Authentication Protocol (EAP) und einer Adaptierung dieses Protokolls für die Übertragung auf Layer 2 in LAN (als EAP over LAN. Für diese Schlüsselverwaltung und -verteilung greift IEEE 802. Diese Passwörter werden über Hash-Funktionen in den PMK umgerechnet.bzw. 319 . WPA2-PSK verwendet werden. Dynamische Schlüssel: Eine höhere Sicherheit bietet ein Mechanismus zur dynamischen Schlüsselverwaltung und -verteilung. Hand in Hand geht damit die Festlegung einer Funktion zur Schlüsselverwaltung und -verteilung.

SNMP Community String. 11.1 Regelungen des Passwortgebrauches ).• • • • • • • Generell sollten in regelmäßigen Abständen. um dadurch eventuell auftretende Schwierigkeiten zu erkennen. Ändern von Standardeinstellungen (Passwörtern): Standardeinstellungen der Zugriffspunkte – etwa Service Set ID (SSID). 320 . Administrator-Passwort – sind werksseitig voreingestellt und müssen sofort geändert werden. VPN . Bei größeren Installationen sollte hierfür eine geeignete Funktion in der zentralen WLAN-Management-Lösung enthalten sein. Authentifikation der Knoten: Möglichkeiten der Authentifikation der Knoten sind zu aktivieren. Dies bietet über WEP/ WEP+/WPA/o.: [IKT-WLAN] [IKT-CLWLAN] ).1X. Weiterführende Informationen. Direkten Zugriff auf das Intranet über das WLAN sperren: Ist der Zugang über WLAN nicht durch starke Methoden der Authentifikation der Knoten und Verschlüsselung gesichert. um den Arbeitsaufwand gering zu halten.siehe weiter unten). hinausgehend eine Ende-zu-Ende Verschlüsselung. Nutzung eines Virtual Private Networks (VPN): Im WLAN sollte möglichst ein VPN etabliert werden.6. Einsatz einer zusätzlichen Firewall: Eine Firewall zwischen dem Zugriffspunkt und dem eigentlichen Netzwerk kann die Sicherheit erhöhen.B.ä. Angreifern durchaus bekannt sind (vgl. Für den Bereich der Öffentlichen Verwaltung sind entsprechende Vorgaben und WLAN-Policies der Stabsstelle IKT-Strategie des Bundes (CIO) zu beachten (z. wodurch die vertraulichen Inhalte mittels IPSEC oder SSL/TLS geschützt werden. Dies sollte nach Möglichkeit genutzt werden. Kapitel 10. sind den von der Stabsstelle IKT-Strategie des Bundes (CIO) herausgegebenen Empfehlungen zur Verwendung von WLANs zu entnehmen [IKT-WLAN] . ist er als RAS anzusehen (vgl.3. Der Wechsel der Schlüsselinformationen an allen WLAN-Komponenten sollte bereits während der Planungsphase genau getestet werden. speziell aber nicht nur für die Organisationen der öffentlichen Verwaltung. MAC-Adressfilterung am Zugriffspunkt: Der Zugang zu Zugriffspunkten kann bei vielen Geräten auch über die MACAdresse kontrolliert werden. Darüber hinaus sind zusätzliche Maßnahmen sinnvoll (z.10 ). etwa nach IEEE 802. Die darin enthaltene Checkliste ermöglicht ein einfaches und pragmatisches Anwenden der Empfehlungen. Diese Erweiterung berücksichtigt aktuelle Weiterentwicklungen und Marktveränderungen im Bereich WLAN.B. In Ergänzung zu diesen allgemeine Informationen zu WLANs in der Verwaltung wurde von der Stabsstelle IKT-Strategie des Bundes (CIO) die so genannte „Checkliste WLAN“ [IKT-CLWLAN] veröffentlicht. da die Standardpasswörter Angreiferinnen bzw. mindestens jedoch vierteljährlich. die Schlüsselinformationen bei allen WLAN-Komponenten ausgetauscht werden.

Dabei ist auch zu prüfen. Darüber hinaus gefährdet die Möglichkeit remote. sondern auch in die andere Richtung. Dies gilt insbesondere für Anschlüsse an das Internet. Ein zu schützendes Teilnetz sollte daher nur dann an ein anderes Netz angeschlossen werden. da prinzipiell nicht nur ein Informationsfluss von außen in das zu schützende Netz stattfinden kann.h.B.4. Dies wird meist mittels einer VPN-Verbindung zwischen einzelnen IT-Systemen. nicht anschließbare und bedingt anschließbare Teile segmentiert werden muss. sich mit einem lokalen Rechner an ein entferntes Rechnernetz zu verbinden und dessen Ressourcen zu nutzen. wenn dies unbedingt erforderlich ist.B. zur Anbindung von lokalen Netzen von Außenstellen oder Filialen). verschiedenen Standorten einer Institution oder auch zu Kunden erreicht. zur Unterstützung von Mitarbeiterinnen/ Mitarbeitern im Außendienst oder auf Dienstreise).6. zur Fernwartung). 11.B.10 Remote Access (VPN) . das Anbinden mobiler Rechner (z. aus dem Internet).2.7. inwieweit das zu schützende Netz in anschließbare. die Integrität und die Verfügbarkeit der lokalen Rechner und dadurch indirekt auch die Vertraulichkeit der lokalen Daten.14] 10. der Managementzugriff auf entfernte Rechner (z. 321 . Die Vernetzung vorhandener Teilnetze mit globalen Netzen wie dem Internet führt zu einem neuen Informationsangebot. für Telearbeit einzelner Mitarbeiter/innen). als ob eine direkte LAN-Koppelung bestehen würde. d. von einem entfernten Rechner aus (z. 11. lässt aber auch neue Gefährdungen entstehen.B.B. Generell lassen sich für den Einsatz von entfernten Zugängen im Wesentlichen folgende Szenarien unterscheiden: • • • • das Anbinden einzelner stationärer Arbeitsplatzrechner (z.2 Im Folgenden ist mit Remote Access generell jede Art von Fernzugriff auf Geschäftsinformationen (mit zB auch Mobile-Computing. öffentliches Netz gemeint.Geräten) über ein unsicheres resp.Konzeption ISO Bezug: 10.6. das Anbinden von ganzen LANs (z. Durch Remote Access wird es einem/einer Benutzer/in ermöglicht.[eh SYS 6.2. Befehle auf Rechnern im lokalen Netz ausführen zu lassen.

Der reibungslose Ablauf von Geschäftsprozessen kann bei Totalausfall oder bei Verbindungen mit nicht ausreichender Bandbreite unter Umständen beeinträchtigt werden. Dies gilt insbesondere für entfernte Zugänge. die über VPN. Durch die Nutzung von alternativen oder redundanten VPN-(bzw. die in der Regel nicht dem Hoheitsbereich des Betreibers des lokalen Netzes zuzurechnen sind. auch für entfernte Benutzer/innen durchgesetzt werden. Zugriffskontrolle: Sind die entfernten Benutzer/innen authentisiert. RAS-Verbindung Nutzdaten übertragen werden. RAS)Zugängen kann diese Gefahr bis zu einem gewissen Grad verringert werden. RAS-Kommunikation kommt jedoch eine besondere Bedeutung zu. Alternative Möglichkeiten die heute nur mehr wenig genutzt werden sind RAS-Zugänge über Standleitungen oder Modem-Einwahl. Integrität. Im Rahmen des Systemzugangs müssen weitere Kontrollmechanismen angewandt werden. Verfügbarkeit: Wird der entfernte Zugang im produktiven Betrieb genutzt. da zur Abwicklung der Kommunikation verschiedene Kommunikationsmedien in Frage kommen. um den Systemzugang für entfernte Benutzer/innen reglementieren zu können (z. Der Absicherung der VPN. die für lokale Netzressourcen durch befugte Administratoren festgelegt wurden. Dazu müssen die Berechtigungen und Einschränkungen.B. die das Internet als Kommunikationsmedium nutzen.oder Bandbreitengarantien gegeben werden. Generell sollen auch für Daten. die im lokalen Netz geltenden Sicherheitsanforderungen bezüglich Kommunikationsabsicherung (Vertraulichkeit.Für diese Szenarien bieten VPN-Technolgien eine einfache Lösung: entfernte Benutzer/innen verbinden sich über das Internet mit Hilfe von VPN-Clients mit dem Firmennetz.bzw.bzw. da hier in der Regel keine Verbindungs. ihre Remote-Zugriffe auch zu kontrollieren.oder RAS-Verbindungen übertragen werden. so ist die Verfügbarkeit des Zugangs von besonderer Bedeutung. 322 . so muss das System in der Lage sein. Kommunikationssicherheit: Bei einem Remote-Zugriff auf lokale Ressourcen sollen im Allgemeinen auch über die aufgebaute VPN. Authentizität) durchsetzbar sein. zeitliche Beschränkungen oder Einschränkung auf erlaubte entfernte Verbindungspunkte).bzw. Ihre Identität muss jeweils durch einen Authentisierungsmechanismus bei jedem Verbindungsaufbau zum lokalen Netz sichergestellt werden. Unter dem Gesichtspunkt der Sicherheit sind für entfernte Zugänge folgende Sicherheitsziele zu unterscheiden: • • • • Zugangssicherheit: Entfernte Benutzer/innen müssen durch das VPN. RAS-System eindeutig zu identifizieren sein.

welche Einsatzzwecke unterstützt werden sollen und welche VPN-Typen dafür eingesetzt werden (z.1 Durchführung einer VPN-Anforderungsanalyse ISO Bezug: 27002 10. betrachtet werden.2. das sich in das bestehende Sicherheitskonzept eingliedert: das VPN (RAS)System muss einerseits bestehende Sicherheitsforderungen umsetzen und erfordert andererseits das Aufstellen neuer. MitarbeiterInnen einer Zweigstelle). 323 . die die jeweiligen Prozesse unterstützen. verschiedenen Standorten einer Institution oder auch zu Kunden eingerichtet wird. die zunächst als Einzelkomponenten abgesichert werden sollten.a. folgende Fragen zu klären: • • • Festlegung der Geschäftsprozesse: Als erstes muss geklärt werden. welche der betroffenen Anwendungen zeitkritisch oder bandbreitenintensiv sind.7] 10. Site-toSite-. wie die Durchführung von Fernwartungstätigkeiten. die Anbindung einzelner Mitarbeiter oder ganzer Standorte. sollte eine Anforderungsanalyse durchgeführt werden..6. Dabei ist auch zu klären. B. alle im konkreten Fall in Frage kommenden Einsatzszenarien zu bestimmen und andererseits daraus Anforderungen an die benötigten Hardwareund Software-Komponenten abzuleiten. welche Arten von BenutzerInnen mit welchen Berechtigungen und welchen Vorkenntnissen das VPN nutzen sollen (z.und End-to-Site-VPNs). Ziel der Anforderungsanalyse ist es einerseits. Festlegung der BenutzerInnen: Es ist zu klären. Hierbei muss auch erfasst werden. MitarbeiterInnen auf Dienstreise.6. Daher muss geklärt werden. End-to-End.(oder RAS-)Verbindung zwischen einzelnen IT-Systemen.Ein VPN (RAS)-System besteht aus mehreren Komponenten. Neben den Geschäftsprozessen müssen auch die Anwendungen. für welche Geschäftsprozesse das Virtuelle Private Netz (VPN) genutzt und welche Informationen darüber kommuniziert werden sollen. Im Rahmen der Anforderungsanalyse sind u. B. [eh Teil 2 5.4 Bevor eine VPN.10. Aus den Ergebnissen müssen die benötigten Anforderungen ermittelt und gemäß ihrer Bedeutung für das Unternehmen oder die Behörde priorisiert werden. wie diese sicher identifiziert und authentisiert werden sollen. 11. Durch das Aufstellen und Durchspielen von Nutzungsszenarien können spezielle Anforderungen an die VPN-Architektur oder die VPN-Komponenten aufgedeckt werden. Zusätzlich zu der Absicherung der Systemkomponenten muss jedoch auch ein VPN (RAS)-Sicherheitskonzept erstellt werden. AußendienstmitarbeiterInnen. VPN (RAS)-spezifischer Sicherheitsregeln. Festlegung der Anwendungszwecke: Es gibt viele unterschiedliche Nutzungsszenarien für VPNs.

von wo über das jeweilige VPN auf welches Netz und auf welche IT-Systeme zugegriffen werden darf. dass zu jeder Zeit ausreichend schnell Informationen über das VPN ausgetauscht werden können. In vielen Fällen existieren hierzu übergeordnete Regelungen oder Richtlinien. Beispielsweise können E-Mails übertragen. welche Applikationen eingesetzt werden dürfen. das über entsprechendes Wissen verfügt. Es sollte daher festgelegt werden. Hierfür muss Fachpersonal vorhanden sein. wer zu benachrichtigen ist. Erhöhte Anforderungen an die Verfügbarkeit lassen sich bei VPNs nicht immer durch technische Sicherheitsmaßnahmen abdecken.und zwar auf beiden Seiten des VPNs. die nicht unter der eigenen Kontrolle stehen und somit nicht beeinflusst werden können.• • • • • Regelung von Zuständigkeiten: Auch VPN-Komponenten müssen durch fachkundiges Personal administriert und gewartet werden. Verfügbarkeit: Besonders bei einer Standortvernetzung wird häufig gewünscht. Vertraulichkeit und Integrität: Je nach Schutzbedarf bezüglich der Vertraulichkeit und Integrität werden häufig besondere Anforderungen an das VPN gestellt. gemäß den Common Criteria zertifizierte VPN-Komponenten einzusetzen. dass Netzfreigaben nur über SMB statt NFS eingebunden werden dürfen. empfiehlt es sich. Dateien kopiert oder auf einen Webserver zugegriffen werden. Beschränkung der Netze: Mit VPNs können verschiedene Netze durch Nutzung einer sicheren Verbindung zu einem logischen Netz zusammengefasst werden. Auswahl der genutzten Applikationen und -protokolle: Über ein VPN können unterschiedliche Arten von Informationen versendet und empfangen werden. die bei der Beschaffung und beim Betrieb von VPN-Komponenten berücksichtigt werden müssen. Bei der Durchführung einer VPN-Anforderungsanalyse sollte daher festgelegt werden. mit denen die Informationen übertragen werden können. wer für die Administration und den Betrieb des VPNs zuständig ist . Neben diesen klassischen Diensten kann auch auf einem Terminalserver gearbeitet oder über VoIP telefoniert werden. Um Informationen mit hohem Schutzbedarf bezüglich Vertraulichkeit und/oder Integrität zu übertragen. wenn das VPN ausfällt oder wenn Anzeichen für einen Sicherheitsvorfall entdeckt werden. Besitzen die betroffenen Anwendungen einen höheren Schutzbedarf bezüglich der Verfügbarkeit. sollte dies bei der Anforderungsanalyse berücksichtigt werden. welche Applikationen über ein VPN genutzt werden dürfen und welche nicht. 324 . Je nach Konfiguration können dadurch alle IT-Systeme eines Netzes auf alle IT-Systeme oder nur auf bestimmte IT-Systeme der anderen Netze zugreifen. die im Allgemeinen durch zusätzliche Sicherheitsmaßnahmen abgedeckt werden können. Es muss nicht nur entschieden werden. Bei der VPN-Anforderungsanalyse sollte entschieden werden. Im Weiteren muss geklärt werden. Beispielsweise kann festgelegt werden. da VPNs oft über Netze aufgebaut werden. sondern auch die Protokolle.

Bei einer Wählverbindung könnte anhand der Ländervorwahl gefiltert werden.6. dass diese technischen Zugriffsbeschränkungen nicht absolut zuverlässig sind. Beispielsweise könnte nur der IP-Adressbereich eines oder weniger Provider zugelassen werden. dass sich mobile Mitarbeiter von beliebigen Orten unterwegs ins Institutions-LAN einwählen können. Dies betrifft beispielsweise Zugriffe auf Terminalserver oder die Telefonie über VoIP. Zusätzlich müssen also den Benutzern entsprechende organisatorische Vorgaben gemacht werden. Geographische Beschränkungen: Ein VPN kann dazu dienen. Die Anforderungen für die geplanten Szenarien sind zu dokumentieren und mit den Netzadministratoren und dem technischen Personal abzustimmen. Zu beachten ist jedoch. [eh SYS 7. auf Applikationen in einem entfernten Netz zuzugreifen.6. Vertraulichkeit. von wo auf das LAN zugegriffen werden darf. Ebenso bestehen an End-to-End-VPNs andere Anforderungen als an Site-to-Site-VPNs.1] 10.• • Bandbreite und Verzögerung: Ein VPN ermöglicht es.2. Wenn dies aber nicht gewünscht wird.2 Entwicklung eines VPN-Konzeptes ISO Bezug: 27002 10.10. die zulässige Verzögerung sowie gegebenenfalls weitere Qualitätsmerkmale des Netzes berücksichtigt werden. Als Lösungsansatz könnten die verschiedenen Anwendungszwecke zum Beispiel bezüglich ihrer Anforderungen an Bandbreite. An kleine Vertriebsbüros werden beispielsweise meist andere Anforderungen bezüglich Verfügbarkeit gestellt als an Unternehmenszentralen. Da VPN-Verbindungen oft über ein WAN aufgebaut werden. müssen für zeitkritische Anwendungen spezielle Voraussetzungen berücksichtigt werden. 11. sollte festgelegt werden.4 Ein VPN-Konzept kann grob in drei Teilbereiche unterteilt werden: • • • Organisatorisches Konzept Technisches Konzept Sicherheitskonzept 325 . Integrität und Dienstgüte (Quality of Service oder kurz QoS) klassifiziert werden. Diese Punkte müssen nicht zwangsläufig pauschal für die gesamte Institution betrachtet. besonders im Hinblick auf die verfügbare Bandbreite und Verzögerungen bei der Übertragung. Dies kann auch technisch unterstützt werden. Verfügbarkeit. Besonders bei der Vernetzung von mehreren Standorten kommt häufig nicht jeder Liegenschaft die gleiche Priorität zu. sondern können auch differenziert auf einzelne Standorte oder Anwendungszwecke angewendet werden. Für die VPN-Anforderungsanalyse sollten die benötigten Bandbreiten.

Verwaltung. Für feste entfernte Standorte (wie Telearbeitsplätze) müssen Anforderungen festgelegt werden. die beschreiben. B. welche Voraussetzungen für die Mitgliedschaft in einer Gruppe erfüllt werden müssen. für den VPN-Zugang unterschiedliche Benutzergruppen mit verschiedenen Berechtigungen zu definieren. Je nach konkreter Situation ergibt sich naturgemäß ein speziell auf die jeweiligen organisatorischen und technischen Gegebenheiten zugeschnittener zusätzlicher Abstimmungsbedarf. für die Erlaubnis zur Nutzung von Internet-Zugängen. Daher müssen Regelungen getroffen werden. eine Negativliste von besonders ungeeigneten Standorten zu führen. Mögliche Voraussetzungen sind der Einsatzzweck (z. wie und von wem die Benutzerkonten und die Zugriffsberechtigungen verwaltet und administriert werden (Berechtigungskonzept). muss jeweils innerhalb der Institution entschieden werden. Überprüfung. das festlegt. Oft existieren schon ähnliche Regelungen. Dazu können z. Wartungsarbeiten). Je nach organisatorischer Struktur müssen die Verantwortlichkeiten existierender Rollen erweitert oder neue Rollen geschaffen werden Es muss festgelegt werden. Das Konzept kann eine anfängliche sowie eine periodisch wiederkehrende Überprüfung der Räumlichkeiten und dortigen Technik vorsehen und regeln. ist dafür geeignet. Nachweis bestimmter Kenntnisse (z. Es empfiehlt sich. B. welchen Ansprüchen (z. Ein per Extranet angebundener Lieferant muss beispielsweise andere Zugriffrechte als eine angebundene Zweigstelle haben. wie und durch wen diese erfolgt. Telearbeit. Nicht jeder Ort. Die Gruppenzugehörigkeit von einzelnen BenutzerInnen sollte durch ein entsprechendes Anforderungsprofil geregelt werden. von welchen Standorten aus VPN-Verbindungen zum Ziel-LAN aufgebaut werden dürfen. B. Je nach geplantem Einsatzszenario kann es zweckmäßiger sein. Die erteilten Zugangs. die dann adaptiert werden können. Die Betriebsorte von VPN-Clients unterliegen häufig nicht der Kontrolle des LAN-Betreibers und besitzen daher auch ein besonderes Gefährdungspotenzial. die im Rahmen der Teilkonzepte beantwortet werden müssen. an dem die technischen Voraussetzungen zum VPN-Verbindungsaufbau vorhanden sind. Hotel-Business-Center oder öffentliche Verkehrsmittel gehören. Gegenüber stationären Clients kommen bei mobilen Clients weitere Gefährdungen hinzu. damit von dort VPN-Verbindungen in das LAN der Institution erlaubt werden können. z. B. 326 . Wie die Erlaubnis zum entfernten Zugriff reglementiert werden soll. B. Überwachung).Im Folgenden werden jeweils die wesentlichen Fragestellungen aufgezeigt. Das organisatorische Konzept sollte folgende Punkte beinhalten bzw. in Bezug auf Sicherheit und technischer Ausstattung) der entfernte Arbeitsplatz genügen muss. Hotel-Foyers. Außendienst-Tätigkeiten. regeln: • • • Es sollten die Verantwortlichkeiten für das jeweilige VPN festgelegt werden (Installation.und Zugriffsberechtigungen müssen dokumentiert und bei Änderungen fortgeschrieben werden. Teilnahme an Schulungen) und eine Zustimmung durch Vorgesetzte.

3. In diesem Zusammenhang muss auch ermittelt werden. B. Haben externe Zulieferer oder Kunden eine Anbindung an das VPN. Eigenbetrieb des VPNs notwendig ist oder ob auf Fremdrealisierung bzw. Bei Fremdbetrieb eines VPNs müssen die Anforderungen aus 10. die Konzeption von Maßnahmen zur Steigerung der Informationssicherheit beim VPN-Betrieb und die Einarbeitung in neue Komponenten. Ebenso müssen auch die Administratoren sowohl für die eingesetzten Produkte gründlich ausgebildet als auch über VPNSicherheitsrisiken und Sicherheitsmaßnahmen aufgeklärt werden. Die Anforderungen an die VPN-Sicherheitsmechanismen (z. Im Rahmen dieser Schulung sollen die BenutzerInnen einerseits für die spezifischen VPNGefährdungen sensibilisiert und andererseits im Umgang mit den technischen Geräten und der Software unterrichtet werden. Um einem Missbrauch vorzubeugen. müssen die Benutzer über deren ordnungsgemäße Handhabung informiert werden. sondern auch für die Suche nach Informationen über aktuelle VPN-Sicherheitslücken. ob starke Kryptographie an allen beteiligten Standorten rechtlich eingesetzt werden darf. Überprüfung der geplanten Konfiguration. Einrichtung und den Betrieb von VPNs. Diese müssen entsprechend verbindlich verpflichtet werden. Da beim entfernten Zugriff auf ein LAN besondere Sicherheitsrisiken durch die meist ungesicherte Umgebung eines VPN-Clients bestehen. sollte jede/ rjede VPN-Benutzer/in eine besondere Schulung erhalten. die tatsächlich für die Benutzer erforderlich sind. 327 . Ein weiterer wichtiger Punkt bei der Konzeption ist die grundsätzliche Frage. die Sicherheitsregelungen einzuhalten. die beschreiben. so müssen unterschiedliche Sicherheitszonen definiert werden. kann dies unter Umständen die Kompromittierung des gesamten LANs nach sich ziehen. müssen in der VPN-Sicherheitsrichtlinie die Rechte und Pflichten von VPN-BenutzerInnen festgelegt werden. wie sich eine Nichtverfügbarkeit des Systems auswirkt und welche Ausfallzeiten hingenommen werden können. Allerdings ist es nicht immer vorteilhaft oder erwünscht. wie Änderungen an der VPN-Konfiguration durchzuführen sind (Beispiel: Beantragung. Überprüfung der durchgeführten Veränderung). Authentisierung und Integritätssicherung) müssen definiert werden. Viele Dienstleister verfügen über hohe Kompetenz und Erfahrung in Bezug auf die Planung. Der Schutzbedarf für das VPN muss ermittelt werden. den kompletten Betrieb eines VPNs aus der Hand zu geben. Aus den Sicherheitszonen heraus dürfen nur die Zugriffe erlaubt werden. ob eine Eigenrealisierung bzw. -betrieb zurückgegriffen wird. Falls Authentisierungstoken zum Einsatz kommen sollen. Hierbei muss hinterfragt werden. Outsourcing beachtet werden. Durchführung. Den Administratoren muss nicht nur für den Betrieb des VPNs ausreichend Zeit zur Verfügung stehen. Dieser leitet sich aus dem Schutzbedarf der darüber übertragenen Informationen sowie der damit verbundenen IT-Komponenten ab.• • • • • • • Wird die Sicherheit von VPN-Zugängen verletzt. Für die VPNAdministration sollten deshalb Verfahren festgelegt werden.

wie das VPN durch Hardware. die die Einwahl in das LAN ermöglichen.und Software Alle Dienste und Protokolle. Relevant sind hier unter anderem: • • • Tunneling: Die Kommunikation kann auf niedriger Protokollebene verschlüsselt werden (so genanntes Tunneling). die über den VPN-Zugang zugelassen werden. und die dafür verwendeten Zugangsprotokolle sind zu beschreiben. MPLS (Multi Protocol Label Switching) oder dedizierte Leitungen benötigt. TLS/SSL-Verschlüsselung: Zur Verschlüsselung kann auch TLS/ SSL eingesetzt werden. welche Teilnetze bei Nutzung eines VPN-Zugangs erreichbar sind. Die Auswahl ist davon abhängig. Modems) erwogen werden. regeln: • • • • • Es sollte beschrieben sein. dedizierte Zugangsnetze (Access Networks) zu bilden. Im Rahmen der Sicherheitskonzeption sind alle VPN-Zugangspunkte zum lokalen Netz zu erfassen und es ist zu beschreiben. Diese sind besonders für den stationären Einsatz und zur Anbindung mehrerer Rechner sinnvoll.und SoftwareKomponenten technisch realisiert ist. Zu beachten ist jedoch. Es müssen geeignete Verschlüsselungsverfahren zum Schutz der Daten festgelegt werden. Im Rahmen einer nachgeschalteten Analyse vorhandener Systemkomponenten und am Markt beschaffbarer neuer Komponenten können die Elemente des Konzeptes tatsächlichen Geräten und Software-Produkten zugeordnet werden Alle potentiellen VPN-Endpunkte. Für einen zeitkritischen Datenverkehr werden eventuell QoS (Quality of Service). wie diese Zugangspunkte an das LAN angeschlossen werden. interne Firewall) in das produktive Netz zugegriffen werden kann. Die Komponenten werden lediglich durch ihre Funktion definiert. jedoch in unterschiedlicher Zahl und Ausprägung zur Verfügung. Die herkömmlichen VPNs stellen solche Verfahren standardmäßig. Die Bildung von Zugangsnetzen erfordert dabei die Anschaffung und Wartung zusätzlicher Hard. sowie die darüber zugreifbaren Ressourcen sind zu dokumentieren. wenn von der Verschlüsselung auf niedriger Protokollebene aus bestimmten Gründen kein Gebrauch gemacht werden kann. 328 . welche Applikationen eingesetzt werden sollen. Dies gilt besonders für Zugriffe auf Webserver oder E-Mail-Server über Browser. Dazu muss ein geeignetes Verfahren ausgewählt werden. aus denen nur kontrolliert (über Router. Es sollte überlegt werden.Das technische Konzept sollte folgende Punkte beinhalten bzw. Verschlüsselung durch Netzkoppelelemente: Neben der Absicherung der Kommunikation durch Software kann auch der Einsatz von verschlüsselnden Netzkoppelelementen (Router. Paketfilter bzw. Das Sicherheitskonzept muss aufbauend auf der aktuellen Netzstruktur analysieren. die standardmäßig TLS/SSL-gesicherte Kommunikation unterstützen. da die Verschlüsselung transparent erfolgt und die Endsysteme nicht belastet werden.

aber auch BenutzerInnen von VPN-Komponenten sollten über VPN-Gefährdungen und die zu beachtenden Sicherheitsmaßnahmen informiert bzw. konfigurieren und benutzen darf. • • • • auf welche anderen internen oder externen Netze oder IT-Systeme über ein VPN zugegriffen werden darf. End-to-End. Alle VPN-BenutzerInnen sollten darauf hingewiesen werden. Dazu sind auch eine Vielzahl von Randbedingungen festzulegen wie z. Um einen stabilen Betrieb und eine kontinuierliche Verbesserung gewährleisten zu können. Die VPN-spezifischen Vorgaben können in den vorhandenen Richtlinien ergänzt oder in einer eigenen Richtlinie zusammengefasst werden. geschult werden. Diese Entscheidung hat in der Regel erheblichen Einfluss auf die Kosten. ob die Verbindung über dedizierte CarrierLeitungen realisiert werden muss. damit dieser weitere Schritte unternehmen kann Administratoren. anhand der Anforderungen muss entschieden werden. wo die VPN-Komponenten benutzt werden dürfen. wer in der Institution VPN-Komponenten installieren. sollten geeignete Monitoring-Systeme eingeplant werden. Es sollte beschrieben sein. Diese VPN-spezifischen Sicherheitsrichtlinien müssen konform zum generellen Sicherheitskonzept und den allgemeinen Sicherheitsrichtlinien der Institution sein. Auch bei direkten Einwahlverfahren beispielsweise über analoge Telefonnetze oder ISDN ist eine Verschlüsselung zum Schutz der Daten erforderlich. B. Sie müssen regelmäßig auf Aktualität überprüft und gegebenenfalls angepasst werden. • • • welche Informationen über VPNs übertragen werden dürfen. Die aus den Monitoring-Systemen gewonnenen Erkenntnisse tragen wesentlich zur Feinabstimmung des VPN-Betriebs bei Das VPN-Sicherheitskonzept sollte folgende Punkte beinhalten bzw. welcher VPN-Typ realisiert werden soll. Die korrekte Umsetzung der in der VPN-Sicherheitsrichtlinie beschriebenen Sicherheitsmaßnahmen sollte regelmäßig kontrolliert werden. Es muss entschieden werden. Für alle VPN-Komponenten sollten Sicherheitsmaßnahmen und eine StandardKonfiguration festgelegt werden. Es gibt verschiedene Arten von VPNs (Site-to-Site.• • • dass die Netzkoppelelemente sorgfältig konfiguriert und gewartet werden müssen. dass bei einem Verdacht auf Sicherheitsprobleme ein Sicherheitsverantwortlicher hierüber informiert werden muss. 329 . regeln: • • Für den Einsatz von VPN-Komponenten in Behörden und Unternehmen müssen geeignete Sicherheitsrichtlinien aufgestellt werden. End-to-Site).

an welche anderen internen und externen Netze oder IT-Systeme der VPNClient gekoppelt werden darf. Hierzu gehört vor allem der Umgang mit klassifizierten Informationen. eine eigene VPN-BenutzerInnenrichtlinie zu erstellen. wer zu benachrichtigen ist. dass klar beschrieben wird. in Form eines Merkblattes.• Um BenutzerInnen nicht mit zu vielen Details zu belasten. z. welche Daten im VPN genutzt und übertragen werden dürfen und welche nicht. Daneben sollte eine VPN-spezifische Richtlinie für Administratoren erstellt werden. • welche Schritte bei (vermuteter) Kompromittierung des VPN-Clients zu unternehmen sind. nur durch die hierfür benannten Administratoren. Dazu gehört beispielsweise. wer für die Administration der unterschiedlichen VPN-Komponenten zuständig ist. dass für den Betrieb der serverseitigen Komponenten eine andere 330 . fremd-administrierte IT-Systeme können ebenso ungeeignet sein. wie mit Client-seitigen Sicherheitslösungen umzugehen ist. welche Schnittstellen es zwischen den am Betrieb beteiligten Administratoren gibt. beispielsweise Verschlusssachen. und • alle Freigaben von Verzeichnissen oder Diensten deaktiviert oder zumindest durch gute Passwörter geschützt sind. und wann welche Informationen zwischen den Zuständigen fließen müssen. dass VPNs nur von geeigneten Standorten und mit von der Institution dafür zugelassenen ITKomponenten aufgebaut werden dürfen. Passwörter nicht auf dem Client gespeichert werden dürfen. BenutzerInnen sollten für VPN-Gefährdungen sowie für Inhalte und Auswirkungen der VPN-Richtlinie sensibilisiert werden. Hotel-Business-Center oder öffentliche Verkehrsmittel sein. Außerdem sollte die BenutzerInnenrichtlinie Angaben dazu enthalten. dass • • • • • • • keine sicherheitsrelevanten Konfigurationen verändert werden dürfen. wie z. Wichtig ist auch. vor allem. • unter welchen Rahmenbedingungen sie sich an einem internen oder externen VPN anmelden dürfen. kann es sinnvoll sein. BenutzerInnen sollten darauf hingewiesen werden. Hotel-Foyers. Darin sollte festgelegt sein. B. So ist es durchaus üblich. Ungeeignete Standorte können je nach Einsatzzweck z. B. die auch als Grundlage für die Schulung der Administratoren dienen kann. eine vorhandene Personal Firewall nicht abgeschaltet werden darf • • die Konfiguration der VPN-Clients nicht von den BenutzerInnen verändert werden darf. es sei denn mit von dafür freigegebenen Passwort-Speicher-Tools stets ein Virenscanner aktiviert sein muss. In einer solchen BenutzerInnenrichtlinie sollten dann kurz die Besonderheiten bei der VPN-Nutzung beschrieben werden. B.

Die VPN-Richtlinie für Administratoren sollte weiterhin die wesentlichen Kernaspekte zum Betrieb einer VPN-Infrastruktur umfassen.6. Alle VPN-AnwenderInnen. dass sie den Inhalt der VPN-Sicherheitsrichtlinie gelesen haben und die darin definierten Anweisungen auch einhalten. Die VPN-Planung muss der Leitungsebene zur Entscheidung vorgelegt werden.2] 10. aufzubewahren. beispielsweise in der Personalakte. Regelmäßige Auswertung von Protokolldateien. wie beispielsweise die Vernetzung unterschiedlicher Standorte und die Anbindung mobiler Mitarbeiter oder Telearbeitern an das interne Netz. Dementsprechend unterscheiden sich die Anforderungen der Institutionen und müssen bei der Auswahl von VPN-Produkten berücksichtigt werden.und Berechtigungsmanagement. • • • • • • • Festlegung einer sicheren VPN-Konfiguration und Definition von sicheren Standard-Konfigurationen.6. B. in denen VPNs üblicherweise eingesetzt werden.4 Unternehmen und Behörden haben vielfältige Anforderungen an Netze. • Mobile MitarbeiterInnen: 331 .3 Auswahl einer geeigneten VPN-Systemarchitektur ISO Bezug: 27002 10. Die unterschriebenen Erklärungen sind an einem geeigneten Ort. beschrieben. Auswahl und Einrichtung von Kryptoverfahren inklusive Schlüsselmanagement. Typische VPN-Nutzungsszenarien: Nachfolgend werden einige Einsatzszenarien. 11. Ohne diese schriftliche Bestätigung sollte niemand VPNs nutzen dürfen. zumindest auf den Servern. wie z.Organisationseinheit zuständig ist als für die Betreuung der VPN-Clients oder für das Identitäts. Alle Entscheidungen müssen nachvollziehbar dokumentiert werden. egal ob BenutzerInnen oder Administratoren.2. geeignete Verwaltung aller VPN-Komponenten. Maßnahmen bei Kompromittierung des VPNs. sollten mit ihrer Unterschrift bestätigen.10. Inbetriebnahme von Ersatzsystemen. [eh SYS 7.

• • • Mobile MitarbeiterInnen arbeiten an wechselnden Arbeitsplätzen in unterschiedlichen Umgebungen und benötigen dabei unter Umständen einen Fernzugriff auf Daten im LAN innerhalb der Institution. dass sich die MitarbeiterInnen von beliebigen Arbeitsorten. die unter eigener Kontrolle stehen. Folgende Szenarien sind typisch Es sollen bestimmte interne Informationen bereitgestellt werden. Hierbei werden die vertrauenswürdigen LANs. dass mit einem Sicherheitsgateway (Firewall) vom LAN der Institution getrennt ist.und Partner-Anbindung:: Häufig sollen Kunden oder Partner an das interne Netz einer Institution angebunden werden. dass nur auf die freigegebenen Ressourcen zugegriffen werden kann. Da die IT-Systeme der Kunden oder der Partner nicht unter der Kontrolle der Institution stehen. Support und Betrieb) interner Systeme kann durch eigene oder fremde MitarbeiterInnen durchgeführt werden. h. Neben der Absicherung solcher Verbindungen muss auch die Sicherheit des Endgeräts sowie dessen Einsatzumgebung beachtet werden. muss gewährleistet werden. Beispielsweise könnten alle IT-Systeme. z. auf die Kunden oder Partner zugreifen können. • Auf internen Systemen soll durch externe Firmen Software entwickelt werden. h. Die Kommunikation zwischen Telearbeitsrechner und LAN erfolgt normalerweise über unsichere. um Waren aussuchen und bestellen zu können. Fernwartung: Bei der Durchführung von Fernwartungstätigkeiten sind privilegierte Administratorzugänge auf interne Systeme erforderlich. B. Die Endgeräte der Mitarbeiter sind typischerweise Laptops oder PDAs. einem Hotel oder Flughafen. sollen externe Datenbanken abgefragt werden. d. In beiden Fällen bestehen • • 332 . Die Fernwartung (Wartung. Telearbeitsplatz: Bei der Anbindung eines Telearbeitsplatzes greift ein Client-System von einem festen Arbeitsort außerhalb der Büroumgebung auf das interne Netz einer Institution zu. z. häufig über ein unsicheres öffentliches Transportnetz verbunden. von "innen". Die IT-Systeme des Telearbeitsplatzes sollten zentral administriert werden. abgerufen werden können. d. ins interne Netz einwählen möchten. In diesem Szenario ist besonders der Transportkanal abzusichern. • Aus dem vertrauenswürdigen Netz heraus. Kunden. öffentliche Netze. von "außen". so dass diese aus einem nur eingeschränkt vertrauenswürdigen Netz. Je nach Aufgabengebiet kann es sein. B. in einem separaten Netz betrieben werden. Standortvernetzung:: Bei der Standortvernetzung werden Teilnetze an unterschiedlichen Standorten einer Institution miteinander verbunden. Zusätzlich müssen die Netze und die Client-Systeme der Standorte mittels Sicherheitsgateways gegen Angriffe aus dem Internet gesichert werden.

End-to-End-VPN End-to-End-VPNs werden meist für die Nutzung einzelner Anwendungen verwendet. Eine typische Verwendung für Verbindungen zwischen LANs ist die Anbindung von Außenstellen oder Filialen an das institutionsinterne Netz. • • Site-to-Site-VPN Mit Site-to-Site-VPNs werden Netze gekoppelt. Bei den VPN-Endpunkten muss für eine sichere Authentisierung gesorgt werden. Hierbei ist. die sich in unsicheren Netzen befinden. um entfernte physische Netze zu einem logischen zusammenzufassen oder um einzelne Endgeräte. könnte die gesamte WLAN-Kommunikation mit einem VPN. Der initiierende Endpunkt wird als VPN-Client bezeichnet. VPN-Typen VPNs können eingesetzt werden. Die Vernetzung der einzelnen VPN-Endpunkte untereinander muss anhand der Ergebnisse der Anforderungsanalyse durchgeführt werden.3. End-to-End. Ein derartiger VPNClient greift oft sehr stark in das installierte Betriebssystem ein. nutzen zu können. Outsourcing berücksichtigt werden.und End-to-Site-VPNs unterschieden. Werden fremde MitarbeiterInnen beauftragt. Die Signalisierung und der Medientransport einer VoIPVerbindung könnten ebenfalls in einem VPN-Tunnel gebündelt und verschlüsselt werden. Der Transportkanal wird durch VPN-Gateways in den angeschlossenen Netzen gesichert. Unterstützen beispielsweise die vorhandenen WLAN-Komponenten selbst keine sichere Verschlüsselung. über einen geschützten Kanal an ein zentrales LAN anzubinden. VPN-Endpunkte Bei den VPN-Endpunkten wird grundsätzlich zwischen VPN-Server und VPNClient unterschieden. Derjenige Endpunkt. VPN-Endpunkte lassen sich entweder per Software oder per Hardware realisieren. denkbar. Die Verbindungen lassen sich auf spezielle Systeme und Dienste beschränken. VPNs werden häufig auch verwendet. das unabhängig vom WLAN ist. beispielsweise eines RADIUS-Servers. wird zwischen Site-to-Site-. müssen die Empfehlungen aus10. Bei MitarbeiterInnenn im Außendienst besteht der VPN-Client in der Regel aus einer Software-Applikation auf einem mobilen IT-System.hohe Anforderungen an die Authentisierung des entfernten Benutzers. Die parallele Installation mehrerer unterschiedlicher VPN-Clients auf einem Endgerät sollte daher vermieden werden. Es werden netzübergreifende Zugriffe benötigt. auch der Einsatz eines Authentisierungsservers. um gemeinsame Anwendungen betreiben bzw. fungiert als VPN-Server. Je nachdem. je nach Anwendungsgebiet. die Datenflusskontrolle und die Verfügbarkeit der Anbindung. um die Kommunikation einzelner Protokolle und Anwendungen zu schützen. zu dem die Verbindung aufgebaut wird. damit nur Berechtigte sich über das VPN einwählen können. die IT-Systeme zu warten. verschlüsselt übertragen werden. welche Systeme den Endpunkt der VPN-Verbindung darstellen. Typische Verwendungen für End-to-End-VPNs sind: 333 .

334 . die auf unterschiedlichen IT-Systemen im LAN einer Institution liegen. die nur über spezielle Einwahl-Knoten erreicht werden können. Für mobile NutzerInnen stellen Dienstleister zudem VPNs über Gateway-Router bereit. TelearbeiterInnen und mobile BenutzerInnen werden in der Regel mit End-to-Site-VPNs in das LAN integriert.bzw. Dabei werden die Daten aus dem vertrauenswürdigen Netz in der Regel unverschlüsselt über einen dedizierten Kommunikationskanal zu einem Gateway-Router des Anbieters geleitet. • Zugriffe auf einzelne Anwendungen oder Datenbanken. mittels Multiprotocol Label Switching. Zur Absicherung des Transportkanals können jedoch auch andere Methoden eingesetzt werden. Solche VPNs werden für Zugriffe eines Clients auf mehrere Anwendungen verwendet. Zusätzlich werden zwei grundlegende VPN-Varianten unterschieden: Trusted-VPN und SecureVPN. Dadurch wird Zugriff auf das gesamte Netz benötigt. Wird ein externer Dienstleister beauftragt. wie beispielsweise spezielle Funktionen des genutzten Transportprotokolls. ein Trusted-VPN zur Verfügung zu stellen. bei der Zugriffe auf Administratorebene erforderlich sind. • Zugriffe über Terminalserver. Systemebene auf dem Terminalserver sind dafür normalerweise nicht erforderlich. so dass meist VPN-Software auf dem Client-System und ein VPN-Gateway im LAN den Transportkanal sichern. wie beispielsweise TLS/SSL-VPN oder IPSec-VPN. Systemebene häufig nicht erforderlich. Durch Fernzugriff auf ein entferntes System können viele dort installierte Anwendungen genutzt werden.3. Outsourcing berücksichtigt werden. B. wenn die VPN-Verbindung zwischen verschiedenen Standorte durch vertrauenswürdige externe VPN-Dienstleister gewährleistet wird. VPNs werden als Trusted-VPN bezeichnet. sollte zusätzlich Kapitel 10. MPLS). • VPN-Varianten Der Begriff VPN wird oft als Synonym für verschlüsselte Verbindungen verwendet. die vor unberechtigtem Zugriff geschützt sind. VPN-Varianten werden häufig auch nach dem eingesetzten VPN-Protokoll benannt.• Fernwartung dedizierter Systeme.bzw. Berechtigungen auf Administrator. Hierbei sind Berechtigungen auf Administrator. • Integration von Geschäftspartnern oder Kunden in Teilbereiche des zentralen Datennetzes einer Institution. Die Bildung des VPNs erfolgt durch logische Abschottung des VPN-Datenverkehrs vom übrigen Datenverkehr (z. End-to-Site-VPN (Remote-Access-VPN) End-to-Site-VPNs werden auch als Remote-Access-VPN (RAS-VPN) bezeichnet.

ALGs) darstellen. B. Diese Lösung wird auch als Secure-VPN bezeichnet. ein Kombi-Gerät oder eine softwarebasierte VPN-Lösung auf Standard-IT-Systemen (z. die im eigenen Verantwortungsbereich des VPN-Nutzers liegt. da beispielsweise das Betriebssystem bereits gehärtet ist. Die Verschlüsselung kann an den VPN-Endpunkten auf Transportebene (Secure-VPN) oder auf Anwendungsebene erfolgen. wenn die Kommunikation an den Endpunkten der Verbindung durch Verschlüsselung geschützt wird. die über eine VPN-Funktionalität verfügen oder entsprechend erweitert werden können. Application Level Gateways. ob das gewählte VPN-Produkt ein dediziertes VPN-Gerät. Manche Kombi-Geräte bieten die Möglichkeit. wie beispielsweise Inhaltsfilterung auf Anwendungsebene. Für die vertrauliche Datenkommunikation empfiehlt sich daher ein Secure-VPN. Kombi-Geräte: Integrierte VPN-Geräte können beispielsweise Router und andere Komponenten von Sicherheitsgateways (z. Bei einer intensiven VPN-Nutzung ist daher zu prüfen. handelt es sich um eine Sonderform eines Trusted-VPNs. Die Kombination verschiedener Funktionalitäten auf einem Gerät kann jedoch zu Lasten der Performance gehen. dass sie für den VPN-Einsatz optimiert sind und die sichere Konfiguration vereinfacht wird. Diese Komponenten können oft auf handelsüblicher Hardware mit Standardbetriebssystemen installiert werden. VPNs auf Basis von Standard-IT-Systemen: VPN-Geräte können mit frei verfügbaren oder kommerziellen SoftwareKomponenten selbst zusammengestellt werden. ob aus Gründen der Verfügbarkeit oder des Durchsatzes eigenständige VPN-Komponenten vorzuziehen sind. Kombi-Geräte haben neben den finanziellen Aspekten oft den Vorteil. Auch in diesem Fall müssen vertrauliche Daten vor der Übertragung durch Verschlüsselung geschützt werden. nachträglich spezielle HardwareVerschlüsselungsmodule zur Steigerung der Performance einzubauen. Linux mit IPSec) sein soll: • • • Dedizierte VPN-Gateways (Appliances): Diese VPN-Produkte dienen ausschließlich der Realisierung von VPNVerbindungen und bieten keine darüber hinausgehenden Funktionalitäten. dass die unterschiedlichen Funktionalitäten gemeinsam an einer Stelle administriert werden können. da die Sicherheit solcher Verbindungen ausschließlich in Händen des VPN-Dienstleisters liegt. VPN-Geräte Grundsätzlich muss eine Entscheidung darüber getroffen werden. Werden für die Realisierung des VPNs dedizierte Carrier-Leitungen eingesetzt. Zusammengestellte VPN-Geräte bieten eine hohe Flexibilität und 335 . B.Für vertrauliche Daten sind Trusted-VPNs ohne zusätzliche Verschlüsselung auf der Anwendungsschicht nicht geeignet. So bietet ein Trusted-VPN zum Beispiel keinen Schutz gegen Innentäter des Anbieters. die im eigenen Verantwortungsbereich des VPN-Nutzers liegt. VPN-Appliances haben den Vorteil. Die Abhängigkeit von Dritten in Bezug auf Vertraulichkeit kann vermieden werden.

