Österreichisches Informationssicherheitshandbuch

Version 3.1.001 22. November 2010

1

Inhalt
Zum Geleit ..................................................................................................... 19 Vorwort und Management Summary .......................................................... 21
Zur Version 3 des Informationssicherheitshandbuchs ................................................... 21 Management Summary ...................................................................................................... 22 Hauptquellen und Danksagungen .................................................................................... 26

1 Einführung ................................................................................................... 28
1.1 Das Informationssicherheitshandbuch ....................................................................... 28 1.1.1 Ziele des Informationssicherheitshandbuchs ............................................................. 28 1.1.1.1 Ziele der Version 3 ................................................................................................ 29 1.1.2 Scope ......................................................................................................................... 29 1.1.3 Neuheiten der Version 3 ........................................................................................... 30 1.1.4 Quellen, Verträglichkeiten, Abgrenzungen ............................................................... 32 1.1.5 Informations- versus IT-Sicherheit ........................................................................... 35 1.2 Informationssicherheitsmanagement .......................................................................... 36 1.2.1 Ziele des Informationssicherheitsmanagements ........................................................ 36 1.2.2 Aufgaben des Informationssicherheitsmanagements ................................................. 37

2 Informationssicherheits-Management-System (ISMS) ............................ 39
2.1 Der Informationssicherheitsmanagementprozess ...................................................... 39 2.1.1 Entwicklung einer organisationsweiten Informationssicherheitspolitik .................... 41 2.1.2 Risikoanalyse ............................................................................................................. 41 2.1.3 Erstellung eines Sicherheitskonzeptes ....................................................................... 42 2.1.4 Umsetzung des Informationssicherheitsplans ............................................................ 42 2.1.5 Informationssicherheit im laufenden Betrieb ............................................................ 43 2.2 Erstellung von Sicherheitskonzepten ......................................................................... 44 2.2.1 Auswahl von Maßnahmen ......................................................................................... 44 2.2.1.1 Klassifikation von Sicherheitsmaßnahmen ............................................................. 45 2.2.1.2 Ausgangsbasis für die Auswahl von Maßnahmen ................................................. 47 2.2.1.3 Auswahl von Maßnahmen auf Basis einer detaillierten Risikoanalyse .................. 48 2.2.1.4 Auswahl von Maßnahmen im Falle eines Grundschutzansatzes ............................ 49 2.2.1.5 Auswahl von Maßnahmen im Falle eines kombinierten Risikoanalyseansatzes .............................................................................................................................................. 49

2

2.2.1.6 Bewertung von Maßnahmen .................................................................................. 50 2.2.1.7 Rahmenbedingungen .............................................................................................. 51 2.2.2 Risikoakzeptanz ......................................................................................................... 51 2.2.3 Sicherheitsrichtlinien ................................................................................................. 53 2.2.3.1 Aufgaben und Ziele ................................................................................................ 53 2.2.3.2 Inhalte ..................................................................................................................... 53 2.2.3.3 Fortschreibung der Sicherheitsrichtlinien ............................................................... 54 2.2.3.4 Verantwortlichkeiten .............................................................................................. 54 2.2.4 Informationssicherheitspläne für jedes System ......................................................... 55 2.2.5 Fortschreibung des Sicherheitskonzeptes .................................................................. 56 2.3 Umsetzung des Informationssicherheitsplans ............................................................ 57 2.3.1 Implementierung von Maßnahmen ........................................................................... 57 2.3.2 Sensibilisierung (Security Awareness) ...................................................................... 60 2.3.3 Schulung .................................................................................................................... 61 2.3.4 Akkreditierung ........................................................................................................... 63 2.4 Informationssicherheit im laufenden Betrieb ............................................................ 64 2.4.1 Aufrechterhaltung des erreichten Sicherheitsniveaus ................................................ 64 2.4.2 Wartung und administrativer Support von Sicherheitseinrichtungen ........................ 65 2.4.3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) ....................................... 66 2.4.4 Fortlaufende Überwachung der IT-Systeme (Monitoring) ........................................ 67

3 Managementverantwortung und Aufgaben beim ISMS .......................... 69
3.1 Verantwortung der Managementebene ..................................................................... 69 3.1.1 Generelle Managementaufgaben beim ISMS ............................................................ 69 3.2 Ressourcenmanagement .............................................................................................. 71 3.2.1 Bereitstellung von Ressourcen .................................................................................. 71 3.2.2 Schulung und Awareness .......................................................................................... 74 3.3 Interne ISMS Audits ................................................................................................... 78 3.3.1 Planung und Vorbereitung interner Audits ............................................................... 79 3.3.2 Durchführung interner Audits ................................................................................... 81 3.3.3 Ergebnis und Auswertung interner Audits ................................................................ 83 3.4 Management-Review des ISMS .................................................................................. 86 3.4.1 Management-Review Methoden ................................................................................ 87 3.4.1.1 Review der Strategie und des Sicherheitskonzepts ................................................ 88 3

3.4.1.2 Review der Sicherheitsmaßnahmen ....................................................................... 89 3.4.2 Management-Review Ergebnis und Auswertung ...................................................... 90 3.5 Verbesserungsprozess beim ISMS .............................................................................. 91 3.5.1 Grundlagen für Verbesserungen ................................................................................ 91 3.5.2 Entscheidungs- und Handlungsbedarf ....................................................................... 92