Schlüsselmanagement: Zum Schlüsselmanagement müssen geeignete Funktionen vorhanden sein. von Systemen gegenüber BenutzerInnen und von BenutzerInnen gegenüber Systemen. um geheime und öffentliche Schlüssel für die kryptographischen Mechanismen verwalten. Außerdem muss die Authentizität der Kommunikationspartner gewährleistet werden. Es muss möglich sein. dass das Produkt sichere kryptographische Mechanismen bietet. Wichtig ist dabei. verteilen und eventuell auch erzeugen zu können. Es muss außerdem möglich sein. Die ausgewählten Produkte sollten dabei möglichst flexibel sein und eine nahtlose Integration verschiedenster Techniken ermöglichen. dass bei Support-Anfragen meist unterschiedliche Ansprechpartner für die einzelnen Komponenten des VPNGerätes (z. Betriebssystem. QoS): Im Zusammenhang mit Netzübergängen ist der Begriff Dienstgüte als Überwachung und Steuerung der Kommunikation zu verstehen. Authentisierung und Autorisierung: Hierunter fallen die Identifikation und Authentisierung von Systemen untereinander. 336 . Dienstgüte (Quality of Service. die festgelegten Zugriffsrechte auf den VPN-Komponenten abbilden zu können. Übertragungssicherung: Zur Übertragungssicherung kommen Funktionen zum Einsatz. Ein weiterer Nachteil ist. die dem Stand der Technik entsprechend. VPN-Software) kontaktiert werden müssen. Ein geeignetes Produkt muss die bei der VPNKonzeption ermittelten Anforderungen erfüllen können und eine Priorisierung von geschäftskritischen Applikationen ermöglichen. welche die Vertraulichkeit und Integrität der Daten sichern. Hardware. Folgende Sicherheitsgrundfunktionen müssen bei der Auswahl von VPN-Produkten erfüllt werden: • • • • Identifikation. Daraus können sich Sicherheitsrisiken beim Einsatz eines zusammengestellten VPNGerätes ergeben. Bei der Planung und Realisierung des VPNs muss außerdem die Integration der VPN-Endpunkte in ein Sicherheitsgateway berücksichtigt werden. Remote-Zugriffe sollten durch eine starke Authentisierung abgesichert werden. Die Installation und Integration der benötigten Komponenten kann jedoch fehlerträchtig sein. Es sollten ausreichend starke anerkannte Authentisierungsverfahren vorhanden sein. die über ein Sicherheitsgateway erfolgen darf.sind für viele Anwendungsfälle gut geeignet. verschiedene Benutzerkennungen mit unterschiedlichen Rechteprofilen einzurichten. B.

B. konfigurieren und nutzen? Genügt das Produkt den geltenden Ergonomievorschriften? Ist insbesondere für den VPN-Client die Benutzerführung so gestaltet. Online-Dokumentation. Neben den hier aufgeführten Kriterien müssen weitere spezifische Anforderungen erarbeitet werden. dass die BenutzerInnen möglichst wenig mit technischen Details belastet werden? Ist die Sicherheit dabei trotzdem immer gewährleistet? 337 . erhebt jedoch keinen Anspruch auf Vollständigkeit und kann um weitere allgemeine Anforderungen erweitert werden. einfaches Einbinden neuer VPN-Server. durch modularen Systemaufbau. bei Problemen sofort zu helfen? Zuverlässigkeit/Ausfallsicherheit • • • • Ist das Produkt einfach wartbar? Bietet der Hersteller regelmäßige Software-Updates an? Wird für das Produkt ein Wartungsvertrag angeboten? • • • • • • • Wie zuverlässig und ausfallsicher ist das Produkt? Bietet der Hersteller auch Hochverfügbarkeitslösungen an? Ist das Produkt im Dauerbetrieb einsetzbar? Benutzerfreundlichkeit Lässt sich das Produkt einfach installieren. B. Hotline) an. detaillierte Fehlermeldungen)? Ist die Nutzung des VPN-Clients so konfigurierbar. ohne Abstriche in der Sicherheit in Kauf nehmen zu müssen (z. der in der Lage ist.Die nun folgende Liste gibt einen Überblick über mögliche allgemeine Bewertungskriterien. die aus den geplanten konkreten Einsatzszenarien resultieren. durch kontextsensitive Hilfen. gemeinsame Benutzerverwaltung für alle VPN-Zugänge)? Wartbarkeit • • • Kann das Produkt den Ansprüchen an die Performance gerecht werden? Bietet das Produkt Funktionen zur Lastverteilung? • Können im Rahmen der Wartungsverträge maximale Reaktionszeiten für die Problembehebung festgelegt werden? • Bietet der Hersteller einen kompetenten technischen Kundendienst (CallCenter. • • Allgemeine Kriterien Performance und Skalierbarkeit • Können die Produkte die zu übertragenen Informationen komprimieren und dekomprimieren? • Kann das Produkt einem zukünftigen Wachstumsbedarf gerecht werden (z. dass auch ungeübte BenutzerInnen damit arbeiten können.

unsichere oder inkonsistente Konfigurationen hingewiesen wird oder diese verhindert werden? • Wird neben der graphischen Administrationsoberfläche auch eine kommandozeilenbasierte Schnittstelle angeboten? • Sind die administrativen Funktionen durch eine adäquate Zugriffskontrolle geschützt? Protokollierung • • • • • • Bietet das Produkt geeignete Funktionen zur Protokollierung an? Ist konfigurierbar. benutzerorientiert. wie sich das System nach einem kritischen Fehler verhalten soll? Kann z.• • Funktion Installation und Inbetriebnahme • • • • • • • Kann die Installation der VPN-Client-Software automatisiert mit vorgegebenen Konfigurationsparametern erfolgen? Ist die Installation der VPN-Client-Software auch für weniger versierte MitarbeiterInnen durchführbar? Können wichtige Konfigurationsparameter vor Veränderungen durch BenutzerInnen geschützt werden? Arbeitet das Produkt mit gängiger Hard. protokollorientiert.und Software zusammen (Betriebssysteme. verbindungsorientiert. die sich intuitiv bedienen lässt? Ist die administrative Schnittstelle so gestaltet. Einsteckkarten . dienstorientiert)? 338 . dass die Daten nach unterschiedlichen Kategorien erfasst werden können (z. eingestellt werden. wie detailliert die Protokollierung erfolgt und welche Arten von Ereignissen aufgezeichnet werden? Werden durch die Protokollierung alle relevanten Daten erfasst? Ist die Protokollierung in der Weise möglich. B. Treiber)? Ist das VPN mit gängigen Systemmanagementsystemen kompatibel? Verhalten im Fehlerfall Bleibt die Sicherheit des VPN-Zugangs auch nach einem kritischen Fehler gewährleistet? • Kann konfiguriert werden. dass nach einem kritischen Fehler automatisch ein Neustart durchgeführt oder der Administrator benachrichtigt wird? Administration Enthält die mitgelieferte Produktdokumentation eine genaue Darstellung aller technischen und administrativen Details? • Kann die Administration über eine graphische Benutzeroberfläche erfolgen. dass auf fehlerhafte. B.

TCP/IP)? • Werden für den Internet-basierten Zugriff die gängigen Tunnel-Protokolle (z. ISDN. L2F. ein Benutzerkonto zu sperren. Kanalbündelung für ISDN. B. insbesondere hinsichtlich Übertragungsformat und Übertragungsprotokoll? • Bietet das Produkt die Möglichkeit an. Ethernet. Authentisierung und Zugriff • • Sind die Protokolldaten mit einem Zugriffsschutz versehen? • • • • Bietet das Produkt geeignete Funktionen zur gesicherten Datenübertragung an? Erfolgt die Absicherung der Kommunikation durch standardisierte Mechanismen? 339 . B. B. angepasst werden? Kommunikation und Datenübertragung Unterstützt das VPN-Produkt LAN-seitig alle relevanten Netzwerktechnologien (z. ATM)? • Unterstützt das VPN-Produkt WAN-seitig alle geplanten Zugangstechnologien (z. SLIP)? • Unterstützt das VPN-Produkt die gängigen Dienstprotokolle für den entfernten Zugriff (z. B. Rückruf des VPN-Clients durch den VPN-Server) an? Sicherheit: Kommunikation. syslog)? Können die Protokolldaten abgesichert übertragen werden? • Bietet das Produkt leicht bedienbare Funktionen zur Auswertung der Protokolldaten an? • Kann die Protokollierung mit dem eingesetzten Systemmanagementsystem zusammenarbeiten. ausreichend? • Unterstützt das VPN-Produkt die gängigen Protokolle für den entfernten Zugang über Telekommunikationsnetze (z. technologieabhängige Mechanismen (z. sondern auch auf entfernten Rechnern (zentrales Protokoll)? Werden für die entfernte Speicherung gängige Verfahren angeboten. analoge Telefonleitung. die sich gleichzeitig in den VPN-Server einwählen können. die für und in der Institution gelten. wenn mehrere fehlgeschlagene Authentisierungsversuche in Folge für das jeweilige Benutzerkonto festgestellt werden. B.• Können die Protokolldaten nicht nur lokal gespeichert werden.25)? • Ist die Anzahl der VPN-Clients. Mobiltelefon. • Kann die Protokollierung an die spezifischen Bestimmungen des Datenschutzes. beim Auftreten bestimmter Ereignisse den Administrator zu informieren oder auch geeignete Schutzmaßnahmen automatisch durchzuführen? Beispielsweise ist es oft sinnvoll. IPSec. X. PPTP. B. SSL) unterstützt? • Bietet das VPN-Produkt je nach verwendeter Zugangstechnologie zusätzliche. so dass auch Fremdsysteme zur Protokollierung benutzt werden können (z. PPP. B.

4 Mit dem Aufbau eines VPNs kann begonnen werden. inwieweit sie diese Anforderungen erfüllen. bevor ihnen Zugang zu lokalen Ressourcen gewährt wird? Können mehrere Authentisierungsmechanismen miteinander verknüpft werden? Ist die Systemarchitektur so aufgebaut. da spätere Änderungen oft mit hohen Kosten oder auch mit Sicherheitseinbußen verbunden sind. MOA-ID) einzubinden? Sind alle Anforderungen an das zu beschaffende Produkt dokumentiert. z.6.Implementierung ISO Bezug: 27002 10. sobald die erforderlichen Komponenten dafür beschafft worden sind (vgl. Vor der Installation muss überprüft werden.2.6. RADIUS? Ist es möglich. 340 . Daher sollten die einzelnen Anforderungen entsprechend ihrer Relevanz für die Institution gewichtet werden. TACACS+. zusätzliche externe Authentisierungsdienste (z. dass die Installation und Konfiguration aller Komponenten gewissenhaft erfolgt und sich mit den gewählten VPN-Produkten auch tatsächlich die geforderten Sicherheitsfunktionen umsetzen lassen. 11. Die Auswahl der VPN-Geräte stellt einen wesentlichen Aspekt für den reibungslosen Betrieb eines VPNs dar. dass nicht jedes Produkt alle Anforderungen gleichzeitig oder gleich gut erfüllt. Auf der Grundlage der durchgeführten Produktbewertung kann dann eine fundierte Kaufentscheidung getroffen werden. B. ob die ausgewählten Produkte tatsächlich die Anforderungen ausreichend erfüllen und kompatibel mit den vorgesehenen Technologien sind. Es ist zu erwarten. Die Entscheidung muss daher gut überlegt sein. so müssen die am Markt erhältlichen Produkte dahingehend untersucht werden. Grundvoraussetzung für den sicheren VPN-Betrieb ist.11 Remote Access (VPN) .B.• • • • • • • Sind alle verwendeten kryptographischen Verfahren etabliert. voranstehende Maßnahmen)). [eh SYS 7. SecureID. und entsprechen sie dem Stand der Technik? Erlaubt die Produktarchitektur eine nachträgliche Installation neuer Sicherheitsmechanismen? Bietet das Produkt geeignete Funktionen zur Authentisierung der BenutzerInnen. Analog kann auch der Erfüllungsgrad einer Anforderung durch das jeweilige Produkt in mehrere Stufen eingeteilt werden.3] 10. dass neue Authentisierungsmechanismen nachträglich integriert werden können? Erlaubt das VPN die Nutzung eines oder mehrerer gängiger externer Authentisierungsdienste.

bei denen die Konfiguration der Plattform vom Hersteller vorgegeben ist und nicht geändert werden kann (VPNAppliances). Es gibt auch VPN-Komponenten.2. z.10. die für die IT-Komponenten zu beachten sind. 341 . Die korrekte Funktion jeder einzelnen Komponente muss überprüft werden (z. 10. Beispielsweise muss geklärt werden. auf denen ein Standard-Betriebssystem installiert ist und das als VPN-Endpunkt betrieben wird (Beispiel: Linux-System mit VPN-Unterstützung). Andererseits muss beim Einsatz von Appliances den Vorgaben des Herstellers vertraut werden. Firmware-Updates eingespielt werden. dass die Installation mit den Planungsvorgaben übereinstimmt. wenn die zu vernetzenden Standorte geografisch weit voneinander entfernt sind.4 Zusätzlich zu den generellen Sicherheitsmaßnahmen. dürfen nur von qualifiziertem IT-Personal installiert werden. Die Qualität der Dokumentation spielt im Hinblick auf die kontinuierliche Verbesserung des VPNs eine wesentliche Rolle. Auch VPN-Endpunkte auf mobilen IT-Systemen.1 Sichere Installation des VPN-Systems ISO Bezug: 27002 10. Es dürfen in dieser Phase also keine Verbindungen zu anderen Netzen vorhanden sein. dass die Installation aller VPN-Komponenten durch qualifiziertes Personal durchgeführt wird. für die Konfiguration des Betriebssystems. Dies kann entweder durch eine separate Installationsdokumentation erfolgen oder aber durch eine Bestätigung. Der Einsatz solcher VPN-Geräte spart einerseits Zeit und es wird im Gegensatz zu einer individuellen Lösung weniger fachkundiges IT-Personal benötigt. Die Installation und Konfiguration der VPN-Komponenten ist zu dokumentieren.6. durch Funktionsprüfungen bzw. auf denen die VPN-Komponenten eingesetzt werden.Zusätzlich muss die Sicherheit der IT-Systeme gewährleistet werden. Selbsttests oder Lasttests). B. Bei den eingesetzten Produkten müssen vor der Inbetriebnahme alle aktuellen sicherheitsrelevanten Patches bzw. ob die nötigen Personalressourcen für eine VPN-Installation auch in anderen Ländern zur Verfügung stehen. Abweichungen von der festgelegten Systemarchitektur (beispielsweise zusätzliche Verbindungen) müssen hierbei begründet und dokumentiert werden. beispielsweise Laptops von AußendienstmitarbeiterInnenn. B. 10. Daher sind zunächst die generellen Sicherheitsmaßnahmen für jedes dieser Betriebssysteme umzusetzen. wie sie in den jeweiligen Bausteinen der IT-Grundschutz-Kataloge beschrieben werden. Es muss sichergestellt werden. 11.11. sollten im Rahmen der Installation einesVPN-Systems folgende Punkte Beachtung finden: • • • • • Während der Installationsphase sollten weder BenutzerInnen noch Dritte auf das VPN oder Teile davon zugreifen dürfen. Dies kann vor allem dann schwierig sein. Dies betrifft besonders IT-Systeme.6.

die einmal eingestellt und nie wieder verändert wird. Es ist Aufgabe der für das VPN zuständigen Administratoren. Der Verlust der Vertraulichkeit von Informationen oder der Datenintegrität ist ebenfalls denkbar.11. bereits in der Testumgebung Performance-Messungen und einen Testlauf der Schlüsselverteilung durchzuführen. neue Nutzungsszenarien.6.2 Sichere Konfiguration des VPN-Systems ISO Bezug: 27002 10. damit anschließend der laufende Betrieb aufgenommen werden kann. kann nicht davon ausgegangen werden. so kann mit der in der Folge beschriebenen sicheren Konfiguration des VPNs begonnen werden.4 Alle VPN-Komponenten müssen sorgfältig konfiguriert werden. Vielmehr wird die Konfiguration üblicherweise fortlaufend geändert. B.6. Fehlfunktionen und/oder Ausfällen führen. Für den reibungslosen Betrieb des VPNs sind die in 10. Beispielsweise sollten die Verschlüsselung der Verbindung sowie die eingesetzten Authentisierungsfunktionen mittels eines Netzanalyse-Tools überprüft werden Bevor das System in den Produktiveinsatz genommen wird.4] 10. Diese muss das System in einen sicheren Betriebszustand überführen. muss es in einer vom Produktivnetz getrennten Umgebung aufgebaut und entsprechend getestet werden. Nach Abschluss der Installation ist die korrekte Funktion des Gesamtsystems zu überprüfen (Abnahme und Freigabe der Installation). da es durch eine ungeeignete Konfiguration von VPN-Komponenten zu einem Verlust der Verfügbarkeit des Netzes oder Teilen davon kommen kann. ergibt sich eine erhöhte Komplexität der Gesamtkonfiguration.12 Sicherer Betrieb des VPN-Systems erwähnten Handlungsweisen essenziell. dass nur die zum Test befugten Personen Zugriff auf das VPN erhalten.• • Für jede sicherheitsrelevante Einstellung muss ein Funktionstest der Sicherheitsmechanismen durchgeführt werden. spielt daher die korrekte Konfiguration der beteiligten Komponenten eine wesentliche Rolle. ob es sich bei VPN-Komponenten um dedizierte Hardware (Appliances) oder softwarebasierte Systeme handelt. Die dabei gewonnenen Erkenntnisse und Korrekturmaßnahmen müssen angemessen dokumentiert und in das Feinkonzept eingearbeitet werden. Da die Konfiguration eines VPN-Systems in der Regel Veränderungen unterworfen ist (z. dass jeweils nur 342 . Da ein VPN aus mehreren Komponenten und deren Konfiguration besteht. [eh SYS 7. dass es genau eine sichere (und statische) Konfiguration gibt. Ist die grundlegende Installation erfolgt. durch Personaländerungen. Das Ändern eines Konfigurationsparameters bei einer Komponente kann im Zusammenspiel mit den anderen Komponenten zu Sicherheitslücken.2. Bei allen durchgeführten Tests ist darauf zu achten. Ebenfalls ist es empfehlenswert. 11. Systemerweiterungen). Unabhängig davon.6.

Hier sollten möglichst restriktive Einstellungen gelten. 11.sichere Versionen der Systemkonfiguration definiert werden und das System von einer sicheren Konfiguration in die nachfolgende sichere Konfiguration überführt wird. ob neu bekannt gewordene Sicherheitslücken Anpassungen erfordern. Der erste Schritt bei der Grundkonfiguration muss daher sein. ausreichend komplexe Passwörter ersetzt werden Nach der Installation und vor der Inbetriebnahme muss . 11.eine sichere Anfangskonfiguration durch die Administratoren eingestellt werden. 10. Voraussetzungen hierfür sind die sichere Installation (vgl. 11.ausgehend von der Default-Konfiguration . so dass nur die berechtigten Administratoren Veränderungen vornehmen können. sind nicht unbedingt auf Sicherheit.3 VPNs sind aufgrund der übertragenen Daten attraktive Ziele für Angreifer und müssen daher sicher betrieben werden.10. Standardpasswörter müssen durch eigene. [eh SYS 7.11. die Grundeinstellungen zu überprüfen und entsprechend den Vorgaben der Sicherheitsrichtlinie anzupassen. Im einfachsten Fall besteht die Notfallkonfiguration darin. Die Grundeinstellungen. für jede der definierten Situationen eine adäquate Notfallkonfiguration festzulegen.1 Sichere Installation des VPN-Systems) und Konfiguration (vgl.2. sondern auf eine einfache Installation und Inbetriebnahme optimiert. eine erste Betriebskonfiguration einzustellen. In der Regel werden durch die Notfallplanung mehrere Notfallsituationen definiert. Generell kann zwischen den folgenden Konfigurationskategorien unterschieden werden: • • • • Die Default-Konfiguration ergibt sich durch die vom Hersteller voreingestellten Werte für die Konfigurationsparameter. Zusätzlich müssen alle organisatorischen Abläufe definiert 343 . die das geplante Sicherheitskonzept umsetzt.7.2 Sichere Konfiguration des VPN-Systems) der beteiligten Hard. die vom Hersteller oder Distributor einer VPN-Komponente vorgenommen werden.und Softwarekomponenten. Schließlich sollten sichere Notfallkonfigurationen im Rahmen der Notfallplanung definiert und dokumentiert werden.5] 10.6. 11.B.4. auch bei eingeschränkter Betriebsfähigkeit die Sicherheit aufrechtzuerhalten.6. um z. Es empfiehlt sich. 12. Die sicheren Betriebskonfigurationen ergeben sich aus den jeweiligen Konfigurationen im laufenden Betrieb.6.5. den Zugang zum VPNSystem zu sperren.12 Sicherer Betrieb des VPN-Systems ISO Bezug: 27002 10.6.11..6. Alle Änderungen und die jeweils aktuelle Einstellungen müssen nachvollziehbar dokumentiert sein. Hier muss auch regelmäßig überprüft werden. Sie dienen dazu.

dass dadurch auch die Sicherheit des LANs beeinträchtigt wird. Insbesondere mobile Clients sind hier einer besonderen Gefahr ausgesetzt. Meldewege und Zuständigkeiten). dass die angestrebte Systemsicherheit nur gewährleistet werden kann. da diese physikalisch besonders leicht anzugreifen sind (Diebstahl. Vandalismus). damit die übertragenen Daten geschützt sind. Verfahren und Maßnahmen zum Einsatz kommen. Die Rollen Administrator und Revisor dürfen nicht der gleichen Person zugeordnet werden. muss die Konsistenz der Authentisierungsdaten sichergestellt sein. wenn auch die physikalische Sicherheit der beteiligten Hardware-Komponenten sichergestellt ist. die den Schutz des Clients gewährleisten können. Dies kann durch zentrale Verwaltung der Daten (Authentisierungsserver) oder durch periodischen Abgleich geschehen. müssen für diesen Fall spezielle Mechanismen. Für jede Verbindung sollte die Absicherung der Kommunikation durch eines der im VPN-Sicherheitskonzept erlaubten Verfahren erzwungen werden. Ist ein Client kompromittiert. Weiterhin ist zu beachten. Im Umfeld des Servers sind folgende Empfehlungen für den sicheren Betrieb zu berücksichtigen: • • • • • • • Der VPN-Zugang sollte durch den Einsatz von Protokollierungs. Für jede Verbindungsaufnahme ist immer die Benutzer-Authentisierung über den gewählten Mechanismus durchzuführen. so sind sofort die vorher festgelegten Maßnahmen zu ergreifen. Damit eine geregelte Benutzer-Authentisierung beim VPN-Zugriff möglich ist. die Sicherheit der VPN-Clients und die Sicherheit der Datenübertragung. Da VPN-Clients in der Regel in nicht vollständig kontrollierten Umgebungen betrieben werden.und umgesetzt worden sein (z. Die Bestimmungen des Datenschutzes sind zu beachten. Revision: Das VPN-System sollte in regelmäßigen Abständen einer Revision unterzogen werden. so besteht die Gefahr. B. Die Sicherheit eines VPN-Systems lässt sich grob in drei Bereiche aufteilen: • • • die Sicherheit des VPN-Servers. 344 . Die im Rahmen der Überwachung gesammelten Informationen sollten regelmäßig durch geschulte Administratoren kontrolliert werden. Werden Sicherheitsvorfälle festgestellt. Sie sollten dabei nach Möglichkeit durch eine Software zur Auswertung von Protokollierungsdaten unterstützt werden.und Management-Werkzeugen einer ständigen Überwachung unterliegen.

Entfernte Rechner stellen jedoch erhöhte Anforderungen an das Systemmanagement. ablehnen. Anwendungsprogramme) auf geregeltem Weg eingespielt werden. welchem VPNClient zu welchem Zeitpunkt eine bestimmte Netzadresse zugewiesen wurde. eine Auswahl an möglichen Reaktionen (z. so dass die Rechner regelmäßig auf (unzulässige) Konfigurationsveränderungen untersucht werden müssen. Dies erlaubt einerseits die Überwachung der Clients im Rahmen der Aufrechterhaltung des laufenden Betriebes. zwischen erlaubten und unberechtigten Zugriffen zu unterscheiden. sollte überlegt werden. für VPNClients feste IP-Adressen zu benutzen und diese nicht dynamisch zu vergeben. Es sollte überlegt werden. für den noch keine Regel vorliegt.Für den sicheren Betrieb von VPN-Clients sind daher folgende Aspekte zu berücksichtigen: • • Die Grundsicherheit des IT-Systems muss gewährleistet sein. soweit dies möglich ist. Falls TCP/IP als Protokoll verwendet wird. Da mobile VPN-Clients größeren Risiken ausgesetzt sind als stationäre.13 ff ) filtern PC-Firewalls die Pakete der Netzkommunikationsprotokolle. Insbesondere beim Zugriff über Internetverbindungen ist die Installation von Viren-Schutzprogrammen auf allen VPN-Clients notwendig. sollten sie durch zusätzliche Maßnahmen gesichert werden. Da es für den/die Benutzer/in jedoch in vielen Fällen schwierig ist. mit dem die Verbindung aufgebaut werden soll.6. Andererseits können so einfach Software-Updates (Viren-Datenbanken. Ähnlich wie herkömmliche Firewalls (siehe Kapitel 10. Die Filterregeln können jedoch meist dynamisch durch den/die Benutzer/in erzeugt werden. da diese nicht permanent mit dem Netz verbunden sind. um sicherzustellen. Auch VPN-Clients sollten in das Systemmanagement einbezogen werden. erlaubt jedoch eine eindeutige Zuordnung von Netzadresse und Rechner. welcher VPN-Client eine bestimmte Aktion ausgeführt hat. Dieses Vorgehen bedeutet zwar einen höheren administrativen Aufwand (Wartung der Zuordnungstabellen). auf den VPN-Clients so genannte PC-Firewalls einzusetzen und so vor unberechtigten Zugriffen aus dem Internet durch Dritte zu schützen. bedingte Verarbeitung) angeboten.B. dass protokolliert werden muss. Anderenfalls ist es meist nicht möglich festzustellen. dass von abhanden gekommenen Geräten weder Daten ausgelesen noch unbefugt eine VPNVerbindung aufgebaut werden kann. erlauben. sollte der Regelsatz durch einen Administrator vorinstalliert werden. Es muss weiter davon ausgegangen werden. Hierzu bietet sich eine Festplattenverschlüsselung an. • • • • Die Kommunikationsverbindung zwischen VPN-Client und VPN-Server wird in der Regel über Netze von Dritten aufgebaut. um eine neue Regel zu definieren. Die dabei benutzten Netzkomponenten unterliegen meist nicht der Kontrolle durch den Betreiber des LANs. Hierzu wird bei jedem Zugriff. dass die Daten nicht nur über das Telekommunikationsnetz eines Anbieters 345 . Der Nachteil bei einer dynamischen Vergabe der Netzadressen besteht darin.

Zu beachten ist jedoch.13 Entwicklung eines Firewallkonzeptes ISO Bezug: 27002 10. IPsec) standardmäßig.2 Einsatz geeigneter Tunnel-Protokolle für die VPN-Kommunikation ). die Vertraulichkeit der Daten sicherstellen.übertragen werden. Verschlüsselung durch Netzkoppelelemente Neben der Absicherung der Kommunikation durch Software kann auch der Einsatz von verschlüsselnden Netzkoppelelementen (Router.4. Es sollten Signaturmechanismen eingesetzt werden.2. Diese sind besonders für den stationären Einsatz und zur Anbindung mehrerer Rechner sinnvoll. siehe auch 11. um die Authentizität und Integrität der Daten sicherzustellen. Relevant sind hier unter anderem: • • • • Tunneling: Die Kommunikation kann auf niedriger Protokollebene verschlüsselt werden (so genanntes Tunneling. Dies gilt besonders für Zugriffe auf WWWServer oder E-Mail-Server über WWW-Browser. Dazu muss ein geeignetes Verfahren ausgewählt werden.6. Um diesen Anforderungen an den Schutz der Daten gerecht zu werden. Dies gilt insbesondere beim Zugriff auf ein LAN aus dem Ausland.6. können verschiedene Sicherungsmechanismen für VPN-Verbindungen benutzt werden.5 346 .6] 10.4. SSL/TLS-Verschlüsselung: Zur Verschlüsselung kann auch SSL/TLS eingesetzt werden. Die herkömmlichen VPN-Systeme stellen solche Verfahren (z.B. Um dem Schutzbedarf der so übertragenen Daten gerecht zu werden. da die Verschlüsselung transparent erfolgt und die Clients und Server nicht belastet werden. die z. Daher gilt für die Datenübertragung: • • Die Nutzung der Datenverschlüsselung für alle übertragenen Daten ist für den sicheren Betrieb zwingend erforderlich. E-Mail-Verschlüsselung: Für den Austausch von E-Mails über unsichere Kanäle kann die Nutzung von EMail-Verschlüsselung sinnvoll sein [eh SYS 7. dass die Geräte sorgfältig konfiguriert und gewartet werden müssen. sondern dass auch die Netze von Kooperationspartnern des Telekommunikationsanbieters benutzt werden. wenn von der Verschlüsselung auf niedriger Protokollebene aus bestimmten Gründen kein Gebrauch gemacht werden kann. 11. müssen Sicherheitsmaßnahmen getroffen werden. die standardmäßig SSLgesicherte Kommunikation unterstützen.B. j edoch in unterschiedlicher Zahl und Ausprägung zur Verfügung. Modems) erwogen werden.

Die Firewall muss • • • • auf einer umfassenden Sicherheitspolitik aufsetzen (vgl. Damit eine Firewall einen wirkungsvollen Schutz eines Netzes gegen Angriffe von außen bietet. Damit eine Firewall effektiven Schutz bieten kann.IT-Systeme.1 Erstellung einer Internet-Sicherheitspolitik ). Der Anschluss an ein Fremdnetz darf erst dann erfolgen. Dafür muss sichergestellt sein..oder mehrstufigen System bestehen. angeboten werden angeboten werden. Es müssen Regelungen getroffen werden. muss eine geeignete Firewall eingesetzt werden. über eine gesicherte Konsole. müssen folgende grundlegende Bedingungen erfüllt sein. werden als “Firewalls” bezeichnet. korrekt installiert und korrekt administriert werden. Eine Firewall darf ausschließlich als schützender Übergang zum internen Netz eingesetzt werden. in der IT-Sicherheitspolitik und dem IT-Sicherheitskonzept der Organisation eingebettet sein. dass mit dem gewählten Firewallkonzept sowie den personellen und organisatorischen Randbedingungen alle Risiken beherrscht werden können. also z. müssen einige grundlegende Voraussetzungen erfüllt sein: • • • Jede Kommunikation zwischen den beiden Netzen muss ausnahmslos über die Firewall geführt werden. Die Aufgaben und Anforderungen an die Firewall müssen in der InternetSicherheitspolitik festgelegt werden. dürfen nur unter Verwendung ausreichender Sicherheitseinrichtungen mit Fremdnetzen verbunden werden. wenn überprüft worden ist. Eine Konsole sollte in einem Serverraum aufgestellt sein 347 . die zeitweise oder dauernd an Produktionsnetze angeschlossen sind. ein Webserver.B. eine verschlüsselte Verbindung oder ein separates Netz. dass keine weiteren externen Verbindungen unter Umgehung der Firewall geschaffen werden dürfen. die im Allgemeinen aus einem zwei. daher dürfen auf einer Firewall nur die dafür erforderlichen Dienste verfügbar sein und keine weiteren Dienste wie wie z.9. B. 10. Um die Sicherheit des zu schützenden Netzes zu gewährleisten. dass die Firewall die einzige Schnittstelle zwischen den beiden Netzen darstellt. Ein administrativer Zugang zur Firewall darf nur über einen gesicherten Weg möglich sein. Diese Sicherheitseinrichtungen.

Der zeitliche Aufwand für den Betrieb einer Firewall darf nicht unterschätzt werden. aber nicht vor allen. Zeit. zusammen mit den Netzwerkeinrichtungen wie Routern einer besonderen Zugangskontrolle zu unterwerfen (vgl. Das Firewallkonzept muss sich permanent an Betriebserfahrungen der Firewall sowie aktuellen Entwicklungen orientieren und bei Bedarf unverzüglich angepasst werden. kann aber keine Aussagen zum eigentlichen Inhalt der E-Mail machen. In diesem Zusammenhang ist auch der Raum. Für die Konzeption und den Betrieb einer Firewall muss geeignetes Personal zur Verfügung stehen. .). so dass eine Sperrung bestimmter IP-Adressen leicht umgangen werden kann. Ein Firewall-Administrator muss fundierte Kenntnisse über die eingesetzten IT-Komponenten besitzen und auch entsprechend geschult werden. Damit könnte ein/e Innentäter/in jemandem Externen den Zugriff auf interne Rechner ermöglichen. frühzeitiger Einsatz von Routern. Richtung und Benutzer getrennt) festgelegt werden können. Eine Firewall kann das interne Netz vor vielen Gefahren beim Anschluss an das Internet schützen. Die Benutzer/innen des lokalen Netzes sollten durch den Einsatz einer Firewall möglichst wenig Einschränkungen hinnehmen müssen. Eine Einschränkung der Internetzugriffe auf festgelegte Webserver ist in der Realität unmöglich...• • • • • • Eine Firewall baut auf einer für das zu schützende Netz definierten Sicherheitspolitik auf und gestattet nur die dort festgelegten Verbindungen. Alleine die Auswertung der angefallenen Protokolldaten nimmt erfahrungsgemäß viel Zeit in Anspruch. nicht die Inhalte. Sobald Benutzer/innen eine Kommunikation über eine Firewall herstellen dürfen. können sie über das verwendete Kommunikationsprotokoll beliebige andere Protokolle tunneln. Jede Sicherheitspolitik muss konzeptionell auf bestmögliche Reduktion des eventuellen Schadensfalles ausgelegt sein (Betrieb von Teilnetzen.5. 9. 348 .1.6 Serverräume ). Diese Verbindungen müssen gegebenenfalls sehr detailliert (bis hin zu einer individuellen Angabe von IP-Adresse. Eine Protokollprüfung bestätigt beispielsweise.4 Zutrittskontrolle und 9. in dem die Firewall betrieben wird. dass eine E-Mail mit ordnungsgemäßen Befehlen zugestellt wurde. Die Filterung von aktiven Inhalten ist unter Umständen nur teilweise erfolgreich. ob besonders sensible Daten im Netz besser und kostengünstiger durch organisatorische als durch technische Maßnahmen geschützt werden sollen. Es ist zu entscheiden. Dienst. da zu viele WWW-Server auch als Proxies nutzbar sind. Beim Aufbau einer Firewall und der Erarbeitung einer Firewall-Sicherheitspolitik sollte man sich daher die Grenzen einer Firewall verdeutlichen: • • • • Es werden Protokolle überprüft.

Firewalls schützen nicht vor allen Denial-of-Service-Attacken. ob eine E-Mail vom Empfänger erwünscht ist oder nicht. die eine Firewall nicht abfangen kann. Die korrekte Konfiguration der Komponenten der Firewall ist oft sehr anspruchsvoll. Leider ermöglichen viele Firewalls es nicht. Wird beispielsweise der Rechner.B. Im Extremfall kann die Software der Firewall selbst Hintertüren enthalten. zu schwach dimensioniert (zu wenig Arbeitsspeicher. wenn innerhalb der Firma auch Firewalls eingesetzt werden. auf dem ein HTTP-Sicherheitsproxy läuft. Wenn ein/e Angreifer/in z. sie hat aber keinen Einfluss auf die Sicherheit der Kommunikation innerhalb dieser Netze! Auch die speziell unter Sicherheitsaspekten entwickelten Komponenten von Firewalls können trotz großer Sorgfalt Programmierfehler enthalten. zur Bildung von abgesicherten Teilnetzen. Firewalls können nur begrenzt gegen eine absichtliche oder versehentliche Fehlkonfiguration der zu schützenden Clients und Server schützen. # Eine Firewall kann nicht gegen die bewusste oder unbewusste Missachtung von Sicherheitsrichtlinien und -konzepten durch die Anwender schützen. Wenn die Komponenten desrFirewall falsch dimensioniert sind. wenn die Absender zweifelsfrei nachweisbar sind. durch Hintereinanderschaltung von verschiedenen Firewalls eine erhöhte Sicherheit zu erlangen. Keine Firewall kann zweifelsfrei feststellen. so kann dies die Geschwindigkeit des Internetzugriffes stark beeinträchtigen. kann die Verfügbarkeit beeinträchtigt werden. Fehler in der Konfiguration können zu Sicherheitslücken oder Ausfällen führen.• • • • • • • • • • • • • • • Die Filtersoftware ist häufig noch unausgereift. Gerade in größeren Firmen ist dies problematisch.B. so begünstigt dies Fehler bei Konfiguration und Administration. Beispielsweise ist es möglich. Außerdem gibt es immer wieder Implementationsfehler von Protokollen auf Endgeräten. Eine Firewall schützt nicht vor dem Missbrauch freigegebener Kommunikation durch Innentäter ("Insider-Angriffe"). kann auch die beste Firewall nicht helfen. zu langsamer Prozessor). 349 . Ist die Dokumentation der technischen Ausstattung der Firewall durch den Hersteller mangelhaft. z. die Anbindung zum Provider lahm legt. Zudem können URL-Filter durch Nutzung von "Anonymizern" umgangen werden. Eingebaute Hintertüren in der verwendeten Software können eventuell auch durch eine Firewall hindurch ausgenutzt werden. Dies ist aber mit dem herkömmlichen Protokoll SMTP alleine nicht realisierbar. dass nicht alle Arten der Adressierung erfasst werden. dass Angreifer die Komponenten der Firewall mit Hilfe von Schwachstellenscannern analysieren. Es kann nicht verhindert werden. Eine Firewall schützt nicht vor Social Engineering. Die Filterung von Spam-Mails ist noch nicht ausgereift. Eine Firewall kann zwar einen Netzübergang sichern. Spam-Mails dürften erst dann verschwinden.

PDA etc.2. vgl.2.15 Sicherer Betrieb einer Firewall ) sowie Weitermeldung der erhobenen Fakten an die/den Vorgesetzte/n 350 .3.2] 10..• • # Werden mobile Endgeräte (Laptop. 12.1.6. Würmer. z.). CD-ROM.6. USB-Stick in das vertrauenswürdige Netz eingeschleppt werden. an das interne Netz angeschlossen. so kann auf diese Weise Schadsoftware (Viren. die von Mitarbeitern auch extern benutzt werden.und Softwarevoraussetzungen im internen Netz Auswahl geeigneter Produkte Installation und Konfiguration der Firewall Der administrative Zugang zur Sicherheitseinrichtung darf nur über einen gesicherten Weg möglich sein. Vorschriften und Regelungen ) Bestimmung der Sicherheitsverantwortlichen (Datenschutz-/ITSicherheitsbeauftragte/r (soweit nicht bereits nominiert) und Bereichs-ITSicherheitsbeauftragte/r ("Internet-Sicherheitsbeauftragte/r") Definition der angebotenen und anzufordernden Dienste Analyse der Hard. 10. [eh SYS 8. 10.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze.14 Installation einer Firewall ISO Bezug: 27002 10. der Wartung und der Validierung Laufende Beobachtung und Wartung Periodische Sicherheitsüberprüfung durch befugte Externe zu nicht angekündigten Zeitpunkten mindestens einmal im Quartal ("Screening". auch 8.1 Bei der Installation einer Firewall sind folgende Schritte in der angegebenen Reihenfolge zu setzen (vgl. Überprüfung der Installation durch Querlesen der Definitionen und Funktionskontrolle Dokumentation der Installation zum Zweck der Nachvollziehbarkeit. B. 11. dass Schadprogramme auf Austauschmedien. [KIT S04] ): • • • • • • • • • • Festlegen der Sicherheitspolitik sowie der Benutzerordnung durch organisatorisch und technisch Verantwortliche in Zusammenarbeit mit Benutzervertretern/Benutzervertreterinnen (vgl. Trojanische Pferde) in das vertrauenswürdige Netz eingeschleppt werden.6. Diskette.4. 10. 11.6. Eine Firewall schützt auch nicht davor.

durch Lesen der entsprechenden Newsletter) sowie entsprechende Weiterbildung Durch eine angemessene Stellvertreterregelung (und eine entsprechende Schulung der Stellvertreter/innen) ist eine kontinuierliche Administration zu gewährleisten.• • • Revision der Behebung der bei den Sicherheitstests erhobenen Mängel Sammlung der relevanten Projekterfahrungen als Grundlage für eine Weiterentwicklung der Internet-Sicherheitspolitik und des Firewallkonzeptes. Kontrolle und Auswertung der Logfiles Einschränken und Beenden des Internetzugangs Weiterleitung sicherheitsrelevanter Beobachtungen an die in der Sicherheitspolitik definierten Instanzen Benachrichtigung der zuständigen Instanzen bei Entdecken von Angriffen aus dem Internet Verfolgen der aktuellen Entwicklungen im Bereich Sicherheit (z. 14. Filtern etc.2.6. Profilen. 13.1. 12.4.B. Ändern von Berechtigungen.6. Alle Sicherheitskontrollen sollten zumindest teilweise auch durch Externe vorgenommen werden.4. 11. ob neue Zugänge unter Umgehung der Firewall geschaffen wurden.2 Für einen sicheren Betrieb einer Firewall sind eine fachgemäße Administration sowie eine regelmäßige Überprüfung auf die korrekte Einhaltung der umgesetzten Sicherheitsmaßnahmen (Screening) erforderlich.15 Sicherer Betrieb einer Firewall ISO Bezug: 27002 10.1.3] 10.1.6.und Weiterbildung des administrierenden Personals [eh SYS 8. Funktionen etc. Insbesondere müssen die für den Betrieb der Firewall getroffenen organisatorischen Regelungen regelmäßig oder zumindest sporadisch auf ihre Einhaltung überprüft werden. Aus. 13.2.1. 15.1. 15. 11.5. 351 . Im Bereich der öffentlichen Verwaltung sollten diese Projekterfahrungen an die IKT Koordinierungsstelle weitergegeben werden. Es sollte in zyklischen Abständen kontrolliert werden. Administration Die Administration einer Firewall umfasst die nachfolgend angeführten Aufgaben: • • • • • • • Anlegen und Entfernen von Benutzerinnen/Benutzern.

(Vgl. was nicht ausdrücklich erlaubt ist. direkt über die Konsole. keine Möglichkeit haben Dienste des Internets zu benutzen.B. dass alle Verbindungen. Dies muss auch bei einem völligen Ausfall der FirewallKomponenten gelten. ein/e Benutzer/in. die in der Sicherheitspolitik vorgesehen sind.Regelmäßige Überprüfung Zusätzlich zu den regelmäßigen Wartungsaktivitäten ist es erforderlich. die nicht explizit erlaubt sind. auch Screening. Dabei ist zu testen. Diese Kontrollen sollten vorzugsweise durch eine vertrauenswürdige externe Instanz erfolgen. Es müssen in regelmäßigen Abständen Integritätstests der eingesetzten Software durchgeführt werden. Die Defaulteinstellung der Filterregeln und die Anordnung der Komponenten müssen sicherstellen. dürfen sich Administrator und Revisor nur über einen vertrauenswürdigen Pfad authentisieren. da die Gefahr besteht.) Eine derartige Prüfung ist wie folgt durchzuführen: • • • • • • • • • • Überprüfung der Installation von außen interne Überprüfung der Internet-Sicherheitspolitik interne Überprüfung der Konfiguration interne Durchführung eventuell notwendiger Korrekturen erneute Prüfung von außen Dabei sind die folgenden Punkte zu beachten: Alle Filterregeln müssen korrekt umgesetzt sein. Um ein Mitlesen oder Verändern der Authentisierungsinformationen zu verhindern. die neutralen Beobachtern mit hoher Wahrscheinlichkeit auffallen. Es muss die Regel "Alles. 352 . eine verschlüsselte Verbindung oder ein separates Netz erfolgen. ist verboten" realisiert sein. dass Firewall-Administratoren durch Gewöhnungseffekte und Routinearbeit bestimmte Sicherheitslücken übersehen könnten.B. die/der keinen Eintrag in einer Access-Liste hat. Dies könnte z. So darf z. dass nur die Dienste zugelassen werden. Security Compliance Checking. Sicherheitsrelevante Änderungen erfordern zusätzlich "ad hoc"-Kontrollen. eine Firewall regelmäßig (etwa einmal pro Quartal) durch eine geeignete Instanz kontrollieren zu lassen. Im Fehlerfall ist die Firewall abzuschalten. blockiert werden.

11. Java-Applets oder Scripting-Programmen mit einer Schadfunktion.4. die durch die Übertragung aktiver Inhalte zu den Rechnern im zu schützenden Netz entstehen. Der Einsatz dieser Programme muss ausführlich dokumentiert und begründet werden.6. vorhanden sein. Die Access-Listen sind die wesentlichen Daten für den Betrieb der Firewall und müssen besonders gesichert werden. dass in dieser Zeit keine Netzverbindungen aus dem zu schützenden Netz heraus oder zu diesem aufgebaut werden können. sondern auch das weit schwieriger zu lösende Problem der Erkennung von ActiveX-Controls. und die AccessListen müssen auf einem schreibgeschützten Medium speicherbar sein. Diese sollten auch aus dem Betriebssystem-Kern entfernt werden. Passwortdateien oder Filterregeln auf dem aktuellsten Stand sind.6. Beispielsweise sollten die Software für die graphische Benutzeroberfläche sowie alle Treiber. die nicht benötigt werden. die für die Funktionsfähigkeit der Firewall nötig sind. damit keine alten oder fehlerhaften Access-Listen bei einem Neustart benutzt werden. dass für den sicheren Betrieb der Firewall relevante Dateien wie Access-Listen. Das Verbleiben von Software muss dokumentiert und begründet werden.6. müssen diese streng kontrolliert und insbesondere auf Seiteneffekte überprüft werden.7 Eines der größten Probleme bei der Konzeption einer Firewall ist die Behandlung der Probleme.11 Schutz vor aktiven Inhalten [eh SYS 8. Falls nachträgliche Änderungen der Sicherheitspolitik erforderlich sind. Beim Wiedereinspielen von gesicherten Datenbeständen muss darauf geachtet werden. Siehe dazu: 10. 11. Insbesondere darf kein automatischer Neustart möglich sein. Bei einem Ausfall der Firewall muss sichergestellt sein. entfernt werden.• • • • Die Firewall muss auf ihr Verhalten bei einem Systemabsturz getestet werden.4. 10.10. die verhältnismäßig einfach auch auf den Rechnern der Anwender/innen durchgeführt werden kann. Die Kontrolle aktiver Inhalte kann auf verschiedene Weise geschehen. Eine der Möglichkeiten ist die Filterung durch eine Firewall.2. Auf den eingesetzten Komponenten dürfen nur Programme.4] 10. der durch eine/n Angreifer/in provoziert wird. Hierunter fällt nicht nur die Erkennung und Beseitigung von Viren. [eh SYS 8. 10.5] 353 .16 Firewalls und aktive Inhalte ISO Bezug: 27002 10.

Dafür sollten alle Verbindungen von und zu diesen Partnern verschlüsselt werden.und Softwarelösungen eingesetzt werden. Die Ver. sollten die versandten Daten möglichst nur verschlüsselt übertragen werden. wenn entsprechende Mechanismen schon in den unteren Schichten des Protokolls vorgesehen würden. 12. und Verschlüsselung auf den Endgeräten. die z.6. Entschlüsselung kann auf verschiedenen Geräten erfolgen.7. die verschlüsselte Kommunikation nicht belauschen.4.6.4. Sollen hierbei nur wenige Liegenschaften miteinander verbunden werden.bzw. die zum Aufbau sicherer Teilnetze eingesetzt werden. Verschlüsselung auf der Firewall: Um mit externen Kommunikationspartnern Daten über ein offenes Netz auszutauschen und /oder diesen Zugriff auf das eigene Netz zu geben. 11.17 Firewalls und Verschlüsselung ISO Bezug: 27002 10. 354 . damit Unbefugte keinen Zugriff darauf nehmen können. von Benutzerinnen/Benutzern bedarfsabhängig eingesetzt wird. Die Integration der Verschlüsselung auf dem Application Gateway hat dagegen den Vorteil einer leichteren Benutzerverwaltung. auf Netzkoppelelementen. kann der Aufbau von virtuellen privaten Netzen (VPNs) sinnvoll sein. wenn keine unverschlüsselte Kommunikation über dieses Gerät gehen soll.2. sind insbesondere Hardwarelösungen basierend auf symmetrischen kryptographischen Verfahren eine einfache und sichere Lösung.3 Da im Internet die Daten über nicht vorhersagbare Wege und Knotenpunkte verschickt werden.B. Zunächst sollte aber unterschieden werden zwischen • • Verschlüsselung auf der Firewall bzw. Hierbei wäre es sinnvoll.10.2. Zudem kann ein/e Angreifer/in. Zum Aufbau von verschlüsselten Verbindungen können eine Vielzahl von Hard. 11.6. So könnte eine Hardwarelösung im Paketfilter als Schlüsselgerät arbeiten. der/die einen externen Informationsserver unter seine/ihre Kontrolle gebracht hat.4. 10. Dies ist insbesondere dann sinnvoll.

3 355 . Die Verschlüsselung von Daten stellt andererseits aber auch ein großes Problem für den wirksamen Einsatz von Firewalls dar. SSL oder PGP. Eine erste ad-hoc-Lösung könnte darin bestehen. bietet sich auch der Gebrauch von Mechanismen an. in Hinblick auf Viren oder andere Schadprogramme zu kontrollieren. dies hängt von den Anforderungen im Einzelfall ab. durch den Einsatz von S/MIME. 10. [eh SYS 8.3.1. Die Verschlüsselung auf den Endsystemen wird auf absehbare Zeit noch applikationsgebunden sein.2. die eine Ende-zu-Ende-Verschlüsselung ermöglichen.Verschlüsselung auf den Endgeräten: Zum Schutz der Vertraulichkeit bestimmter Daten. Hierfür wird zum Beispiel häufig das frei verfügbare Programmpaket PGP (Pretty Good Privacy) eingesetzt. Für eine vertrauenswürdige Datenübertragung mit ausgewählten Partnern im Internet sollten telnet und ftp Programme eingesetzt werden.B.U.B. mittels SSH oderSSL/TLS) unterstützen. 12. die eine Verschlüsselung der übertragenen Daten (z. Andererseits sind die Daten selbst dann geschützt.B. wenn ein/e Angreifer/in das Application Gateway unter seine/ihre Kontrolle gebracht hat. Eine temporäre Entschlüsselung auf einer Filterkomponente zu Analysezwecken ist weder praktikabel noch wünschenswert.6] 10.B. nur zu ausgewählten Zielsystemen. den Filtern.18 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation ISO Bezug: 27002 10. Auch die Protokollierungsmöglichkeiten werden durch eine Verschlüsselung stark eingeschränkt. SSL/ TLS). z. insbesondere bei der Versendung von E-Mails.h. u. von bestimmten internen Rechnern den Aufbau von SSL/TLS-Verbindungen zu erlauben. 10. die Nutzdaten z.6. Eine generelle Empfehlung für oder gegen den Einsatz von Verschlüsselung über oder an der Firewall kann nicht gegeben werden.7. Wenn die Übertragung verschlüsselter Daten über die Firewall zugelassen wird (z.6.2.6. sind Filter auf der Anwendungsschicht nicht mehr in der Lage. d.

Kommunikationsnetze transportieren Daten zwischen IT-Systemen. Dabei werden die Daten selten über eine dedizierte Kommunikationsleitung zwischen den an der Kommunikation beteiligten Partnern übertragen. Vielmehr werden die Daten über viele Zwischenstationen geleitet. Je nach Kommunikationsmedium und verwendeter Technik können die Daten von den Zwischenstationen unberechtigt abgehört werden, oder auch von im jeweiligen Vermittlungsnetz angesiedelten Dritten (z.B. bei der Verwendung des Ethernetprotokolls ohne Punkt-zu-PunktVernetzung). Da die zu übertragenden Daten nicht von unberechtigten Dritten abgehört, verändert oder zur späteren Wiedereinspeisung in das Netz (ReplayAttacke) benutzt werden sollen, muss ein geeigneter Mechanismus eingesetzt werden, der dies verhindert. Verschlüsselung der Daten mit - wenn nötig gegenseitiger Authentifizierung der Kommunikationspartner kann diese Gefahr (je nach Stärke des gewählten Verschlüsselungsverfahrens sowie der Sicherheit der verwendeten Schlüssel) reduzieren. In der Regel kommunizieren Anwendungen miteinander, um anwendungsbezogene Informationen auszutauschen. Die Verschlüsselung der Daten kann nun auf mehreren Ebenen erfolgen:

• • •

Auf Applikationsebene: Die kommunizierenden Applikationen müssen dabei jeweils über die entsprechenden Ver- und Entschlüsselungsmechanismen verfügen. Auf Betriebssystemebene: Die Verschlüsselung wird vom lokalen Betriebssystem durchgeführt. Jegliche Kommunikation über das Netz wird automatisch oder auf Anforderung verschlüsselt. Auf Netzkoppelelementebene: Die Verschlüsselung findet zwischen den Netzkoppelelementen (z.B. Router) statt.

Die einzelnen Mechanismen besitzen spezifische Vor- und Nachteile. Die Verschlüsselung auf Applikationsebene hat den Vorteil, dass die Verschlüsselung vollständig der Kontrolle der jeweiligen Applikation unterliegt. Ein Nachteil ist, dass zur verschlüsselten Kommunikation nur eine mit demselben Verschlüsselungsmechanismus ausgestattete Partnerapplikation in Frage kommt. Weiterhin können entsprechende Authentifizierungsmechanismen zwischen den beiden Partnerapplikationen zur Anwendung kommen. Im Gegensatz dazu findet die Verschlüsselung im Fall der Verschlüsselung auf Betriebssystemebene transparent für jede Applikation statt. Jede Applikation kann mit jeder anderen Applikation verschlüsselt kommunizieren, sofern das Betriebssystem, unter dem die Partnerapplikation abläuft, über den Verschlüsselungsmechanismus verfügt. Nachteilig wirkt sich hier aus, dass bei einer Authentifizierung lediglich die Rechner gegenseitig authentifiziert werden können, und nicht die jeweiligen Partnerapplikationen. 356

Der Einsatz von verschlüsselnden Netzkoppelelementen besitzt den Vorteil, dass applikations- und rechnerseitig keine Verschlüsselungsmechanismen vorhanden sein müssen. Die Verschlüsselung ist auch hier transparent für die Kommunikationspartner, allerdings findet die Kommunikation auf der Strecke bis zum ersten verschlüsselnden Netzkoppelelement unverschlüsselt statt und birgt damit ein Restrisiko. Authentifizierung ist hier nur zwischen den Koppelelementen möglich. Die eigentlichen Kommunikationspartner werden hier nicht authentifiziert. Werden sensitive Daten über ein Netz (auch innerhalb des Intranets) übertragen, empfiehlt sich der Einsatz von Verschlüsselungsmechanismen. Bieten die eingesetzten Applikationen keinen eigenen Verschlüsselungsmechanismus an oder wird das angebotene Verfahren als zu schwach eingestuft, so sollte von der Möglichkeit der betriebssystemseitigen Verschlüsselung Gebrauch gemacht werden. Hier bieten sich z.B. Verfahren wie SSL/TLS an, die zur transparenten Verschlüsselung auf Betriebssystemebene entworfen wurden. Je nach Sicherheitspolitik können auch verschlüsselnde Netzkoppelelemente eingesetzt werden, etwa um ein virtuelles privates Netz (VPN) mit einem Kommunikationspartner über das Internet zu realisieren. Entsprechende Softwaremechanismen sind in der Regel auch in Firewall-Systemen verfügbar. Erfolgt der Zugang auf sensible Daten über einen externen Zugang, so sind kryptographische Einmalverfahren mit einer Besitzkomponente einzusetzen. Wegen der einheitlichen Administrierbarkeit wird empfohlen für den Zugang die Bürgerkarte/ Dienstkarte und MOA-ID zu verwenden [IKTB-140605-01] . Beim Einsatz von verschlüsselter Kommunikation und gegenseitiger Authentifizierung sind umfangreiche Planungen im Rahmen der Sicherheitspolitik eines Unternehmens bzw. einer Behörde nötig. Im Rahmen der hier angesprochenen Kommunikationsverschlüsselungen sind insbesondere folgende Punkte zu beachten:

• • • • • •

Welche Verfahren sollen zur Verschlüsselung benutzt werden bzw. werden angeboten (z.B. in Routern)? Unterstützen/Nutzen die eingesetzten Verschlüsselungsmechanismen existierende oder geplante Standards (IPSec, IPv6, IKE; SSL, TLS); vergleiche dazu auch 10.8.6 Geeignete Auswahl eines E-Mail-Clients/Server zu Zugang zu E-Mail. Sind gemäß der Sicherheitspolitik ausreichend starke Verfahren und entsprechend lange Schlüssel gewählt worden? Werden die Schlüssel sicher aufbewahrt? Werden die Schlüssel in einer sicheren Umgebung erzeugt, und gelangen sie auf sicherem Weg zum notwendigen Einsatzpunkt (Rechner, Softwarekomponente)? Sind Schlüssel-Recovery-Mechanismen nötig?

357

Ähnliche Fragestellungen sind bei der Nutzung von Zertifikaten zur Authentifizierung von Kommunikationspartnern zu beachten. Im Bereich der öffentlichen Verwaltung sind außerdem bezüglich der Verschlüsselung des E-Mail-Verkehrs entsprechende Vorgaben, wie etwa die Vorgabe der Eigenschaften von Verschlüsselungszertifikaten gemäß des IKT-BoardBeschlusses [IKTB-181202-1] zu beachten. [eh SYS 8.17]

10.7 Betriebsmittel und Datenträger
In diesem Kapitel werden generelle Richtlinien zum Umgang mit Betriebsmitteln und Datenträgern gegeben. Der Umgang mit Datenträgern und den darauf gespeicherten Informationen ist in der "InformationssicherheitsPolitik" einer Organisation festzulegen (vgl. dazu 5.2.5 Klassifizierung von Informationen ). Diese Klassifikation und die damit verbundene Festlegung der Verantwortlichkeiten und Vorgehensweisen stellen eine wesentliche Grundlage für die IT-Sicherheit einer Organisation dar. Insbesondere sei darauf hingewiesen, dass einerseits die Klassifizierung der Daten national durch das Datenschutzgesetz 2000 (DSG 2000) sowie durch das Informationssicherheitsgesetz (InfoSiG) geregelt wird. International bzw. im EURaum ist der "Beschluss des Rates vom 19. März 2001 über die Annahme der Sicherheitsvorschriften des Rates" (2001/264/EG) einzuhalten, der die Verbindung zwischen den nationalen Klassifizierungen und Richtlinien darstellt. Dies ist gegebenenfalls in der Informationssicherheits-Politik zu berücksichtigen.

10.7.1 Betriebsmittelverwaltung
ISO Bezug: 27002 7.1, 10.7.2 Betriebsmittel für den IT-Einsatz sind alle erforderlichen Mittel wie Hardwarekomponenten (Rechner, Tastatur, Drucker, ...), Software (Systemsoftware, Individualprogramme, Standardsoftware u.ä.), Verbrauchsmaterial (Papier, Toner, Druckerpatronen), Datenträger (Magnetbänder, Disketten, Streamertapes, Festplatten, Wechselplatten, CD-ROMs u.ä.). Die Betriebsmittelverwaltung umfasst folgende Aufgaben:

• •
358

Beschaffung, Prüfung vor Einsatz,

• • •

Kennzeichnung, Bestandsführung und Außerbetriebnahme.

Beschaffung:
Neben reinen Wirtschaftlichkeitsaspekten kann durch ein geregeltes Beschaffungsverfahren auch die Neu- und Weiterentwicklung im Bereich der Informationstechnik stärker berücksichtigt werden. Eine zentrale Beschaffung sichert auch die Einführung und Einhaltung eines "Hausstandards" und vereinfacht damit die Schulung der Mitarbeiter/innen und die Wartung.

Prüfverfahren vor Einsatz:
Mit einem geregelten Prüfverfahren vor Einsatz der Betriebsmittel lassen sich unterschiedliche Gefährdungen abwenden. Beispiele dafür sind:

• • • •

Überprüfung der Vollständigkeit von Lieferungen (z.B. Handbücher), um die Verfügbarkeit aller Lieferteile zu gewährleisten, Test neuer PC-Software sowie neuer vorformatierter Datenträger mit einem Virensuchprogramm, Testläufe neuer Software auf speziellen Testsystemen, Überprüfung der Kompatibilität neuer Hardware- und Softwarekomponenten mit den vorhandenen.

Bestandsführung:
Alle wesentlichen Betriebsmittel sollten mit eindeutigen Identifizierungsmerkmalen gekennzeichnet werden. Zusätzlich sollten die Seriennummern vorhandener Geräte wie Bildschirm, Drucker, Festplatten etc. dokumentiert werden, damit sie nach einem Diebstahl identifiziert werden können. Für die Bestandsführung müssen die Betriebsmittel in Bestandsverzeichnissen aufgelistet werden. Ein solches Bestandsverzeichnis muss Auskunft geben können über Identifizierungsmerkmale, Beschaffungsquellen, Lieferzeiten, Verbleib der Betriebsmittel, Lagerhaltung, Aushändigungsvorschriften, Wartungsverträge und Wartungsintervalle.

359

Eine ordnungsgemäße Bestandsführung erleichtert nicht nur die Verbrauchsermittlung und Veranlassung von Nachbestellungen, sondern ermöglicht auch Vollständigkeitskontrollen, die Überprüfung des Einsatzes von nicht genehmigter Software oder die Feststellung der Entwendung von Betriebsmitteln. Im Bundesbereich gibt es Vorschriften über die Bestandsführung, die "Richtlinien für die Inventar- und Materialverwaltung (RIM)". Die dort vorgesehenen Aufzeichnungen reichen für einen sicheren EDV-Betrieb nicht aus. Die für den sicheren Betrieb zuständige Organisationseinheit muss daher eigene, entsprechend erweiterte Aufzeichnungen führen. [eh SYS 2.1]

10.7.2 Datenträgerverwaltung
ISO Bezug: 27002 10.7.1 Die Datenträgerverwaltung stellt einen Teil der Betriebsmittelverwaltung dar. Ihre Aufgabe ist es, den Zugriff auf Datenträger im erforderlichen Umfang und in angemessener Zeit zu gewährleisten. Neben den in 10.7.1 Betriebsmittelverwaltung angeführten Maßnahmen ist für die Verwaltung von Datenträgern zusätzlich zu beachten:

• • •

Die äußerliche Kennzeichnung von Datenträgern soll deren schnelle Identifizierung ermöglichen, jedoch für Unbefugte keine Rückschlüsse auf den Inhalt erlauben (z.B. die Kennzeichnung eines Datenträgers mit dem Stichwort "Gehaltsdaten"), um einen Missbrauch zu erschweren. Eine festgelegte Struktur von Kennzeichnungsmerkmalen (z.B. Datum, Ablagestruktur, lfd. Nummer) erleichtert die Zuordnung in Bestandsverzeichnissen. Für eine sachgerechte Behandlung von Datenträgern sind die Herstellerangaben zu beachten. Hinsichtlich der Aufbewahrung von Datenträgern sind einerseits Maßnahmen zur Lagerung (magnetfeld-/staubgeschützt, klimagerecht) und andererseits Maßnahmen zur Verhinderung des unbefugten Zugriffs (geeignete Behältnisse, Schränke, Räume) zu treffen. Versand und Transport: Die Verpackung des Datenträgers ist an seiner Schutzbedürftigkeit auszurichten. Hier sind die in der InformationssicherheitsPolitik festzulegenden Regeln umzusetzen (etwa Versand nur in verschlossenen/versiegelten Behältnissen, durch Kurierdienst, in chiffrierter Form, etc.). Der Datenträger darf über die zu versendenden Daten hinaus keine "Restdaten" enthalten. Dies kann durch physikalisches Löschen erreicht werden (s. auch unten "Wiederaufbereitung").

360

• •

Vor Versand oder Weitergabe wichtiger Datenträger sollte eine Sicherungskopie erstellt werden. Das Anfertigen von Kopien ist zu dokumentieren und die Kopien sind als solche zu kennzeichnen. Wiederaufbereitung: Eine geregelte Vorgehensweise für die Löschung bzw. Wiederaufbereitung von Datenträgern verhindert den Missbrauch der gespeicherten Daten. Vor der Wiederverwendung von Datenträgern, die schutzwürdige Daten enthalten haben, müssen diese Daten in irreversibler Form gelöscht werden. Außerbetriebnahme, Reparaturtausch: Datenträger, die schutzwürdige Daten enthalten und außer Betrieb genommen oder im Zuge einer Reparatur ausgetauscht werden sollen, sind mechanisch zu zerstören (vgl. dazu auch ÖNORM S 2109 Akten- und Datenvernichtung sowie 12.7 Wartung ).

Für den Fall, dass von Dritten erhaltene Datenträger eingesetzt werden, sind Regelungen über deren Behandlung vor dem Einsatz zu treffen. Werden zum Beispiel Daten für PCs übermittelt, sollte generell ein Viren-Check des Datenträgers erfolgen. Dies gilt entsprechend auch vor dem erstmaligen Einsatz neuer Datenträger. Es ist empfehlenswert, nicht nur beim Empfang, sondern auch vor dem Versenden von Datenträgern diese auf Viren zu überprüfen. Vgl. dazu auch Kap. 10.4 Virenschutz . [eh SYS 2.2]

10.7.3 Datenträgeraustausch
ISO Bezug: 27002 10.7.3, 10.8.2, 10.8.3

Kennzeichnung der Datenträger beim Versand
Neben den in 10.7.2 Datenträgerverwaltung dargestellten Umsetzungshinweisen ist bei einer ausreichenden Kennzeichnung von auszutauschenden Datenträgern darauf zu achten, dass Absender/in und (alle) Empfänger/innen unmittelbar zu identifizieren sind. Die Kennzeichnung muss den Inhalt des Datenträgers eindeutig für den/die Empfänger/in erkennbar machen. Es ist jedoch bei schützenswerten Informationen wichtig, dass diese Kennzeichnung für Unbefugte nicht interpretierbar ist. Darüber hinaus sollten die Datenträger mit den für das Auslesen notwendigen Parametern gekennzeichnet werden. Das Versanddatum, eventuelle Versionsnummern oder Ordnungsmerkmale können gegebenenfalls nützlich sein.

361

Regelung des Datenträgeraustausches
Sollen zwischen zwei oder mehreren Kommunikationspartnern Datenträger ausgetauscht werden, so sind zum ordnungsgemäßen Austausch einige Punkte zu beachten. Zum Beispiel:

Die Adressierung muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. So sollte neben dem Namen der Empfängerin bzw. des Empfängers auch die Organisationseinheit und die genaue Bezeichnung der Behörde/ des Unternehmens angegeben sein. Entsprechendes gilt für die Adresse der Absenderin oder des Absenders. Dem Datenträger sollte (optional) ein Datenträgerbegleitzettel beigelegt werden, der Absender/in, Empfänger/in, Art des Datenträgers, Seriennummer, Identifikationsmerkmale für den Inhalt des Datenträgers, Datum des Versandes, ggf. Datum bis wann der Datenträger spätestens den/die Empfänger/in erreicht haben muss, sowie Parameter, die zum Lesen der Informationen benötigt werden (z.B. Bandgeschwindigkeit) enthält. Bei regelmäßigem Austausch von Datenträgern zwischen den gleichen Partnern empfiehlt es sich, dafür stets die gleichen Datenträger zu verwenden, so dass bei einem ev. Fehler bei der Wiederaufbereitung (vgl. 10.7.2 Datenträgerverwaltung ) die potentiellen Auswirkungen möglichst gering gehalten werden. Abhängig von den Regelungen der Informationssicherheits-Politik sind Datenträger, die Daten hoher Vertraulichkeitsstufen enthalten, beim Transport durch Dritte entweder zu verschlüsseln, oder in entsprechend versperrten Behältnissen zu transportieren

Nicht vermerkt werden sollte,

• • •

welches Passwort für die eventuell geschützten Informationen vergeben wurde, welche Schlüssel ggf. für eine Verschlüsselung der Informationen verwendet wurde, welchen Inhalt der Datenträger hat.

Der Versand des Datenträgers kann (optional) dokumentiert werden. Für jede stattgefundene Übermittlung ist dann in einem Protokoll festzuhalten, wer wann welche Informationen erhalten hat. Je nach Schutzbedarf beziehungsweise Wichtigkeit der übermittelten Informationen ist der Empfang zu quittieren und ein Quittungsvermerk dem erwähnten Protokoll beizufügen. Es sind jeweils Verantwortliche für den Versand und für den Empfang zu benennen.

362

[eh SYS 2.3]

10.8 Informationsaustausch / E-Mail
Der Austausch von Informationen zwischen Organisationen und Organisationseinheit bedarf der Entwicklung geeigneter Richtlinien und der Anwendung sicherer Verfahren zum Schutz der ausgetauschten Informationen und der dabei verwendeten Datenträger. Austauschvereinbarungen mit den Kommunikationspartnern und die einschlägigen Gesetze sind dabei einzuhalten

10.8.1 Richtlinien beim Datenaustausch mit Dritten
ISO Bezug: 27002 6.2.2, 6.2.3, 10.8.1, 10.8.2 Beim regelmäßigen Datenaustausch mit Dritten ist die Festlegung von Richtlinien bzw. der Abschluss von Vereinbarungen mit allen Beteiligten sinnvoll. Dabei spielt es keine Rolle, wie der Datenaustausch selbst erfolgt (Datenträgeraustausch, EMail, etc.). In einer derartigen Vereinbarung können Angaben zu folgenden Punkten enthalten sein:

• • • • • • • • •

Bestimmung der Verantwortlichen Benennung von Ansprechpartnerinnen bzw. Ansprechpartnern (in technischen, organisatorischen und sicherheitstechnischen Belangen) existiert ein Non-Disclosure-Agreement (NDA) Festlegung der Datennutzung welche Anwendungen und Datenformate sind zu verwenden wie und wo erfolgt die Prüfung auf Virenfreiheit wann dürfen Daten gelöscht werden Regelung des Schlüsselmanagements, falls erforderlich Einhaltung einschlägiger Gesetze (bspw. Datenschutzgesetz 2000 (DSG 2000) , etc.)

Weitere Punkte, die in eine solche Vereinbarung aufgenommen werden sollten, finden sich in 10.7.2 Datenträgerverwaltung und 10.7.3 Datenträgeraustausch [eh SYS 1.9]

363

10.8.2 Festlegung einer Sicherheitspolitik für E-Mail-Nutzung
ISO Bezug: 27002 10.4, 10.8, 10.9, 11.4 Vor der Freigabe von E-Mail-Systemen sollte festgelegt werden, für welchen Einsatz E-Mail vorgesehen ist. Abhängig davon differieren auch die Ansprüche an Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit der zu übertragenden Daten sowie des eingesetzten E-Mail-Programms. Es muss geklärt werden, ob über E-Mail ausschließlich unverbindliche oder informelle Informationen weitergegeben werden sollen oder ob einige oder sogar alle der bisher schriftlich bearbeiteten Geschäftsvorfälle nun per E-Mail durchgeführt werden sollen. Bei letzterem ist zu klären, wie Anmerkungen an Vorgängen wie Verfügungen, Abzeichnungen oder Schlusszeichnungen, die bisher handschriftlich angebracht wurden, elektronisch abgebildet werden sollen. Weiters ist festzulegen, ob und in welchem Rahmen eine private Nutzung von E-Mail erlaubt ist. Die Organisation muss eine E-Mail-Sicherheitspolitik festlegen, in der folgende Punkte beschrieben sind:

• • • • • •

Wer einen E-Mail-Anschluss erhält, welche Regelungen von den Mail-Administratoren und den E-MailBenutzerinnen/Benutzern zu beachten sind (vgl. 10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten ), bis zu welchem Vertraulichkeits- bzw. Integritätsanspruch Informationen per EMail versandt werden dürfen , ob und unter welchen Rahmenbedingungen eine private Nutzung von E-Mail erlaubt ist, wie die Benutzer/innen geschult werden und wie jederzeit technische Hilfestellung für die Benutzer/innen gewährleistet wird.

Durch organisatorische Regelungen oder durch die technische Umsetzung sind dabei insbesondere die folgenden Punkte zu gewährleisten:

• •

Für Organisationen im öffentlichen Bereich sind die im Rahmen der InternetPolicy [IKT-IPOL] enthaltenen E-Mail Richtlinien [IKT-MPOL] gemäß IKT-BoardBeschluss vom 17.09.2002 [IKTB-170902-1] umzusetzen. Die E-Mail-Progamme der Benutzer/innen müssen durch die Systemadministration so vorkonfiguriert sein, dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann (siehe auch 10.8.7 Sichere Konfiguration der Mailclients ).

364

• • • • •

• •

Für E-Mail-Adressen sind Namenskonventionen festzulegen. Insbesondere ist darauf zu achten, dass Sonderzeichen (Umlaute, ...) vermieden werden, da diese inhaltlich nicht einheitlich codiert sind. (vgl. E-Mail Richtlinien [IKTMPOL] im Rahmen der Internet-Policy [IKT-IPOL] gemäß [IKTB-170902-1] für Organisationen der öffentlichen Verwaltung zur Anwendung empfohlen) Für E-Mail-Adressen in Behörden bzw. in Organisationen der öffentlichen Verwaltung ist die in der anzuwendenden E-Mail-Policy enthaltene NamingPolicy empfohlen. (gemäß [IKTB-170902-1] ). Neben personenbezogenen E-Mail-Adressen können auch organisations- bzw. funktionsbezogene E-Mail-Adressen eingerichtet werden. Dies ist insbesondere bei zentralen Anlaufstellen wichtig. Die Übermittlung von Daten darf erst nach erfolgreicher Identifizierung und Authentisierung des Senders beim Übertragungssystem möglich sein. Die Benutzer/innen müssen vor erstmaliger Nutzung von E-Mail in die Handhabung der relevanten Applikationen eingewiesen werden. Die organisationsinternen Benutzerregelungen zur Dateiübermittlung müssen ihnen bekannt sein. Zur Beschreibung des Absenders werden bei E-Mails so genannte Signatures (Absenderangaben) an das Ende der E-Mail angefügt. Der Inhalt einer Signature sollte dem eines Briefkopfs ähneln, also Name, Organisationsbezeichnung und Telefonnummer u.ä. enthalten. Eine Signature sollte nicht zu umfangreich sein, da dies nur unnötig Übertragungszeit und Speicherplatz kostet. Die Behörde bzw. das Unternehmen sollte einen Standard für die einheitliche Gestaltung von Signatures festlegen. Von den eingesetzten Sicherheitsmechanismen hängt es ab, bis zu welchem Vertraulichkeitsanspruch Dateien per E-Mail versandt werden dürfen. Es ist grundsätzlich festzulegen, ob Mails bzw. Attachments in verschlüsselter Form übertragen werden dürfen. Dies erhöht zwar die Sicherheit gegen unautorisiertes Lesen oder Verändern, erschwert aber die Suche nach Viren oder macht sie gänzlich unmöglich. Ist der Einsatz von Verschlüsselungsverfahren prinzipiell erlaubt, so sollte geregelt werden, ob und wann übertragene Dateien verschlüsselt werden müssen (siehe auch 12.6 Einsatz kryptographischer Maßnahmen ). Gleichermaßen ist festzulegen, ob und in welcher Form kryptographische Mechanismen zur Überprüfung der Integrität von Daten (MACs, Digitale Signaturen, ...) eingesetzt werden dürfen bzw. müssen. Es ist zentral festzulegen, welche Applikationen für die Verschlüsselung bzw. den Einsatz von elektronischen Signaturen von den Benutzerinnen/Benutzern zu verwenden sind. Diese müssen den Benutzerinnen/Benutzern zur Verfügung gestellt werden, die wiederum in deren Anwendung unterwiesen werden müssen. Für Organisationen der Öffentlichen Verwaltung sind die „Richtlinien für EMail Zertifikate in der Verwaltung“ [IKT-MZERT] gemäß IKT-Board Beschluss [IKTB-230903-17] zu beachten. Es sollte festgelegt werden, unter welchen Bedingungen ein- oder ausgehende E-Mails zusätzlich ausgedruckt werden müssen. 365

• •

Die Dateiübertragung kann (optional) dokumentiert werden. Für jede stattgefundene Übermittlung ist dann in einem Protokoll festzuhalten, wer wann welche Informationen erhalten hat. Bei der Übertragung personenbezogener Daten sind die gesetzlichen Vorgaben zur Protokollierung zu beachten. Ob und wie ein externer Zugang zu E-Mail Diensten technisch und organisatorisch realisiert werden soll, ist zu prüfen und muss festgelegt werden. Technisch ist ein E-Mail-Zugang von Außen geeignet abzusichern, z.B. VPN, etc. In Organisationen der öffentlichen Verwaltung ist gemäß IKT-Board Beschluss [IKTB-110903-8] die Möglichkeit der Identifikation und Authentifikation mittels Bürgerkarte zu beachten.

E-Mails, die intern versandt werden, dürfen das interne Netz nicht verlassen. Dies ist durch die entsprechenden administrativen Maßnahmen sicherzustellen. Beispielsweise sollte die Übertragung von E-Mails zwischen verschiedenen Liegenschaften einer Organisation über eigene Standleitungen und nicht über das Internet erfolgen. Durch heutige Techniken (z.B. VPN) entfällt diese Forderung, wenn Nachrichten entsprechend verschlüsselt werden. [eh SYS 8.7]

10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten
ISO Bezug: 27002 10.4, 10.8, 10.9, 11.2.4, 11.4, 15.2 Für den Einsatz von E-Mails sind u.a. folgende Punkte zu beachten:

• • • • •
366

Die Adressierung von E-Mail muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. Innerhalb einer Organisation sollten Adressbücher und Verteilerlisten gepflegt werden, um die Korrektheit der gebräuchlichsten Adressen sicherzustellen. Durch den Versand von Testnachrichten an neue EMail-Adressen ist die korrekte Zustellung von Nachrichten zu prüfen. Für alle nach außen gehenden E-Mails ist eine Signatur (Absenderangabe am Ende der Mail) zu verwenden. Ausgehende E-Mails sollten protokolliert werden, da E-Mails auch "verschwinden" können. Die Betreffangabe (Subject) des Kommunikationssystems sollte immer ausgefüllt werden, z.B. entsprechend der Betreffangabe in einem Anschreiben. Die Korrektheit der durchgeführten Datenübertragung sollte überprüft werden. Die Empfängerseite sollte den korrekten Empfang überprüfen und der Senderseite bestätigen. Verwendung residenter Virenscanner für ein- bzw. ausgehende Dateien: Vor dem Absenden bzw. vor der Dateiübermittlung sind die ausgehenden Dateien explizit auf Viren zu überprüfen.

Erfolgt über die E-Mail auch eine Dateiübertragung, so sollten die folgenden Informationen an den/die Empfänger/in zusätzlich übermittelt werden:

ggf. Art der eingesetzten Software für Verschlüsselung bzw. Elektronischen Signatur. Jedoch sollte nicht vermerkt werden: welches Passwort für die eventuell geschützten Informationen vergeben wurde, • welche Schlüssel ggf. für eine Verschlüsselung der Informationen verwendet wurde. Regelmäßiges Löschen von E-Mails: E-Mails sollten nicht unnötig lange im Posteingang gespeichert werden. Sie sollten entweder nach dem Lesen gelöscht werden oder in Benutzerverzeichnissen gespeichert werden, wenn sie erhalten bleiben sollen. Viele Mailprogramme löschen E-Mails nicht sofort, sondern transferieren sie in spezielle Ordner. Benutzer/innen müssen darauf hingewiesen werden, wie sie E-Mails auf ihren Clients vollständig löschen können.

• • • • • •

Art der Datei (z.B. MS Word), Kurzbeschreibung über den Inhalt der Datei, Hinweis, dass Dateien auf Viren überprüft sind, ggf. Art des verwendeten Packprogramms (z.B. PKZIP)

Bei den meisten E-Mail-Systemen werden die Informationen unverschlüsselt über offene Leitungen transportiert und können auf diversen Zwischenrechnern gespeichert werden, bis sie schließlich ihre/n Empfänger/in erreichen. Auf diesem Weg können Informationen leicht manipuliert werden. Aber auch der/die Versender/ in einer E-Mail hat meistens die Möglichkeit, seine/ihre Absenderadresse (From) beliebig einzutragen, so dass grundsätzlich gilt, dass man sich nicht auf die Echtheit der Absenderangabe verlassen und sich nur nach Rückfrage oder bei Benutzung von Digitalen Signaturen der Authentizität des Absenders sicher sein kann. In Zweifelsfällen sollte daher die Echtheit des Absenders durch Rückfrage oder durch den Einsatz von Verschlüsselung und/oder Digitalen Signaturen (vgl. 12.6 Einsatz kryptographischer Maßnahmen ) überprüft werden. Es ist allerdings zu beachten, dass verschlüsselte Nachrichten im Allgemeinen nicht zentral auf Viren überprüft werden können (dazu wäre die zentrale Hinterlegung der notwendigen Schlüssel erforderlich). Es ist daher in der E-Mail-Sicherheitspolitik festzulegen, ob verschlüsselte Nachrichten zugelassen sind und wie damit zu verfahren ist. Wenn verschlüsselte Nachrichten nicht zugelassen sind, können diese etwa durch eine Poststelle (s. 10.8.5 Einrichtung eines Postmasters ) geblockt werden.

367

Es ist festzulegen, ob und gegebenenfalls in welchem Rahmen eine private Nutzung von E-Mail-Diensten zulässig ist. Diese Festlegung sollte im Rahmen einer Betriebsvereinbarung oder bei Abschluss des Arbeitsvertrages getroffen werden. Weiters sind auch die zulässigen Kontrollmaßnahmen des/der Arbeitgebers/ Arbeitgeberin (Protokollierung, Auswertung, ...) und die möglichen Sanktionen bei Verstößen gegen die getroffenen Vereinbarungen zu regeln. Alle Regelungen und Bedienungshinweise zum Einsatz von E-Mail sind schriftlich zu fixieren und sollten den Mitarbeiterinnen/Mitarbeitern jederzeit zur Verfügung stehen. Die Benutzer/innen müssen vor dem Einsatz von Kommunikationsdiensten wie E-Mail geschult werden, um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen beim Versenden bzw. Empfangen von E-Mail sensibilisiert werden. Zur Vermeidung von Überlastung durch E-Mail sind die Mitarbeiter/innen über potentielles Fehlverhalten zu belehren. Sie sollten dabei ebenso vor der Teilnahme an E-Mail-Kettenbriefen, vor Spams, der unnötigen Weiterverbreitung von Virenwarnungen sowie vor der Abonnierung umfangreicher Mailinglisten gewarnt werden. Benutzer/innen müssen darüber informiert werden, dass Dateien, deren Inhalt Anstoß erregen könnte, weder verschickt noch auf Informationsservern eingestellt noch nachgefragt werden dürfen. Außerdem sollten Benutzer/innen darauf verpflichtet werden, dass bei der Nutzung von Kommunikationsdiensten

• • •

die fahrlässige oder gar vorsätzliche Unterbrechung des laufenden Betriebes unter allen Umständen vermieden werden muss (vgl. dazu § 126a zu Datenbeschädigung (StGB) ). Zu unterlassen sind insbesondere Versuche, ohne Autorisierung Zugang zu Netzdiensten - welcher Art auch immer - zu erhalten, Informationen, die über die Netze verfügbar sind, zu verändern, in die individuelle Arbeitsumgebung einer Netznutzerin bzw. eines Netznutzers einzugreifen oder unabsichtlich erhaltene Angaben über Rechner und Personen weiterzugeben. die Verbreitung von für die Allgemeinheit irrelevanten Informationen unterlassen werden muss. Die Belastung der Netze durch ungezielte und übermäßige Verbreitung von Informationen sollte vermieden werden. Eindringversuche an internen/externen Netzen/Geräten zu unterlassen sind, die Verbreitung von redundanten Informationen vermieden werden sollte.

368

dass sowohl die lokale Kommunikation als auch die Kommunikation auf Seiten des öffentlichen Netzes abgesichert wird. Der Mailserver muss hierbei sicherstellen. Die E-Mails werden vom Mailserver bis zur Weitergabe zwischengespeichert.8.1.4.B. und 369 . Auf die Bereiche. 11. 14. ist der Zugriff auch für die lokalen Benutzer/innen zu unterbinden. Spooldateien). [eh SYS 8. Nähere Details dazu sind auch unter dem Punkt 10. Viele Internetprovider und Administratoren archivieren zusätzlich die einund ausgehenden E-Mails.2. in denen E-Mails nur temporär für die Weiterleitung zwischengespeichert werden (z. an den alle unzustellbaren E-Mails und alle Fehlermeldungen weitergeleitet werden (siehe auch 10. Für den ordnungsgemäßen Betrieb sind Administratoren und Stellvertreter zu benennen und zum Betrieb des Mailservers und des zugrunde liegenden Betriebssystems zu schulen. 11.4 Sicherer Betrieb eines Mail-Servers ISO Bezug: 27002 10. • Es muss regelmäßig kontrolliert werden.9.5 Einrichtung eines Postmasters ).4. sowie die Handhabe von E-Mail-Zertifikaten nach den "Richtlinien für E-Mail-Zertifikate in der Verwaltung" [IKT-MZERT] der Stabsstelle IKT-Strategie des Bundes (CIO) zu richten. Damit Unbefugte nicht über den Mailserver auf Nachrichteninhalte zugreifen können.8. Darüber hinaus sind im Bereich öffentliche Verwaltung der Externe Zugang zu E-Mail-Diensten unter Beachtung des IKT-Board Beschlusses [IKTB-110903-8] zu gestalten. dass lokale E-Mails der angeschlossenen Benutzer/innen nur intern weitergeleitet werden und nicht in das öffentliche Netz gelangen können. Es muss ein Postmaster-Account eingerichtet werden. insbesondere dem Mailserver des Mail-Providers.8. Weiters reicht der Mailserver die gesendeten E-Mails lokaler Benutzer/innen an externe Mailserver weiter. Dafür sollte er gesichert (in einem Serverraum oder Serverschrank) aufgestellt sein.Für den Bereich der öffentlichen Verwaltung wurde im Rahmen des IKT-Boards als Bestandteil der "Internet-Policy" [IKT-IPOL] eine "E-Mail-Policy" [IKT-MPOL] beschlossen und zur Anwendung empfohlen [IKTB-170902-1] . 10.6 Geeignete Auswahl eines E-Mail-Clients/Server zu finden. ob die Verbindung mit den benachbarten Mailservern. dazu § 126a zu Datenbeschädigung (StGB) ).8.3. 10.8] 10.6. noch stabil ist. 10.1 Der sichere Betrieb eines Mailservers setzt voraus. muss der Mailserver gegen unbefugten Zugriff gesichert sein (vgl. Auf die Mailboxen der lokal angeschlossenen Benutzer/innen dürfen nur diese Zugriff haben. Der Mailserver nimmt von anderen Mailservern E-Mails entgegen und leitet sie an die angeschlossenen Benutzer/innen oder Mailserver weiter..

Wenn eine Organisation keinen eigenen Mailserver betreibt.6 Geeignete Auswahl eines E-Mail-Clients/Server zu beachten.B.B. ist zusätzlich die auf Basis des IKT-Board-Beschlusses [IKTB-170902-1] empfohlene E-Mail-Policy anzuwenden.6. auch 10. Spam auszugrenzen. muss mit dem Provider ein Dienstleistervertrag im Sinne des § 11 Datenschutzgesetz (DSG 2000) abgeschlossen werden. die von Mitarbeiterinnen/Mitarbeitern der Organisation stammen.16 Firewalls und aktive Inhalte ). Der Mailserver sollte ein abgeschlossenes. da ansonsten kein weiterer Nachrichtenaustausch möglich ist. Ein Mailserver sollte davor geschützt werden. eigenes Produktionssystem sein. welche Protokolle und Dienste am Mailserver erlaubt sind. Für Organisationen der öffentlichen Verwaltung. Entsprechende Filterlisten sind im Internet verfügbar bzw. um mögliche Angriffe auf Benutzeraccounts zu erschweren. Hierbei muss mit Bedacht vorgegangen werden. z. Auch über die Filterung anderer Header-Einträge kann versucht werden. Es ist festzulegen. dass er E-Mails nur für die Organisation selber entgegennimmt und nur E-Mails verschickt. sondern über einen oder mehrere Mailclients direkt auf den Mailserver eines Providers zugreift. Dafür sollte ein Mailserver so konfiguriert werden. Java-Applets) überprüft werden (vgl. sinnvoll sein.• ob der für die Zwischenspeicherung der Mail zur Verfügung stehende Plattenplatz noch ausreicht. können von verschiedenen Herstellern der Kommunikationssoftware bezogen werden.B. Die Benutzernamen auf dem Mailserver sollten nicht aus den E-Mail-Adressen unmittelbar ableitbar sein. bei Verdacht auf Manipulationen. Eingehende E-Mails sollten am Firewall oder am Mailserver auf Viren und andere schädliche Inhalte wie aktive Inhalte (z. insbesondere sollten von der Verfügbarkeit des Mailservers keine weiteren Dienste abhängig sein.8. welche einen eigenen Mailserver unterhalten. Demnach sind auch Maßnahmen und Empfehlungen aus 10. indem beispielsweise aus jeder Spam-Mail eine neue dedizierte Filterregel abgeleitet wird. Über Filterregeln können für bestimmte E-Mail-Adressen der Empfang oder die Weiterleitung von E-Mails gesperrt werden. Daher sollten entsprechende Filterregeln sehr genau definiert werden. als Spam-Relay verwendet zu werden. damit der Filterung keine erwünschten E-Mails zum Opfer fallen. Dies kann z. ihn abzuschalten. um sich vor Spam-Mail zu schützen. Es sollte jederzeit kurzfristig möglich sein. Umfang und Inhalt der Protokollierung der Aktivitäten des Mail-Servers sind festzulegen. 370 .

die versuchen sollten die Fehlerquellen zu beheben. Hotline oder Helpdesk) sollten jederzeit von den Benutzerinnen/Benutzern telefonisch erreicht werden können.8. Verständigung der betroffenen Benutzer. ev. automatische Löschung nach einer vorgegebenen Zeitspanne.10] 10. 14.5.5 Einrichtung eines Postmasters ISO Bezug: 27002 10. Ablage in speziellen Quarantänebereichen. 12.1 In größeren Organisationen sollte zum reibungslosen Ablauf des E-Mail-Dienstes ein "Postmaster" benannt werden. 10. Verständigung des/der Absenders/Absenderin bzw. Überprüfung der Attachments auf Viren. Setzen von Maßnahmen.10. Speicherung in einem Zwischenbereich. Dieser nimmt folgende Aufgaben wahr: • • • • • • • Bereitstellen der Maildienste auf lokaler Ebene.8. die unzustellbar bleibt. E-Mail..9] 10. für die betreffende Organisation oder für ein IT-System speziell erstellte Richtlinien gelten).6 Geeignete Auswahl eines E-Mail-Clients/Server 371 .) Überprüfung. ob die externen Kommunikationsverbindungen funktionieren. Überprüfung. muss nach Ablauf einer vordefinierten Frist vernichtet werden. der/die Absender/in ist mittels einer entsprechenden Fehlermeldung zu informieren. [eh SYS 8. • Alle unzustellbaren E-Mails und alle Fehlermeldungen müssen an den Postmaster weitergeleitet werden. Anlaufstelle bei Mailproblemen für Endbenutzer/innen sowie für die Betreiber von Gateway.und Relaydiensten. Zuständige Betreuer/innen (ev. [KIT T05] bzw. 13. wenn der Inhalt einer E-Mail (zur Gänze oder teilweise) nicht einem gültigen Dokumentenaustauschformat entspricht (etwa Blocken der Nachricht.4.8. Setzen von Maßnahmen..[eh SYS 8. Freigabe durch Sicherheitsbeauftragte nach Rücksprache und Begründung). falls ein Virus gefunden wurde (Verhinderung einer Weiterleitung. Pflege der Adresstabellen. . ob der gesamte Inhalt einer E-Mail einem gültigen Dokumentformat genügt (als Grundlage können hier die Richtlinien über Dokumentenaustauschformate (s.1. 12.4.6tw. Empfängers/Empfängerin. 10.

Zugang von Außen: Der uneingeschränkte Zugang von außen ist nur über eine geeignete Verschlüsselung einzurichten (z. TLS oder IPsec mit einer symmetrischen Schlüssellänge von mindestens 100 Bit).B. Darüber hinaus gilt es die existierende WEBMAIL-Policy (sowie vorhandene Checklisten) zu beachten. 10. Eine komfortable Umsetzung erfordert. 10. Für die Signatur von Attachments sind als Signaturformate PKCS#7 oder XML zu verwenden.8. Die durch den IKT-Board-Beschluss [IKTB-170902-1] für die Organisationen der öffentlichen Verwaltung empfohlene E-Mail-Policy schreibt dabei die Einhaltung der folgenden Mindesteigenschaften vor: • • • • • 372 Kommunikation: Für die Kommunikation zwischen Clients und Servern im E-Mailverkehr sowie für die Kommunikation zwischen E-Mail-Servern selbst sind folgende Protokolle festgelegt: POP3 [RFC1939]. Nachweis der Standardkonformität: . 10.4. Derartige Anforderungen werden im Detail in der für Organisationen der öffentlichen Verwaltung zu beachtenden E-Mail-Policy des Chief Information Office des Bundes behandelt.5 Gemäß den Vorgaben der E-Mail-Strategie des Bundes müssen E-MailProgramme (E-Mail-Clients und E-Mail-Server) unter dem Gesichtspunkt offener internationaler Standards gewählt werden. IMAP [RFC 3501]. in dem die Verwendung der Bürgerkarte zur Identifikation und Authentifikation empfohlen wird.8.8. PGP kann für die Vertraulichkeit in einer Übergangszeit in manchen Bereichen notwendig bleiben. Die dabei eingesetzten Schlüssellängen der symmetrischen Schlüsselkomponenten müssen mindestens 100 Bit betragen. VPN oder IPSEC).2. Die Verschlüsselungen und Signaturen müssen jedenfalls CMS kompatibel sein.1. dass die eingesetzten Clients und Server entsprechende Interfaces zu diesen Verzeichnisdiensten aufweisen. Mailzugänge über Web-Interfaces müssen zumindest verschlüsselt sein (Standard SSL bzw. SMTP [RFC 5321] Adress-Verwaltung: Die Verwaltung von E-Mail-Adressen und Attributen erfolgt in Verzeichnisdiensten. die auch die End-ToEnd Authentifizierung sicherstellt. Im Bereich der öffentlichen Verwaltung ist für den externen E-Mail-Zugang auch der IKT-Board Beschluss [IKTB-110903-8] zu berücksichtigen.8. Dafür wird folgender Standard im Rahmen der E-Mail-Policy für die öffentliche Verwaltung vorgeschrieben: LDAP V3 [RFC 4511] Sicherheit: Für die E-Mail-Sicherheit ist S/MIME V3 einzusetzen. Für die öffentliche Verwaltung ist die "Richtlinie für E-Mail Zertifikate in der Verwaltung" [IKTMZERT] zu beachten [IKTB-230903-17] .ISO Bezug: 27002 10.

U. Dieses dient zur Kompatibilitätsfeststellung der eingesetzten Systeme sowohl nach innen als auch nach außen.2. Bei der Konfiguration von E-Mail-Clients kann auf produktbezogene und aktuelle von vertrauenswürdigen Stellen veröffentlichte Leitlinien zurückgegriffen werden (z.4.3. hat so die Möglichkeit. 10. sowie auf die "EMail-Policy" [IKT-MPOL] der Stabsstelle IKT-Strategie des Bundes (CIO) verwiesen.8 Verwendung von WebMail externer Anbietern ISO Bezug: 27002 7. Insbesondere sollten bei der Konfiguration der E-Mail-Clients folgende Punkte berücksichtigt werden: • • Das E-Mail-Passwort darf keinesfalls dauerhaft vom E-Mail-Programm gespeichert werden. [eh SYS 8. sogar im Klartext oder nur schwach verschlüsselt.4. dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann. Damit kann der Nachweis der Konformität der Systeme mit den geforderten Standards und der Einhaltung der Mindestantwortzeiten erbracht werden.7 Sichere Konfiguration der Mailclients ISO Bezug: 27002 10. u. unter fremdem Namen E-Mails zu verschicken bzw. Für weitere detaillierte Vorschriften.2.8.8.Für die Bereiche der öffentlichen Verwaltung wird ein Testmailservice angeboten. [eh SYS 8. die für die Organisationen der öffentlichen Verwaltung gemäß dem IKT-Board-Beschluss [IKTB-170902-1] anwendbar sind. 10.B. um sicherzustellen. Jede/r. 12. 10. Dabei wird das Passwort auf der Client-Festplatte abgelegt.7.1. 10.4.7. 11. dass sie die Konfiguration nicht selbsttätig ändern dürfen.4.8. sei auf die entsprechenden Kapitel der "Internet Policy" [IKT-IPOL] . dass keine internen E-Mail-Adressen weitergegeben werden. des Benutzers einzustellen. 10.2.1 Die E-Mail-Progamme der Benutzer/innen müssen durch den Administrator so vorkonfiguriert sein. 15.8. die/der Zugriff auf den Mailclient hat.1.5 373 .2.8.11] 10.8. [NSA-ECC1] ). das E-Mail-Passwort auszulesen.19] 10.3. Als Reply-Adresse ist die E-Mail-Adresse der Benutzerin bzw. Die Benutzer/innen sind darauf hinzuweisen.

etc. in Verbindung mit Werbung) zur Verfügung. dem Einsatz von Spam-Filtern.6 Geeignete Auswahl eines E-Mail-Clients/Server ): • • • • Wahl eines geeigneten Passwortes (vgl. über eine verschlüsselte Verbindung (z. Die Anbieter derartiger Webmaildienste unterscheiden sich nicht nur hinsichtlich ggf. bei dem der/die Anwender/in die E-Mail-Dienste ohne jegliche clientseitige Software sondern nur unter Verwendung des Browsers nutzen kann.) [eh SYS 8. In diesem Zusammenhang wird der Zugang zu den E-Mail-Konten in der Regel via Web-Mail angeboten. Verfügbarkeit. anfallender Kosten.3. usw.8. Darüber hinaus sind die gebotenen Sicherheitsvorkehrungen zu beachten. auch 10. wie etwa: • • • • • • ist es möglich. 11. Diesbezüglich ist eine genaue Durchsicht der Allgemeinen Geschäftsbedingungen (AGB) des jeweiligen Anbieters vorzunehmen.Eine Vielzahl von externen Maildiensteanbietern stellen ihre Services oft kostenlos (evtl.23] 374 .B. Es ergeben sich auch Unterschiede bezüglich Mailbox-Größen.1 Regelungen des Passwortgebrauches ) Zugriffe auf das Web-Mail-Konto dürfen nur über verschlüsselte Verbindungen erfolgen (SSL/TLS) trotz eines vorhandenen anbieterseitigen Virenschutzes sollten Attachments clientseitig auf Viren geprüft werden Beenden des Web-Mail-Dienstes nur über den vorgesehenen Ausstiegsmechanismus (Log-Out-Button. SSL/TLS) auf die Mailbox zuzugreifen können E-Mails elektronisch signiert und/oder verschlüsselt werden findet eine Identitätsprüfung von Neukunden statt wird der Service durch fachkundiges und sicherheitstechnisch geschultes Personal realisiert (Social Engineering Attacks: beispielsweise soll das Erfragen des Passwortes durch einen fingierten Anruf am Helpdesk nicht möglich sein) eine Virenprüfung der E-Mails sollte anbieterseitig gewährleistet sein Spam-Filter sollten zur Verfügung stehen Bei der Verwendung von Web-Mail sollte der/die Anwender/in Folgendes beachten (vgl.

[eh SYS 8. etc. auch bei Virenbefall.B. etc.9 Internet-.9.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet) ISO Bezug: 27002 10.) welche Plattformen werden unterstützt Richtlinien zur Protokollierung (wer protokolliert was/wann und wie werden Protokolldaten ggf.) eventuell Non-Disclosure-Agreement (NDA) Festlegung der Datennutzung Benennung von Ansprechpartnerinnen/Ansprechpartnern (in technischen. DIe Integrität und die Verfügbarkeit der Informationen. Für diesen Schritt sind als Grundlage von allen Beteiligten einzuhaltende Richtlinien bzw.) Sicherheitslücken müssen von allen Beteiligten vor dem Netzzusammenschluss beseitigt werden. Vorgehen bei Netzwerktrennung. ist sicher zu stellen.1 Zunehmend werden die nach außen hin abgeschotteten und abgesicherten Netzwerke von Organisationen zu einem Verbund zusammengeschlossen (Extranet). organisatorischen und sicherheitstechnischen Belangen) welche Dienste werden zur Verfügung gestellt (z. E-Government Aus der immer weiter verbreiteten Nutzung von E-Commerce und E-Government ergeben sich Anforderungen an die Sicherheit der Systeme Applikationen und Transaktionen. die von Systemen über das öffentliche Internet angeboten werden. In einer derartigen Vereinbarung (sog.9. E-Commerce. 10. Hackerangriff.21] 375 . etc. ftp. ausgetauscht) welche Sicherheitsmaßnahmen müssen gewährleistet werden wie sind weitere Vertragspartner in die Vereinbarung einzubinden Regelung über das Vorgehen beim Auftreten von Sicherheitslücken (betrifft Informationspflicht.B.und Schadensersatzregeln (z. Vereinbarungen notwendig. Dabei sind gegenseitige (stichprobenartige) Überprüfungen der vereinbarten und einzuhaltenden Sicherheitsmaßnahmen sinnvoll. http. Data Connection Agreement – DCA) sollen detaillierte Angaben zu folgenden Punkten enthalten sein: • • • • • • • • • • • Bestimmung der Verantwortlichen Haftungs.10. Web.

6. Die Erstellung der Internet-Sicherheitspolitik umfasst im Wesentlichen folgende Schritte (vgl.9. Schutz vor Angriffen.10. Verfügbarkeit der Informationen des externen Netzes im zu schützenden internen Netz. des Unternehmens kompatibel sein.4 Eine Internet-Sicherheitspolitik stellt eine IT-Systemsicherheitspolitik im Sinne von Kapitel5 Entwicklung einer organisationsweiten InformationssicherheitsPolitik des vorliegenden Handbuchs dar. das ICMP-Protokoll bzw. Schutz der lokal übertragenen und gespeicherten Daten gegen Angriffe auf deren Vertraulichkeit oder Integrität. 10. Schutz einer Firewall gegen Angriffe aus dem externen Netz.2 Erarbeitung einer organisationsweiten InformationssicherheitsPolitik ) : • • • • • • • • • • • Festlegung der Sicherheitsziele Auswahl der Kommunikationsanforderungen Diensteauswahl organisatorische Regelungen Beispiele für Sicherheitsziele sind: Schutz des internen Netzes gegen unbefugten Zugriff von außen.2 Erstellung einer Internet-Sicherheitspolitik ISO Bezug: 27002 10. die auf IP-Spoofing beruhen oder die Source-Routing Option. 11. (Die Verfügbarkeit dieser Informationen muss aber gegenüber dem Schutz der lokalen Rechner und Informationen zurückstehen!). Routingprotokolle missbrauchen.9. Schutz der lokalen Netzkomponenten gegen Angriffe auf deren Verfügbarkeit (insbesondere gilt dies auch für Informationsserver. Schutz vor Angriffen durch das Bekannt werden von neuen sicherheitsrelevanten Softwareschwachstellen. (Da die Anzahl der potentiellen Angreifer/innen und deren Kenntnisstand bei einer Anbindung an das Internet als sehr hoch angesehen werden muss. die Informationen aus dem internen Bereich für die Allgemeinheit zur Verfügung stellen). ist dieses Sicherheitsziel von besonderer Bedeutung. aber auch gegen Manipulationen aus dem internen Netz. Sie muss mit der organisationsweiten Informationssicherheits-Politik der Behörde bzw. 10.3.1.) 376 .

nur über einen Internet-Service-Provider oder auch über einen Modempool)? Welcher Datendurchsatz ist zu erwarten? Diensteauswahl Im dritten Schritt wird aus den Kommunikationsanforderungen abgeleitet.B. welche Arten der Kommunikation mit dem äußeren Netz zugelassen werden. Es muss unterschieden werden zwischen denjenigen Diensten. • • welche Dienste für welche Benutzer/innen und/oder Rechner zugelassen werden sollen und für welche Dienste Vertraulichkeit und/oder Integrität gewährleistet werden müssen. vom dienstlichen Aufgabenbereich der Benutzerin bzw.B. 377 . In der Sicherheitspolitik muss für jeden Dienst explizit festgelegt werden. überprüft werden sollen (z. Bei der Auswahl der Kommunikationsanforderungen müssen speziell die folgenden Fragen beantwortet werden: • • • • • Welche Informationen dürfen nach außen hindurch. die interne Netzstruktur oder die Benutzernamen)? Welche Authentisierungsverfahren sollen benutzt werden (z. nach innen hereingelassen werden? Welche Informationen sollen verdeckt werden (z. Die Entscheidung darüber. Einmalpasswörter oder Chipkarten)? Welche Zugänge werden benötigt (z. und denjenigen. Alle anderen Dienste müssen verboten werden. ob und welche der übertragenen Nutzinformationen gefiltert bzw. die für externe Benutzer/innen zugelassen werden. hängt von der Qualität der Firewall. zur Kontrolle auf Viren).bzw. Es muss festgelegt werden. des Benutzers sowie von ihrem/seinem Problembewusstsein ab.Im nächsten Schritt ist festzulegen. die unbedingt notwendig sind. dürfen nicht zugelassen werden. für die noch keine expliziten Regeln festgelegt wurden. Dies muss auch die Voreinstellung sein: Alle Dienste.B. die für die Benutzer/ innen im zu schützenden Netz. welche Dienste im zu sichernden Netz erlaubt und welche verboten werden müssen.B. Es sollten nur die Dienste zugelassen werden. zu welchen Diensten ein/e Benutzer/in im Internet Zugang erhalten kann.

welche Informationen protokolliert werden und wer die Protokolle auswertet.3 Organisation und Verantwortlichkeiten für Informationssicherheit ). es sollte eine ausreichende Anzahl von Verbindungsmöglichkeiten vorgesehen werden. die dem/der Benutzer/in mögliche Risiken aufzeigt und ihr/sein Problembewusstsein fördert. Es ist zu klären.B. d. Die Protokollierung muss den datenschutzrechtlichen Bestimmungen entsprechen. Angriffe können über die Auswertung der Protokolldateien erkannt werden. Daneben müssen je nach Organisationsstruktur und -größe ein oder mehrere Verantwortliche für die Pflege der angebotenen Kommunikationsdienste benannt werden. sondern auch frühzeitig erkannt werden können. Es ist daher eine Schulung erforderlich. wie z. und die entsprechenden Maßnahmen einleiten. 378 . Da hiermit starke Eingriffe in den Netzbetrieb verbunden sein können. sogar Aktionen auszulösen. Warnungen auszugeben oder evtl. ob ein Angriff vorliegt. wie beispielsweise: • • • • • • • Es müssen Verantwortliche sowohl für die Erstellung als auch für die Umsetzung und die Kontrolle der Einhaltung der Internet-Sicherheitspolitik benannt werden (z. die entscheiden können.Die Sicherheitspolitik sollte so beschaffen sein. Die Benutzer/innen müssen über ihre Rechte. Jeder Internetdienst birgt Gefahren.B. die nicht auf technischer Ebene durch eine Firewall abgefangen werden können. Darüber hinaus sind eine Reihe von organisatorischen Regelungen erforderlich. Jede spätere Änderung muss streng kontrolliert werden und insbesondere auf Seiteneffekte überprüft werden.2. verbotene Verbindungen aufzubauen. s. müssen vorgesehen werden. Angriffe auf eine Firewall sollten nicht nur erfolgreich verhindert. Ausnahmeregelungen.h. auf Grund von vordefinierten Ereignissen. insbesondere auch über den Umfang der Nutzdaten-Filterung. dass sie auch zukünftigen Anforderungen gerecht wird. umfassend informiert werden. Neben dem Serverbetrieb wie Mail-. Benutzern eingesetzten Kommunikationsclients betreut werden.B. oder Web-Server müssen auch die von den Benutzerinnen bzw. Die Aufgaben und Kompetenzen für die betroffenen Personen und Funktionen müssen eindeutig festgelegt sein. für Tests). insbesondere für neue Dienste und kurzzeitige Änderungen (z. 5. der/die Angreifer/in verfolgt werden soll oder ob die Netzverbindungen nach außen getrennt werden sollen. Es müssen sowohl alle korrekt aufgebauten als auch die abgewiesenen Verbindungen protokolliert werden. ob z. Es muss festgelegt werden. Die Firewall sollte aber auch in der Lage sein.B. Bereichs-IT-Sicherheitsbeauftragte. häufigen fehlerhaften Passworteingaben auf einem Application-Gateway oder Versuchen. müssen Verantwortliche bestimmt sein. welche Aktionen bei einem Angriff gestartet werden.

Vor dem Einrichten eines WWW-Servers sollte in einer WWW-Sicherheitsstrategie beschrieben werden. welche Sicherheitsmaßnahmen in welchem Umfang umzusetzen sind. weil die Inhalte vertraulich sind. WWW-Sicherheitsstrategie für den Betrieb eines WWW-Servers In der Sicherheitsstrategie für den Betrieb eines WWW-Servers sollten die folgenden Fragen beantwortet werden: • • • • • Wer darf welche Informationen einstellen? Welche Randbedingungen sind beim Betrieb eines WWW-Servers zu beachten? Wie werden die Verantwortlichen geschult.bzw.1. Hierbei ist die Absicherung eines WWW-Servers ebenso zu betrachten wie die der WWW-Clients und der Kommunikationsverbindungen zwischen diesen. 379 .9. insbesondere hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen? Welche Dateien dürfen aufgrund ihres Inhaltes nicht auf dem WWWServer eingestellt werden (z. um rechtzeitig Vorsorge dagegen treffen zu können. Behördenpolitik entsprechen)? Welche Zugriffsbeschränkungen auf den WWW-Server sollen realisiert werden? Teil einer Sicherheitsstrategie muss auch die regelmäßige Informationsbeschaffung über potentielle Sicherheitslücken sein. nicht zur Veröffentlichung zulässig sind oder nicht der Firmen.9.3 Vor der Nutzung von WWW-Diensten ist zunächst in einem Konzept darzustellen. Daher muss der Absicherung eines WWW-Servers ein hoher Stellenwert eingeräumt werden. In der WWW-Sicherheitsstrategie muss neben einer Sicherheitsstrategie für den Betrieb eines WWW-Servers auch eine Sicherheitsstrategie für die WWW-Nutzung enthalten sein. Eine wichtige Informationsquelle für Sicherheitshinweise zur WWW-Nutzung stellt die "World Wide Web Security FAQ" (unter http://www.9. da einem erfolgreichen Angriff oft sehr große Publizität zuteil wird.org/Security/Faq/ ) dar.3 Festlegung einer WWW-Sicherheitsstrategie ISO Bezug: 27002 10.1] 10. welche Dienste genutzt und welche angeboten werden sollen. Anhand der in der WWW-Sicherheitsstrategie festgelegten Anforderungen kann dann regelmäßig überprüft werden.w3. 10. ob die getroffenen Maßnahmen ausreichend sind.B. WWW-Server sind für Hacker/innen sehr attraktive Ziele.[eh SYS 8.

Nach dem Download von Dateien sind diese explizit auf Viren zu überprüfen.3 380 . dürfen weder auf WWW-Servern eingestellt noch nachgefragt werden. Es muss festgelegt werden.1.9. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen sensibilisiert werden.WWW-Sicherheitsstrategie für die WWW-Nutzung In der Sicherheitsstrategie für die WWW-Nutzung sollten die folgenden Fragen beantwortet werden: • • • • Wer erhält WWW-Zugang? Welche Randbedingungen sind bei der WWW-Nutzung zu beachten? Wie werden die Benutzer/innen geschult? Wie wird technische Hilfestellung für die Benutzer/innen gewährleistet? Durch organisatorische Regelungen oder durch die technische Umsetzung sind dabei insbesondere folgende Punkte zu gewährleisten: • • • Die Browser der Benutzer/innen müssen durch den Administrator so vorkonfiguriert sein.5 Sicherheit von WWWBrowsern ). [eh SYS 8. sowohl in der Nutzung ihrer WWW-Browser als auch des Internets.9. welche Inhalte als anstößig gelten.9.12] 10. Alle Regelungen und Bedienungshinweise zur WWW-Nutzung sind schriftlich zu fixieren und sollten den Mitarbeiterinnen/Mitarbeitern jederzeit zur Verfügung stehen. soweit dies nicht durch eine zentrale Überprüfung gewährleistet wird. dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann (siehe auch 10. deren Inhalt Anstoß erregen könnte. Dateien.9. um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten. Die Benutzer/innen müssen vor der WWW-Nutzung geschult werden. 10.4 Sicherer Betrieb eines WWW-Servers ISO Bezug: 27002 10.

entsprechend den folgenden Vorgaben installiert werden: • • • • • • Auf einem WWW-Server sollte nur ein Minimum an Programmen vorhanden sein. Allen diesen Möglichkeiten gemeinsam ist allerdings. [NSA-SD5] u. das Betriebssystem sollte auf die unbedingt erforderlichen Funktionalitäten reduziert werden und auch sonst sollten sich nur unbedingt benötigte Programme auf dem WWW-Server befinden.WWW-Server sind attraktive Ziele für Angreifer und müssen daher sehr sorgfältig konfiguriert werden. dass der Rechner optimal gegen Angriffe geschützt wird.6 Schutz der WWW-Dateien ). der Informationen im Internet anbietet. Er muss üblicherweise mit root-Privilegien gestartet werden.9. Daher sollte ein WWW-Server. damit sie sicher betrieben werden können. d. dass der eigentliche Serverprozess des WWW-Servers. darf er nicht ans Netz genommen werden. nur mit eingeschränkten Rechten ausgestattet sein sollte.13] 381 . Der Zugriff auf Dateien oder Verzeichnisse muss geschützt werden (siehe 10. verschiedene Dienste gehören auf verschiedene Rechner (beispielsweise ein WWW-Server und ein E-Mail-Server). Ein/e Angreifer/in könnte sonst durch Ausnutzung eines Fehlers diese mit den Rechten des HTTP-Servers manipulieren.h. Ein WWW-Server sollte insbesondere keine unnötigen Netzdienste enthalten. [NSA-SD4] . Hierfür sollte ein eigener Benutzeraccount wie wwwserver eingerichtet werden. [NSA-SD3] . Er darf sich nicht zwischen Firewall und internem Netz befinden. die Administration sollte direkt an der Konsole. sollte aber nach dem Start so schnell wie möglich mit den Rechten einer/eines weniger privilegierten neuen Benutzerin/ Benutzers weiterarbeiten. dass diese/r Benutzer/in keine Schreibrechte auf die Protokolldateien besitzt. Die Kommunikation mit dem WWW-Server sollte durch einen Paketfilter auf ein Minimum beschränkt werden. nach starker Authentisierung (bei Zugriff aus dem LAN) oder über eine verschlüsselte Verbindung (bei Zugriff aus dem Internet) erfolgen. [NSA-SD2] .). nämlich der http-Daemon.h. da ein Fehler auf dem WWW-Server sonst Zugriffe auf interne Daten ermöglichen könnte. Das Betriebssystem und die Software müssen so konfiguriert sein. Solange der Rechner nicht entsprechend konfiguriert ist. d.B. Die Administration des WWW-Servers sollte nur über eine sichere Verbindung erfolgen. Für die verschiedensten Server-Produkte sind teilweise detaillierte Leitlinien zu deren sicheren Konfiguration verfügbar (vgl. [eh SYS 8. z. Wichtig ist. Weiterhin sollte der WWW-Server vor dem Internet durch einen Firewall-Proxy oder aber zumindest durch einen Paketfilter abgesichert werden. Je nach Art des WWW-Servers bieten sich unterschiedliche Möglichkeiten zum Schutz an.ä.

etc.). die zugehörigen Anwendungen nicht automatisch gestartet werden. [NSA-SD8] . dass bei Dateitypen. die aus dem Internet geladen werden und ohne Nachfrage auf dem lokalen Rechner ausgeführt werden (z. Bei der Konfiguration des Browsers ist darauf zu achten. ActiveX-Programme. Laden von Dateien und/oder Programmen: Beim Laden von Dateien und/oder Programmen können eine Vielzahl von Sicherheitsproblemen auftreten. die Makro-Viren enthalten können. [NSASD10] .3.9.ä. 10.9.4. Aktuelle Virenschutzprogramme sollten auf allen Rechnern mit Internetzugang installiert sein und automatisch ausgeführt werden. Um solche Probleme zu vermeiden. produktspezifische Konfigurationsleitlinien zu verwenden (z. MakroViren und trojanische Pferde.B. die bekanntesten sind sicherlich Viren.9.1.16 Firewalls und aktive Inhalte ).1. Darüber hinaus kann es auch sinnvoll sein. 11.oder Excel-Dokumenten). 382 . Eine Gefährdung der lokalen Daten geht beispielsweise von Programmen aus. sollten die im Folgenden beschriebenen Maßnahmen umgesetzt werden. Auch innerhalb von Dokumenten oder Bildern können Befehle enthalten sein.B. Die Benutzer/innen dürfen sich nie darauf verlassen.B. Makro-Viren in Word. dass die geladenen Dateien oder Programme aus vertrauenswürdigen Quellen stammen.6. die automatisch beim Betrachten ausgeführt werden und zu Schäden führen können (z.. vgl. Beim Zugriff auf das World Wide Web (WWW) können verschiedene Sicherheitsprobleme auf den angeschlossenen Arbeitsplatzrechnern auftreten. Java-Applets o.10. 10.5 Sicherheit von WWW-Browsern ISO Bezug: 27002 10. Ursachen dafür können sein: • • • falsche Handhabung durch die Benutzer/innen unzureichende Konfiguration der benutzten Browser (also der Programme für den Zugriff auf das WWW) Sicherheitslücken in den Browsern.

Zusatzprogramme. die in der Lage sind. 383 .1 Nutzungsverbot nicht-freigegebener Software ).Alle Benutzer/innen müssen darauf hingewiesen werden. dass sie selber dafür verantwortlich sind. bleiben die Benutzer/innen verantwortlich für die Schadensfreiheit von geladenen Dateien oder Programmen. in manchen Fällen auch abspielen. Plug-Ins verbrauchen natürlich auch Speicherplatz und verlängern die Startzeit des Browsers.3.B. Insbesondere dürfen nur getestete und zugelassene Programme installiert werden (vgl.1.1. Zusatzprogrammen für einen WWW-Browser sind dieselben Vorsichtsmaßnahmen wie beim Laden von Dateien und/oder Programmen zu beachten. Kapitel 10. DLL-Dateien). Das ist nicht immer einfach: Viele Deinstallationsroutinen erkennen Plug-Ins nicht und nicht alle Browser bieten eine Übersicht über die installierten Plug-Ins. Grundsätzlich müssen bei der Installation von Programmen natürlich die organisationsinternen Sicherheitsregeln beachtet werden. Bei Plug-Ins handelt es sich um Bibliotheksdateien (z. z. Daher sollten alle nicht benötigten Plug-Ins entfernt werden. d. Zusatzprogramme benötigt. vgl. 12.4. die von Installationsprogrammen ins Plug-In-Verzeichnis geladen werden und bei Aufruf des entsprechenden Dateiformates vom Browser ausgeführt werden. dass diese keine Makro-Befehle ausführen können (Schutz vor Makro-Viren. Beim Hinzufügen von Plug-Ins bzw. Erkennung von Viren durch den Benutzer ). in der Dateiendung und Programm verknüpft sind. Es dürfen keine Programme installiert werden. Plug-Ins und Zusatzprogramme Nicht alle Browser können alle Dateiformate direkt verarbeiten. im Allgemeinen anzeigen. sind eigenständige Programme. bestimmte Dateiformate zu verarbeiten. denen man nicht unbedingt vertrauen kann.8 Installation und Konfiguration von Software und 12. Der Aufruf eines solchen Zusatzprogramms wird über eine Konfigurationsdatei des Browsers gesteuert. In Zweifelsfällen ist die IT-Administration hinzuzuziehen. Vor der Installation sollten auf Stand-alone-Rechnern Tests auf die Schadensfreiheit der Programme durchgeführt werden. Bei Viewern von Office-Dokumenten sollte darauf geachtet werden. Dann müssen alle zu einem Plug-In gehörenden Dateien im Plug-In-Verzeichnis des Browsers manuell gelöscht werden. Selbst wenn über die Firewall automatisch die geladenen Informationen auf Viren überprüft werden.7 Abnahme und Freigabe von Software . dazu auch 12. beim Dateiladen alle entsprechenden Vorsichtsmaßnahmen zu ergreifen. Bei einigen Dateiformaten werden zusätzlich noch Plug-Ins bzw.6 Vermeidung bzw.h. Viewer.B.

mit denen sich das Anlegen von Cookies verhindern lässt. hängt vom eingesetzten Betriebssystem und der Browser-Variante ab. die beispielsweise bei jedem Systemstart oder jeder Benutzeranmeldung die alten Cookie-Dateien löscht. dass nur Befugte darauf Zugriff haben können. Passwörter und Benutzerverhalten gespeichert. Datensammlungen: Nicht nur extern werden Daten über die Internetnutzung der verschiedenen Benutzer/innen gesammelt. bekommen sie mit der Warnung auch den zu erwartenden Inhalt des Cookies angezeigt. Lassen sich die Benutzer/innen vor der Annahme von Cookies warnen. das regelmäßige Löschen der Cookies über eine Batch-Datei zu steuern. Diese Option muss immer aktiviert werden. Dies gilt insbesondere auch für die von Browsern angelegten Dateien über History. Auch hier muss sichergestellt werden. für zielgruppenorientierte Werbung.Cookies: In so genannten Cookie-Dateien werden auf dem Rechner der Benutzerin bzw. Damit können WWW-Anbieter beim nächsten Besuch der/des jeweiligen Benutzerin/Benutzers spezielle Informationen für diese/n anbieten oder dieser/diesem passwortgesichert nur bestimmte Dienste zugänglich machen. sollten zumindest solche Browser eingesetzt werden. Die Benutzer/innen müssen informiert werden. Hotlists und Cache.B. wo auf ihren lokalen Rechnern solche Daten gespeichert werden und wie sie diese löschen können. Wo dies nicht möglich ist. wo das nicht möglich ist. ob der Browser weder den Schreibschutz zurücksetzen kann noch dadurch einen Absturz verursacht. sondern auch lokal. Hier ist insbesondere zu überprüfen. 384 . Ansonsten kann es hilfreich sein. Inwieweit dies effektiv ist. Um das Anlegen von Cookie-Dateien zu verhindern. des Benutzers Informationen über abgerufene WWW-Seiten. so dass damit auch transparent wird. welche Anbieter welche Informationen über die Benutzer/innen sammeln. diese regelmäßig gelöscht werden. Cookies finden sich meist im Konfigurationsverzeichnis des benutzten WWW-Browsers in Dateien wie cookie. sollte das Anlegen von Cookie-Dateien verhindert werden oder. z.txt oder Verzeichnissen wie cookies . Es sollten vorzugsweise Browser eingesetzt werden. die die Benutzer/innen vor der Annahme von Cookies warnen. Allerdings kann ein WWW-Anbieter hiermit auch Benutzerprofile erstellen. Um dies zu verhindern. kann auch eine leere CookieDatei angelegt werden und mit einem Schreibschutz versehen werden.

). Manche Browser speichern auch den vollständigen Inhalt aller gelesenen News. die im Browser gespeichert und evtl. 385 . von denen diese/r einerseits vielleicht nicht will. welche Newsgruppen und welche News ein Benutzer gelesen hat.Diese Dateien sind auf Proxy-Servern besonders sensibel. und die anderseits in ihrer Masse den verfügbaren Speicherplatz mit überflüssigen Informationen blockieren. da bestimmte Einträge erhalten bleiben müssen.). abgerufene WWW-Seiten. Damit kann für ein Benutzerprofil festgestellt werden. History Datenbank: History Datenbanken enthalten eine vollständige Sammlung über alle Aktivitäten. Dadurch verbraucht die History Datenbank auch schnell sehr viel Speicherplatz und sollte regelmäßig aufgeräumt werden. URL Liste (Liste der letzten aufgerufenen URLs). der die Anfrage gestartet hat.h. Newsserver Visiten (s. History Datenbank (s. da auf einem ProxyServer alle externen WWW-Zugriffe aller Mitarbeiter/innen protokolliert werden. Cookie Liste.). d. und der nachgefragten URL. Ein schlecht administrierter Proxy-Server kann daher massive Datenschutz-Verletzungen nach sich ziehen.u.u. auch weitergegeben werden (s. sondern durch vorbereitete Kopien einer leeren History Datenbank ersetzt werden. Informationen über Newsserver Visiten: Aus den meisten Browsern heraus kann direkt auf Newsserver zugegriffen werden. die mit einem Browser durchgeführt worden sind.. Die Dateien der History Datenbank sollten nicht einfach gelöscht werden.u. betrachtete vertrauliche interne Dokumente etc. evtl. Von den meisten Browsern werden viele Informationen über den/die Benutzer/innen und sein/ihr Nutzerverhalten gesammelt.u. Informationen im Cache (s. dass sie weitergegeben werden. Zu diesen Informationen gehören: • • • • • • • • Favoriten. inklusive der IP-Adresse des Clients. Angaben über betrachtete Bilder. Informationen über Benutzer/innen. Adressen.).

aktiv auf die Festplatte des Client zuzugreifen (ActiveX. um einen möglichen Missbrauch zu verhindern. Daher sind in Java und ActiveX verschiedene Sicherheitsmechanismen eingebaut. ActiveX erlaubt unter bestimmten Bedingungen die Nutzung lokaler Ressourcen. Zugriff auf Client-Festplatte: Bei einigen Browsern wird WWW-Servern die Möglichkeit gegeben. Um nicht mit Werbe-E-Mail überflutet zu werden. wenn Web-Seiten eines unbekannten oder eines neuen Anbieters aufgerufen werden. die Zugriffe auf Dateien des Client gestatten.bzw. z. sensible Informationen wie Kreditkartennummern verschlüsselt über das Internet zu übertragen. so dass sich in einem nicht regelmäßig gelöschten Cache schnell Dutzende Megabyte Datenmüll ansammeln. 386 . allerdings sind bereits mehrfach Sicherheitslücken gefunden worden. Der Cache dient dazu. E-Mail-Adresse. empfiehlt es sich. für die Browser-Benutzung einen Alias zu verwenden. jedoch nur wenn der/die Anwender/in dies explizit gestattet. Informationen im Cache: Viele Browser erzeugen in einem Cache-Verzeichnis große Mengen an Dateien. Realname. seit der Cache das letzte Mal gelöscht wurde. Die Benutzung von Browsern. Java). die den Text und die Bilder aller besichtigten Web-Seiten enthalten. auch weitergegeben. dass der/ die Anwender/in dem Anbieter und einer authentifizierten dritten Stelle im World Wide Web vertraut. die in jeder weiteren Sitzung absolut nutzlos sind. Dies führt aber zu einer Verlagerung des Sicherheitsrisikos vom Server auf den Client. Bei Java ist ein solcher Zugriff ebenfalls möglich. Organisation. Wenn auf mit SSL/TLS gesicherte WWW-Seiten zugegriffen wird. Das Sicherheitskonzept von ActiveX basiert darauf. kann dies unter anderem dazu dienen.Informationen über Benutzer/innen: In einem Browser werden auch diverse Informationen über Benutzer/innen gespeichert und evtl. Daher sollte der Cache ebenso wie der Verlaufsordner regelmäßig gelöscht werden. Dieses Vertrauen ist problematisch. Aus diesen Daten lassen sich darüber hinaus auch Benutzerprofile erstellen. Java. Daher sollten solche Seiten von vornherein nicht im Cache abgelegt werden. birgt im Zusammenhang mit ActiveX und Java gewisse Sicherheitsrisiken.B. um das mehrfache Laden von Informationen einer Seite während einer Sitzung zu verhindern. Manche Browser löschen diese Daten. allerdings nicht eigenständig. ActiveX-Programme werden über den Browser statt auf dem Server auf der Client-Seite ausgeführt.

Nutzung vorhandener Sicherheitsfunktionalitäten: Die vorhandenen Sicherheitsfunktionalitäten der Browser (Rückfrage vor dem Ausführen von Programmen. Sicherheitslücken in den WWW-Browsern: In den meisten Browsern sind bereits gravierende Sicherheitslücken gefunden worden. die zu einem automatischen Starten von Programmen auf dem lokalen Rechner führen. Die entsprechenden Möglichkeiten sollten daher in den Konfigurationsdateien entfernt werden bzw.B. 387 . Zugriff nur auf eingeschränkte Dateisysteme. sollten sensible Daten nur verschlüsselt übertragen werden. inwieweit zur sicheren Übertragung von Daten über das Internet neuere Protokolle wie IPsec. der Einsatz neuer Versionen (Achtung: gerade in neuen Versionen können ev. HTTPS oder SSL/TLS eingesetzt werden können. Es ist daher sehr wichtig. dass die Vertraulichkeit und Integrität sicherheitsrelevanter Daten nicht beeinträchtigt werden können. neue. Java und JavaScript sollten diese generell abgeschaltet werden. Verschlüsselung: Da im Internet alle Daten im Klartext übertragen werden. Beim Surfen im Internet sollte die automatische Ausführung von Programmen verhindert werden (z. sollten diese nur auf Rechnern zugelassen sein. Es ist zu überlegen. sowie zusätzliche organisatorische und administrative Maßnahmen.Auf Grund der bestehenden Probleme mit ActiveX. Mögliche Gegenmaßnahmen sind das Einspielen von Patches zur Beseitigung bekannter Sicherheitslücken. zunächst noch unbekannte Sicherheitsprobleme auftreten!). nur nach Rückfrage gestartet werden können. über die Option Disable Java) und nur bei vertrauenswürdigen Servern wieder eingeschaltet werden. beliebige Daten im MIME-Format zu lesen. Hierbei wäre es sinnvoll. keine Möglichkeit zum Verändern lokaler Daten) sollten auf jeden Fall genutzt werden. Java und JavaScript unbedingt notwendig ist. wenn entsprechende Mechanismen schon in den unteren Schichten des Protokolls vorgesehen würden. die gegenüber anderen internen Rechnern so abgeschottet sind. Auch in diesen Daten können Befehle enthalten sein. sich über neu bekannt gewordene Schwachstellen zu informieren und entsprechende Gegenmaßnahmen zu ergreifen. Neuere Browser unterstützen die Benutzung diverser Sicherheitsprotokolle. Falls die Benutzung von ActiveX. zumindest SSL/TLS sollte unterstützt werden. News-Reader und Mail-Clients bieten häufig die Möglichkeit.

Daher sollte jede/r Benutzer/in vor der Nutzung von InternetDiensten durch entsprechende Anweisungen verpflichtet werden.14] 10. Jede/r Benutzer/in sollte durch Unterschrift bestätigen. Die Inhalte der Internet-Sicherheitsrichtlinie und der Benutzerordnung sind den Benutzerinnen und Benutzerin in einer Schulung darzulegen. diese auf eine Benutzerordnung zu verpflichten. Es sollten alle Benutzer/innen darauf hingewiesen werden. im Internet gesammelte Informationen den anderen Mitarbeiterinnen und Mitarbeitern zur Verfügung zu stellen.6 Schutz der WWW-Dateien ISO Bezug: 27002 10. Weiterhin müssen die Benutzer/innen darauf hingewiesen werden.Regelungen: Ein Großteil der oben beschriebenen Maßnahmen liegt im Verantwortungsbereich der Benutzer/innen.4. dass • • • die Konfiguration der WWW-Programme nicht eigenmächtig geändert werden darf. dass die dargestellten Regelungen zur Kenntnis genommen wurden und bei Benutzung der Kommunikationsdienste beachtet werden. 11. Dementsprechend sollte darauf geachtet werden. dass die Nutzung von Internetdiensten mit nicht unerheblichen Kosten verbunden ist. Es empfiehlt sich vor der Zulassung von Benutzerinnen/Benutzern zu Internet-Diensten. [eh SYS 8. welche Daten protokolliert werden.1 388 . wer die Ansprechpartner bei Sicherheitsproblemen sind. Dafür sollte im internen Netz ein spezieller Bereich vorgesehen werden. die aufgeführten Sicherheitsrichtlinien zu beachten.3.9. da deren Umsetzung wie beispielsweise die Aktivierung bestimmter Optionen nicht ständig durch die Systemadministration überprüft werden kann. in dem solche Informationen strukturiert abgelegt werden können. In dieser Benutzerordnung sollten die zur Verfügung stehenden Kommunikationsdienste kurz erläutert und alle relevanten Regelungen aufgeführt werden.9. um wiederholte Zugriffe auf dieselben externen WWW-Seiten zu vermeiden.

dass WWW-Dateien überhaupt von Unbefugten geändert werden können. .gegen unbefugten Zugriff geschützt werden. Insbesondere ist es wichtig. Um sicherzustellen. Die Schreib. CD-ROM oder Festplatte mit Schreibschutz) gespeichert werden. die nur Zugang zu ausgewählten Dateien hat. sondern bestimmte Inhalte dynamisch erzeugt werden. um zu verhindern. nämlich dem Schutz vor unbefugtem Zugriff lokaler Benutzer und dem Schutz vor unbefugtem Zugriff von außen über das Web. Diese können auf verschiedene Arten geschützt werden: • Der Zugriff kann auf frei wählbare IP-Adressen. ist es.U. Schutz vor unbefugten Veränderungen Auf einem typischen WWW-Server ändern sich nur die Protokolldateien ständig. können statische Daten auf einem schreibgeschützten Speichermedium (z. 389 . Schutz vor unbefugtem Zugriff Der Zugriff auf Dateien oder Verzeichnisse eines WWW-Servers ist zu schützen. alle anderen Dateien sind statisch. dass keine Dateien auf dem WWW-Server unbemerkt abgeändert werden können. Teilnetze oder Domänen beschränkt werden. aber auch u.B. WWW-Seiten werden zwar regelmäßig aktualisiert. Generell muss zwischen zwei verschiedenen Aspekten unterschieden werden. die Konfigurationsdateien zu schützen.abhängig von den Sicherheitsanforderungen . dass auf diesem Weg ein unbefugter Zugriff oder gar eine Kompromittierung des Servers erfolgen kann. unbefugten Zugang zu erschweren. Eine Möglichkeit. die Scripts unter einer Benutzer-ID auszuführen.Die Dateien und Verzeichnisse auf einem WWW-Server müssen gegen unbefugte Veränderungen. sollten aber nicht auf dem WWW-Server selber bearbeitet werden. sollten über alle statischen Dateien und Verzeichnisse Prüfsummen gebildet und regelmäßig überprüft werden. Java Server Pages) besonders sorgfältig programmiert werden. da sonst alle Zugangsrestriktionen leicht ausgeschaltet werden können. Dies trifft insbesondere auf Systemprogramme und die WWW-Seiten zu.und Leserechte der WWW-Dateien sollten als lokale Dateien nur berechtigten Benutzerinnen/Benutzern Zugang erlauben. Um zu verhindern. Generelle Aspekte Falls das Webangebot nicht nur aus statischen HTML-Dateien besteht. so müssen die dazu benutzten Programme (beispielsweise CGI-Skripte.

die durch Angriffe aus dem Internet auf lokale Daten oder Rechner im LAN entstehen.8 Sichere Nutzung von E-Commerce bzw. über die Daten sowohl ins Internet geschickt als auch von dort abgeholt werden können. durch die Installation von Server-Programmen den Rechner zu einem vollständigen Internet-Server zu machen.1. Zugriffskontrolle wäre auch durch eine SSL/TLS-Verbindung mit clientseitigen Zertifikaten zur Authentifizierung möglich. E-Government Applikationen ISO Bezug: 27002 10. Die Dateien können verschlüsselt abgelegt werden und die zugehörigen kryptographischen Schlüssel werden nur dem Zielpublikum bekannt gegeben. Wichtig ist es zu beachten.7 Einsatz von Stand-alone-Systemen zur Nutzung des Internets ISO Bezug: 27002 7. 10. Hierfür bieten die verschiedenen Betriebssysteme unterschiedliche Möglichkeiten mit jeweils spezifischen Gefährdungen für die Vertraulichkeit und Integrität der Daten auf diesem Rechner.• • • Es können benutzerspezifische Kennungen und Passwörter vergeben werden.9. [eh SYS 8. 10.9. Die Installation der TCP/IP-Software bietet eine vollständige bidirektionale Verbindung zum Internet. [eh SYS 8. 10.6.1. So gibt es bei einigen Produkten und Betriebssystemen die Möglichkeiten.2.9.3.15] 10. die nur mit dem Internet vernetzt sind und keine weitere Netzverbindung zu einem LAN haben.3 Um die Gefährdungen.1 390 . zu verringern.6. dass bei der Installation der Internet-Zugangssoftware keine unnötigen Programme installiert werden.18] 10.9. ist es sinnvoll Rechner einzusetzen. Generelles zu Zertifikaten in der Öffentlichen Verwaltung siehe [IKTB-110903-3] und [IKTB-281003-19] .

Zertifizierung nach ÖNORM A7700) überprüft werden.9. diese in beiden Schreibweisen z. Einschlägigen Richtlinien und Normen (z. etc. 10. Der für derartige Internet-Anwendungen genutzte Rechner sollte einem/einer festen Benutzer/in zugeordnet sein – öffentlich zugängliche Internet-PCs sollten dafür nicht herangezogen werden. Beispielhafte Applikationen in diesem Sinne wären Online-Banking.: Online-Banking-Software) ist diese nur von vertrauenswürdigen Quellen zu beziehen und es ist auf dessen Aktualität (bzgl. so ist auf deren Gültigkeit sowie auf die Übereinstimmungen zwischen Server und den Angaben im Zertifikat zu achten.E-Commerce und E-Government Anwendungen ergänzen zunehmend das Angebot im Internet. Um dem Missbrauch reservierter Domänen in abgewandelter Form vorzubeugen.) zu achten.B: ÖNORM A7700 "Sicherheitstechnische Anforderungen an Webapplikationen" sind zu berücksichtigen Bei Anwendungen mit sehr hohem Schutzbedarf soll die Erfüllung dieser Anforderungen durch unabhängige Dritte (z. Die Verwendung von verschlüsselten Verbindungen mittels SSL/TLS ist bei E-Commerce und E-Government Anwendungen immer vorauszusetzen (vgl. Zur Verringerung der Länge der Signaturstrings ist die Verwendung von elliptischen Kurven anzuraten. Die MOA Dienste sind für diese Kurven vorbereitet [IKTB-110505-03] .B. Über generelle Empfehlungen hinaus (vgl. Updates. externe Audits. Im Falle notwendiger spezieller Software (z. sicherheitsrelevanter Patches. wird empfohlen für Domänen mit Umlauten. Für elektronische Bescheide wird das Bescheidschema empfohlen [IKTB-230904-01] 391 • • • • • .B.B. "Richtlinien für Zertifikate für das E-Government (EGovernment OID)" [IKT-ZERT] ) und auf eine geeignete Zertifikatshierarchie zu achten [IKTB-110504-02] . 10. Bei diesen Anwendungen sollte in der Regel ein hohes Maß an Sicherheit gewahrt werden. Internet-Shopping oder das Angebot von Behörden wie etwa FINANZOnline. sind auch die folgenden Empfehlungen und Kriterien in diesem Zusammenhang zu beachten: • • • • • • Die Anwendung muss die Anforderungen an Datenschutz und Datensicherheit erfüllen. Bei E-Government Anwendungen ist beim Server-Zertifikat auf die Verwaltungseigenschaft(vgl.5 Sicherheit von WWW-Browsern ).4 ). Werden bei SSL/TLS Zertifikate zur Authentisierung des Servers verwendet. sowohl "ae" als auch "ä" einzurichten [IKTB-110504-01] .5 Sicherheit von WWW-Browsern ) Zu diesem Thema veröffentlicht die Operative Unit des Chief Information Office ein Papier zur Kategorisierung von SSL/TLS-Verbindungen. Kapitel 10.9. Clientseitig sind Virenschutzmaßnahmen zu treffen (vgl.

deren Sicherheitsvorgaben nach österreichischer Rechtslage wirksam sind. Ländern.Zertifikate die Sicherheit einerseits aber auch die Offenheit gegenüber dem Markt andererseits erreicht.9 Portalverbundsystem in der öffentlichen Verwaltung Bezug: Österreich Der Portalverbund ist ein Zusammenschluss von Verwaltungsportalen zur gemeinsamen Nutzung der bestehenden Infrastruktur. die an andere Portale koppeln. Im Portalverbund wird durch . Weitere Portalkopplungsstrukturen werden nur nach vorheriger Abstimmung zwischen Bund. Für die Zertifikate von Server und Client sind Zertifizierungsdienste zu verwenden. 392 .B. sind die Schlüssellängen mit mindestens 100 Bit zu wählen.9.[eh SYS 8. für EKIS und für eine Reihe weiterer wichtiger Anwendungen verschiedener Ressorts.22] 10. Der Vorteil eines Portals ist. dies mit ClientIdentifikation via Zertifikat durchzuführen. Diese Portalstruktur ist für Organwalter und gesetzliche Vertretungen für den jeweils eigenen Wirkungsbereich . Bei der Umsetzung von Anwendungsportalen ist darauf zu achten.nicht jedoch für Bürger/innen anwendbar.mit einheitlichen Attributen versehene . Bei Zugriff auf Verwaltungsanwendungen (z. Portale zwischen den Verwaltungen bilden die technische Basis für das zentrale Melderegister. Seitens der Arbeitsgruppe (Bund / Länder) wurde ein Protokoll ( Spezifikation Portal Verbund Protokoll PVP [IKT-PVP] ) und eine Struktur ( Spezifikation LDAP-gv. Generell haben sich Portale.at [IKT-LDAP] ) zum Portalverbund vorgeschlagen. Seitens des IKT-Boards werden zusätzliche Anmerkungen zur Verständlichkeit angefügt: • • • • • • • Soweit symmetrische Schlüssel angewendet werden. dass mehrere Anwendungen über einen Punkt zugänglich sind. SAP und ESS) ist auf die entsprechende Sicherheitsklasse des Zugangs zu achten [IKTB-270705-01] . Diese wurde im Rahmen des IKTBoard Beschlüsse [IKTB-040402-3] und [IKTB-051102-1] zur Verwendung in der öffentlichen Verwaltung empfohlen. Die Benutzer/innen sind dabei entsprechend der Organisations-Zugehörigkeit zu erfassen [IKTB-240304-01] . dass diese das Portalverbundprotokoll unterstützen. Städten und Gemeinden eingesetzt.

1 Erstellung von Protokolldateien ISO Bezug: 27002 10. Demnach sind bei der Administration von IT-Systemen die folgenden Aktivitäten vollständig zu protokollieren: • • Systemgenerierung und Modifikation von Systemparametern: Da auf dieser Ebene in der Regel keine systemgesteuerten Protokolle erzeugt werden.20] 10.2. In Hinblick auf die Verwendung von Zertifikaten in der Öffentlichen Verwaltung werden besonders in den IKT-Board Beschlüssen [IKTB-110903-3] und [IKTB-281003-19] entsprechende Dokumente und Richtlinien beschlossen und zur Anwendung empfohlen (siehe dazu auch Richtlinien der IKT-Stabsstelle für ServerZertifikate [IKT-SZERT] ). 10. Neben den Protokollen für den Portalverbund ist eine einheitliche Vorgehensweise in den Bereichen • • • • Verwendbare Verschlüsselungsverfahren Zertifikatsspezifikationen Keystoreformate und Zertifikatsmanagement anzuwenden.10. MOA-SS/SP) einzubinden.10.10.10. bedarf es entsprechender detaillierter manueller Aufzeichnungen. wie sie für die meisten Systeme Gültigkeit haben. 10.1. 10.6.1.5 Art und Umfang von Protokollierungen hängen von den speziellen Anforderungen des IT-Systems und der darauf befindlichen Applikationen und Daten ab und sind im Einzelfall sorgfältig festzulegen.10 Protokollierung und Monitoring 10. Die im Folgenden angeführten Anforderungen an die Protokollierung stellen Mindestanforderungen dar.Für die Signatur und die Identifikation wird empfohlen die Module für Sicherheitstechniken für Online Verfahren (MOA-ID. [IKTB-161203-01] Im Rahmen der Anwendungen des Bundes werden diese dann auch zur Sicherung der Konvergenz verwendet. [eh SYS 8. die mit der Systemdokumentation korrespondieren sollten. Einrichten von Benutzerinnen und Benutzern: 393 .

und Softwarekomponenten eine zentrale Bedeutung zu. das betreffende IT-System zu benutzen.• • • • • • Es ist vollständig zu protokollieren.B. Änderungen an der Dateiorganisation: Im Hinblick auf die vielfältigen Manipulationsmöglichkeiten. um feststellen zu können. Erstellung von Rechteprofilen: Im Rahmen der Protokollierung der Benutzerverwaltung kommt es insbesondere auch darauf an aufzuzeichnen. dem Überschreiben von Datenbeständen verbunden sind und häufig in "Ausnahmesituationen" durchgeführt werden. wem von wann bis wann durch wen das Recht eingeräumt worden ist. unbefugt gelöscht oder zerstört werden können). die sich bereits bei Benutzung der "Standard-Dateiverwaltungssysteme" ergeben. Diese Protokolle sind Grundlage praktisch jeder Revisionsmaßnahme. Benutzer/innen in diesem Sinne ist auch Systemadministratoren. Nicht-personenbezogene IDs sind zu vermeiden. Das Überschreiben eines bestimmten protokollierten Ereignisses durch ein gezieltes Auffüllen des Speichers der Protokolldaten mit "unverdächtigen" Daten muss zuverlässig verhindert werden. 394 . da sie eine personenbezogene Auswertung unmöglich machen. Restore) mit der Anfertigung von Kopien bzw. ob Unbefugte sich Systemadministrator-Rechte erschlichen haben. z. Einspielen und Änderung von Anwendungssoftware: Die Protokolle repräsentieren das Ergebnis der Programm.und Verfahrensfreigaben. Datenbankmanagement). wer die Anweisung zur Einrichtung bestimmter Benutzerrechte erteilt hat. Sonstiger Aufruf von Administrations-Tools: Die Benutzung aller Administrations-Tools ist zu dokumentieren. Durchführung von Datensicherungsmaßnahmen: Da derartige Maßnahmen (Backup. kommt einer vollständigen Protokollierung eine besondere Bedeutung zu (vgl. kommt der vollständigen Protokollierung aller "auffälligen Abnormitäten" beim Einloggen und der Benutzung von Hard. Versuche unbefugten Einloggens und Überschreitung von Befugnissen: Geht man von einer wirksamen Authentisierungsprozedur und sachgerechten Befugniszuweisungen aus. Um eine ordnungsgemäße Auswertung der Protokolldaten zu ermöglichen ist zu beachten: • • • Die Speicherung der Protokolldaten hat in einer nicht manipulierbaren Form zu erfolgen (die Daten dürfen nicht gezielt verändert. besteht eine erhöhte Notwendigkeit zur Protokollierung.

sich auf die tatsächlich relevanten Informationen zu beschränken. aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung. dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind. im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können. dass es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens handelt. die mit ihrem Ermittlungszweck . sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen. das mit mindestens fünfjähriger Freiheitsstrafe bedroht ist. Protokoll. § 14 (DSG 2000) (Datensicherheitsmaßnahmen) ist je nach Art der verwendeten personenbezogenen Daten und nach Umfang und Zweck der Verwendung.3 Lt. oder zum Zweck der Kontrolle jener Personen.und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden. deren Daten im protokollierten Datenbestand enthalten sind.1] 10.10. Unter anderem ist dazu Protokoll zu führen.• Die Entscheidung. haben Datenschutz-/ IT-Sicherheitsbeauftragte oder Applikationsverantwortliche in Übereinstimmung mit gesetzlichen Vorgaben (etwa Datenschutzgesetz (DSG 2000) ) und der organisationsweiten IT-Sicherheitspolitik zu treffen.unvereinbar sind. [eh SYS 10. die auf den protokollierten Datenbestand zugegriffen haben. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen. Abfragen und Übermittlungen. Dabei ist es wichtig. wie insbesondere Änderungen.2 Datenschutzrechtliche Aspekte bei der Erstellung von Protokolldateien ISO Bezug: 27002 10.das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes . damit tatsächlich durchgeführte Verwendungsvorgänge. 395 . es sei denn.10. da ein zu großer Umfang an Daten die Auswertung der Daten erschweren oder sogar unmöglich machen kann. welche Daten zu protokollieren sind. dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind.

2] 10. Da Protokolldateien in vielen Fällen personenbezogene Daten beinhalten. wie z. 10.3 Kontrolle von Protokolldateien ISO Bezug: 27002 10. Ist es personell oder technisch nicht möglich. als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird (lt.10.2. Für diesen Fall bleibt zu beachten. Die nachfolgenden Auswertungskriterien dienen als Beispiele.2 Die Protokollierung sicherheitsrelevanter Ereignisse ist als Sicherheitsmaßnahme nur wirksam. die Installation eines Servers. sind nicht betroffen.1. 10.Aufbewahrungsfristen Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist. 10.1.10. Dem/der Datenschutz-/IT-Sicherheitsbeauftragten ist jedenfalls eine derartige Auswertung vorzulegen. sind Protokollund Dokumentationsdaten drei Jahre lang aufzubewahren. Manipulationsversuche und Unregelmäßigkeiten erkennen lassen: 396 . wenn die protokollierten Daten in regelmäßigen Abständen durch einen Revisor ausgewertet werden. Protokollierungen von nicht-personenbezogenen Daten. etc. [eh SYS 10.4. § 14 (DSG 2000) ).10. Diese Pflichten gelten nur für den Gebrauch von personenbezogenen Daten. diese auf externen Datenträgern zu archivieren. kann ihre Auswertung auch durch den Administrator erfolgen. Aufzeichnungen über den Datendurchsatz eines Systems.3. ist sicherzustellen. die Rolle eines unabhängigen Revisors für Protokolldateien zu implementieren. durch die anschließende Löschung der Protokolldaten ein übermäßiges Anwachsen der Protokolldateien zu verhindern. der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes verwendet werden dürfen (vgl.5. Davon darf in jenem Ausmaß abgewichen werden. 15. die Hinweise auf eventuelle Sicherheitslücken. Die regelmäßige Kontrolle dient darüber hinaus auch dem Zweck. die mit ihrem Ermittlungszweck vereinbar sind. Je nach Art der Protokolldaten kann es sinnvoll sein. §14 Z4 DSG 2000 (DSG 2000) ). 15.10. dass damit eine Kontrolle der Tätigkeiten des Administrators nur schwer möglich ist.B.3.10. dass diese Daten nur für Zwecke.

Dieses Werkzeug sollte wählbare Auswertungskriterien zulassen und besonders kritische Einträge (z. zu beeinträchtigen oder auf eine ungeeignete Konzeption bzw. in denen anscheinend kein Benutzerwechsel stattgefunden hat (Hinweis darauf.• • • • • • • • Liegen die Zeiten des An. die Dienste des Netzes zu verhindern bzw. In besonders sicherheitskritischen Fällen sollte das Vier-Augen-Prinzip zur Anwendung kommen. mehrfacher fehlerhafter Anmeldeversuch) hervorheben. Es ist sicherzustellen. Konfiguration des Netzes)? Bei der Auswertung der Protokolldateien sollte besonderes Augenmerk auf alle Zugriffe gelegt werden.4 Rechtliche Aspekte bei der Erstellung und Auswertung von Protokolldateien zur E-Mail. in denen keine Protokolldaten aufgezeichnet wurden (Hinweis auf eventuell gelöschte Protokollsätze)? Ist der Umfang der protokollierten Daten zu groß (eine umfangreiche Protokolldatei erschwert das Auffinden von Unregelmäßigkeiten)? Gibt es auffällig große Zeitintervalle. dass das konsequente Abmelden nach Arbeitsende nicht vollzogen wird)? Gibt es auffallend lange Verbindungszeiten in öffentliche Netze hinein? Wurde in einzelnen Netzsegmenten oder im gesamten Netz eine auffällig hohe Netzlast oder eine Unterbrechung des Netzbetriebes festgestellt (Hinweis auf Versuche. die unter Administratorkennungen durchgeführt wurden.B. Passwörter zu erraten)? Häufen sich unzulässige Zugriffsversuche (Hinweis auf Versuche zur Manipulation)? Gibt es auffällig große Zeitintervalle. ein Werkzeug zur Auswertung zu benutzen.3] 10. ist es sinnvoll. Die Meldewege im Fall von Auffälligkeiten sind festzulegen.und Abmeldens außerhalb der Arbeitszeit (Hinweis auf Manipulationsversuche)? Häufen sich fehlerhafte Anmeldeversuche (Hinweis auf den Versuch. Wenn regelmäßig umfangreiche Protokolldateien ausgewertet werden müssen.und Internetnutzung Bezug: Österreich 397 . Diese Sicherstellung kann durch technische oder organisatorische Maßnahmen erfolgen.10. [eh SYS 10. dass die Aktivitäten von Administratoren ausreichend kontrolliert werden können. Weiters ist zu beachten: • • • • Die Verantwortung für die Auswertung der Protokolldaten ist genau festzulegen.

der die private Nutzung von Internetdiensten einschränken will. dass kein Recht der Arbeitnehmer/innen besteht.und Staatsanwaltschaftsdienstgesetz (RStDG) . Einrichtung von kontrollierten Umgebungen zur Ausführung fragwürdiger Programme. • • Der Hauptgrund werden die Kosten sein.) durch den Arbeitgeber ist ein Problem. Die Erläuterungen zu den Bestimmungen ( 1574 der Beilagen zu den Stenographischen Protokollen des Nationalrates XX. welche Maßnahmen die Menschenwürde berühren. Ein weiterer Grund für die Beschränkung privater E-Mail-Kommunikation kann im Schutz vor Viren. die vom Arbeitgeber zur Verfügung gestellten Ressourcen privat zu nutzen. Private Kommunikation genießt prinzipiell den Schutz des Fernmeldegeheimnisses und des Grundrechtes auf Datenschutz. f Bundes-Personalvertretungsgesetz (PVG) ist bei der Einführung von Systemen zur automationsunterstützten Ermittlung. Es muss aber auch gesagt werden. Virenscanner. die über die Ermittlung von allgemeinen Angaben zur Person oder über die Ermittlung von fachlichen Voraussetzungen hinausgehen. die durch private Kommunikation verursacht werden. mit dem Dienststellenausschuss das Einvernehmen herzustellen. Speicherplatz) als auch der Verlust an Produktivität. Trojanern und anderer schädlicher Software liegen. ignoriert werden. GP ) verweisen auf die Judikatur zu § 96 Arbeitsverfassungsgesetz (ArbVG) . für das es derzeit noch keine klare Lösung gibt. Gemäß § 9 Abs. Ein Arbeitgeber. etc. wobei die Frage. Begrenzung des Rechts zur Installation ausführbarer Programme. ist die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen. welche die Menschenwürde berühren. Gebrauch von stabiler Systemsoftware. bei Behörden mit sehr hohen Ansprüchen an Sicherheit und Geheimhaltung). Trojanern und anderer schädlicher Software lässt sich mit Hilfe geeigneter technischer Mittel stark reduzieren. interpretiert werden muss. E-Mail etc.Die Überwachung des Fernmeldeverkehrs (Telefon. Verarbeitung und Übermittlung von personenbezogenen Daten der Bediensteten. § 29n Vertragsbedienstetengesetz 1948 (VBG) und § 76g Richter. 398 . Gebrauch von Virenscannern) bleiben unberührt.2 lit. Die Rechte des Arbeitgebers auf Schutz seiner IKT-Einrichtungen (insb. Eine Vereinbarung zu diesem Thema ist wünschenswert. Die Gefahr von Virenbefall. Gemäß § 79e Beamten-Dienstrechtsgesetz 1979 (BDG 1979) . und zwar die direkten Kosten (Bandbreite. Ein totales Verbot privater Nutzung sollte nur in Extremfällen ausgesprochen werden (z. sollte sich über die Gründe im Klaren sein. Eine geringfügige private oder halbprivate Nutzung im Rahmen des normalen menschlichen Sozialverhaltens sollte zugelassen bzw.B. unzulässig. insb.

Falls ein dienstliches Interesse an der Verwendung von E-Mail für nicht unmittelbar dienstliche Zwecke besteht (z. die der Sache nach oder auf Wunsch des/der Bediensteten vertraulich zu behandeln sind.5 Audit und Protokollierung der Aktivitäten im Netz ISO Bezug: 27002 10..2.2. sollte derartige Mail von jeglicher Kontrolle ausgenommen werden. mit der sich nachvollziehen lässt.6.10. 10.4] 10. der Betreffzeile.10. Audit und Revision ist ein wesentlicher Faktor der Netzsicherheit. mit wem ein Personalvertreter telefonisch in Kontakt war.. 10. aber auch die Beamtinnen und Beamten bei ihrer Tätigkeit unterstützen.Oktober 1998. Solange keine zuverlässigen Verfahren für E-Mail-Zustellbestätigungen existieren.10. Datum. Uhrzeit. 15.3. § 26 Bundes-Personalvertretungsgesetz (PVG) statuiert eine Geheimhaltungspflicht der Mitglieder der Personalvertretung über alle ihnen von einzelnen Bediensteten gemachten Mitteilungen. Zahl 120.Behörden. Diese Entscheidung lässt sich auch auf E-Mail übertragen.B. 10. Absender/in und Empfänger/in) kann die oben genannten Probleme verschärfen. falsche Behauptungen aufzustellen ("Ich habe alles rechtzeitig mit E-Mail beantragt. Eine Erfassung von Telefondaten.599/8-DSK/98). begründet der protokollierte Postausgang zumindest den Anschein einer korrekten Versendung durch die Behörde. widerspricht daher dem Datenschutzgesetz (Entscheidung der Datenschutzkommission vom 6.3. [eh SYS 10. 15. Weiters darf Mail an die Personalvertretung durch den Arbeitgeber nicht inhaltlich kontrolliert werden.2 Eine angemessene Durchführung von Protokollierung.1. Der protokollierte Posteingang wiederum macht es unseriösen Elementen schwer."). wie z.10. werden rasch auf ein ernstes Problem stoßen: Den Nachweis von Zustellungen per E-Mail.1.B. 399 . die im Rahmen des E-Governments tätig sind. Eine Aufzeichnung und Speicherung aller E-Mails (oder auch nur von Teilen. Zusendung von Informationen durch die Personalvertretung).5.

Bei einem Offline-Audit werden die Daten protokolliert oder aus einer bestehenden Protokolldatei extrahiert.B. Weiterhin sollten folgende Vorkommnisse protokolliert werden: • • Hardware-Fehlfunktionen. oder die Erkennung von systematischen Angriffen auf das Netz.B. Dies kann online oder offline erfolgen. gewisse (im Allgemeinen zu definierende) Zustände für eine spätere Auswertung abzuspeichern. die übertragenen fehlerhaften Pakete an einer Netzkomponente. Audit: Unter einem Audit wird die Verwendung eines Dienstes verstanden. die protokolliert werden können. sicherheitskritische Zugriffe auf Netzkomponenten und Netzmanagementkomponenten mit oder ohne Erfolg. Beim Audit liegt die Fokussierung auf der Überwachung von sicherheitskritischen Ereignissen. Zusätzlich werden beim Audit häufig auch Daten über Nutzungszeiträume und anfallende Kosten erhoben. unzulässige Änderungen der IP-Adresse eines IT-Systems (in einem TCP/IPUmfeld). Typische Fälle. sind z. ein unautorisierter Zugriff auf eine Netzkomponente oder die Performance eines Netzes zu bestimmten Zeiten.Protokollierung: Eine Protokollierung innerhalb eines Netzmanagementsystems oder an bestimmten aktiven Netzkomponenten erlaubt es. Verteilung der Netzlast über die Betriebsdauer eines Tages oder eines Monats und die allgemeine Performance des Netzes. so dass diese oft nur mit Hilfe eines Werkzeuges sinnvoll ausgewertet werden können. der insbesondere sicherheitskritische Ereignisse betrachtet. 400 . ob die Bandbreite des Netzes den derzeitigen Anforderungen genügt. Bei der Protokollierung fallen zumeist sehr viele Einträge an. Bei einem Online-Audit werden die Ereignisse mit Hilfe eines Tools (z. Zugriffe auf aktive Netzkomponenten (wer hat sich wann angemeldet?).bzw. wieder ausgeschaltet?). einem Netzmanagementsystem) in Echtzeit betrachtet und ausgewertet. die zu einem Ausfall eines IT-Systems führen können. Eine Auswertung solcher Protokolle mit geeigneten Hilfsmitteln erlaubt beispielsweise einen Rückschluss. Dabei sind für ein Audit insbesondere folgende Vorkommnisse von Interesse: • • • • Daten über die Betriebsdauer von IT-Systemen (wann wurde welches IT-System ein.

Administrator und Auditor) vorgenommen werden. die von einem Netzmanagementsystem generiert werden. mit denen sicherheitskritische Ereignisse überwacht und ausgewertet werden können. falls es zu einem unberechtigten Zugriff auf diese Informationen kommt. Dabei ist auch zu überlegen. Die mit einem Netzmanagementsystem möglichen Protokollierungs. Zusätzlich werden weniger kritische Ereignisse offline ausgewertet. Es muss weiterhin festgelegt werden. sofort Maßnahmen einleiten kann.und Audit-Funktionen sind in einem sinnvollen Umfang zu aktivieren. um eine Vertauschung zweier Zeichen unterscheiden. Dabei werden für das Online-Audit die sicherheitskritischen Ereignisse gefiltert und dem Auditor sofort zur Kenntnis gebracht. Revision: Bei der Revision werden die beim (Offline-) Audit gesammelten Daten von einem/einer oder mehreren unabhängigen Mitarbeitern/Mitarbeiterinnen (4Augen-Prinzip) überprüft. Weiterhin ist darauf zu achten. wer die Protokolle und Audit-Daten auswertet. die sich von den gültigen Passwörtern meist nur um ein Zeichen bzw. oder spezifische Datensammler einzusetzen. Im letzteren Fall können Maßnahmen zur Einhaltung oder Wiederherstellung der Sicherheit nur zeitverzögert eingeleitet werden. Auf keinen Fall dürfen Benutzer-Passwörter im Rahmen eines Audits oder einer Protokollierung gesammelt werden.B. Im Allgemeinen wird eine Mischform aus Online. protokolliert werden. ob eine Rollentrennung erforderlich ist. Dafür müssen Ereignisse in geeignete Kategorien eingeteilt werden. Ob falsch eingegebene Passwörter. dass die datenschutzrechtlichen Bestimmungen eingehalten werden. 401 . Bei einem Offline-Audit werden die Daten aus den Protokolldateien oder speziellen Auditdateien mit Hilfe eines Werkzeuges für Auditzwecke aufbereitet und durch den Auditor überprüft. der ggf. Bei einem Online-Audit werden entsprechend kategorisierte Ereignisse direkt dem Auditor mitgeteilt. Neben Performance-Messungen zur Überwachung der Netzlast sind dabei insbesondere die Ereignisse (Events) auszuwerten. ist im Einzelfall zu entscheiden. damit der zuständige Administrator oder Auditor auf wichtige Ereignisse sofort reagieren kann und nicht unter einer Flut von Informationen den Überblick verliert.Ein Audit kann sowohl online als auch offline betrieben werden. um Unregelmäßigkeiten beim Betrieb der IT-Systeme aufzudecken und die Arbeit der Administratoren zu kontrollieren. Hierbei muss eine angemessene Trennung zwischen Ereignisverursacher und auswerter (z. Dadurch wird ein hohes Sicherheitsrisiko erzeugt.und Offline-Audit empfohlen.

beitragen. Eindringversuche zu erkennen. 10. Analyse des Datenverkehrs bzw.oder Auditdateien auf ein auswertbares Maß zu beschränken.6 Intrusion Detection Systeme ISO Bezug: 27002 10. Zugriffsschutzsysteme und Firewalls nicht ersetzen. die die Anbindung eines Netzwerkes an ein Fremdnetz (etwa Internet) absichern.6. Sie können sehr schnell sehr umfangreich werden. weiterzumelden und gegebenenfalls Gegenmaßnahmen einzuleiten.2.1.oder Auditdateien müssen regelmäßig ausgewertet werden. Um die Protokoll.10. Intrusion Detection Systeme können andere Sicherheitsmaßnahmen. anormales Verhalten von Benutzerinnen/Benutzern ("Anomalie Intrusion Detection Systeme") oder bekannte Befehlsmuster ("Misuse Intrusion Detection Systeme")) Speicherung der analysierten Daten Einleitung von Gegenmaßnahmen: Generierung von Warnmeldungen und Setzen von Gegenmaßnahmen Im Unterschied zu Firewalls.Die Protokoll. mit dem Ziel. dass eine sinnvolle Auswertung möglich ist. sollten die Auswertungsintervalle daher angemessen.4. [eh SYS 10. 15. insbesondere in sensiblen Bereichen. der Aktivitäten auf IT-Systemen.10. 10.6. Dies umfasst folgende Teilaufgaben: • • • • Erfassung von Ereignissen: Sammlung der wesentlichen Ereignisdaten aus Netzpaketen oder Protokolldateien Analyse der erfassten Ereignisse: Untersuchung der gespeicherten Aktivitäten auf Auffälligkeiten (z. wie Authentisierung. unterstützen Intrusion Detection Systeme die Erkennung unberechtigter Zugriffsversuche sowohl externer als auch interner Benutzer/innen innerhalb eines lokalen Netzes. 10. aber dennoch so kurz gewählt werden.5] 10.6] 402 . sie können jedoch zu einer weiteren Erhöhung der Sicherheit.5 Aufgabe von Intrusion Detection Systemen ist die Überwachung bzw.2.1. 10.10.B. [eh SYS 10.1.10.

403 . Alternativ kann ein Rechner im internen Netz mit einem Funkuhr-Modul ausgestattet als lokaler Zeitserver eingesetzt werden. nicht übernommen werden. richtig korrelieren zu können. so sollte dafür ein eigener Rechner vorgesehen werden. Da NTP ein Klartextprotokoll ohne kryptographische Sicherungen ist.10. RFC 5905) auf einen externen Zeitserver zuzugreifen. Die Rechner im lokalen Netz synchronisieren ihre Systemuhr dann mit dem lokalen NTP-Proxy.7 Zeitsynchronisation ISO Bezug: 27002 10. über das Protokoll NTP (Network Time Protocol Version 4. An der Firewall sollte NTP in diesem Fall nur für den NTP-Proxy-Server freigeschaltet werden. Im Internet existiert eine verteilte Infrastruktur von öffentlichen NTP Zeitservern. Für die korrekte Einstellung der Systemzeit bieten die meisten Betriebssysteme die Möglichkeit. die auf einen Angriff über das Netz hindeuten.6 In vielen Situationen ist es bei vernetzten Systemen wichtig.ud Vermessunsswesen einen solchen Dienst an. Insbesondere in Netzen mit hohem Schutzbedarf sollten keinesfalls alle Geräte individuell per NTP direkt Anfragen an Zeitserver im Internet stellen. Falls die Zeitserver-Infrastruktur im Internet genutzt werden soll. Synchronisationsprobleme auftreten. Die Software des lokalen Zeit-Servers beziehungsweise NTP-Proxys muss eine Plausibilitätsprüfung vornehmen. Insbesondere bei der Auswertung von Protokollierungsinformationen ist dies von zentraler Bedeutung. Windows-Rechner in einer Active Directory Infrastruktur gleichen zudem die Systemzeit mit dem Domänencontroller ab.10. etc. Ein Beispiel für eine solche Plausibilitätsprüfung ist. öffentliche NTP-Zeitserver. die eine vorher festgelegte maximale Zeitdifferenz überschreiten.) zurückgegriffen wird. sollte es nur innerhalb des eigenen Netzes eingesetzt werden. dass alle bei einem Vorgang betroffenen Rechner eine korrekte Systemzeit besitzen. dass sprunghafte Änderungen. Im Zweifelsfall sollte dieser Lösung der Vorzug gegeben werden. der als einziger die NTP-Informationen von den ausgewählten Zeitservern bezieht. muss sichergestellt werden. In Österreich bietet beispielsweise das Bundesamt für Eich. Auch verteilte Dateisysteme und zentrale Authentisierungsdienste sind auf Zeitsynchronizität angewiesen. dass die empfangenen Zeit-Informationen nicht ungeprüft übernommen werden. beispielsweise um Fehlermeldungen. die über mehrere Rechner verteilt sind. Falls für die Zeitsynchronisation auf externe Quellen (Funkuhren.10. bevor sie die empfangenen Zeit-Informationen übernimmt und an die anderen Rechner im Netz weitergibt. oder wenn bei Anwendungen.

B.B. IT-Anwendungen. Administrator und Auditor..B.2. 11..6 Folgende grundsätzliche Festlegungen zur Rechteverwaltung in einem IT-System sollten . Berechtigungssysteme. Ausführen. Benutzer/innen.) unterliegen der Rechteverwaltung. Programme. Schreiben.1.1. Die Rechteverwaltung muss vollständig.). 4-Augen-Prinzip)..5. 11.. ev.1 Grundsätzliche Festlegungen zur Rechteverwaltung ISO Bezug: 27002 10. Administrator.vorzugsweise im Rahmen der IT-Systemsicherheitspolitik ... Lesen. welche Regeln müssen bei Vergabe bzw.1 Zugriffskontrollpolitik Durch organisatorische und technische Vorkehrungen ist sicherzustellen. 11. vergeben bzw..4. wie erfolgen Identifikation und Authentisierung. wer darf Rechte einsehen.).B.. Umgesetzt werden die Zugriffsrechte durch die Rechteverwaltung des IT-Systems. widerspruchsfrei und überschaubar sein. Daten.und Passwortverwaltung Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 11 ff "Zugriffskontrolle". Personen. .. . welche Rollen müssen durch die Rechteverwaltung definiert werden (z.) und welche Objekte (z.11 Zugriffskontrolle. Netzwerken. .B. Schlüssel.1. 11. welche Arten von Rechten (z. Programmen und Daten nur berechtigten Personen oder Prozessen und nur im Rahmen der festgelegten Regeln möglich ist. 11.getroffen werden ("Zugriffskontrollpolitik"): • • • • • • • welche Subjekte (z. Änderung eingehalten werden (Authentisierung. 11. welche Rollen sind miteinander unvereinbar (z. 11. ändern. Benutzer/in und Revision.. dass der Zugriff zu IT-Systemen. 404 . Revision.1. Prozesse.) können zwischen Subjekten und Objekten existieren.

2. den darauf durchgeführten Aufgaben sowie der betroffenen Organisation abhängig sein. Zugangskontrolle Geeignete Auswahl von Authentikations-Mechanismen Sichererer Umgang mit IDs und Passworten Aufteilung von Administratortätigkeiten 11. da damit Systemkontrollen außer Kraft gesetzt werden können.1 Vergabe und Verwaltung von Zugriffsrechten ISO Bezug: 27002 11. Es gibt jedoch einige Grundregeln.4 Die Vergabe und Verwaltung von Zugriffsrechten wird in hohem Maße vom spezifischen IT-System.1 ] 11. Dies umfasst: • • • • • • Dokumentation der zugelassenen Benutzer/Innen und zugehöriger Rechteprofile Einrichten der Zugriffsrechte Erarbeiten von Richtlinien für die Zugriffs. [ eh SYS 1. denen bestimmte Rechte zugeordnet werden.bzw. wenn kein Zugriff mehr benötigt wird.2. Datensicherer/in. 11. 405 . Datenerfasser/in oder Sachbearbeiter/in.Definition von Rollen: Viele IT-Systeme lassen es zu. Solche Rollen können etwa sein: Administrator. Rollen zu definieren. deren Einhaltung generell empfohlen wird: • Die Rechteverwaltung darf nur durch eine/n Berechtigte/n und nur im Rahmen der in der Zugriffskontrollpolitik festgelegten Regeln durchgeführt werden. also vom erstmaligen Einrichten neuer Benutzer / Benutzerinnen bis zur Entfernung. Diese sollen über die gesamte Lebensdauer des Zugriffsrechtes wirken.2 Benutzerverwaltung Wesentlich sind Verfahren zur geordneten und dokumentierten Erteilung von Zugriffsrechten auf Informationssysteme. Besonders relevant ist dabei die Kontrolle über privilegierte Zugriffsrechte.

. wie es für die Aufgabenwahrnehmung notwendig ist ("Need-to-know-Prinzip"). ggf.2 ] 11.2. Karenz.) bestehen. Es muss ein geregeltes Verfahren für den temporären Entzug von Zugriffsrechten (z. [ eh SYS 1. Telefon. z.bzw. Raum). Nicht mehr aktive Benutzerkennungen dürfen nicht für Nachfolger/innen reaktiviert werden. Zusätzlich sollte in definierten Abständen eine Suche nach "toten Benutzerkennungen".B.• • • • • • • Grundsätzlich sollten immer nur so viele Zugriffsrechte vergeben werden. die seit einem längeren. Benutzergruppen bilden die Voraussetzung für eine angemessene Vergabe von Zugriffsrechten und für die Sicherstellung eines geordneten und überwachbaren Betriebsablaufs. ebenso jede/r Verantwortliche für ihren/seinen Bereich.1 11. um von jedem/jeder Benutzer/in bzw. Personelle und aufgabenbezogene Änderungen müssen innerhalb der Rechteverwaltung unverzüglich berücksichtigt werden. für jede Benutzergruppe zunächst die erforderlichen Daten zu erfassen. Organisationseinheit. eindeutige Identifikation zumindest des jeweiligen Berechtigungssystems. .2.B. bei Urlaub. Erreichbarkeit (z. zu löschen. . wenn diese nicht durch Konventionen vorgegeben sind. Es sollte ein Formblatt existieren. Gruppenkennung.: • • • • • 406 Name..4 Regelungen für die Einrichtung von Benutzerinnen/Benutzern bzw. eines Mitarbeiters sind deren/dessen Kennung und die zugehörigen Rechte unverzüglich zu deaktivieren bzw. Jede/r Benutzer/in soll ihre/seine Rechte innerhalb einer Anwendung einsehen können.B. Vorname. Bei Ausscheiden einer Mitarbeiterin bzw. vorgesehen sein.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ISO Bezug: 27002 11. Vorschlag für die Benutzer/innen. systembezogen zu definierenden Zeitraum nicht benutzt wurden. also Kennungen. Projekt.

Befristungen. bei denen personenbezogene Zugriffssicherheit erforderlich ist. Bei all diesen Aufzeichnungen ist auf Aktualität und Vollständigkeit zu achten.3 ] 407 .). Plattenvolumen. Zeitpunkt und Grund der Einrichtung. Dokumentiert werden sollen insbesondere • • die zugelassenen Benutzer/innen mit folgenden Mindestangaben: zugeordnetes Rechteprofil (ggf. Zustimmung von Vorgesetzten. der Abweichungen).B. [ eh SYS 1. zulässig. ggf. die jedoch nicht öffentlich. Kürzel Organisationseinheit plus lfd. muss danach gewechselt werden (s. ggf. Erreichbarkeit der Benutzerin bzw. wie zum Beispiel eine Kombination aus Vor. Ein Passwort. die zugelassenen Gruppen mit den zugehörigen Benutzerinnen/Benutzern.3. Nummer). Anwendungen. Abweichungen vom verwendeten Standard-Rechteprofil). Zeitpunkt und Grund der Einrichtung. sondern einem eingeschränkten Benutzerkreis zugänglich sein sollen. Für sensible IT-Systeme bzw. Dokumentation: Die Dokumentation dient der Übersicht über die zugelassenen Benutzer/innen.nachname) oder eigene Benutzer-IDs (z.1 Regelungen des Passwortgebrauches). generische Benutzerkennungen sind nur bei unbedenklichen Inhalten.• • • ggf.B. Angaben über die geplante Tätigkeit im System und die dazu erforderlichen Rechte sowie die Dauer der Tätigkeit. etc.und Nachnamen (z. das einem/einer neuen Benutzer/in für die erstmalige Systemnutzung mitgeteilt wird. auch 11. Endgeräte. es dürfen nicht mehrere Benutzer/innen unter derselben Kennung arbeiten. Namenskonventionen für die Benutzer. muss jedem/jeder Benutzer/in eine eigene Benutzerkennung zugeordnet sein. Zugriffsberechtigungen (für bestimmte Verzeichnisse. Anonymisierte bzw. Es ist sinnvoll. Dies sollte vom System initiiert werden. Befristungen.und Gruppennamen festzulegen. Restriktionen auf Zeiten. Begründung für die Wahl des Rechteprofils (und ggf. des Benutzers. vorname. Benutzergruppen und Rechteprofile und ist Voraussetzung für Kontrollen. eingeschränkte Benutzerumgebung. Remote-Zugriffe.

so lässt sich dieses auch organisatorisch nachbilden. Außerdem ist die Weitergabe des Passworts und deren Dauer zu dokumentieren.2 Es sind Vorkehrungen zu treffen.B. Wird es notwendig. Ist vom System technisch kein Vier-Augen-Prinzip vorgesehen. ein Passwort zu hinterlegen. Generell sollte in Applikationen und IT-Systemen eine Stellvertreterregelung schon eingebaut sein. Beim Einsatz von Chipkarten zur Authentisierung sind Vorkehrungen zu treffen. die Daten ermöglichen.bzw. Nichtverfügbarkeit der Chipkarte einer/einem Berechtigten den Zugang zum System zu ermöglichen. die in Notfällen bei Abwesenheit einer Mitarbeiterin bzw.11. Ist es in Einzelfällen doch notwendig. bei momentaner Inoperabilität bzw.2. im Urlaubs. Abhängig von den Personalisierungsmöglichkeiten vor Ort ist dafür Sorge zu tragen. Je nach den technischen Möglichkeiten können auch "Einmalpasswörter" oder Passwörter mit begrenzter Benutzungsdauer vergeben werden.3 Organisatorische Regelungen für Zugriffsmöglichkeiten in Vertretungs. indem Passwörter in mehrere Teile zerlegt werden.7 ] 408 . so sollte dies nach dem Vier-Augen-Prinzip. wobei jeder im Notfall Zugriffsberechtigte nur einen Teil besitzt. des Benutzers ist diese/r über die Weitergabe des Passworts in Kenntnis zu setzen und ein neues Passwort von ihr/ ihm zu vergeben.oder Krankheitsfall) ihrer/ seiner Vertretung Zugriff auf das IT-System bzw. eines Mitarbeiters (z. [ eh SYS 1. Notfällen ISO Bezug: 27002 11. von zwei Personen gleichzeitig. h. geschehen. dieses hinterlegte Passwort zu nutzen. die es erlauben. d.B. Nach der Rückkehr der Benutzerin bzw. geschützten Ort (z. dass eine zeitgerechte Neuausstellung der Karte oder eine Ausstellung einer temporär gültigen Karte möglich ist oder aber Ersatzkarten zur Verfügung stehen. so ist dieses an einem geeigneten. in einem Tresor) zu deponieren und bei jeder Änderung des Passwortes zu aktualisieren (regelmäßige Prüfung auf Aktualität erforderlich!). damit keine Weitergabe von Passwörtern in Abwesenheitsfällen benötigt wird.

so ist die Sicherheit der Zugriffsrechteverwaltung des Systems entscheidend davon abhängig. SYSTEM und Tastatur. dass das Passwort korrekt gewählt und verwendet wird.oder Abteilungsbezeichnungen. das kein Buchstabe ist (Sonderzeichen oder Zahl). Für Benutzer/innen mit umfangreichen Rechten.3. bzw. 409 • . wie etwa Administratoren.und Zeichenmuster. werden die Anforderungen im Allgemeinen höher liegen. ob das Berechtigungssystem alle Stellen des Passwortes oder nur Teile davon überprüft. Dafür ist es empfehlenswert. Einrichtungen wirksam zu halten.B. von Außenstehenden leicht zu erratender Bedeutung. etc. wie Namen. KfzKennzeichen. die eine Art Mindeststandard für die Wahl und die Handhabung von Passwörtern darstellen. Allerdings sind sie diesbezüglich mit verständlichen Anweisungen zu unterstützen. Es ist zu prüfen.11. Voreingestellte Passwörter (z. der gespeicherten Daten sowie den auf dem System realisierten technischen Möglichkeiten. Geburtsdaten. Der Hersteller bzw.3 Verantwortung der Benutzer / Benutzerinnen Die Benutzer / Benutzerinnen sind verantwortlich. wie ABCDEF.1 Erfolgt die Authentisierung in einem IT-System über Passwörter.1 Regelungen des Passwortgebrauches ISO Bezug: 27002 11. • • • • Das Passwort sollte mindestens 6 Zeichen lang sein. Passwörter mit spezieller. Kompromittierung oder Diebstahl von Informationen bzw. QWERTZ. 123456. Im Folgenden werden jedoch einige Grundregeln gegeben. die Mechanismen gegen unbefugten Zugriff. etc. in Bereichen. dem Schutzbedarf der darauf laufenden Anwendungen bzw. in denen mit streng vertraulichen Informationen gearbeitet wird.3. sind ebenso zu vermeiden wie Standardausdrücke wie TEST. Lieferant sollte dazu nach allen voreingestellten Benutzerkennungen und Passwörtern befragt werden. Firmen. 11. Regelungen zum Passwortgebrauch sind in hohem Maße abhängig vom betroffenen IT-System. eine Regelung zum Passwortgebrauch einzuführen. Innerhalb des Passwortes sollte mindestens ein Zeichen verwendet werden. die Benutzer/innen diesbezüglich zu unterweisen und die Einhaltung zu kontrollieren. des Herstellers bei Auslieferung von Systemen) müssen umgehend durch individuelle Passwörter ersetzt werden.

die nur vom Systemadministrator aufgehoben werden kann. mittels Einwegverschlüsselung.B. eine Warnmeldung oder Ähnliches.2 Bildschirmsperre 410 . aber auch eine Sperre des Gerätes oder ein Timeout. Das Passwort muss regelmäßig gewechselt werden. die nach einmaligem Gebrauch gewechselt werden müssen. Bei der Authentisierung in vernetzten Systemen sollten Passwörter verschlüsselt übertragen werden. also Passwörter.B.• • • • • • • Passwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden. eine größere Anzahl zum Vergleich herangezogen werden ( Passwort Historie ). Für die Erstanmeldung neuer Benutzer/innen sollten Einmalpasswörter vergeben werden. • • • • [ eh SYS 1. Jede/r Benutzer/in muss sein eigenes Passwort jederzeit ändern können. sollten folgende Randbedingungen eingehalten werden: • • • • Die Wahl von Trivialpasswörtern (s. Ist das Passwort unautorisierten Personen bekannt geworden. Falls IT-technisch möglich. Der Passwortwechsel sollte vom System regelmäßig initiiert werden. z. Dazu sollten alle alten Passwörter bzw. Die Wiederholung alter Passwörter beim Passwortwechsel sollte vom IT-System verhindert werden. Das Passwort muss geheim gehalten werden und sollte nur dem/der Benutzer/in persönlich bekannt sein. Wird es doch aufgeschrieben. Das Passwort sollte nach Möglichkeit nicht schriftlich fixiert werden. Die Passwörter sollten im System zugriffssicher und nicht im Klartext gespeichert werden. so ist für die Sicherheit dieser Aufzeichnungen besonders Sorge zu tragen.3. Die Eingabe des Passwortes sollte unbeobachtet stattfinden. Nach einer vorgegebenen Anzahl von Fehlversuchen (meist 3) ist eine vordefinierte Aktion zu setzen. so ist ein sofortiger Passwortwechsel durchzuführen.o. Bei der Eingabe darf das Passwort nicht auf dem Bildschirm angezeigt werden.5 ] 11.) sollte mit technischen Mitteln verhindert werden ("Stopwortliste"). z. Eine solche Aktion kann etwa eine Sperre der Benutzer-ID sein. alle 90 Tage.

sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert werden.4 Fernzugriff Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. zum anderen durch kryptographische Prüfsummen erreichbar. können bei einer Fehlkonfiguration eines Routers größere Teilnetze bzw. Denn während durch eine fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer betroffen sind. oder der/die Benutzer/in auszuloggen. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig konfiguriert werden. die auf dem Bildschirm aktuell vorhandenen Informationen zu verbergen. Die Aktivierung der Bildschirmsperre sollte erfolgen.3 Unter einer Bildschirmsperre versteht man die Möglichkeit.2. Behörden und Unternehmen müssen Fernzugriffsmöglichkeiten auf ihre IT-Systeme einrichten. die die entsprechenden Dienste dieses Systems nutzen. Ein solcher Schutz ist zum einen durch Passwörter. Als weiteres Leistungsmerkmal sollte die Bildschirmsperre eine automatische Aktivierung bei längerer Pausenzeit aufweisen.3. [ eh SYS 1. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich. wird bei der Abwesenheit der Benutzerin bzw. Beim Einsatz von Chipkarten soll gewährleistet sein.3. des Benutzers zusätzlich ein Zugriffsschutz für das IT-System gewährleistet. wenn der/die Benutzer/in den Arbeitsplatz für eine kurze Zeit verlässt.8 ] 11. Beim Entfernen der Chipkarte ist entweder die Bildschirmsperre zu aktivieren. 411 .ISO Bezug: 27002 11. um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen. um auf Daten und Anwendungen unabhängig vom Standort dieser Institution zugreifen zu können. Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der Routing-Updates erforderlich. dass die Bildschirmsperre nur mittels Chipkarte und PIN wieder aufgehoben werden kann. Verfügt das Softwareprodukt außerdem über eine Passwort-Abfrage. 11.

4. dass in jedem Verwaltungsbereich eine getrennte Verwaltung der Benutzerdaten durchgeführt wird. 11. müssen hier Querberechtigungen (Cross-Zertifikate. WiMax oder öffentliche Telefonnetze zugegriffen werden kann. Laptop. Sollen sich Benutzer/innen auch an fremden Teilnetzen anmelden können. auf das wiederum über DSLAnschlussleitungen. Vertrauensstellungen) oder ein zentraler Verzeichnisdienst eingerichtet und gepflegt werden. Benutzerinnen sollte auf die Effizienz der Benutzerverwaltung auch für Fernzugriffe geachtet werden. Zusätzlich sollte eine Anwenderrichtlinie den Benutzer auf seine Sorgfaltspflichten hinweisen. Für mittlere und große Netze.1 Nutzung eines Authentisierungsservers beim Fernzugriff ISO Bezug: 27002 11.6.Diese Fernzugriffsmöglichkeiten können mit unterschiedlichen Endgeräten (Desktop. Wurde ein Endgerät entwendet oder gestohlen. 11. besteht in vielen Fällen das Problem. 412 . Mit dem Gewinn an Flexibilität sind Risiken verbunden. 11. Die Verbindung zwischen dem Endgerät und der Zentrale führt in der Regel über das Internet. 11. UMTS.4. Verwaltungsbereiche) aufgeteilt sind. um die Kommunikationsverbindung zwischen dem Endgerät und dem Netz der Institution vor unbefugtem Mitlesen zu schützen. Zu den wichtigsten Maßnahmen gehören: • • • eine erfolgreiche Authentifizierung des Benutzers gegenüber seinem Endgerät und dem Netz der Institution Verschlüsselung der Daten auf dem Endgerät und eine regelmäßige Sicherung der Daten im Netz der Institution. die vor allen Dingen die Möglichkeit der Spionage und des Verlusts von Daten sowie der Sabotage der ITSysteme der Institution betreffen.7 Für Netzwerke mit vielen Benutzern bzw. um so die Risiken durch Nachlässigkeit zu reduzieren. WLAN. um die auf dem Endgerät gespeicherten Daten vor Verlust und gegen Vertraulichkeitsverletzungen zu schützen Einsatz eines kryptografisch gesicherten VPN. sollte sich der Fernzugriff des betroffenen Benutzers durch die Institution kurzfristig sperren lassen.5. die organisatorisch meist in mehrere Teilnetze (Domänen. Smartphone) realisiert werden.

Durch die Verwendung von zentralen Authentisierungsservern kann erreicht werden.Insbesondere im Kontext mit Fernzugriffen haben sich hier spezielle Authentisierungssysteme herausgebildet. als sie von den Betriebssystemen standardmäßig unterstützt werden. Das Programm zur Systemanmeldung wendet sich zur Überprüfung der von dem/der Benutzer/in eingegebenen Authentisierungsdaten an den Authentisierungsserver.sofern ein "Challenge-Response" Verfahren zum Einsatz kommt . Der Zugang zum (Access-)Netz wird nach erfolgreicher Überprüfung gewährt. Der Anmeldeprozess leitet die Daten (meist transparent für Benutzer/innen) an den Authentisierungsserver weiter. die auf einem Display angezeigt werden und welche der/die Benutzer/in als Passwort angeben muss. Der Authentisierungsserver verifiziert die Benutzerdaten und signalisiert dem Anmeldeprozess das Ergebnis der Überprüfung. die auch für den "normalen" Authentisierungsprozess bei der Systemanmeldung genutzt werden können.laufen grob vereinfacht folgende Schritte ab: • • • • • Findet ein Verbindungsaufbau mit dem Anmeldeprozess statt. Hier sind insbesondere Chipkarten. Text) sein. kontaktiert dieser den Authentisierungsserver und informiert ihn über den eingegangenen Verbindungswunsch einer Benutzerin bzw. der diese an den/die Benutzer/in weiterleitet. 413 .eine so genannte "Challenge" an den Prozess zurück. Der/die Benutzer/in gibt ihr/sein Authentisierungsgeheimnis ein. Will sich ein/e Benutzer/in nun am System anmelden . dass einerseits die Authentisierungsdaten konsistent verwaltet werden und andererseits bessere Authentisierungsmechanismen genutzt werden können. Der Anmeldeprozess muss dazu die Nutzung externer Authentisierungsserver unterstützen und die Netzadresse des zu benutzenden Authentisierungsservers muss in den Konfigurationsdaten des Anmeldeprozesses korrekt eingetragen sein. Einmalpasswörter.gleichgültig ob sie/er dazu eine RAS-Verbindung benutzt oder sich direkt im LAN befindet . Zur Kommunikation zwischen Anmeldeprozess und Authentisierungsserver wird in der Regel ein abgesichertes Protokoll eingesetzt. Prinzipiell besitzen diese Systeme folgenden Aufbau: • • • Die Authentisierungsdaten der Benutzer/innen werden durch einen zentralen Server verwaltet.und Token-basierte Mechanismen zu nennen.B. Je nach System erzeugen diese z. eines Benutzers. Der Authentisierungsserver sendet . Dies kann je nach verwendetem System ein Passwort oder ein Einmalpasswort in den unterschiedlichsten Ausprägungen (Nummern.

Wird die Verbindung über das Internet aufgebaut. dass er einerseits performant erreicht werden kann.4. von den durch die VPN.Hard. Die Absicherung wird durch das Verschlüsseln und gegebenenfalls Signieren der ausgetauschten Datenpakete erreicht. so erfolgt der Zugriff typischerweise über eine externe Datenverbindung.10 Remote Access) Die Wahl des Verfahrens. 10. So wird beispielsweise bei einer direkten Einwahl (Direct Dial-In) das Netz eines Telekommunikationsanbieters benutzt. aber andererseits auch vor unberechtigten Zugriffen geschützt ist. wie beispielsweise das Tunneling. 11. Berücksichtigt werden muss jedoch. nachdem die Kommunikationspartner authentisiert wurden. Ein Authentisierungsserver muss so im Netz platziert werden. von den auf Protokollebene einsetzbaren Verfahren (siehe unten). • • • von den Sicherheitsanforderungen an die Stärke der Verfahren (hierdurch werden beispielsweise die Schlüssellängen bestimmt). [ eh SYS 7. muss der zur Datenübertragung benutzte Netzpfad so abgesichert werden. Im VPN-Umfeld haben sich verschiedene Verfahren und Mechanismen zur Absicherung der Kommunikationsverbindung herausgebildet.4.6. u. hängt von verschiedenen Faktoren ab. Integrität und Authentizität gewährleistet ist. Da über eine VPN-Verbindung die direkte Anbindung an ein LAN erfolgt.Für mittlere und große Netze wird die Verwendung von Authentisierungsservern insbesondere bei Fernzugriffen empfohlen.2 Einsatz geeigneter Tunnel-Protokolle für die VPNKommunikation ISO Bezug: 27002 11. (vgl.7 ] 11. dass die Vertraulichkeit. da diese eine wesentlich höhere Sicherheit bei der Benutzer-Authentisierung bieten. dass auch diese Server administriert und gewartet werden müssen.3 Wird über ein Virtual Private Network (VPN) auf ein LAN zugegriffen.7.A.und Software unterstützten Verfahren. werden die Daten über die Netze der beteiligten Internetdienstanbieter (und eventuell deren Kooperationspartner) geleitet. das zur Absicherung einer VPN-Verbindung zu benutzen ist. 12. Generell gilt: 414 .

in vernetzten Systemen der Administrator). Die Sicherheitsmechanismen basieren auf unterschiedlichen kryptographischen Verfahren.4. Der sichere Einsatz eines Modems bedingt weiters einige administrative Maßnahmen: 415 . und es gibt nach wie vor noch Modemzugänge. Für den sicheren Einsatz sind eine Reihe von Regelungen zu treffen. So ist etwa festzulegen: • • • • wer die/der Verantwortliche für den sicheren Betrieb des Modems ist (beispielsweise im Stand-alone Einsatz der IT-Benutzer/innen. in welchen Fällen vertrauliche Informationen bei der Übertragung verschlüsselt werden müssen.B. Korrekt eingegebene Passwörter sollten nicht mitprotokolliert werden. die bei erfolglosen Login-Versuchen eingegebenen Passwörter mitzuprotokollieren. müssen protokolliert werden. ob erfolgreich oder erfolglos. bei Übermittlung personenbezogener Daten). Alle Login-Vorgänge.1 Modems werden angesichts der besseren Möglichkeiten durch Breitband-Internet bzw. Mobilfunk immer seltener verwendet. wer das Modem benutzen darf. Einige der hier angeführten Grundsätze gelten allerdings auch für solche. es ist aber zu überlegen. SSL/TLS). Bietet die Kommunikationssoftware Protokollierungsfunktion an.3 Einsatz von Modems und ISDN-Adaptern ISO Bezug: 27002 11. um Passwort-Attacken zu entdecken.• • Ein VPN-Produkt bietet in der Regel eine Auswahl von unterstützten Standardverfahren zur Kommunikationsabsicherung an.4. sollten diese im sinnvollen Rahmen genutzt werden. Hier sollte eine möglichst breite Unterstützung von Verfahren angestrebt und entsprechende Standards angewendet werden (beispielsweise IPSEC. in welchen Fällen durchgeführte Datenübertragungen zu protokollieren sind (z. Alternativ kann das VPN-Produkt auch eigene Verfahren anbieten. [ eh SYS 7. Die zum Datentransport benutzten Protokolle bieten selbst schon Sicherheitsmechanismen an.8 ] 11. Diese können vom VPN-Produkt genutzt werden.

ohne sich einzuloggen.11 ] 416 . Sie darf nicht im Telefonverzeichnis der Organisation erscheinen. sobald der/die Benutzer/in sich vom System abmeldet. Einige Modems bieten auch die Möglichkeit. um den Zugang vor Einwählversuchen zu schützen. dass das Modem nur solange mit dem Telefonnetz verbunden ist. Ist ein Modem in einen Netzserver integriert. dazu 11. Außerdem müssen regelmäßig die Einstellungen des Modems und der Kommunikationssoftware überprüft werden sowie die durchgeführten Datenübertragungen protokolliert werden. die für die Datenübertragung berechtigt sind. Außerdem müssen alle Benutzer/innen darauf hingewiesen werden.4 Geeignete Modem-Konfiguration). [ eh SYS 6. die übertragenen Daten zu verschlüsseln. Sicherheitsmechanismen bei Modems: Es gibt vielfältige Sicherheitsmechanismen.• • • • • Die Telefonnummer eines Modem-Zugangs darf nur den Kommunikationspartnern bzw. wie es für die Datenübertragung eingesetzt wird. können Benutzer/innen von ihren Arbeitsplatzrechnern auf das Modem zugreifen. Es ist darauf zu achten. dass auf einfache Weise unautorisierte Anrufer/innen abgewiesen werden können (siehe auch 11. und es anschließend ausgeschaltet bzw. dass das Modem die Telefonverbindung unterbricht.5 Aktivierung einer vorhandenen Callback-Option). Andernfalls kann der/die nächste Anrufer/in unter dieser Benutzerkennung weiterarbeiten. Die Anschaffung eines Modems mit Verschlüsselungsoption ist vorteilhaft. Es muss sichergestellt sein. die in Modems integriert sein können. Die vielfach angebotene Callback-Funktion bietet unter Sicherheitsgesichtspunkten den Vorteil.4. Ein externes Modem kann einfach ausgeschaltet werden. Bei einem im Netzserver integrierten Modem muss dies über die Konfiguration sichergestellt werden. von der Leitung getrennt wird. dass nach einem Zusammenbruch der Modem-Verbindung externe Benutzer/innen automatisch vom IT-System ausgeloggt werden. dass nach der Datenübertragung auch das Kommunikationsprogramm zu beenden ist. wenn regelmäßig Übertragungen großer Datenmengen innerhalb einer Organisation mit verstreuten Liegenschaften durchgeführt werden sollen. Diese OnlineVerschlüsselung bedingt einen geringeren organisatorischen Aufwand als das Verschlüsseln der Daten mittels Zusatzprodukten.4. -partnerinnen bekannt gegeben werden. Dann darf ein Zugriff auf die Kommunikationssoftware nur den Benutzerinnen/Benutzern möglich sein. dass die eingesetzten Algorithmen stets dem Stand der Technik entsprechen. Bei einem Stand-aloneSystem kann dies dadurch realisiert sein. wie etwa Passwortmechanismen oder Callback-Funktionen (vgl. Es muss außerdem darauf geachtet werden.

11. Ansonsten ist ein Callback-Mechanismus einzusetzen (siehe 11.4.2 Die meisten Modems arbeiten nach dem nicht normierten. dass Anrufe manuell entgegengenommen werden müssen. sollte sie genutzt und die Passwörter entsprechend den Sicherheitsanforderungen (vgl. dass das Modem einen ankommenden Ruf automatisch nach einer einzustellenden Anzahl von Klingelzeichen entgegennimmt. dazu auch 11. Bei einigen Modems wird nach Eingabe eines bestimmten Befehls eine Liste der Rufnummern mit den zugehörigen Passwörtern angezeigt.4.7. sollte gewählt werden. dass diese Möglichkeit ausgeschaltet ist. Daher sollte der Zugang zum Modem nur befugten Personen möglich sein 417 . wenn verhindert werden soll. den Befehlssatz des eingesetzten Modems daraufhin zu überprüfen. Es ist darauf zu achten. Zum Problem der Fernwartung über Modems siehe 12. herstellerabhängigen Hayes-Standard (auch AT-Standard genannt). Größere Abweichungen gibt es in den erweiterten Befehlssätzen. dass von außen unbemerkt eine Verbindung aufgebaut werden kann. Die gewählten Einstellungen sollten im nichtflüchtigen Speicher des Modems gespeichert werden. Nachfolgend werden einige sicherheitsrelevante Konfigurationen vorgestellt: Auto-Answer: Es kann eingestellt werden. so dass sie jederzeit mit der aktuellen Einstellung verglichen werden können. Außerdem sollten sie auf Papier ausgedruckt werden. Es ist wichtig. Eine Einstellung. die dies verhindert und erzwingt.4.1 Regelungen des Passwortgebrauches) gewählt werden.4 Geeignete Modem-Konfiguration ISO Bezug: 27002 11.3 Fernwartung. Wenn diese Möglichkeit vorhanden ist.5 Aktivierung einer vorhandenen Callback-Option). Passwortgeschützte Speicherung von (Rückruf-)Nummern: Bei der Speicherung von Telefonnummern oder Rückrufnummern im nichtflüchtigen Speicher des Modems können diese bei vielen Modellen durch ein Passwort geschützt werden. dass sie von entfernten Modems fernkonfiguriert werden können. Fernkonfiguration des Modems: Manche Modems können so eingestellt werden. Die Basis-Befehlssätze der verschiedenen Modems stimmen größtenteils überein. wie die im folgenden beschriebenen Funktionen umgesetzt sind und ob durch fehlerhafte Konfiguration Sicherheitslücken entstehen können.3.

Es ist sicherzustellen. den richtigen Moment abzupassen. in dem Moment. dass ein nicht autorisierter Anrufer diesen Modemzugang missbrauchen kann. dass nur in der Zentrale festgelegte Nummern zurückgerufen werden. von der Dateien abgerufen oder auf der Dateien eingespielt werden.2 Viele Modems bieten die Option eines automatischen Rückrufs (Callback). Zu beachten ist.13 ] 418 . dass der automatische Rückruf nur auf einer Seite aktiviert ist. Dadurch wird verhindert.5 Aktivierung einer vorhandenen Callback-Option ISO Bezug: 27002 11. Wenn die Applikation den Callback durchführt. Callback ist immer dann einzusetzen. dass mit dem automatischen Rückruf auch die Kosten der Datenübertragung übernommen werden. dieses anzuwählen und damit den Callback abzufangen. wenn das Modem den Callback starten will. solange er nicht unter der voreingestellten Nummer erreichbar ist. Anmerkung: Privilegierte Benutzer/innen können ev. kann ein Angreifer versuchen.4. die Nummer einzugeben. sollte das Callback von der Applikation und nicht vom Modem ausgelöst werden. Wenn das Modem ein Callback auslöst. [ eh SYS 6.12 ] 11. Ein Callback kann außer durch das Modem auch von der Applikation ausgelöst werden. wenn es einen Anruf erhält. sofort nach dem erfolgreichen Verbindungsaufbau die Leitung und ruft eine voreingestellte Nummer zurück. unter der sie sich zurückrufen lassen möchten. und kein "Overrulen" durch den Anrufer möglich ist. ist es für einen Angreifer wesentlich schwieriger. Ist diese Option aktiviert. dass die voreingestellten Rufnummern des Callback sporadisch kontrolliert und aktualisiert werden. also auf der Seite.[ eh SYS 6. Wenn die eingesetzte Applikation diese Option bietet. Hier sollte darauf geachtet werden. die Möglichkeit haben. Es ist darauf zu achten. Callback sollte auf der passiven Seite aktiviert sein. wenn feste Kommunikationspartner/innen sich automatisch einwählen können sollen.4. da der Mechanismus sonst in eine Endlosschleife führt. trennt das Modem.

5. 11.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung ISO Bezug: 27002 11. 11. Um dem entgegenzuwirken ist die Verwendung von geprüften Initialkonfigurationen zu bevorzugen. Im Bundesbereich ist gemäß dem IKT-Board Beschluss [IKTB-170902-7] eine definierte sichere Initialkonfiguration zu verwenden. Benutzern und Anwendungen den komfortablen Zugang zur Hardware und anderen Betriebsmitteln des Computersystems zu ermöglichen. vorübergehender oder dauerhafter Unbrauchbarmachung und Zerstörung (Verletzung der Verfügbarkeit von Informationen und Programmen). Somit werden im Zuge von Standardkonfigurationen zur Verfügung stehende Sicherheitsmechanismen oft nicht aktiviert. Verfälschung (Verletzung der Integrität von Daten). bzw.5 Zugriff auf Betriebssysteme Die Hauptaufgabe eines Betriebssystems besteht bis heute darin. 419 . Derartige Konfigurationen sollten sowohl für das Betriebssystem (vorrangig) aber auch für die verwendete Software von der Administration zur Verfügung gestellt werden. Eine entsprechend dokumentierte Initialkonfiguration wird im Rahmen des Online-Angebotes des Chief Information Office des Bundes zur Verfügung stehen. Dazu gehört insbesondere sowohl der Schutz der Betriebssystemsoftware selbst als auch der Schutz einzelner Daten und Programme vor unberechtigter Benutzung (Verletzung der Vertraulichkeit von Informationen). bieten grundsätzliche Fehlkonfigurationen potentielle Sicherheitsrisken.5.4 Bei Neuinstallationen von Betriebssystemen und Software berücksichtigen die standardmäßigen und herstellerseitigen Grundeinstellungen kaum sicherheitstechnische Aspekte.5. Neben diesen Grundfunktionen muss ein Betriebssystem grundlegende Sicherheitskonzepte durchsetzen.11.

mit denen sich die Benutzer/innen oder die Systemadministration vertraut machen sollten.4 Moderne BIOS-Varianten bieten eine Vielzahl von Sicherheitsmechanismen an. bzw.5. Demnach sollten in der Initialkonfiguration alle im Zertifikatsspeicher vorkonfigurierten Wurzelzertifikate (vertrauenswürdige Stammzertifikate) entfernt werden.Zertifikatsgrundeinstellung Voreingestellt in Betriebssystemen bzw. wenn in den Arbeitsstationen die Mechanismen des Widerrufs hinreichend umgesetzt sind. 5. Nach IKT-Board-Beschluss [IKTB-040402-2] sind alle in der Bundesverwaltung auszuliefernden Arbeitsstationen initial so auszuliefern. die der EU Signaturrichtlinie (Art. in Internet-Programmen (zum Beispiel Browsern) ist eine Vielzahl von „vertrauenswürdigen“ Zertifizierungsstellen.2 Nutzung der BIOS-Sicherheitsmechanismen ISO Bezug: 27002 11. • Passwortschutz: Bei den meisten BIOS-Varianten kann ein Passwortschutz aktiviert werden.oder Administrator-Passwort immer aktiviert werden. ob das Passwort vor jedem Rechnerstart oder nur vor Zugriffen auf die BIOS-Einstellungen überprüft werden soll. Dieser kann verhältnismäßig einfach überwunden werden. Um zu verhindern. durch einen definierten Satz an als vertrauenswürdig anerkannten Zertifikaten ersetzt werden. sollte das Setup. dass Unbefugte die BIOS-Einstellungen ändern.1) genügen. dass keinem Zertifizierungsdienst automatisch vertraut wird. Auf keinen Fall sollten aber ungeschulte Benutzer/innen BIOS-Einträge verändern. 420 . denn der/die Anwender/in hat in der Regel keine Informationen über die Vertrauenswürdigkeit der Zertifizierungsstellen bzw. Meist kann ausgewählt werden. 11. wenn dies in der allgemeinen Strategie explizit festgehalten ist. da hierdurch schwerwiegende Schäden verursacht werden können.5. [ eh SYS 5.5. Anderen Zertifizierungsdiensten kann im bereichs-/ressortübergreifenden Datenverkehr nur dann dass Vertrauen im System implizit gegeben werden. sollte aber auf jeden Fall benutzt werden. wenn keine anderen Zugriffsschutzmechanismen zur Verfügung stehen. Teilweise können sogar verschiedene Passwörter für diese Prüfungen benutzt werden. Das implizite Vertrauen kann allen Zertifizierungsdiensten und den zugeordneten Diensten. deren Zertifikaten dadurch explizit vertraut wird. ob deren Zertifikate zwischenzeitlich bereits kompromittiert wurden.8 ] 11. explizit ausgesprochen werden. Dies stellt ein Sicherheitsrisiko dar.

ob diese durchgeführt werden darf. _C. da einige Controller die interne Reihenfolge außer Betrieb nehmen und eine getrennte Einstellung erfordern. Daten mit besonderem Schutzbedarf können in den unterschiedlichsten Bereichen anfallen. bei Fax oder E-Mail. Ohne eine solche Umstellung der Boot-Reihenfolge können auch weitere Sicherheitsmaßnahmen wie etwa Zugriffsschutzmechanismen umgangen werden. z. Virenschutz. Für diese gelten je nach ihrer Kategorisierung unterschiedliche Beschränkungen im Umgang mit ihnen. Dazu gehört auch die regelmäßige Überprüfung auf Korrektheit und Vollständigkeit der Daten. Virus-Warnfunktion: Wird diese Funktion aktiviert. bearbeiten bzw. Boot-Reihenfolge: Die Boot-Reihenfolge sollte so eingestellt sein. noch Diskettenlaufwerke) durch ein Passwort geschützt werden. verlangt der Rechner vor einer Veränderung des Bootsektors bzw. Je nach verwendetem BIOS und Betriebssystem muss auch das Booten von anderen austauschbaren Datenträgern wie USB-Ports verhindert werden.A_ eingestellt werden (Annahme.E_ bzw. Diskette) im Laufwerksschacht vergessen wird. [ eh SYS 5.4 ] 11. falls versehentlich eine CD (resp. dass es ein CD-Laufwerk E gibt). die einen höheren Schutzbedarf haben oder besonderen Restriktionen unterliegen. Generell sollte die Wirksamkeit der Umstellung der Boot-Reihenfolge durch einen Boot-Versuch geprüft werden. Beispielsweise sollte also _C. um das unbefugte Einspielen von Software oder das unbemerkte Kopieren von Daten zu verhindern. finanzrelevante. ggf. Daher ist es wichtig. 421 .B. dass immer als Erstes von der Festplatte gebootet wird. Ein Beispiel hierfür ist das Starten eines anderen Betriebssystems. vertrauliche oder Copyright-geschützte Daten. Der Schutzbedarf von Daten wirkt sich natürlich unmittelbar auf alle Medien aus. des MBR (Master Boot Record) eine Bestätigung. Dies schützt vor der Infektion mit Boot-Viren. Dies sollte benutzt werden. personenbezogene.• • Mit einigen (leider wenigen) BIOS-Varianten kann zusätzlich der Zugriff auf USBPorts (bzw. auf denen diese gespeichert oder verarbeitet werden. Darüber hinaus gibt es aber in vielen Bereichen Daten. daher sollten in allen diesen Bereichen Festlegungen existieren.B. so dass gesetzte Sicherheitsattribute ignoriert werden.6 Zugriff auf Anwendungen und Informationen Grundsätzlich sollten Mitarbeiter/innen natürlich sorgfältig mit allen Informationen umgehen. z. wer solche Daten lesen. weitergeben darf. spart Zeit und schont das CD-Laufwerk. alle Mitarbeiter auf die für diese Daten geltenden Restriktionen hinzuweisen.E.

Verarbeitung. B. Jede Organisation sollte eine Übersicht darüber haben.6.1 Wahl geeigneter Mittel zur Authentisierung ISO Bezug: 27002 11.Viele Informationen. Die Wahl eines geeigneten Authentisierungsverfahrens ist von entscheidender Bedeutung für die Sicherheit des Gesamtsystems und muss daher den Sicherheitsanforderungen und den technischen Möglichkeiten gemäß getroffen werden. Weitergabe und Vernichtung besondere Vorschriften und Regelungen gelten. 11. • • • Geschäftskritische Informationen müssen vor Verlust.2. [Q: BSI M 2. aber auch Anwendungen. Copyright-Vermerke oder Lizenzbedingungen kopiert werden dürfen. Neben den allgemeinen Sorgfaltspflichten können auch hier für diese Daten bei der Speicherung. diejenigen Daten. versteht man unter "Authentisierung" den Nachweis der angegebenen Identität. welche Daten als geschäftskritisch einzustufen sind.17 ] 11. Ein besonderes Augenmerk muss auch auf alle Informationen gelegt werden. bei deren Verlust die Organisation handlungsunfähig wird. Codes. welche die Grundlage für die Aufgabenerfüllung bilden. kryptographischen Schlüsseln Authentisierung durch Besitz: beispielsweise von Schlüsseln oder Karten .4. Nicht mehr benötigte Informationen müssen zuverlässig gelöscht werden. Alle Mitarbeiter/ innen müssen darauf hingewiesen werden. Manipulation und Verfälschung geschützt werden. dass weder Dokumente. Konkurrenzunternehmen) finanzielle Vorteile ziehen kann. B. Objektes zu verstehen ist (meist durch Angabe eines Namens oder einer User-ID). Grundsätzlich gibt es drei Arten der Authentisierung: • • 422 Authentisierung durch Wissen: etwa durch Eingabe von Passwörtern. unterliegen Copyright-Vermerken oder Weitergaberestriktionen ("Nur für den internen Gebrauch"). Dazu gehören alle geschäftsrelevanten Daten.1 Während unter "Identifikation" die Bestimmung der Identität eines Subjektes bzw. also z. Längerfristig gespeicherte oder archivierte Daten müssen regelmäßig auf ihre Lesbarkeit getestet werden.3. noch Dateien oder Software ohne Berücksichtigung evtl. die die Beziehungen zusammenarbeitender Organisationen beeinträchtigen können oder aus deren Kenntnis ein Dritter (z.6.

Im Bereich der öffentlichen Verwaltung wird die Verwendung von so genannten Dienstkarten. Die Stabsstelle IKT-Strategie des Bundes hat im Rahmen des IKT-Board Beschlusses [IKTB-110903-10] . treten. unter Verwendung geeigneter Basisdienste. dazu auch 11. besonders im Hinblick auf den Einsatz der Biometrie in Bereichen der öffentlichen Verwaltung. ob bei Verfahren der öffentlichen Verwaltung.1 Regelungen des Passwortgebrauches und 11. gemäß der Empfehlung des IKT-Boards [IKTB-140102-1] . 423 . zur Identifikation bzw.B. Fingerabdruck.3. Nach der Auswahl eines geeigneten Authentisierungsverfahrens sind Regelungen über die Handhabung der Authentifikationsmitteln zu treffen (vgl.6. Biometrie kann allerdings noch nicht in allen Bereichen der Identifikation und Authentifikation – im Speziellen im Sinne eines authentischen Identitätsnachweises . Darüber hinaus ist generell zu prüfen. Gemäß dem IKT-Board Beschluss [IKTB-260701-1] soll sogar anstelle eines konventionellen Sigle-Sign-On die Identifikation mit der Bürgerkarte.2 Regelungen des Gebrauchs von Chipkarten). die folgenden allgemeinen Umsetzungsrichtlinien beschlossen: • Eine hohe Funktionsstärke (SOF high) ist derzeit und in absehbarer Zukunft nicht erreichbar.• Authentisierung durch Eigenschaften oder Verhaltensmerkmale (biometrische Verfahren): z. Für die Signatur und die Identifikation wird empfohlen die Module für Onlineverfahren (MOA-ID. MOA-SS/SP) zu verwenden [IKTB-161203-01] . Stimmerkennung. . Weiters besteht die Möglichkeit. daher ist vorerst nur limitierter Einsatz der Biometrie möglich. Die Sicherheit der einzelnen Authentisierungsverfahren ist sehr unterschiedlich und im Einzelfall immer zu hinterfragen.. In vielen Fällen kommen Kombinationen der drei angeführten Prinzipien (etwa Authentisierung durch Wissen und Besitz) zur Anwendung. Authentisierung vorzusehen sein. in Verbindung mit der Bürgerkarte so genannte Single Sign-On Funktionalitäten zu realisieren. das gemäß dem IKT-Board Beschluss festgelegte Konzept Bürgerkarte zur Authentisierung von Benutzerinnen/Benutzern anzuwenden ist. Diese Module stehen auch der Wirtschaft frei zur Verfügung [IKTB-110504-1] . Unterschriftendynamik..als technisches Mittel der Wahl angesehen werden. Biometrie: In der Diskussion um Mittel der Authentifikation rückt auch Biometrie zunehmend in den Mittelpunkt.

da Wachzustand und Bewusstsein zurzeit in biometrischen Systemen nicht mit vertretbarem Aufwand technisch kontrollierbar sind). Derzeit praktikable Anwendungen für Biometrie sind z.• • • • Standards für biometrische Merkmale. Der Machtgeber für das Identifikationsobjekt (z. Die Identifikationsanwendung außerhalb der erkennungsdienstlichen Aufgaben ist noch nicht technologisch rechtfertigbar. Zuordnung von Chipkarten zu Personen (dies ist vom Willensakt der Auslösung einer Funktion zu trennen. Anwendungen können im Bereich der Verifikation und der Komfortsteigerung einen wesentlichen Beitrag leisten. [ eh SYS 1.: • • • Personendokumente mit biometrischen Daten auf dem Dokument. Verifikationsanwendungen mit biometrischen Daten unter Kontrolle des Inhabers/der Inhaberin und mit amtlicher Bestätigung (Signatur) zur breiten Anwendung sind derzeit möglich und können eingesetzt werden.B.6. Chipkarten haben unter Sicherheitsaspekten im Wesentlichen zwei Funktionen zu erfüllen. biometrisches Merkmal und Karte als Träger der Referenzdaten) oder in beschränkten Populationen. Dies gilt auch für Anwendungen mit Identifikationszuordnung in beschränkten Gruppen (im Normalfall etwa bis zu 100 Personen).4 ] 11. etc. sind noch nicht vorhanden. 11. auch mit Co-Prozessor) zum Einsatz. Zutrittskontrolle zu Anlagen und Räumen vor allem über Sekundärmechanismen (z. Anwendungen müssen zurzeit in kontrollierter Umgebung ablaufen. daher können zentrale Datenbanken nicht sinnvoll eingesetzt werden.6. ev.4.) muss die Möglichkeit der Kontrolle des Verifikationsprozesses haben. Daten. die durch die Behörde bestätigt (signiert) sind.1 Für Anwendungen im Sicherheitsbereich kommen intelligente Speicherkarten (Karten mit fest verdrahteter Sicherheitslogik) sowie Mikroprozessor-Karten (Karten mit Speicher und CPU.2 Regelungen des Gebrauchs von Chipkarten ISO Bezug: 27002 11. Sie dienen 424 .2. die eine dauerhafte (etwa 10-jährige) Sicherheit gewährleisten.B.B. Computer.

Dadurch kann die PIN zur leichteren Handhabe verkürzt werden. Im Folgenden werden einige Grundregeln gegeben. etc.6 Kryptographische Maßnahmen). sind die Mitarbeiter/innen in entsprechenden Verpflichtungserklärungen zur Einhaltung dieser Regelungen zu verpflichten. Verwendung kartenspezifischer Schlüssel und geeignete Implementierung von kryptographischen Algorithmen).) darstellen. Prüfungsergebnisse.oder Zugriffskontrolle. Generierung von elektronischen Signaturen. die eine Art Mindeststandard für die Handhabung von Karten und PINs in sicherheitsrelevanten Anwendungen (etwa Zutritts. Zugangscodes (etwa zu IT-Systemen). persönliche Daten (medizinische Daten. Signaturschlüssel zur Generierung elektronischer Unterschriften (vgl. Denkbar ist auch eine Multifaktor-Authentisierung. Angriffe gegen diesen geschützten Bereich erfordern einen sehr hohen technologischen Aufwand. PINs (Personal Identification Number) geschützt. Ist mit solchen Angriffen zu rechnen. • • • Keine unautorisierte Weitergabe der Karte: Chipkarten stellen in der Regel ein persönliches Sicherheitsmedium dar und sollten daher sicher verwahrt und keinesfalls an andere Personen weitergegeben werden. Übertragbare Chipkarten ohne Namen sollten gar nicht oder nur in sicherheitstechnisch belanglosen Bereichen eingesetzt werden. Neben der Qualität der Karte selbst kommt auch der Wahl und der Handhabung der PIN entscheidende Bedeutung für die Sicherheit des Gesamtsystems zu. Kap.) als Security Modul (zur Durchführung von Sicherheitsfunktionen) z. Die PIN muss geheim gehalten werden und darf nur dem/der Benutzer/in persönlich bekannt sein.• • als Trägermedium für vertrauliche Daten z. wo eine PIN zusammen mit biometrischen Merkmalen herangezogen wird. Wenn erforderlich.. Signatur. Der Zugriff auf Daten und Funktionen von Chipkarten ist heute im Allgemeinen durch sog.B. Ein Aufbewahren der PIN gemeinsam mit der Karte oder gar ein Notieren der PIN auf der Karte ist unbedingt zu vermeiden. Generierung von Sessionkeys oder zur Durchführung von Transaktionen Entscheidender Vorteil der Chipkarte gegenüber anderen Medien ist. . Die Chipkarten sollten immer mit dem Namen der Trägerin bzw.B.also in einem geschützten Bereich . Diese sind in hohem Maße abhängig vom Schutzbedarf des betroffenen Systems und der Art der Anwendung. so sind eine Reihe von kryptographischen und systemtechnischen Gegenmaßnahmen zu setzen (etwa Schlüsseldiversifizierung.im Folgenden wird der Einsatz von Chipkarten in sicherheitsrelevanten Applikationen behandelt.. dass die Speicherung der vertraulichen Daten und die Durchführung von sicherheitskritischen Funktionen innerhalb der Karte . 12. Authentisierung. des Trägers versehen werden. zur Chiffrierung.erfolgen kann. 425 . Chiffrierschlüssel. Für Details zur Sicherheit von Chipkarten sei auf die Literatur verwiesen .

Die Wahl von Trivial-PINs ist zu vermeiden. Im Folgenden seien einige dieser Funktionen kurz erläutert: • Passwortschutz bei Programmaufruf: Das Programm kann nur gestartet werden. bei denen die Übertragung der PIN technisch oder mittels kryptographischer Verfahren geschützt wird. Es ist zu prüfen. 11.6 Standardprodukte im PC-Bereich bieten oft eine Reihe von nützlichen ITSicherheitsfunktionen. PINs dürfen nicht auf programmierbaren Funktionstasten gespeichert werden. Da sich Chipkarten in der Regel nach einer festgelegten Anzahl von PINFalscheingaben (meist 3) selbst sperren . diese den Security Layer unterstützen (vgl. unkontrollierbaren Umgebungen sollten sog.5. [ eh SYS 1.1. Bei der Eingabe darf die PIN nicht auf einem Bildschirm oder Display angezeigt werden. "Secure PIN-Pads" zum Einsatz kommen.• • • • • • Die Länge der PIN hängt von Art und Schutzbedarf der Anwendung ab und liegt im Allgemeinen zwischen 4 und 8 Stellen.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen ISO Bezug: 27002 11. Dies verhindert die unberechtigte Nutzung des Programms. die aber Unbefugte behindern bzw. deren Güte im Einzelnen unterschiedlich sein kann. 426 . Dies erfolgt durch eine von der PIN unterschiedliche (und meist deutlich längere) Geheimzahl ("Supervisor PIN". wenn vorher ein Passwort korrekt eingegeben wurde. "Personal Unblocking Key" (PUK)). 11.6 ] 11. Für Anwendungen mit hohem Sicherheitsbedarf in ungeschützten bzw.dies stellt eines der wichtigsten Sicherheitsfeatures der Karte dar -. mögliche Schäden verringern können. dass speziell in Verbindung mit Anwendungen der öffentlichen Verwaltung. ist eine Möglichkeit des Entsperrens vorzusehen. Die Eingabe der PIN sollte unbeobachtet stattfinden.3. die entweder dem/der Benutzer/in selbst oder einer/einem Sicherheitsverantwortlichen bekannt sein kann. Zusätzlich ergibt sich bei der Wahl der einzusetzenden Chipkarte. [IKTB-040901-1] ). ob eine Übertragung der PIN zwischen Tastatur und Karte im Klartext aus Sicherheitsgründen vertretbar ist.6.

die nach dieser automatischen Speicherung eingetreten sind. wenn das mit dieser Datei verknüpfte Passwort korrekt eingegeben wird. 10. Automatisches Anzeigen von Makros in Dateien: Diese Funktion soll das unbeabsichtigte Ausführen von Makros verhindern und damit Schutz vor Makro-Viren bieten (vgl.4 ] 427 . so dass ein Stromausfall nur noch die Datenänderungen betrifft. 12. Dies verhindert den unerlaubten Zugriff mittels des Programms auf bestimmte Dateien. die über den verwendeten geheimen Chiffrierschlüssel verfügen. dass versehentlich eine Datei gleichen Namens gelöscht wird. Je nach eingesetzter Software und damit vorhandenen Zusatzsicherheitsfunktionen kann der Einsatz dieser Funktionen sinnvoll sein.4.• • • • • Zugriffsschutz zu einzelnen Dateien: Das Programm kann nur dann auf eine geschützte Datei zugreifen. eine Datei verschlüsselt abzuspeichern. ob die zwischengespeicherten Daten nach dem regulären Programmende wieder gelöscht wurden (vgl. Kap.4 Schutz vor Schadprogrammen und Schadfunktionen). Gegebenenfalls ist jedoch zu überprüfen. [ eh SYS 3.1 Verifizieren der zu übertragenden Daten vor Weitergabe). zu der im angegebenen Pfad eine Datei gleichen Namens existiert. Für mobil eingesetzte IT-Systeme bieten sich insbesondere die Nutzung des Passwortschutzes bei Programmaufruf und die automatische Speicherung an. Die Inhalte der Datei sind damit nur denjenigen zugänglich. sondern mit einer anderen Kennung versehen. so dass eine unbefugte Kenntnisnahme verhindert werden kann. so wird die zweite Datei nicht gelöscht. Automatische Sicherung der Vorgängerdatei: Wird eine Datei gespeichert. Damit wird verhindert. Automatische Speicherung von Zwischenergebnissen: Das Programm nimmt eine automatische Speicherung von Zwischenergebnissen vor. Verschlüsselung von Dateien: Das Programm ist in der Lage.

Hitze). Ungeeigneter Umgang mit Passwörtern. dank immer kleinerer und leistungsfähigerer Geräte. Daher werden dienstliche Aufgaben häufig nicht mehr nur in Räumen des Unternehmens bzw. Daher sind Sicherheitsmaßnahmen zu ergreifen. Kälte. wie sie in einer gewerblichen oder behördlichen Büroumgebung anzutreffen ist. vorausgesetzt werden. Manipulation an Informationen oder Software. der Behörde wahrgenommen. 428 . Ungeeignete Entsorgung der Datenträger und Dokumente. Auch diese sollten angelehnt an das Lebenszyklus-Modell durchlaufen werden: • Planung und Konzeption der Einrichtung eines Arbeitsplatzes in fremder Umgebung. Diebstahl von Geräten und/oder Datenträgern. die eine mit einem Büroraum vergleichbare Sicherheitssituation erreichen lassen. beispielsweise im Hotelzimmer. Nichtbeachtung von Sicherheitsmaßnahmen. sondern an wechselnden Arbeitsplätzen in unterschiedlichen Umgebungen. Umwelteinflüsse (Nässe. Mobiltelefonen IT-Benutzer werden immer mobiler und können. PDA. Ungesicherter Akten. Manipulation oder Zerstörung von Geräten oder Zubehör. In solchen Umgebungen kann aber nicht die infrastrukturelle Sicherheit. Unzureichende Kontrolle der Sicherheitsmaßnahmen. Verlust. Sorglosigkeit im Umgang mit Informationen.und Datenträgertransport. Vertraulichkeitsverlust schützenswerter Informationen Auch für mobile Arbeitsplätze sind eine Reihe von Maßnahmen umzusetzen.11. Typische Gefährdungen bei mobilen Arbeitsplätzen sind: • • • • • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. nahezu überall arbeiten.7 Mobile Computing und Telarbeit Mobile IT-Arbeitsplätze mit Laptop. Fehlende oder unzureichende Regelungen. in der Eisenbahn oder beim Kunden.

der/die Arbeitnehmer/in arbeitet teilweise im Büro und teilweise zu Hause.• • • Regelungen für alle Außentätigkeiten. Die in diesem Kapitel aufgeführten Maßnahmenempfehlungen konzentrieren sich auf zusätzliche Sicherheitsanforderungen. die Kommunikationsverbindung zwischen Telearbeitsrechner und Institution und den Kommunikationsrechner der Institution zur Anbindung des Telearbeitsrechners. 429 . personellen und technischen Sicherheitsmaßnahmen sind selbstverständlich ebenfalls vollinhaltlich zur Anwendung zu bringen. Telearbeit in Telearbeitszentren. Sorgfältige Entsorgung von Datenträgern und Ausdrucken (keinesfalls dürfen sie einfach in den Müll geworfen werden). mobile Telearbeit sowie Telearbeit in der Wohnung des Arbeitnehmers bzw. wie z. Bei Formen der Telearbeit. des Telearbeiters. auch den Zugriff auf Daten in der Organisation ermöglicht. die sich aus einem Einsatz eines IT-Systems im Bereich der Telearbeit ergeben.B. besteht in der Regel zwischen dem Arbeitsplatz zu Hause und der Organisation eine Telekommunikationsverbindung.. Telearbeit Unter Telearbeit versteht man im Allgemeinen Tätigkeiten. der Arbeitnehmerin. die räumlich entfernt vom Standort des Arbeitgebers durchgeführt werden und deren Erledigung durch eine kommunikationstechnische Anbindung an die IT des Arbeitgebers unterstützt wird. welche den Austausch von Daten oder ggf. Die Maßnahmenempfehlungen dieses Kapitels umfassen vier Bereiche: • • • • die Organisation der Telearbeit. Laptop. unter welchen Rahmenbedingungen Mitarbeiter mit mobilen IT-Systemen Zugriff auf interne Daten ihrer Institution haben dürfen. PDA. den Telearbeitsrechner der Telearbeiterin bzw. Mobiltelefon.h.. B. welche Informationen außerhalb der Räume der Organisation transportiert und bearbeitet werden dürfen und welche Schutzvorkehrungen dabei zu treffen sind.). Bei der letzteren unterscheidet man zwischen ausschließlicher Teleheimarbeit und alternierender Telearbeit. die teilweise oder ganz im häuslichen Umfeld durchgeführt werden. Alle übrigen für dieses IT-System erforderlichen organisatorischen. Es gibt unterschiedliche Formen von Telearbeit. d. Schaffung und Einhaltung von Regelungen über die Arbeitsumgebung und die sorgfältige und sichere Behandlung der mitgenommenen IT-Systeme (z. Dabei ist auch zu klären.

Damit diese Möglichkeiten auch genutzt werden. 430 . wenn hierfür geeignete und freigegebene Sicherheitsmechanismen eingesetzt werden. bevor detaillierte Auskünfte gegeben werden. so etwa Notebooks. Ebenso sind bei der Nutzung von mobilen IT-Systemen diverse Punkte zu regeln: • Die Benutzer/innen müssen darüber informiert sein. sollte eine Sicherheitsrichtlinie erstellt werden. Je kleiner und leichter IT-Systeme werden.daher muss sie/er für möglichst sichere Aufbewahrung mobiler ITGeräte auch außer Haus sorgen. die sich innerhalb geschützter Räumlichkeiten befinden. desto leichtfertiger wird erfahrungsgemäß damit umgegangen. Handhelds und Personal Assistants sowie auch mobile Datenträger wie USB-Festplatten und -Sticks. Immerhin gibt es eine Vielzahl von Möglichkeiten. Daher sollten Mitarbeiter/innen für den Wert mobiler ITSysteme und den Wert der darauf gespeicherten Informationen sensibilisiert werden.1 Mobile IT-Geräte ISO Bezug: 27002 11. als solche. Da es bei mobilen IT-Systemen eine große Bandbreite von Varianten und Kombinationsmöglichkeiten gibt (von Handy über PDA zu Laptop mit WLANSchnittstelle).7. um Einschränkungen den Benutzern/ Benuzerinnen transparent zu machen Dienstgeheimnisse dürfen nur dann auf mobilen IT-Systemen verarbeitet werden.1 Unter mobilen IT-Geräten sind alle für einen mobilen Einsatz geeigneten Geräte zu verstehen. in der alle umzusetzenden Sicherheitsmechanismen beschrieben sind. Sie sind vielfältigeren Risiken ausgesetzt. mobile IT-Systeme unterwegs zu schützen. Die Daten sollten dementsprechend klassifiziert sein. Die Mitarbeiter/innen sollten auch darüber aufgeklärt werden. dass sie vertrauliche Informationen unterwegs nicht mit jedem austauschen und dies unterwegs auch nicht in Hör.7. sollten sie vor allem über die spezifischen Gefährdungen und Maßnahmen der von ihnen benutzten Geräte aufgeklärt werden. Palmtops. Zusätzlich sollte für die Benutzer/ innen ein kurzes und übersichtliches Merkblatt für die sichere Nutzung von mobilen IT-Systemen erstellt werden.und Sichtweite von Externen machen sollten. Insbesondere sollte die Identitäten des Kommunikationspartner hinterfragt werden. Die Umfeldbedingungen bei mobilem Einsatz liegen zumeist außerhalb der direkten Einflussnahme der Benutzerin / des Benutzers.11. welche Informationen mit mobilen IT-Systemen unterwegs verarbeitet werden dürfen.

Dies gilt besonders für fremde Räumlichkeiten wie Hotelzimmer sowie Kraftfahrzeuge. um einem Verlust oder Diebstahl vorzubeugen bzw.oder Wohnräumen. Passwörter) gesichert weitergegeben werden. dass bei privater Nutzung eines Internetzugangs weniger sichere Seiten aufgerufen werden als für dienstliche Zwecke. Beim Einsatz mobiler IT-Systeme ist zu klären. Aufbewahrung außerhalb von Büro. dass die Zulässigkeit von Verschlüsselungstechnologien in den einzelnen Staaten unterschiedlich geregelt ist.B. Insbesondere muss damit gerechnet werden. sondern in einem Schrank 431 .B. Akkupflege. personenbezogene oder sensible Daten) ist die Installation eines Zugriffsschutzes (über Passwort oder Chipkarte) unabdingbar sowie einer Festplatten-. wie sie sorgfältig mit den mobilen IT-Systemen umgehen sollten. die ein hohes Maß an Sicherheit verlangen (z. Keinesfalls dürfen solche Geräte ohne ausdrückliche Zustimmung der Organisation Dritten zur Reparatur oder Software-Wartung übergeben werden oder unautorisert darauf irgendwelche Software installiert werden. Besondere Gegebenheiten können sich in verschiedenen Zielgebieten und in speziellen Situationen (etwa bei einer besonders eingehenden Zollkontrolle) ergeben. etwa dass bestimmte Verschlüsselungsprodukte nicht (auch nicht in installierter Form) importiert werden dürfen oder die verschlüsselten Daten den Zollbeamten offengelegt werden müssen. um eine lange Lebensdauer zu gewährleisten (z. Eine mögliche Alternative zu mitgenommenen Daten wären etwa zugriffsgeschützte Online-Festplatten am Server der eigenen Organisation. ob mobile Mitarbeiter/innen von unterwegs Zugriff auf interne Daten ihrer Institution erhalten sollen. Wirtschaftsdaten des Unternehmens. Die Verwaltung. Bei Mitnahme mobiler IT Geräte auf Auslandsreisen ist dies bereits im Vorfeld zu klären. B. Wartung und Weitergabe von mobilen IT-Systemen sollte klar geregelt werden. Containeroder Dateiverschlüsselung drigend zu empfehlen.• • • • • • • Für Daten.oder Containerverschlüsselung. Hierfür gibt es eine Reihe von brauchbaren Produkten zur transparenten Laufwerks. muss dieser Zugriff angemessen geschützt werden Es muss geklärt werden. der potentielle Diebe/Diebinnen anlocken könnte. Empfindlichkeit gegenüber zu hohen oder zu niedrigen Temperaturen). Bei jedem Wechsel des Besitzers/ der Besitzerin alle benötigten Zugangsmechanismen (z. Die Benutzer sollten darauf hingewiesen werden. Ein mobiles IT-System stellt einen Wert dar. Falls dies vorgesehen ist. Konstruktionsdaten. Angebote. beispielsweise für private Schreiben oder gar Spiele nach Feierabend. ob diese auch für private Zwecke benutzt werden dürfen. Daher sollten mobile IT-Systeme möglichst nicht unbeaufsichtigt bleiben oder ungeschützt herumliegen. Dabei ist zu beachten.

da Laptops.1. Notebook ISO Bezug: 27002 11. Da die Geräte immer kleiner werden. Alle Schutzmechanismen müssen aktiviert sein. im Kofferraum eingeschlossen sein.1 432 . Für die Nutzung zu Hause (Telearbeit) bieten einige neuere Geräte zusätzlich die Möglichkeit zum Anketten des Gerätes. sollten sie zumindest verdeckt werden.4 teilweise ] 11. ob die Nutzung oder sogar das Mitbringen von mobilen IT-Systemen in allen oder bestimmten Bereichen einer Behörde oder eines Unternehmens eingeschränkt werden sollte. Ist das nicht möglich.7. Der Diebstahl setzt dann den Einsatz von Werkzeug voraus. so sind die Sicherheitsregelungen der besuchten Organisation zu beachten. Allerdings wird ein solches Verbot zunehmend schwieriger durchsetzbar. wird auch die Kontrolle zunehmend schwieriger. [ eh INF 5. Wird ein mobiles IT-Gerät in fremden Büroräumen benutzt. Werden mobile IT-Systeme in fremden Büroräume mitgenommen. Es sollte überlegt werden. dass mobile IT-Systeme mitgebracht werden.B. Dies kann z. In solchen Fällen sind die Geräte auszuschalten.1 Laptop. wenn sich das Gerät unmittelbar beim Besitzer/bei der Besitzerin befindet.geworden sind. dass sie gar nicht mitgenommen werden dürfen. damit sie von außen nicht sichtbar sind. Dies sollte dann auch regelmäßig kontrolliert werden. um unkontrollierte Nutzung zu verhindern. für Besprechungsräume sinnvoll sein. Es kann aber auch sein. Wird der Raum für längere Zeit verlassen. so ist dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen.7. PDA's und Mobiltelefone immer mehr zu unverzichtbaren Abeitsmitteln in Meetings gerade auch mit hochrangigen Besetzungen . muss an allen Eingängen deutlich darauf hingewiesen werden. Wenn die Sicherheitsrichtlinie der Institution es nicht zulässt. sondern etwa beim Portier abgegeben weden müssen. sollte zusätzlich das Gerät ausgeschaltet werden.bzw. da die Gefahr des bewussten oder unbewussten Abhörens der Raumgespräche über Mobiltelefone besteht.

Typische Gefährdungen für Laptops: • • • • • • • • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen.oder DVDLaufwerke sowie über Schnittstellen zur Kommunikation über verschiedene Medien (beispielsweise Modem. Verlust gespeicherter Daten. und von Zeit zu Zeit wird er zum Abgleich der Daten sowie zur Datensicherung mit dem Behörden. Gefährdung durch Reinigungs. so dass er indirekt als Brücke zwischen dem LAN und dem Internet wirken kann. insbesondere mit dem Internet. 433 . ohne Anschluss an ein Rechnernetz betrieben. Unerlaubte Ausübung von Rechten. Umwelteinflüsse (Nässe. Hitze). Ein Laptop hat eine kompaktere Bauform als Arbeitsplatzrechner und kann über Akkus zeitweise unabhängig von externer Stromversorgung betrieben werden. Verlust. Nichtbeachtung von Sicherheitsmaßnahmen. Kälte. Unerlaubte Installation von Software. Software-Schwachstellen oder -Fehler. Typischerweise wird ein Laptop zeitweise allein. Ausfall der internen Stromversorgung. Er verfügt über eine Festplatte und meist auch über weitere Speichergeräte wie ein Disketten-. Unkontrollierter Einsatz von Datenträgern. Ungeordneter oder unerlaubter Benutzerwechsel. Manipulation oder Zerstörung von Geräten oder Zubehör. Firewire.oder Unternehmensnetz verbunden. verbunden.oder Fremdpersonal.Darunter versteht man einen PC. WLAN). Unzureichender Umgang mit Passwörtern. LAN. Fahrlässige Zerstörung von Gerät oder Daten. Diebstahl. CD-ROM. Informationsverlust bei erschöpftem Speichermedium.der aufgrund seiner Bauart transportfreundlich ist und mobil genutzt werden kann. Häufig wird er auch während der mobilen Nutzung über Modem oder Mobilfunk direkt mit externen Netzen. USB. Laptops können mit allen üblichen Betriebssystemen wie Windows oder Linux betrieben werden.

und Software-Komponenten sowie deren sichere Installation ist notwendig. die dabei zu durchlaufen sind. Sorglosigkeit im Umgang mit Informationen. • • • Richtlinien für die Nutzung von Laptops: Um Laptops sicher und effektiv in Behörden oder Unternehmen einsetzen zu können. Darauf aufbauend ist die Laptop-Nutzung zu regeln und Sicherheitsrichtlinien dafür zu erarbeiten. da bei Laptops ein relativ hohes Diebstahlsrisiko besteht und die normalen 434 . Dies umfasst beispielsweise. Fehler bei der Synchronisation. wer das System wann und wofür nutzen darf und ob und in welcher Weise ein Anschluss an das Unternehmens. das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Schadprogramme. sind im Folgenden aufgeführt. die in den jeweiligen Schritten beachtet werden sollten. sowie die Maßnahmen. um Risiken durch Fehlbedienung oder absichtlichen Missbrauch der Laptops auszuschließen. sollte ein Konzept erstellt werden. Ebenso ist zu regeln. Dabei ist der Einsatz von Verschlüsselungsprodukten für tragbare IT-Systeme von besonderer Bedeutung.und Filmaufnahmen mit mobilen Endgeräten Maßnahmenempfehlungen für Laptops: Im Rahmen des Einsatzes von Laptops sind eine Reihe von Maßnahmen umzusetzen.bzw. Die Schritte. Trojanische Pferde. Unberechtigte Datenweitergabe. Behördennetz gestattet wird. Viren. Unberechtigte Foto. Vertraulichkeitsverlust schützenswerter Informationen. Die hier zu treffenden Maßnahmen sind in hohem Grade abhängig von dem eingesetzten Betriebssystem zu realisieren. ob und in welcher Form bei mobiler Nutzung eine direkte Verbindung des Laptops mit dem Internet zulässig ist. Manipulation an Informationen oder Software.• • • • • • • • Fehlerhafte Nutzung. Beschaffung von Laptops: Für die Beschaffung von Laptops müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden Sichere Installation von Laptops: Eine sorgfältige Auswahl der Betriebssystem. beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Unberechtigte Privatnutzung. Konfigurations.und Bedienungsfehler.

dass die verwendeten Passwörter allgemein bekannt sind. darf der Anschluss an das lokale Netz erfolgen. wieder an das Unternehmens. Notwendig ist auch die Änderung voreingestellter Passwörter . Ebenso ist es unbedingt erforderlich. Sofern Laptops bei mobiler Nutzung direkt an das Internet angeschlossen werden. Um einen Überblick über die aktuell in das lokale Netz eingebundenen Laptops zu behalten und die Konfiguration aller Laptops 435 . dass dieser Laptop nicht infiziert ist. ist es unabdingbar. die Software des Laptops auf aktuellem Stand zu halten und notwendige Sicherheitspatches zeitnah einzuspielen. so ist zunächst durch eine gründliche Überprüfung mit aktuellen Virensignaturen sicherzustellen.oder Behördennetz Infektionsquellen ersten Grades darstellen.bzw. Laptops werden häufig über längere Zeit losgelöst vom Firmen. um alle zu erwartenden Angriffe abzuwehren. weil nur zu häufig jede Zugangskontrolle dadurch illusorisch ist. Schutz vor Schadprogrammen und Aktualisierung der eingesetzten Viren-Schutzprogramme und Signaturen sind daher für Laptops ganz besonders wichtig.und SoftwareManagement) notwendig. ob sich die aktuellste Version der bearbeiteten Daten auf dem Laptop oder im Netz befindet. Sicherer Betrieb von Laptops: Eine der wichtigsten IT-Sicherheitsmaßnahmen beim Betrieb heutiger Laptops ist die Installation und permanente Aktualisierung eines Virenschutzprogramms. wenn eine Trennung der Rechte mehrerer Benutzer erforderlich ist.und Zugriffskontrolle ihre Wirksamkeit verlieren. Auch hier sind zusätzliche Maßnahmen erforderlich. Der Virenschutz reicht alleine nicht aus. der direkt am Internet betrieben wurde. Behördennetz angeschlossen werden. Soll ein Laptop. Um Angriffsversuche und missbräuchliche Nutzung erkennen zu können. Erst wenn dies sichergestellt ist. sie durch eine restriktiv konfigurierte Personal Firewall gegen Angriffe aus dem Netz zu schützen.oder Behördennetz oder auch mit temporären Verbindungen zum Internet betrieben.bzw. Bei einem Wechsel zwischen netzgebundenem und mobilem Betrieb müssen die Datenbestände zwischen dem Server und dem Laptop synchronisiert werden. Sichere Konfiguration der installierten Komponenten: Je nach Sicherheitsanforderungen müssen die beteiligten SoftwareKomponenten unterschiedlich konfiguriert werden. Zugleich sind allfällige Einfuhrbeschränkungen für Verschlüsselungsprodukte oder verschlüsselte Daten bei Auslandsreisen zu beachten.• • Funktionen der Zugangs. dass jederzeit erkennbar ist. Die hier zu treffenden Maßnahmen sind ebenfalls abhängig vom eingesetzten Betriebssystem und sind daher im Rahmen der Umsetzung der entsprechenden Bausteine zu realisieren. wenn der Laptop unter der Kontrolle des Diebes steht. dass der Anschluss an das Unternehmens. da Viren auch über verschlüsselte Kommunikationsverbindungen weiter verbreitet werden können. Diese Geräte können sonst bei Anschluss an ein Firmen. Behördennetz über ein Virtual Private Network (VPN) erfolgt. sind bei Laptops vor allem organisatorische Maßnahmen (Hard. Somit sind unter Umständen einerseits ihre Virendefinitionsdateien veraltet und sie sind andererseits einem hohen Infektionsrisiko ausgesetzt. Es muss dabei gewährleistet werden. Dies gilt auch für den Fall.

PDAs ohne eigene Tastatur. ist eine zentrale Verwaltung dieser Geräte wichtig.2 PDA (Personal Digital Assistant) ISO Bezug: 27002 11. Weitere spezifische Maßnahmen für Einzelsysteme betreffen vor allem den Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern sowie die 11. ist darauf zu achten. Datensicherung von Laptops: Die Vorgehensweise und der erforderliche Umfang der Datensicherung richten sich nach dem Einsatzszenario des Laptops Nicht zuletzt sollte darauf geachtet werden. die typischerweise für StandardOffice Anwendungen von unterwegs verwendet werden. Adapter für andere Stromspannungen bzw. Steckdosen im Ausland mitzuführen. bei denen die Dateneingabe über das Display erfolgt (mittels Stift).7. längerem Einsatz unterwegs das Ladegerät sowie ggf. bei denen die Dateneingabe über eine eingebaute Tastatur und/oder einen Touchscreen erfolgt. Adressen und kleinen Notizen.6. Diese sollen neben dem Erfassen und Verwalten von Terminen.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen.1. sei es im Rahmen des normalen Betriebs oder auch bei ihrer Aussonderung. PDAs. um Adressen und Termine zu verwalten. dass keine schützenswerten Informationen mehr auf der Festplatte vorhanden sind. dazu gehören unter anderem: • • • Organizer. Der primäre Einsatzzweck ist das Erfassen und Verwalten von Terminen. Je nach der in einem Gebäude oder Büroraum gegebenen physischen Sicherheit kann es auch sinnvoll oder sogar notwendig sein. mobilen Endgeräte zur Datenerfassung. um den Laptop vor Diebstahl zu schützen.1 Damit sind hier alle handtellergroßen. für Reisen bzw.• • jederzeit nachvollziehen zu können. Gegebenenfalls ist dazu auch eineSoftware-Reinstallation durchzuführen.203 ] 11. Diebstahl-Sicherungen vorzusehen. [ Q: BSI B 3. Adressen und kleinen Notizen auch die Bearbeitung von E-Mail ermöglichen.7. 436 . Aussonderung: Bei Übergabe von Laptops an andere Benutzer/Innen. Bei mobiler Nutzung ist in jedem Fall für geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz zu sorgen. bearbeitung und -kommunikation beschrieben.

1 Laptop. Unerlaubte Installation von Software. Hitze). das Unternehmen keine privaten Daten löschen (auch nicht virenverseuchte E-Mails). werden in einigen Fällen private PDA's für dienstliche Zwecke genutzt. die damit eine eingebaute Schnittstelle zur Datenübertragung besitzen. PDA. die aber unter anderem für die Vorführung von Präsentationen geeignet sind. Generierung von Einmalpasswörtern).und MobiltelefonFunktionalitäten werden in zunehmendem Maß (in Gestalt der Smart Phones) kombiniert. Anschaulichstes Beispiel hierfür sind der Kalender und das Adressbuch für Telefon. was zusätzlich Datenschutzproblematiken aufwirft . Zum Teil werden hierfür angepasste Varianten von Textverarbeitungs-. Speicherkarten). Notebook. die wesentlich kleiner als normale Notebooks sind und daher beispielsweise weniger Peripheriegeräte und Anschlussmöglichkeiten bieten.• • PDAs mit integriertem Mobiltelefon. Manipulation oder Zerstörung von Geräten oder Zubehör. Beim Einsatz von Smartphones ist zusätzlich Baustein B 3. Typische Gefährdungen für PDAs: • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. Speicherung von Patientendaten oder die Führung von Kundenkarteien. Fahrlässige Zerstörung von Gerät oder Daten. sogenannte Smartphones.und E-Mail Kontakte. wie beispielsweise die Nutzung als Authentisierungstoken für Zugriffe auf Unternehmensnetze (z.1. Umwelteinflüsse (Nässe. Die Übergänge zwischen den verschiedenen Gerätetypen sind fließend und außerdem dem ständigen Wandel der Technik unterworfen.7. PDAs werden aber auch zunehmend für sicherheitskritische Applikationen eingesetzt. Sub-Notebooks. Kalenderprogrammen angeboten. 11. Verlust. Ungeordneter oder unerlaubter Benutzerwechsel. Unerlaubte Ausübung von Rechten.so darf die Behörde bzw. Diebstahl. Kälte. 437 . In der Praxis besteht eine besondere Problematik in der Vermischung von Daten der Organisation mit privaten Daten.404 Mobiltelefon umzusetzen. E-Mail. bzw. Für sie gelten die Ausführungen des Kap. Unkontrollierter Einsatz von Datenträgern (z.bzw. Tabellenkalkulations-. B. Es lässt sich mitunter gar nicht mehr zwischen privaten und dienstlichen Datenelementen unterscheiden. Eine typische Anforderung an PDAs ist die Nutzung von Standard-OfficeAnwendungen auch unterwegs.B.

die dabei zu durchlaufen sind. Konfigurations. Manipulation an Informationen oder Software. sowie die Maßnahmen. 438 . sind im Folgenden aufgeführt. Darauf aufbauend ist die PDA-Nutzung zu regeln und Sicherheitsrichtlinien dafür zu erarbeiten. Nichtbeachtung von Sicherheitsmaßnahmen. • • Konzept: Um PDAs sicher und effektiv in Behörden oder Unternehmen einsetzen zu können. beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Viren. Fehlerhafte Nutzung. Beschaffung: Für die Beschaffung von PDAs müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden (siehe M 2. Sorglosigkeit im Umgang mit Informationen. Informationsverlust bei erschöpftem Speichermedium.und Bedienungsfehler. Die Schritte. sollte ein Konzept erstellt werden. Unberechtigte Foto. Unberechtigte Privatnutzung. Unzureichende Identifikationsprüfung von Kommunikationspartnern.305 Geeignete Auswahl von PDAs ). die in den jeweiligen Schritten beachtet werden sollten.und Filmaufnahmen mit mobilen Endgeräten. Trojanische Pferde.• • • • • • • • • • • • • • • • Ausfall des Geräts oder der internen Stromversorgung. das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Fehler bei der Synchronisation. Abhören von Raumgesprächen über PDAs mit eingebautem Mobilfunk Maßnahmenempfehlungen für PDAs: Im Rahmen des PDA-Einsatzes sind eine Reihe von Maßnahmen umzusetzen. Vertraulichkeitsverlust schützenswerter Informationen. Unberechtigte Datenweitergabe. Schadprogramme. Unzureichender Umgang mit Passwörtern. Verlust gespeicherter Daten. Software-Schwachstellen oder -Fehler.

können entscheidende Hinweise enthalten. 439 . Der Zugriff auf diese Verzeichnisse sollte soweit wie möglich beschränkt werden. Software zum zentralen PDAManagement) unterschiedlich konfiguriert werden. wenn diese aus einer vertrauenswürdigen Quelle kommen. dass verschiedene Benutzer damit arbeiten sollen. Dieser sollte SSL bzw. beispielsweise für den Zugriff auf unternehmens. dass vor der Installation von Programmen eine Rückfrage beim Benutzer erfolgt. Daher sollten aktive Inhalte im WWW-Browser im Regelfall abgeschaltet sein und nur aktiviert werden. sicherheitsrelevante Konfigurationsänderungen durchzuführen. Wie bei anderen IT-Systemen ist aber auch hier zu beachten. Betrieb: PDAs sind nicht dafür konzipiert. längerem Einsatz unterwegs das Ladegerät sowie ggf. die Synchronisationsumgebung und gegebenenfalls spezielle Software zum zentralen PDA-Management. welche Dateien jeweils transferiert werden. Synchronisationssoftware. dass die voreingestellte Konfiguration geändert wird. Der Synchronisationsvorgang sollte nicht unbeobachtet ablaufen. Adapter für andere Stromspannungen bzw. Steckdosen im Ausland mitzuführen. können in speziellen Verzeichnissen auf dem Benutzer-PC abgelegt werden. Es ist explizit zu verbieten. Die Synchronisationssoftware sollte so konfiguriert werden. Dies betrifft vor allem die PDAs selber. sollte neben einem E-Mail-Client ein Web-Browser installiert sein. Soweit technisch möglich. vertrauenswürdigen Anbieters. so dass sie bei der nächsten Synchronisation automatisch auf den PDA transferiert werden. von den WWWSeiten eines bekannten bzw. die auf einem PDA installiert werden sollen. B. für Reisen bzw.oder behördeninterne Server. Außerdem ist Augenmerk und Sensibilisierung auf allfällige Privat-PCs zu richten. dass je nach Art dieser Programme mit ihrem Ausführen eventuell ein Sicherheitsrisiko verbunden sein kann. also z. sollten Sicherheitsmechanismen so gewählt und konfiguriert werden. dass die Benutzer möglichst wenig Einflussmöglichkeiten haben. Auch PDAs müssen mit aktuellen Virenschutz-Programmen ausgestattet sein. Daten oder Programme. ActiveX und/oder Javascript. Daher gibt es auch im allgemeinen keine ausgefeilten Mechanismen zur Rollentrennung. damit verschlüsselte Verbindungen hergestellt werden können. Es sollten die Einstellungen regelmäßig kontrolliert und durch Administrationstools bei der Synchronisierung wieder auf die vorgegebenen Werte zurückgesetzt werden. Dies kann nur durch entsprechende Regelungen und Sensibilisierung der Benutzer erreicht werden. auch die Informationen. Einige der für PDAs verfügbaren Browser unterstützen auch aktive Inhalte. Nicht zuletzt sollte darauf geachtet werden. TSL beherrschen. (etwa nur für Administratoren zugreifbare Bereiche) Benutzer können also nicht daran gehindert werden. also Java. mit denen eventuell auch noch synchronisiert wird.• • Konfiguration: Je nach Sicherheitsanforderungen müssen die beteiligten SoftwareKomponenten (PDA. Wenn über PDAs Internet-Dienste genutzt werden sollen.

405. der SIM-Karte (SIM . welche Geräte als defekt oder als gestohlen gemeldet sind (graue bzw. die SIM-Karte hat und auch nutzt. Gebühreninformationen und ein persönliches Telefonbuch gespeichert werden. die Rufnummer gespeichert und die kryptographischen Algorithmen für die Authentisierung und Nutzdatenverschlüsselung implementiert. Der Benutzer/ Die Benutzerin wird durch seine/ihre auf der SIM-Karte gespeicherten Kundennummer (IMSI International Mobile Subscriber Identity) identifiziert. dass der Netzbereiber eine Reihe von Zugriffsmöglichkeiten auf das Telefon bzw. Es muss beachtet werden.International Mobile Equipment Identity). Laptops zur Verfügung . Smart Phone ISO Bezug: 27002 11. dass ein Teilnehmer mit seiner SIM-Karte verschiedene Mobilfunkgeräte nutzen kann. Sie wird dem Teilnehmer beim Vertragsabschluss vom Netzbetreiber zugeteilt. a. Damit ist es möglich. ob der Teilnehmer überhaupt berechtigt ist.1. Sie ist zu unterscheiden von den Telefonnummern. schwarze Listen). das Mobilfunknetz zu nutzen (Identifikationsregister).7.1 Mobiltelefone sind inzwischen nicht mehr wegzudenkende Bestandteile der Kommunikationsinfrastruktur geworden und stellen in ihrer modernsten Ausprägung als Smart Phone bereits die Funktionalität von PDAs bzw.und schaffen damit zusätzlich auch deren Sicherheitsrisiken.229 ] 11.7. Auf der SIM-Karte wird u. Das Mobilfunkgerät ist gekennzeichnet durch seine international eindeutige Seriennummer (IMEI .Subscriber Identity Module). M 4. Ein Mobiltelefon besteht aus dem Mobilfunkgerät selbst und dem Identifikationsmodul. vom "SIM-Toolkit" zum Herunterladen neuer Funktionen bis zum Speichern aller möglicher Daten: • • • • wo sich der Teilnehmer befindet und ob er sein Mobiltelefon eingeschaltet hat. Hier wird auf die typischen Eigenschaften der Mobilfunk-Komponente eingegangen. 440 .3 Mobiltelefon. ob das verwendete Gerät im Netz zugelassen ist. Damit kann zwischen Benutzer/In und Gerät unterschieden werden.[ Q: BSI B 3. Darüber hinaus können dort Kurznachrichten.

Fehler bei der Synchronisation Manipulation an Informationen oder Software (z.B.B. aber auch auf Grund einer Anforderung der Strafverfolgung und Terrorismusbekämpfung.• Verbindungsdaten für die Abrechnung der Dienste. Es handelt sich aber nicht um End-toEnd Verschlüsselung bis zum Kommunikationspartner. Apps) Ungeordneter oder unerlaubter Benutzerwechsel Ausfall des Geräts oder der Stromversorgung Nicht-Verfügbarkeit des Mobilfunknetzes Verlust gespeicherter Daten Informationsverlust bei erschöpftem Speichermedium Software-Schwachstellen oder -Fehler Nichtbeachtung von Sicherheitsmaßnahmen Unzureichender Umgang mit Passwörtern Fehlerhafte Nutzung. wo keine Verschlüsselung wirksam ist. Sie enthalten Angaben über Kommunikationspartner (z. Zeitpunkt und Dauer der Verbindung und die Standorte. Typische Gefährdungen für Mobiltelefone: • • • • • • • • • • • • • • • • • • Umwelteinflüsse (Nässe. Mobiltelefone können also durchaus sensitiv sein. Konfigurations.B. Hitze) Verlust. Kälte.bzw. unerlaubtes Akzeptieren fremder SIM-Karten) Sorglosigkeit im Umgang mit Informationen 441 . Übertragungsinhalte. Die kryptographischen Algorithmen der SIM-Karte dienen zur Identifikation des Teilnehmers gegenüber dem Netzbetreiber und zur Verschlüsselung der Gesprächs.B.und Bedienungsfehler. Speicherkarten) Unerlaubte Installation von Software (z. Rufnummern des Angerufenen). auf dem Weg werden üblicherweise auch Festnetz-Strecken genutzt. Diebstahl Fahrlässige Zerstörung von Gerät oder Daten Manipulation oder Zerstörung von Geräten oder Zubehör Unerlaubte Ausübung von Rechten Unkontrollierter Einsatz von Datenträgern (z.

Es ist ohne großen Aufwand möglich. der Speicherplatz reicht nicht aus und ernsthafte Anfragen kommen nicht durch. die vom Unternehmen oder der Behörde zur Verfügung gestellt werden. Beschaffung: Bei häufiger und wechselnder dienstlicher Nutzung von Mobiltelefonen. welche die Nachrichten an den jeweiligen Empfänger weiterleitet. Viren Vertraulichkeitsverlust schützenswerter Informationen Unzureichende Identifikationsprüfung von Kommunikationspartnern Unberechtigte Privatnutzung Unberechtigte Datenweitergabe Unberechtigte Foto. diese Telefone in einer Sammelaufbewahrung zu halten. Mobiltelefone sicher einzusetzen. beginnend mit der Planung über die Nutzung bis zur Notfallvorsorge: • • • Planung und Konzeption: Damit die Möglichkeiten. kann es sinnvoll sein. Die Auswirkungen von SMS-Spam sind wie bei E-Mail. Im Internet gibt es diverse WWW-Angebote. zur zuverlässigen Funktionsweise zu gewährleisten und Schutz geben Missbrauch zu beachten: • Kurzmitteilungen (SMS): Damit lassen sich Texte mit maximal 160 Zeichen von einem Mobiltelefon zum anderen oder auch an E-Mail-Adressen senden.• • • • • • • • • Phishing Attacken auf Passwörter oder PINs via SMS Schadprogramme. auf diese Weise eine große Anzahl von SMS-Nachrichten an ein Mobiltelefon zu senden. Falls das Gerät zur Datenübertragung eingesetzt wird. über die mit minimalen Kosten Kurzmitteilungen versandt werden können. Betrieb: Zum sicheren Betrieb von Mobiltelefonen gehören unter anderem die Sicherstellung der Energieversorgung und bei Bedarf auch der Schutz vor Rufnummernermittlung gehören.und Filmaufnahmen mit mobilen Endgeräten Abhören von Raumgesprächen mit Mobiltelefonen Auswertung von Verbindungsdaten bei der Nutzung von Mobiltelefonen Maßnahmenempfehlungen für Mobiltelefone: Für Mobiltelefone sind eine Reihe von Maßnahmen umzusetzen. Darüber hinaus 442 . sollte eine Sicherheitsrichtlinie erstellt werden. in der Praxis auch tatsächlich genutzt werden. Die Übertragung von Kurzmitteilungen erfolgt immer über die Kurzmitteilungs-Zentrale. Die Mailbox bzw. die die umzusetzenden Maßnahmen beschreibt. Trojanische Pferde.

bzw. Eine Identifikation des Absenders ist bei SMS nicht zuverlässig möglich. erhält das Mobiltelefon eine eigene E-Mail-Adresse. 443 . Es passiert immer wieder.B. Beim Versand von Kurzmitteilungen über das Internet erfolgt im Allgemeinen überhaupt keine eindeutige Identifizierung. Bestätigungen. Faxe: können über Mobiltelefone können auch Faxe über SMS ins Festnetz versendet werden. Sicherheitsmaßnahmen wie Verschlüsselung oder Signatur sind hierbei nicht möglich (außer über zusätzliche Module oder spezielle Geräte). Wenn dieser Service vom Netzbetreiber eingerichtet worden ist. Hiergegen hilft nur. Sie erfolgt maximal über die Rufnummer des Absenders und diese wird je nach Netzbetreiber bzw. Auch wenn die Displays der Mobiltelefone klein sind. im Schadensfall eine Zeit lang auf SMS zu verzichten.und je nach Vertrag mit dem Netzbetreiber kann bei der E-Mail-Nutzung außerdem nur eine begrenzte Anzahl von E-Mails pro Monat gesendet oder empfangen werden . Wie Kurzmitteilungen und Faxe können auch E-Mails schnell den vorhandenen Speicherplatz ausschöpfen . Die potentiellen Sicherheitsprobleme und Maßnahmen sind die gleichen wie bei auf PC üblicher Nutzung von E-Mail . wenn auch mitunter auf 160 Zeichen begrenzt. richtige Zieladressen) gerechnet werden. ob diese wirklich vom angegebenen Absender stammt. an ein Faxgerät oder eine andere E-Mail-Adresse weitergeleitet werden. Konfiguration des Mobiltelefons nicht immer mitübertragen. So können eingehende E-Mails von einem Sprachcomputer vorgelesen werden. Je nach Inhalt einer empfangenen Kurzmitteilung ist es sinnvoll nachzufragen. Ausgehende E-Mails können ins Mobiltelefon gesprochen und als Audiodatei (WAV-Datei) versandt werden. dazu kommt noch dass der Speicherplatz des Mobiltelefons durch empfangene Faxe überlastet werden kann E-Mail: können über Mobiltelefone empfangen und verschickt werden. Das wird für Phishing-SMS ausgenützt. Damit muss auch mit den von Faxgeräten bekannten Problemen (lesbarer Empfang. Bei einigen Netzbetreibern können E-Mail-Dienste mit anderen Diensten kombiniert werden. auf den Eintrag in Telefonbücher zu verzichten. dass SMS-Nachrichten beim falschen Empfänger landen. wenn diese den Restriktionen der SMS-Übertragung genügen.bei Überschreitung drohen erhebliche Kosten. sollten die Empfängerangaben vor dem Absenden überprüft werden. im Vorfeld die eigene Rufnummer nicht zu breit zu streuen. Es können auch Faxe empfangen werden. hohe) Kosten. also z. weil eine falsche Rufnummer angegeben oder ein falscher Eintrag aus dem Telefonbuch als Empfänger ausgewählt wurde.• • entstehen dem Benutzer (evtl.

in einen PC eingelesen und dort verwaltet werden. Bei der Auswahl des Mobiltelefons bzw. Damit kann Datensicherung sowie Synchronisation.• Kopplung zu anderen IT-Systemen (Notebook. als Modems für Internetzugang genutzt zu werden. Alle Datenübertragungseinrichtungen sollten genehmigt sein und deren Nutzung klaren Regelungen unterliegen Nofallvorsorge: Ein Mobiltelefon kann aus verschiedenen Gründen ausfallen oder in seiner Funktionsfähigkeit gestört sein. Das ist etwa dann unabdingbar. Klingeltöne. • Der Ladezustand und die Funktionsfähigkeit des Mobiltelefon-Akkus sollten regelmäßig überprüft werden. Infrarot (IrDA Infrared Data Association) oder Bluetooth erfolgen.uner Wahrung der Regelungen für die Datenübertragung . des Händlers darauf zu achten. • Wenn ein Mobiltelefon kontinuierlich verfügbar sein soll. • Alle auf der SIM-Karte oder im Telefon gespeicherten Daten über SIMKartenleser bzw.B. dass bei Funkschnittstellen ein Abhörrisiko besteht. Softmodem. und sich mobile Geräte oft automatisch untereinander verbinden. 444 . Erfolgt dies gleichzeitig mit einer Kopplung an eine IT-Komponente der Organisation im Netzwerk. Es ist zu beachten. Reparatur: sollte nur von vertrauenswürdigen Fachbetrieben durchgeführt werden. USB. ggf. PCMCIA). • Mobiltelefone bieten zunehmend die Möglichkeit. Dies ist natürlich besonders ärgerlich. wenn Mobiltelefone im Rahmen von Alarmierungen eingesetzt werden (z. die Einbruchmeldeanlage setzt Alarmmeldungen über Mobilfunk ab oder Notfallpersonal wird über Mobiltelefone benachrichtigt). mindestens aber ein Ersatz-Akku mitgeführt werden. • • Die wichtigsten Einstellungen wie PINs und die Konfiguration von Sicherheitsmechanismen sollten schriftlich dokumentiert und entsprechend ihres Schutzbedarfs sicher aufbewahrt werden. sollte ein ErsatzMobiltelefon. Organizer): Diese kann über Einsteckkarte (PC-Card. Daher sollte eine Übersicht über entsprechende Fachbetriebe vorhanden sein. • • Viele Händler bieten auch für die Dauer der Reparatur Ersatzgeräte an. auch mehrerer Mobiltelefone durchgeführt werden. ohne dass dies besonders auffällt (bei Windows-PCs wird meist ein kleines Icon in der Task-Leiste angezeigt). entsprechende Software . dann entsteht eine unkontrollierbare Verbindung vom Netzwerk in die Außenwelt unter Umgehung des Firewall-Schutzes! Dafür ist entsprechende Sensibilisierung zu schaffen. wenn es dringend benötigt wird oder dadurch wichtige Daten verloren gehen. dass solche Dienstleistungen angeboten werden. • Herunterladen von Software oder Daten aus dem Internet (Apps. Displaysymbole oder Ähnliches) sollte bei dienstlich genutzten Mobiltelefonen unterbunden oder verboten werden.

M 5. Es könnte unkontrolliert Software (auch Schadsoftware. Steckdosen im Ausland mitzuführen.• Bevor das Mobiltelefon zur Reparatur gegeben wird. -Festplatten. um Missbrauch und unnötige Kosten zu verhindern. Zusätzlich besteht die Möglichkeit. ausgestattet. Beim Booten von Wechselmedien oder beim Installieren von Fremdsoftware können nicht nur Sicherheitseinstellungen außer Kraft gesetzt werden.B. für MicrosoftBetriebssysteme ab Windows 2000) automatisch erkannt werden.B. Viren.1. CD-/DVD-Writer. die von neueren Betriebssystemen (z. der Anrufspeicher. DVDs) ISO Bezug: 27002 11. Adapter für andere Stromspannungen bzw. 445 . -Platten. • Nicht zuletzt sollte darauf geachtet werden. sollten alle personenbezogenen Daten. längeren Einsatz unterwegs das Ladegerät sowie ggf. Durch solche Laufwerke für Wechselmedien und externe Datenspeicher ergeben sich potentielle Sicherheitsprobleme: • • • Der PC könnte von solchen Laufwerken unkontrolliert gebootet werden. Vorher sollten sie selbstverständlich gesichert werden. also z. sondern der PC kann auch mit Computer-Viren und anderen Schadprogrammen infiziert werden. Dienstliche Daten könnten unberechtigt auf Wechselmedien kopiert werden. Beispiele sind USB-Memory-Sticks bzw.7. [ Q: BSI B 3. und Firewire-Festplatten.4 Wechselmedien und externe Datenspeicher (USBSticks.1 Handelsübliche PCs sind heute in der Regel mit CD-/DVD-ROM-Laufwerk bzw. Verlust. für Reisen bzw. gespeicherte E-Mails und das Telefonbuch im Gerät gelöscht werden. manchmal noch mit Diskettenlaufwerken. über Schnittstellen externe Speichermedien anzuschließen.7. soweit das noch möglich ist.81 ] 11. Trojanische Pferde) von solchen Laufwerken eingespielt werden. Außerdem sollte die SIM-Karte entfernt werden. die in die USB-Schnittstelle gesteckt werden. CDs.404. Diebstahl: die SIM-Karte dieses Telefons sollte unverzüglich gesperrt werden.

die Installation von Fremdsoftware oder das Kopieren auf Wechselmedien. um die Deaktivierung der Laufwerke rückgängig zu machen. wenn die verwendete Schnittstelle auch für andere (erlaubte) Zusatzgeräte genutzt wird. So werden beispielsweise Notebooks ausgeliefert. Kontrolle der Schnittstellennutzung: Der Betrieb von externen Speichermedien wie USB-Memory-Sticks lässt sich nur sehr schwer verhindern. Betriebssystem: Im BIOS bieten die meisten PCs Einstellmöglichkeiten dafür. Deaktivierung im BIOS bzw. Daher ist diese Lösung nur bei höherem Schutzbedarf oder besonderen Sicherheitsanforderungen sinnvoll.Diesen Gefahren muss durch geeignete organisatorische oder technische Sicherheitsmaßnahmen entgegengewirkt werden. ein "USBSchloss" zu verwenden oder die Schnittstelle durch andere mechanische 446 . die zum Anschluss einer Maus nur die USB-Schnittstelle zur Verfügung stellen. Dadurch ist es in der Regel nicht sinnvoll. wenn besondere Sicherheitsanforderungen bestehen. dass die Benutzer nicht über die Berechtigungen im Betriebssystem verfügen. Damit diese Vorgehensweise wirksam ist. z.B. von welchen Laufwerken gebootet werden kann. In Verbindung mit einem PasswortSchutz der BIOS-Einstellungen (siehe auch M 4. dass die Schlösser herstellerseitig mit hinreichend vielen unterschiedlichen Schlüsseln angeboten werden. ist aber meist mit erheblichem Aufwand verbunden. Weiterhin ist zu berücksichtigen. Verschluss von Laufwerken: Für einige Laufwerksarten gibt es abschließbare Einschubvorrichtungen. Dies erschwert die unberechtigte Nutzung. Betriebssystem hat den Vorteil.und Nachteile im Folgenden kurz dargestellt werden: • • • • Ausbau von Laufwerken: Der Ausbau der Laufwerke für Wechselmedien (bzw. mit denen die unkontrollierte Nutzung verhindert werden kann. Hierfür bieten sich verschiedene Vorgehensweisen an. muss sichergestellt sein. deren spezifische Vor. dass die Laufwerksschlösser für die vorhandenen Laufwerke geeignet sind und diese nicht beschädigen können. dass der Ausbau unter Umständen die Administration und Wartung des IT-Systems behindert. Nachteilig sind die Beschaffungskosten für die Laufwerksschlösser und der Aufwand für die erforderliche Schlüsselverwaltung.84 Nutzung der BIOSSicherheitsmechanismen) kann dadurch das unkontrollierte Booten von Wechselmedien und mobilen Datenträgern unterbunden werden. Weiterhin können die vorhandenen Laufwerke und Schnittstellen bei modernen Betriebssystemen einzeln deaktiviert werden. dass keine Hardware-Änderungen erforderlich sind. Bei der Beschaffung sollte sichergestellt werden. der Verzicht bei der Beschaffung) bietet zwar den sichersten Schutz vor den oben genannten Gefährdungen. Außerdem sollte darauf geachtet werden. Die entsprechenden Einstellungen im Betriebssystem können gegebenenfalls sogar zentral vorgenommen werden. Diese Lösung sollte in Betracht gezogen werden. Die Deaktivierung der Laufwerke im BIOS bzw.

In diesem Fall sollten die Richtlinien für die Nutzung der Laufwerke und Speichermedien so explizit wie möglich definiert werden. Die Installation und das Starten von Programmen. die dafür sorgen. die Nutzung ist jedoch durch entsprechende Richtlinien reglementiert.oder Firewire-Schnittstellen kann zusätzlich festgelegt werden.und betriebssystemspezifisch. Die Nutzung von Schnittstellen sollte daher durch entsprechende Rechtevergabe auf Ebene des Betriebssystems oder mit Hilfe von Zusatzprogrammen geregelt werden.durch technische Maßnahmen unterbunden werden. ist es nicht allein ausreichend. sondern schützt auch die Daten auf den mobilen Datenträgern bei Verlust oder Diebstahl. Computer-Viren oder Trojanische Pferde. Beispielsweise kann ein generelles Verbot ausgesprochen werden. ob von externen Datenträgern nur gelesen werden kann. die mit bestimmten kryptographischen Schlüsseln verschlüsselt worden sind. alle Laufwerke für Wechselmedien zu deaktivieren oder auszubauen. Ausbau. Auf technischer Ebene sollte dann lediglich das Booten von Wechselmedien im BIOS deaktiviert werden. 447 . wenn die Benutzer hin und wieder oder regelmäßig auf die Laufwerke zugreifen müssen.1 Nutzungsverbot nicht freigegebener Software). Anderenfalls sollte der Zugriff wie oben beschrieben . Verschluss oder Deaktivierung der Laufwerke im Betriebssystem kommen nicht in Frage. Richtlinien für die Nutzung: In vielen Fällen dürfen die Benutzer die eingebauten Laufwerke für Wechselmedien oder Speichermedien an externen Schnittstellen durchaus verwenden. nur das Kopieren öffentlicher Text-Dokumente wird erlaubt. Bei der Auswahl einer geeigneten Vorgehensweise müssen immer alle Laufwerke für Wechselmedien berücksichtigt werden.B. dass nur noch mobile Datenträger gelesen und beschrieben werden können. sollte untersagt und soweit wie möglich auch technisch unterbunden werden (siehe auch 12. Kernelmodule geladen oder Einträge in Konfigurationsdateien (wie der Windows-Registry) erzeugt. Besonderes Augenmerk ist auf den Schutz vor Schadprogrammen. Die Richtlinien müssen allen Benutzern bekannt gemacht und die Einhaltung kontrolliert werden. Dies schützt nicht nur vor unbefugtem Zugriff über manipulierte mobile Datenträger. Einzelheiten sind produkt. aber ebenso auch alle Möglichkeiten. Alternativ kann das Hinzufügen von Geräten überwacht werden. Diese rein organisatorische Lösung sollte nur dann gewählt werden. dass auschließlich Zugriffe auf dafür zugelassene mobile Datenträger möglich sind. die von Wechselmedien eingespielt wurden.• • Maßnahmen zu deaktivieren. also insbesondere auch E-Mail und InternetAnbindungen. Verschlüsselung: Es gibt Produkte. zu richten. die detektiert werden können. Eine Lösung ist beispielsweise. z. Beim Anschluss von Datenträgern an externen Schnittstellen werden oft vom Betriebssystem Treiber bzw.3. Bei einigen Zusatzprogrammen zur Absicherung der USB. Wenn der PC über eine Verbindung zum Internet verfügt. über Vernetzung Daten auszutauschen.

2.4 ] 11. Betriebsvereinbarungen oder zusätzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen zwischen Telearbeiter/innen und Arbeitgeber geklärt werden.2 Der häusliche Arbeitsplatz sollte von der übrigen Wohnung zumindest durch eine Tür abgetrennt sein und ausschließlich der beruflichen Tätigkeit dienen.7.5. müssen die Benutzer über die Gefährdung durch Laufwerke für Wechselmedien informiert und sensibilisiert werden. Die Einrichtung sollte unter Berücksichtigung von Ergonomie.Damit die Sicherheitsmaßnahmen akzeptiert und beachtet werden. 11. um z. Sicherheit und Gesundheitsschutz ausgewählt werden.5.2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes ISO Bezug: 27002 9.1 Da es bisher kein "Telearbeitsgesetz" mit eigenständigen gesetzlichen Regelungen gibt. 13.7. dass die IT für private Zwecke benutzt wird.1.7. sollten wichtige Fragen entweder durch Kollektivverträge. falls er durch ein Fenster beobachtet werden könnte Überspannungsschutz Bereitstellung versperrbarer Behältnisse zur Aufbewahrung von Datenträgern und Dokumenten Dienstlich genutzte IT sollte vom Arbeitgeber bereitgestellt werden. Aus dem Aspekt der Sicherheit entstehen insbesondere folgende zusätzliche Anforderungen: • • • Sichtschutz des Monitors.7. [ Q: BSI M 4.B. per Dienstanweisung ausschließen zu können.1 ] 11.2. . [ eh SYS 9. Insbesondere sollten folgende Punkte geregelt werden: • 448 Freiwilligkeit der Teilnahme an der Telearbeit. 11.3 Regelungen für Telearbeit ISO Bezug: 27002 9.2.

aber die Nutzung von anderen Internet-Diensten wird untersagt. Reaktionszeiten: Es sollte geregelt werden.B. Beendigung der Telearbeit.B. Im Sinne der IT-Sicherheit sollten zusätzlich folgende Punkte behandelt werden: • • • • • • Arbeitszeitregelung: Die Verteilung der Arbeitszeiten auf Tätigkeiten in der Institution und am häuslichen Arbeitsplatz muss geregelt sein und feste Zeiten der Erreichbarkeit am häuslichen Arbeitsplatz müssen festgelegt werden. welche Arbeitsmittel Telearbeiter/innen einsetzen können und welche nicht genutzt werden dürfen (z. So kann ein E-Mail-Anschluss zur Verfügung gestellt werden. Arbeitsmittel: Es kann festgeschrieben werden. Aufwendungen für Fahrten zwischen Betrieb und häuslicher Wohnung. wenn der Telearbeitsrechner dies nicht erfordert. Aufwendungen z.B. Darüber hinaus sollte vereinbart werden. für Strom und Heizung.B. IT-Sicherheitsmaßnahmen: Der/die Telearbeiter/in ist zu verpflichten. des Telearbeiters begutachtet werden können. Personalrat und dem/der direkten Vorgesetzten der Telearbeiterin bzw. Einrichtung eines Bildschirmarbeitsplatzes) und der Arbeitsumgebung gelten wie in der Institution. in welchen Abständen aktuelle Informationen eingeholt werden (z. Am häuslichen Arbeitsplatz sollten dieselben Vorschriften und Richtlinien bezüglich der Gestaltung des Arbeitsplatzes (z.• • • • • Mehrarbeit und Zuschläge. Datenschutz: 449 . Weiters kann die Benutzung von Disketten (Gefahr von Viren) untersagt werden. dass jeweils eine Generation der Datensicherung bei der Institution zur Unterstützung der Verfügbarkeit hinterlegt wird. dem/der Datenschutz-/IT-Sicherheitsbeauftragten sowie dem Betriebsbzw. die für die Telearbeit notwendigen ITSicherheitsmaßnahmen zu beachten und zu realisieren. regelmäßig eine Datensicherung durchzuführen. Haftung (bei Diebstahl oder Beschädigung der IT. wie häufig E-Mails gelesen werden) und wie schnell darauf reagiert werden sollte. aber auch bei Arbeitsunfall oder Berufskrankheit). Die umzusetzenden IT-Sicherheitsmaßnahmen sind dem/der Telearbeiter/in in schriftlicher Form zu übergeben. nicht freigegebene Software). Datensicherung: Der/die Telearbeiter/in ist zu verpflichten. Dies sollte in Absprache mit dem/der Telearbeiter/in durch den/die in der Institution Verantwortlichen für den Arbeitsschutz.

[ eh SYS 9. per Einschreiben. .und Datenträgertransports zwischen häuslichem Arbeitsplatz und Institution ISO Bezug: 27002 9. mit vorheriger Anmeldung) vereinbart werden. Darin sollten zumindest folgende Punkte betrachtet bzw. Datenkommunikation: Es muss festgelegt werden. Entsprechende Merkblätter sind regelmäßig zu aktualisieren.7. 10. Meldewege: Der/die Telearbeiter/in ist zu verpflichten. .2.2 ] 11.) ausgetauscht werden dürfen. Es empfiehlt sich.2 Damit der Austausch von Dokumenten und Datenträgern zwischen häuslichem Arbeitsplatz und Institution sicher vollzogen werden kann. Transport von Dokumenten und Datenträgern: Die Art und Absicherung des Transports zwischen häuslichem Arbeitsplatz und Institution ist zu regeln. Zutrittsrecht zum häuslichen Arbeitsplatz: Für die Durchführung von Kontrollen und für die Verfügbarkeit von Dokumenten und Daten im Vertretungsfall kann ein Zutrittsrecht zum häuslichen Arbeitsplatz (ggf.• • • • Der/die Telearbeiter/in ist auf die Einhaltung einschlägiger Datenschutzvorschriften zu verpflichten sowie auf die notwendigen Maßnahmen bei der Bearbeitung von personenbezogenen Daten am häuslichen Arbeitsplatz hinzuweisen. welche Daten nicht oder nur verschlüsselt elektronisch übermittelt werden dürfen. Kurier. in Versandtasche. Datenträger über welchen Transportweg (Postweg. Datenträger nur persönlich transportiert werden dürfen.. Paketdienst. 11. welche Daten auf welchem Weg übertragen bzw. mit Begleitschreiben oder mit Versiegelung) und welche Dokumente bzw. ist eine Regelung über Art und Weise des Austausches aufzustellen.5.8. IT-sicherheitsrelevante Vorkommnisse unverzüglich an eine zu bestimmende Stelle in der Institution zu melden. diese Regelungen schriftlich festzulegen und jedem/jeder Telearbeiter/in auszuhändigen. geregelt werden: • • • 450 welche Dokumente bzw. welche Schutzmaßnahmen beim Transport zu beachten sind (beispielsweise Transport in geschlossenem Behälter..4 Regelung des Dokumenten.7.

und Reparaturarbeiten ein. Schreibtisch o.5. Die dienstlichen Unterlagen und Datenträger müssen außerhalb der Nutzungszeit darin verschlossen aufbewahrt werden.7.7. Backup-Datenträger müssen im häuslichen Bereich verschlossen aufbewahrt werden.7. Hingegen kann beim Datenträgeraustausch vorab eine Datensicherung erfolgen. leitet Wartungs. dass nur der/die Telearbeiter/in selber bzw.6 Betreuungs.ä.und Wartungskonzept erstellt werden.und Wartungskonzept für Telearbeitsplätze ISO Bezug: 27002 11. Die Schutzwirkung des abschließbaren Bereiches hat den Sicherheitsanforderungen der darin zu verwahrenden Unterlagen und Datenträger zu entsprechen. Dieses sollte folgende Punkte vorsehen: • Benennen von problembezogenen Ansprechpartnern für den Benutzerservice: An diese Stelle wenden sich Telearbeiter/innen bei Software.) verfügbar sein. 11.5 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger ISO Bezug: 27002 9. Jeweils eine Generation der Backup-Datenträger sollte jedoch in der Institution aufbewahrt werden. deren Vertretung darauf Zugriff hat. [ eh SYS 9. damit im Katastrophenfall der/die Vertreter/in auf die Backup-Datenträger zugreifen kann. Der Benutzerservice versucht (auch telefonisch) kurzfristig Hilfestellung zu leisten bzw. [ eh SYS 9. welchen Schaden der Verlust bedeuten würde.2. 451 .und Hardwareproblemen. Aus diesem Grund muss ein verschließbarer Bereich (Schrank. 10.2 Für die Telearbeitsplätze muss ein spezielles Betreuungs. muss bei der Auswahl eines geeigneten Dokumentenaustauschverfahrens beachtet werden.3 ] 11.7. Es ist sicherzustellen.2 Dienstliche Unterlagen und Datenträger dürfen auch am häuslichen Arbeitsplatz nur dem/der autorisierten Mitarbeiter/in zugänglich sein.7.Da Schriftstücke oftmals Unikate sind.4] 11.

B.und Datenträgertransport benötigt und daher vom Telearbeitsrechner unterstützt werden. IT-Komponenten zwischen Institution und häuslichem Arbeitsplatz der Telearbeiterin bzw. Diese Regelungen sind den Telearbeitern auszuhändigen.5 ] 11. in der Sicherheitsrichtlinie zur Telearbeit (siehe 11.7. um den Missbrauch eines Fernwartungszugangs zu verhindern (vgl.• • • • Wartungstermine: Die Termine für vor Ort durchzuführende Wartungsarbeiten sollten frühzeitig bekannt gegeben werden. etwa ob private Nutzung erlaubt oder untersagt sein soll.7. aber auch Postaustausch sowie Akten.2 Für Telearbeit werden typischerweise verschiedene Möglichkeiten zur Kommunikation wie beispielsweise Telefon-. Dies verringert den konzeptionellen und administrativen Aufwand für den Aufbau eines sicheren Telearbeitsrechners und erleichtert Problemlösungen für den Benutzerservice.3 Regelungen für Telearbeit).7. Die Regelungen über die Nutzung der Kommunikationsmöglichkeiten bei Telearbeit sind schriftlich zu fixieren. Es muss auch geregelt werden.3 Fernwartung) Transport der IT: Es sollte aus Gründen der Haftung festgelegt werden.2. Fax. [ eh SYS 9. des Telearbeiters zu transportieren. Fernwartung: Falls der Telearbeitsrechner über Fernwartung administriert und gewartet werden kann. 12.5. sind die notwendigen Sicherheitsmaßnahmen sowie die erforderlichen Online-Zeiten zu vereinbaren. damit die Telearbeiter/innen zu diesen Zeiten den Zutritt zum häuslichen Arbeitsplatz gewährleisten können. wer autorisiert ist. Einführung von Standard-Telearbeitsrechnern: Wenn möglich sollten alle Telearbeiter/innen einer Institution einen definierten Standard-Telearbeitsrechner haben.1.und Internet-Anbindung. auf welche Weise die vorhandenen Kommunikationsmöglichkeiten genutzt werden dürfen.7 Geregelte Nutzung der Kommunikationsmöglichkeiten ISO Bezug: 27002 9.7. 11. Insbesondere ist ein Sicherungsverfahren festzulegen. 11. z. Zu klären sind zumindest folgende Punkte: • 452 Datenflusskontrolle .7.

elektronische Recherchen) dürfen vom Telearbeitsrechner aus in Anspruch genommen werden? Beispielsweise können aus der Art der Abfragen u. so ist zu klären. • Von welchen Daten soll trotz der erfolgreichen Übertragung eine Kopie der Daten auf dem Telearbeitsrechner verbleiben? • Wird vor Versand oder nach Erhalt von Daten ein Viren-Check der Daten durchgeführt? • Für welche Datenübertragung soll eine Protokollierung erfolgen? Falls eine automatische Protokollierung nicht möglich sein sollte.• Falls der Telearbeitsrechner ein Fax-Modem besitzt oder wenn am Telearbeitsplatz ein Faxgerät vorhanden ist. ist festzulegen. welche Informationen per Fax an wen übermittelt werden dürfen. dass Viren importiert werden. IT-Sicherheitsmaßnahmen • • • • • Welche Dienste dürfen zur Datenübertragung genutzt werden? Welche Dienste dürfen explizit nicht genutzt werden? Welche Informationen dürfen an wen versendet werden? Welcher Schriftverkehr darf über E-Mail abgewickelt werden? • • • Für welche Daten sollen welche Verschlüsselungsverfahren eingesetzt werden? • Für welche Daten ist eine Löschung nach erfolgreicher Übertragung notwendig? Dies kann beispielsweise für personenbezogene Daten gelten. Welche Optionen dürfen im Internet-Browser aktiviert werden? Welche Rahmenbedingungen und technischen Sicherheitsmaßnahmen müssen bei der Internet-Nutzung beachtet werden? Welche Sicherungsverfahren sollen im Internet-Browser aktiviert werden? 453 . ob und in welchem Umfang eine handschriftliche Protokollierung vorzusehen ist. • Der elektronische Versand welcher Informationen bedarf der vorherigen Zustimmung der Institution? Informationsgewinnung Welche elektronischen Dienstleistungen (Datenbankabfragen. Internet-Nutzung • • • • • Wird die Nutzung von Internet-Diensten generell verboten? Welche Art von Daten darf aus dem Internet geladen werden? Werden Daten von fremden Servern geladen. so besteht die Gefahr.U. Rückschlüsse auf Unternehmensstrategien gezogen werden.

Entsprechend sind die notwendigen Rechte wie Lese.und Schreibrechte auf diese Objekte zuzuweisen. muss zuvor festgelegt werden. 11. Erfordert die Telearbeit den Zugriff auf die IT der Institution (zum Beispiel auf einen Server).6 ] 11.7. dass der Schaden.5.• Ist die Zustimmung der Institution erforderlich. Auf Objekte. Unterschriftenregelung • • • • Ist eine Unterschriftenregelung für die Kommunikation vorgesehen? Werden gesetzeskonforme elektronische Signaturen eingesetzt? Werden andere Authentisierungsverfahren für den Schriftverkehr genutzt? [ eh SYS 9. [ eh SYS 9.2. 11.Institution ISO Bezug: 27002 10. 11. wenn der Telearbeiter sich am Informationsaustausch mittels Newsgruppen beteiligen will? Ggf.7 ] 11.7. ITKomponenten) der/die Telearbeiter/in tatsächlich für die Erfüllung seiner/ihrer Aufgaben benötigt. ist eine anonyme Nutzung erforderlich.7. sollte er/sie auch nicht zugreifen können. Programme. minimiert wird.2. Dies gilt sowohl für den Zugriff auf Daten wie auf in der Institution verfügbare IT-Komponenten.8 Regelung der Zugriffsmöglichkeiten von Telearbeiter/innen ISO Bezug: 27002 9. die der/die Telearbeiter/in für seine/ihre Aufgaben nicht braucht. Damit soll erreicht werden.6. der auf Grund eines Hacker-Angriffs auf den Kommunikationsrechner entstehen kann. welche Objekte (Daten.9 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner.7.2.2 454 .

Dies bedeutet.Erfolgt im Rahmen der Telearbeit eine Datenübertragung zwischen einem Telearbeitsrechner und dem Kommunikationsrechner der Institution. dass Daten mit Absender "Telearbeitsrechner" auch tatsächlich von dort stammen. werden dabei dienstliche Informationen üblicherweise über öffentliche Kommunikationsnetze übertragen. Sicherstellung der Authentizität der Daten: Bei der Übertragung der Daten zwischen Telearbeitsrechner und Institution muss vertrauenswürdig feststellbar sein. Dazu gehört neben einem geeigneten Verschlüsselungsverfahren auch ein angepasstes Schlüsselmanagement mit periodischem Schlüsselwechsel. die nachträglich feststellen lassen. Integrität und Verfügbarkeit im öffentlichen Kommunikationsnetz gewahrt werden. sind ggf. Sicherstellung der Nachvollziehbarkeit der Datenübertragung: Um eine Kommunikation nachvollziehbar zu machen. Generell muss die Datenübertragung zwischen Telearbeitsrechner und Institution folgende Sicherheitsanforderungen erfüllen: • • • • • Sicherstellung der Vertraulichkeit der übertragenen Daten: Es muss durch eine ausreichend sichere Verschlüsselung erreicht werden. so dass eine Maskerade ausgeschlossen werden kann. Sicherstellung der Integrität der übertragenen Daten: Die eingesetzten Übertragungsprotokolle müssen eine zufällige Veränderung übertragener Daten erkennen und beheben. zusätzliche Maßnahmen erforderlich. Bei Bedarf kann auch ein zusätzlicher Fehlererkennungsmechanismus benutzt werden. verzichtet werden. Auf eine redundante Einführung der Netzanbindung an den Telearbeitsrechner und die Schnittstelle der Institution kann ggf. dazu §126a zu Datenbeschädigung). Ebenso muss der Ursprung von Institutionsdaten zweifelsfrei auf die Institution zurückgeführt werden können. 455 . dass auch durch Abhören der Kommunikation zwischen Telearbeitsrechner und Kommunikationsrechner der Institution kein Rückschluss auf den Inhalt der Daten möglich ist. sollte ein redundant ausgelegtes öffentliches Kommunikationsnetz als Übertragungsweg ausgewählt werden. ob die Vertraulichkeit. Da weder die Institution noch die Telearbeiter/innen großen Einfluss darauf nehmen können. welche Daten wann an wen übertragen wurden. falls das öffentliche Netz keine ausreichende Sicherheit bieten kann. um absichtliche Manipulationen während der Datenübertragung erkennen zu können (vgl. können Protokollierungsfunktionen eingesetzt werden. Sicherstellung der Verfügbarkeit der Datenübertragung: Falls zeitliche Verzögerungen bei der Telearbeit nur schwer zu tolerieren sind. in dem der Ausfall einzelner Verbindungsstrecken nicht den Totalausfall der Kommunikationsmöglichkeiten bedeutet. ob die Kommunikation zwischen den richtigen Teilnehmern stattfindet.

So ist denkbar. des Telearbeiters oder des Telearbeitsrechners anzustoßen. Andererseits kann auch ein Zugriff auf Server in der Institution für die Telearbeiter/innen notwendig sein. aus denen hervorgeht. müssen sich vor einem Zugriff auf den Rechner identifizieren und authentisieren.1. Voreingestellte Passwörter sind zu ändern. muss es für den Kommunikationsrechner auch möglich sein.7. Die Stärke der dazu erforderlichen Mechanismen richtet sich dabei nach dem Schutzbedarf der übertragenen Daten. ob Daten korrekt empfangen wurden.6. Nach mehrfachen Fehlversuchen ist der Zugang zu sperren. ob der/die Empfänger/in die Daten korrekt empfangen hat.8 ] 11. also Administratoren.2 Je nach Art der Telearbeit und der dabei durchzuführenden Aufgaben gestaltet sich der Zugriff der Telearbeiter/innen auf Institutionsdaten anders.• Sicherstellung des Datenempfangs: Ist es für die Telearbeit von Bedeutung. Rollentrennung: Die Rollen der Administratoren und der Benutzer/innen des Kommunikationsrechners sind zu trennen. [ eh SYS 9. um aufgeschaltete Angreifer abzuwehren. so können Quittungsmechanismen eingesetzt werden.1. während der Datenübertragung eine erneute Authentisierung der Telearbeiterin bzw. dass zwischen Telearbeiterinnen/Telearbeitern und Institution nur E-Mails ausgetauscht werden. 10. Unabhängig von den Zugriffsweisen muss der Kommunikationsrechner der Institution im Allgemeinen folgende Sicherheitsanforderungen erfüllen: • • • 456 Identifikation und Authentisierung: Sämtliche Benutzer/innen des Kommunikationsrechners.10 Sicherheitstechnische Anforderungen an den Kommunikationsrechner ISO Bezug: 27002 10.7. Ggf. Rechteverwaltung und -kontrolle: . Mitarbeiter/innen in der Institution und Telearbeiter/innen. Im Rahmen der Identifikation und Authentisierung der Benutzer/innen sollte auch zusätzlich eine Identifizierung der Telearbeitsrechner stattfinden (zum Beispiel über Rufnummern und CallbackVerfahren). 11.10. Eine Rechtevergabe darf ausschließlich Administratoren möglich sein.

was nicht ausdrücklich erlaubt wird. um die Protokolldaten auszuwerten. Adresse und Dienst zu protokollieren. so sind sämtliche Funktionalitäten zur Fernadministration zu sperren. Administrationstätigkeiten sind zu protokollieren. Jegliche Fernadministration darf nur nach vorhergehender erfolgreicher Identifikation und Authentisierung stattfinden.zu verschlüsseln. Dabei ist darauf zu achten.• • • • • Der Zugriff auf Dateien des Kommunikationsrechners darf nur im Rahmen der gebilligten Rechte erfolgen können. Dem Administrator bzw. Administrationsdaten sollten verschlüsselt übertragen werden. Meldewege und Fortbildung ISO Bezug: 27002 11. zum und über den Kommunikationsrechner sind mit Uhrzeit. kein Zugriff mehr möglich ist. Automatische Virenprüfung: Übertragene Daten sind einer automatischen Prüfung auf Viren zu unterziehen. Vermeidung oder Absicherung von Fernadministration: Benötigt der Kommunikationsrechner keine Fernadministration. [ eh SYS 9. sind bei entsprechender Vertraulichkeit . die auf dem Kommunikationsrechner für die Telearbeiter/innen vorgehalten werden. Verschlüsselung: Daten. in dem ggf.9 ] 11. so muss sie ausreichend abgesichert werden. Die Dienste selbst sind auf den Umfang zu beschränken.2 457 . Bei Systemabsturz oder bei Unregelmäßigkeiten muss der Kommunikationsrechner in einen sicheren Zustand übergehen.7.7. die durch den Kommunikationsrechner zur Verfügung gestellt werden. Protokollierung: Datenübertragungen vom. Minimalität der Dienste: Dienste. dem Revisor sollten Werkzeuge zur Verfügung stehen. Der Zugriff auf angeschlossene Rechner in der Institution und darauf gespeicherte Dateien ist zu reglementieren. müssen dem Minimalitätsprinzip unterliegen: alles ist verboten. der für die Aufgaben der Telearbeiter/innen notwendig ist.in Abstimmung mit der organisationsweiten IT-Sicherheitspolitik . Benutzer/in.11 Informationsfluss. Voreingestellte Passwörter und kryptographische Schlüssel sind zu ändern. Dabei sollten Auffälligkeiten automatisch gemeldet werden. Ist eine Fernadministration unvermeidbar. dass die Zugriffsmöglichkeiten auf das notwendige Mindestmaß beschränkt werden.

Druckerpatrone wechseln) wahrnehmen kann bzw. Zusätzlich sind die Telearbeiter/innen über Änderungen von IT-Sicherheitsmaßnahmen zu unterrichten. Die Beteiligung der Telearbeiter/innen an Umlaufverfahren für Hausmitteilungen. dass ein Sicherheitskonzept für die Telearbeitsplätze erstellt wird.B. Darüber hinaus ist der/die Telearbeiter/in so weit im Umgang mit dem Telearbeitsrechner zu schulen. damit der/die Telearbeiter/in auch zukünftig über Planungen und Zielsetzungen in seinem/ihrem Arbeitsbereich informiert ist. Telefonnummern der Telearbeiter/innen in Kenntnis gesetzt werden. Folgende Punkte müssen darüber hinaus bei der Telearbeit geklärt werden: • • • • Wer ist Ansprechperson bei technischen und/oder organisatorischen Problemen in der Telearbeit? Wem müssen Sicherheitsvorkommnisse mitgeteilt werden? Wie erfolgt die Aufgabenzuteilung? Wie erfolgt die Übergabe der Arbeitsergebnisse? Treten technisch-organisatorische Probleme auf. Nach Bekanntgabe des Konzeptes müssen Telearbeiter/innen in die zu realisierenden Sicherheitsmaßnahmen eingewiesen und eventuell in ihrem Umgang geschult werden. dass er/sie einfache Tätigkeiten (z. Eine Lösung wäre eventuell das Einscannen wichtiger Schriftstücke. [ eh SYS 9.Damit der/die Telearbeiter/in nicht vom betrieblichen Geschehen abgeschnitten wird. sollte der/die Vorgesetzte einen regelmäßigen Informationsaustausch zwischen Telearbeiter/innen und den Arbeitskolleginnen und -kollegen ermöglichen. Weiters müssen die Arbeitskolleginnen und -kollegen über Anwesenheits. Dies ist wichtig. damit Frustrationen vermieden werden und ein positives Telearbeitsklima geschaffen wird und erhalten bleibt. um sie dann dem/ der Telearbeiter/in per E-Mail zuzustellen. ist es notwendig.und Erreichbarkeitszeiten sowie die E-Mail-Adressen bzw. einfache Probleme selbstständig lösen kann. wenn der/die Telearbeiter/in ausschließlich zu Hause arbeitet.10 ] 458 . Da für die Telearbeit zum Teil andere IT-Sicherheitsmaßnahmen ergriffen werden müssen als für die Arbeit innerhalb der Institution. müssen diese von dem/der Telearbeiter/in unverzüglich der Institution gemeldet werden. Dies stellt dann ein Problem dar. einschlägige Informationen und Zeitschriften ist zu regeln.

1.11 ] 11.7. da hier nicht unbedingt ersichtlich ist. Ist dies der Fall.7.1. Daher ist vor der Entsorgung ausgedienter Datenträger und Dokumente genau zu überlegen. Es empfiehlt sich. [ eh SYS 9.12 Vertretungsregelung für Telearbeit ISO Bezug: 27002 8. Dies ist auch dann der Fall. muss ein Informationsfluss zu seiner/ihrer Vertretung vorgesehen werden.1. ob diese sensible Informationen enthalten könnten. 11.2. schon alleine deshalb.1 Auch zu Hause oder unterwegs gibt es häufiger Material. sind sporadische oder regelmäßige Treffen zwischen Telearbeiter/innen und ihren Vertretungen sinnvoll. Ergänzend dazu muss geregelt werden. müssen die Datenträger und Dokumente im Zweifelsfall wieder mit zurück transportiert werden. wie zuverlässig diese ist. des Telearbeiters ist unabdingbar. den Vertretungsfall probeweise durchzuspielen. Da der/die Telearbeiter/in hauptsächlich außerhalb der Institution tätig ist.309 ] 459 . da Experten auch hieraus wieder wertvolle Informationen zurückgewinnen können. wie Vertreter im unerwarteten Vertretungsfall Zugriff auf die Daten im Telearbeitsrechner oder am Telearbeitsplatz vorhandene Unterlagen nehmen kann. 11.2 Über die Maßnahme 8. wenn die Datenträger defekt sind. damit das Gepäck noch tragbar bleibt.7.3 Vertretungsregelungen hinaus sind im Falle der Vertretung von Telearbeitern und Telearbeiterinnen weitere Schritte notwendig. Auch Shredder-Einrichtungen in fremden Institutionen sollten mit Vorsicht betrachtet werden.7. Ggf.11. wer die Entsorgung durchführt bzw. das entsorgt werden soll. Während es aber innerhalb der eigenen Institution eingeübte Verfahren gibt. [Q: BSI M 2.7.13 Entsorgung von Datenträgern und Dokumenten ISO Bezug: 27002 10. Auch eine Dokumentation der Arbeitsergebnisse seitens der Telearbeiterin bzw. wie alte oder unbrauchbare Datenträger und Dokumente entsorgt werden ist dies am häuslichen Arbeitsplatz oder unterwegs nicht immer möglich.

dazu auch Kap. Ein IT-Sicherheitskonzept ist kein statisches. unveränderbares Dokument. Die Verantwortlichkeiten für diese Aktivitäten müssen im Rahmen der organisationsweiten IT-Sicherheitspolitik bzw.3 Sicherheitssensibilisierung und -schulung). Verschlechterungen der Wirksamkeit von Sicherheitsmaßnahmen . Von besonderer Bedeutung für die Aufrechterhaltung oder weitere Erhöhung eines einmal erreichten Sicherheitsniveaus ist eine permanente Sensibilisierung aller betroffenen Mitarbeiter/innen für Fragen der IT-Sicherheit (vgl. Entwicklung und Wartung von Informationssystemen ". beim Datenschutz-/IT-Sicherheitsbeauftragten. Als Richtlinie kann auch hier gelten. die IT-Sicherheit im laufenden Betrieb aufrechtzuerhalten. die Verantwortung für organisationsweite IT-Sicherheitsmaßnahmen sowie die Gesamtverantwortung bei der bzw. 8. Betrieb und Wartung eines IT-Systems Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 12 ff " Beschaffung. dass die Verantwortung für systemspezifische Maßnahmen bei den einzelnen Bereichs-IT-Sicherheitsbeauftragten liegen sollte.sei es durch eine Veränderung der Bedrohungslage oder durch falsche Verwendung der implementierten Sicherheitsmaßnahmen .sollen erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. Der IT-Sicherheitsprozess endet nicht mit der Umsetzung von Maßnahmen. weiter zu erhöhen. sowie auch ISO 27002 10 ff " Management der Kommunikation und des Betriebs ". eines Produktes sein. Ziel aller Follow-Up-Aktivitäten muss es sein. Die Anforderungen an die Sicherheit eines IT-Systems sollten bereits zu Beginn der Entwicklung ermittelt und abgestimmt werden. Umfassendes IT-Sicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe.12 Sicherheit in Entwicklung. Sicherheit sollte daher integrierter Bestandteil des gesamten Lebenszyklus eines ITSystems bzw. der einzelnen ITSystemsicherheitspolitiken festgelegt werden. das erreichte Sicherheitsniveau aufrecht zu erhalten bzw. sondern muss stets auf seine Wirksamkeit. Aktualität und die Umsetzung in der täglichen Praxis überprüft werden. 460 . Weiters muss eine angemessene Reaktion auf sicherheitsrelevante Ereignisse gewährleistet sein. Eine nachträgliche Implementierung von Sicherheitsmaßnahmen ist bedeutend teurer und bietet im Allgemeinen weniger Schutz als Sicherheit. die von Beginn an in den Systementwicklungsprozess oder in den Auswahlprozess für ein Produkt integriert wurde.

Im Gegensatz zu den ITSEC.1 Sicherheit im gesamten Lebenszyklus eines ITSystems In den [IT-BVM] wird ein an die Bedürfnisse der österreichischen Bundesverwaltung angepasstes Vorgehensmodell (V-Modell) für die Entwicklung von IT-Systemen vorgestellt. wenn nicht explizit angeführt. wird in den folgenden Maßnahmenbeschreibungen der besseren Lesbarkeit halber. stets von "IT-Systemen" oder einfach "Systemen" gesprochen.Die in Kapitel 12.] entwickelt. 12. das im folgenden kurz beschrieben wird. wobei der gemeinsame Oberbegriff "Evaluierungsgegenstand" (EVG) lautet.1 Sicherheit im gesamten Lebenszyklus eines IT-Systems angeführten Maßnahmen orientieren sich am "Vorgehensmodell für die Entwicklung von IT-Systemen des Bundes" [IT-BVM] sowie teilweise an den Vorgaben der "Information Technology Security Evaluation Criteria" [ITSEC] bzw. die zwischen "IT-Systemen" und "IT-Produkten" unterscheiden. der "Common Criteria" [Common Criteria] . Das österreichische Vorgehensmodell wurde in Anlehnung an das international anerkannte deutsche Vorgehensmodell [Anmerkung:: Dieses wird seit sieben Jahren in vielen europäischen Ländern angewendet und wird laufend von der Bundesrepublik Deutschland gewartet und verbessert. auch wenn es sich im Einzelfall um ein Produkt (etwa Standardsoftware) oder eine Einzelkomponente handelt. Es teilt sich in vier Bereiche auf: Abbildung 1: Die vier Bereiche (Submodelle) des IT-BVM 461 .

werden in der QS zusammengefasst.). 462 .Konfigurationsmanagement Dieser Bereich beinhaltet Tätigkeiten. Alle diese Bereiche sind eng miteinander verzahnt.Systemerstellung In diesem Bereich werden die Tätigkeiten beschrieben.SE .Projektmanagement Hier werden alle Tätigkeiten zusammengefasst. Systemerstellung (SE) Der Bereich SE gliedert sich in sechs Phasen (Vierecke im Hintergrund). KM . Jede Phase teilt sich in weitere Elementarphasen (Blöcke im Vordergrund) und diese wiederum in Aktivitäten (nicht abgebildet). Terminsteuerung usw. die Ablage der Entwicklungsdokumente und des Programmcodes).B.B. QS . die Änderungen leichter nachvollziehbar bzw. Weiters beschreibt es die Abhängigkeiten der Tätigkeiten untereinander und deren erzeugte Ergebnisse. Kostensteuerung. PM . überhaupt erst möglich machen (z. um eine hohe Qualität der EDV-Anwendung sicherzustellen. die zur eigentlichen Erstellung des EDV-Systems notwendig sind. die das Projekt steuern (wie z.Qualitätssicherung Tätigkeiten.

Abbildung 2: Gliederung des Vorgehensmodells Es folgt eine kurze Beschreibung der Elementarphasen:

• • • • • • •

SE 1 - System-Anforderungsanalyse: Hier werden die Anforderungen an das Gesamtsystem erhoben. Unter dem Gesamtsystem versteht man nicht nur das IT-System, sondern auch das fachliche Umfeld, selbst wenn Teile davon später nicht mittels EDV abgedeckt werden. SE 2 - System-Entwurf: Der Grobentwurf des Gesamtsystems wird ermittelt und festgehalten SE 3 - SW-/HW-Anforderungsanalyse: In dieser Elementarphase konzentriert man sich bereits auf die Anforderungen der Software bzw. der Hardware. Bereiche, die nicht von der späteren ITAnwendung betroffen sind, werden hier nicht weiter untersucht. SE 4 - SW-Grobentwurf: Die Software wird grob gegliedert und beschrieben. SE 5 - SW-Feinentwurf: Die zuvor gebildete grobe SW-Struktur wird weiter verfeinert und beschrieben. SE 6 - SW-Implementierung: Die Softwarevorgaben werden in Programme bzw. Datenbanken umgesetzt. Erste Überprüfungen gegenüber dem SW-Feinentwurf werden durchgeführt. SE 7 - SW-Integration: Die einzelnen Softwareteile werden zu größeren Softwareeinheiten zusammengefügt und getestet. SE 8 - System integrieren: Die Software wird zum Gesamtsystem integriert. 463

SE 9 - Überleitung in die Nutzung: Das Gesamtsystem (EDV + Infrastruktur) wird am Bestimmungsort installiert und in Betrieb genommen.

Die Reihenfolge der Aktivitäten erscheint sequentiell. Dies entspricht der Vorstellung vom IT-Systemerstellungsprozess als einem strengen Top-down-Vorgehen. In der Regel sind jedoch Iterationen im Erstellungsprozess üblich. Die nachfolgende Abbildung zeigt eine schematisierte linearisierte Darstellung des logischen Ablaufs, der IT-Systemerstellung und deren Einbettung in das organisatorische Umfeld.

Abbildung 3: Randbedingungen zur IT-Systemerstellung 464

Das beschriebene Vorgehensmodell dient als Grundlage für die nachfolgenden Maßnahmen. Dabei werden die in den einzelnen Phasen für die IT-Sicherheit relevanten Maßnahmen herausgegriffen. Für weitere Details zum Vorgehensmodell sei auf das Gesamtkonzept ( [IT-BVM] ) verwiesen.

12.1.1 IT-Sicherheit in der System-Anforderungsanalyse
ISO Bezug: 27002 12.1.1, 12.2.3

Die Voruntersuchung besteht aus den Elementarphasen "SystemAnforderungsanalyse" und "System-Entwurf", die sich ihrerseits aus unterschiedlichen Aktivitäten zusammensetzen. In der System-Anforderungsanalyse, der ersten Elementarphase der Phase Voruntersuchung, werden die Anforderungen an das Gesamtsystem erhoben. Unter dem Gesamtsystem versteht man dabei nicht nur das IT-System, sondern auch das fachliche Umfeld, selbst wenn Teile davon später nicht mittels EDV abgedeckt werden. Der Anforderungskatalog kann etwa Aussagen zu folgenden Punkten enthalten:

• •

• • • •

Funktionale Anforderungen, die das System zur Unterstützung der Aufgabenerfüllung der Fachabteilung erfüllen muss. Die für die Fachaufgabe relevanten Einzelfunktionalitäten sollten hervorgehoben werden. IT-Einsatzumgebung: Diese wird einerseits beschrieben durch die Rahmenbedingungen, die durch die vorhandene oder geplante IT-Einsatzumgebung vorgegeben werden, und andererseits durch die Leistungsanforderungen, die durch das System an die Einsatzumgebung vorgegeben werden. Kompatibilitätsanforderungen zu anderen Programmen oder IT-Systemen, also Migrationsunterstützung und Aufwärts- und Abwärtskompatibilität. Performanceanforderungen: diese beschreiben die erforderlichen Leistungen hinsichtlich Durchsatz und Laufzeitverhalten. Für die geforderten Funktionen sollten möglichst genaue Angaben über die maximal zulässige Bearbeitungszeit getroffen werden. Interoperabilitätsanforderungen, d.h. die Zusammenarbeit mit anderen Produkten bzw. Systemen über Plattformgrenzen hinweg muss möglich sein. Alternativen zu Herstellermonopolen:

465

• • • • • •

Alternativen zu entstehenden Herstellermonopolen sind im Rahmen der SystemAnforderungsanalyse zu berücksichtigen. Speziell im Hinblick auf Kompatibilität und Austauschbarkeit im Notfall ist dies ein Beitrag zur Systemsicherheit. Als eine der Hauptschwierigkeiten wären beispielsweise proprietäre Protokolle zu identifizieren, die Probleme bei der Suche nach Ersatzsystemen darstellen. Aufgrund des IKT-Board-Beschlusses [IKTB-250602-1] sind derartige Alternativen bei Anschaffungen von Servern im Rahmen der öffentlichen Verwaltung empfohlen. (Vergleiche auch K-Fall-Vorgaben – 14.1.1 Definition von Verfügbarkeitsklassen ) Zuverlässigkeitsanforderungen: Diese betreffen die Stabilität des Systems, also Fehlererkennung und Toleranz sowie Ausfall- und Betriebssicherheit. Konformität zu Standards: Dies können internationale Normen, De-facto-Standards oder auch Hausstandards sein. Einhaltung von internen Regelungen und gesetzlichen Vorschriften, z.B. ausreichender Datenschutz bei der Verarbeitung personenbezogener Daten Anforderungen an die Benutzerfreundlichkeit, insbesondere an die Güte der Benutzeroberfläche sowie die Qualität der Benutzerdokumentation und der Hilfefunktionen. Anforderungen an die Wartbarkeit Obergrenze der Kosten: Dabei müssen nicht nur die unmittelbaren Entwicklungs- bzw. Beschaffungskosten für das System selber einbezogen werden, sondern auch Folgekosten, wie z.B. Wartungsaufwände, Personalkosten oder notwendige Schulungen. Aus den Anforderungen an die Dokumentation muss hervorgehen, welche Dokumente in welcher Güte (Vollständigkeit, Verständlichkeit) erforderlich sind. Bezüglich der Softwarequalität können Anforderungen gestellt werden, die von Herstellererklärungen über die eingesetzten Qualitätssicherungsverfahren, über ISO 9000 Zertifikate bis hin zu unabhängigen Softwareprüfungen nach ISO 12119 reichen.

• •

Zusätzlich zu den operationellen Anforderungen müssen die IT-Sicherheitsziele vorgegeben werden. Dies kann auf zwei Arten erfolgen:

• •

durch die Formulierung von Anforderungen an Vertraulichkeit, Integrität oder Verfügbarkeit (vgl. 14.1.1 Definition von Verfügbarkeitsklassen ) von bestimmten operationellen Funktionen oder verarbeiteten Informationen, anhand einer bereits vorgegebenen Sicherheitspolitik, die im Gesamtsystem durchgesetzt werden soll.

[ eh ENT 1.1 ]

466

12.1.2 Durchführung einer Risikoanalyse und Festlegung der IT-Sicherheitsanforderungen
ISO Bezug: 27002 12.1.1

Basierend auf den bereits definierten Anwenderanforderungen und Informationen über die Einsatzumgebung des Systems sind die für das System relevanten Bedrohungen zu ermitteln und die damit verbundenen Risiken zu bewerten. Zu möglichen Strategien und Vorgehensweisen zur Risikoanalyse s. Kap. 5 - Entwicklung einer organisationsweiten Informationssicherheitspolitik , des vorliegenden Sicherheitshandbuches. Die Ergebnisse der Risikoanalyse bilden die Grundlage für die Formulierung der Anforderungen an die IT-Sicherheit innerhalb der Anwenderforderungen (vgl. 12.1.1 IT-Sicherheit in der System-Anforderungsanalyse). Typische Sicherheitsanforderungen, die an ein gesamtes IT-System oder auch an eine Einzelkomponente oder ein Produkt möglicherweise gestellt werden, seien im Folgenden kurz erläutert (dabei wird im Folgenden wieder generell von "Systemen" gesprochen). Weitere Ausführungen finden sich in den [ITSEC] und den [Common Criteria] .

Identifizierung und Authentisierung: In vielen Systemen wird es Anforderungen geben, diejenigen Benutzer/innen zu bestimmen und zu überwachen, die Zugriff auf Betriebsmittel haben, die vom System kontrolliert werden. Dazu muss nicht nur die behauptete Identität der/des Benutzerin/Benutzers festgestellt, sondern auch die Tatsache nachgeprüft werden, dass die/der Benutzer/in tatsächlich die Person ist, die sie/er zu sein vorgibt. Dies geschieht, indem die/der Benutzer/in dem System Informationen liefert, die fest mit der/dem betreffenden Benutzer/in verknüpft sind. Dies können entweder personenbezogene oder personengebundene Informationen sein, s. dazu auch Kap. 11.1.1 Berechtigungssysteme, Schlüsselund Passwortverwaltung . Zugriffskontrolle: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass Benutzer/ innen und Prozesse daran gehindert werden, Zugriff auf Informationen oder Betriebsmittel zu erhalten, für die sie kein Zugriffsrecht haben oder für die keine Notwendigkeit zu einem Zugriff besteht. Desgleichen wird es Anforderungen bezüglich der unbefugten Erzeugung, Änderung oder Löschung von Informationen geben. Beweissicherung:

467

Bei vielen Systemen wird es erforderlich sein sicherzustellen, dass über Handlungen, die von Benutzerinnen/Benutzern bzw. von Prozessen im Namen solcher Benutzer/innen ausgeführt werden, Informationen aufgezeichnet werden, damit die Folgen solcher Handlungen später der/dem betreffenden Benutzer/in zugeordnet werden können und die/der Benutzer/in für ihre/seine Handlungen verantwortlich gemacht werden kann. Protokollauswertung: Bei vielen Systemen wird sicherzustellen sein, dass sowohl über gewöhnliche Vorgänge als auch über außergewöhnliche Vorfälle ausreichend Informationen aufgezeichnet werden, damit durch Nachprüfungen später festgestellt werden kann, ob tatsächlich Sicherheitsverletzungen vorgelegen haben und welche Informationen oder sonstigen Betriebsmittel davon betroffen waren. Unverfälschbarkeit: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass bestimmte Beziehungen zwischen unterschiedlichen Daten korrekt bleiben und dass Daten zwischen einzelnen Prozessen ohne Änderungen übertragen werden. Daneben müssen auch Funktionen bereitgestellt werden, die es bei der Übertragung von Daten zwischen einzelnen Prozessen, Benutzern und Objekten ermöglichen, Verluste, Ergänzungen oder Veränderungen zu entdecken bzw. zu verhindern, und die es unmöglich machen, die angebliche oder tatsächliche Herkunft bzw. Bestimmung der Datenübertragung zu ändern. Zuverlässigkeit: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass zeitkritische Aufgaben genau zu dem Zeitpunkt durchgeführt werden, zu dem es erforderlich ist, also nicht früher oder später, und es wird sicherzustellen sein, dass zeitunkritische Aufgaben nicht in zeitkritische umgewandelt werden können. Desgleichen wird es bei vielen Systemen erforderlich sein, sicherzustellen, dass ein Zugriff in dem erforderlichen Moment möglich ist und Betriebsmittel nicht unnötig angefordert oder zurückgehalten werden. Übertragungssicherung: Dieser Begriff umfasst alle Funktionen, die für den Schutz der Daten während der Übertragung über Kommunikationskanäle vorgesehen sind:

• • • • •

Authentisierung Zugriffskontrolle Datenvertraulichkeit Datenintegrität Sende- und Empfangsnachweis

Über die ITSEC hinaus können weitere Sicherheitsanforderungen bestehen, wie etwa Datensicherung, Verschlüsselung gespeicherter Daten, Funktionen zur Wahrung der Datenintegrität oder datenschutzrechtliche Anforderungen. 468

Stärke der Mechanismen
Common Criteria definiert eine Stärke der Funktion (Strength of Function – SOF). Es handelt sich dabei um eine Charakterisierung von Sicherheitsfunktionen des Produkts, die den geringsten angenommenen Aufwand beschreibt, um die zugrunde liegenden Sicherheitsmechanismen durch einen direkten Angriff außer Kraft zu setzen. Es werden drei Stufen über das Angriffspotential definiert: niedrig: Die Stufe bietet angemessenen Schutz gegen zufälliges Brechen der Sicherheit durch Angreifer/innen, die über ein geringes Angriffspotential verfügen. mittel: Die Stufe bietet einen angemessenen Schutz gegen nahe liegendes oder absichtliches Brechen durch Angreifer/innen, die über ein mittleres Angriffspotential verfügen. hoch: Die Stufe bietet einen geeigneten Schutz gegen geplantes oder organisiertes Brechen der EVG-Sicherheit durch Angreifer/innen, die über ein hohes Angriffspotential verfügen. Ähnlich werden in ITSEC drei Stufen (niedrig, mittel, hoch) für die Stärke des Mechanismus definiert. [ eh ENT 1.2 ]

12.1.3 IT-Sicherheit in Design und Implementierung
ISO Bezug: 27002 12.1.1

System-Entwurf:
Diese Elementarphase des Entwicklungsprozesses bezieht sich auf die oberste Stufe der Definition und des Entwurfs eines IT-Systems oder Produktes. Dies erfolgt in Form einer Spezifikation auf hohem Abstraktionsniveau, die die grundlegende Struktur des Systems, seine externen Schnittstellen sowie seine Untergliederung in die wichtigsten Hardware- und Softwarekomponenten identifiziert. Bereits in dieser Elementarphase, in der die Systemarchitektur und ein Integrationsplan erarbeitet werden, ist auf eine adäquate Berücksichtigung der Sicherheitsanforderungen zu achten.

469

Aus Sicht der IT-Sicherheit ist es insbesondere wichtig, dass bereits im SystemEntwurf eine klare und wirksame Trennung zwischen IT-sicherheitsspezifischen, ITsicherheitsrelevanten und anderen Komponenten getroffen wird. Eine klare Trennung unterstützt die Sicherstellung der Korrektheit der weiteren Entwicklungsschritte und erleichtert eine eventuelle Evaluierung der Sicherheit des Systems (etwa nach [ITSEC] oder [Common Criteria] ). Dabei bedeuten:

• •

IT-sicherheitsspezifische Komponenten: Komponenten, die unmittelbar zur Durchsetzung der IT-Sicherheit beitragen IT-sicherheitsrelevante Komponenten: Komponenten, die nicht unmittelbar zur IT-Sicherheit beitragen, deren Fehlverhalten oder Missbrauch jedoch die Sicherheit gefährden kann.

Die Schnittstellen der IT-Sicherheitsmaßnahmen zu den beteiligten Architekturelementen müssen dokumentiert werden.

SW-Grobentwurf und SW-Feinentwurf:
Diese Elementarphasen des Entwicklungsprozesses beziehen sich auf die Verfeinerung des Systementwurfes bis hin zu einem Detaillierungsgrad, der als Basis für die Programmierung (und/oder Hardwarekonstruktion) verwendet werden kann. Aus Sicht der IT-Sicherheit sind hier insbesondere

• • •

die Abhängigkeiten der IT-Sicherheitsfunktionen, die Wechselwirkungen der IT-Sicherheitsmechanismen, die zur Realisierung der IT-Sicherheitsfunktionen gewählt wurden, und die Auswirkungen, die die Realisierung der IT-Sicherheitsfunktionen auf andere SW-Einheiten haben können,

zu untersuchen. Alle Schnittstellen der IT-sicherheitsspezifischen und der IT-sicherheitsrelevanten SW-Komponenten und -Module müssen mit ihrem Zweck und ihren Parametern beschrieben werden. Die Separierung vom nicht IT-sicherheitsrelevanten Teil muss sichtbar sein. Weiter