4 Risikoanalyse ............................................................................................... 95
4.1 Risikoanalysestrategien ................................................................................................ 95 4.2 Detaillierte Risikoanalyse ............................................................................................ 96 4.2.1 Abgrenzung des Analysebereiches ............................................................................ 98 4.2.2 Identifikation der bedrohten Objekte (Werte, assets) ................................................ 99 4.2.3 Wertanalyse (Impact Analyse) ................................................................................ 100 4.2.3.1 Festlegung der Bewertungsbasis für Sachwerte ................................................... 100 4.2.3.2 Festlegung der Bewertungsbasis für immaterielle Werte ..................................... 101 4.2.3.3 Ermittlung der Abhängigkeiten zwischen den Objekten ...................................... 101 4.2.3.4 Bewertung der bedrohten Objekte ........................................................................ 102 4.2.4 Bedrohungsanalyse .................................................................................................. 102 4.2.4.1 Identifikation möglicher Bedrohungen ................................................................. 103 4.2.4.2 Bewertung möglicher Bedrohungen ..................................................................... 104 4.2.5 Schwachstellenanalyse ............................................................................................ 105 4.2.6 Identifikation bestehender Sicherheitsmaßnahmen ................................................. 106 4.2.7 Risikobewertung ...................................................................................................... 107 4.2.8 Auswertung und Aufbereitung der Ergebnisse ....................................................... 108 4.3 Grundschutzansatz ..................................................................................................... 108 4.3.1 Die Idee des IT-Grundschutzes ............................................................................... 109 4.3.2 Grundschutzanalyse und Auswahl von Maßnahmen ............................................... 110 4.3.2.1 Modellierung ........................................................................................................ 110 4.3.2.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen ........... 112 4.3.3 Vorgehen bei Abweichungen .................................................................................. 112 4.3.4 Dokumentation der Ergebnisse ............................................................................... 113 4.4 Kombinierter Ansatz ................................................................................................. 113 4.4.1 Festlegung von Schutzbedarfskategorien ................................................................ 115 4.4.2 Schutzbedarfsfeststellung ........................................................................................ 119 4.4.2.1 Erfassung aller vorhandenen oder geplanten IT-Systeme .................................... 120 4

4.4.2.2 Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen IT-Systemen ............................................................................................................................................ 120 4.4.2.3 Schutzbedarfsfeststellung für jedes IT-System .................................................... 121 4.4.3 Durchführung von Grundschutzanalysen und detaillierten Risikoanalysen ............ 121 4.5 Akzeptables Restrisiko .............................................................................................. 122 4.6 Akzeptanz von außergewöhnlichen Restrisiken ...................................................... 122

5 Informationssicherheits-Politik ................................................................ 124
5.1 Aufgaben und Ziele einer Informationssicherheits-Politik .................................... 124 5.2 Inhalte der Informationssicherheits-Politik ............................................................. 125 5.2.1 Informationssicherheitsziele und -strategien ........................................................... 125 5.2.2 Management Commitment ...................................................................................... 127 5.2.3 Organisation und Verantwortlichkeiten für Informationssicherheit ........................ 128 5.2.3.1 Die/der IT-Sicherheitsbeauftragte ........................................................................ 129 5.2.3.2 Das Informationssicherheits-Management-Team ................................................. 130 5.2.3.3 Die Bereichs-IT-Sicherheitsbeauftragten .............................................................. 130 5.2.3.4 Applikations-/Projektverantwortliche ................................................................... 131 5.2.3.5 Die/der Informationssicherheitsbeauftragte .......................................................... 132 5.2.3.6 Weitere Pflichten und Verantwortungen im Bereich Informationssicherheit ....... 132 5.2.3.7 Informationssicherheit und Datenschutz .............................................................. 133 5.2.4 Risikoanalysestrategien, akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken ........................................................................................ 133 5.2.5 Klassifizierung von Informationen .......................................................................... 135 5.2.5.1 Definition der Sicherheitsklassen ......................................................................... 135 5.2.5.2 Festlegung der Verantwortlichkeiten und der Vorgehensweise für klassifizierte Informationen .................................................................................................................... 137 5.2.5.3 Erarbeitung von Regelungen zum Umgang mit klassifizierten Informationen 137 ..... 5.2.6 Klassifizierung von IT-Anwendungen und IT-Systemen, Grundzüge der Business Continuity Planung ........................................................................................................... 138 5.2.7 Überprüfung und Aufrechterhaltung der Sicherheit ................................................ 140 5.2.8 Dokumente zur Informationssicherheit ................................................................... 140 5.3 Life Cycle der Informationssicherheits-Politik ....................................................... 140 5.3.1 Erstellung der Informationssicherheits-Politik ........................................................ 140 5.3.2 Offizielle Inkraftsetzung der Informationssicherheits-Politik ................................. 141 5.3.3 Regelmäßige Überarbeitung .................................................................................... 141 5

6 Organisation .............................................................................................. 143
6.1 Interne Organisation .................................................................................................. 143 6.1.1 Management - Verantwortung ................................................................................ 143 6.1.1.1 Zusammenwirken verantwortliches Management - Mitarbeiter/innen - Gremien ............................................................................................................................................ 144 6.1.2 Koordination ............................................................................................................ 146 6.1.3 Definierte Verantwortlichkeiten für Informationssicherheit .................................... 147 6.1.4 Benutzungsgenehmigung für Informationsverarbeitung ......................................... 148 6.1.5 Vertraulichkeitsvereinbarungen ............................................................................... 150 6.1.6 Kontaktpflege mit Behörden und Gremien ............................................................. 151 6.1.7 Unabhängige Audits der Sicherheitsmaßnahmen .................................................... 152 6.1.8 Berichtswesen .......................................................................................................... 156 6.2 Zusammenarbeit mit Externen ................................................................................. 157 6.2.1 Outsourcing ............................................................................................................. 157 6.2.2 Gefährdungen beim Outsourcing ............................................................................ 158 6.2.3 Outsourcing Planungs- und Betriebsphasen ............................................................ 160

7 Vermögenswerte und Klassifizierung von Informationen ..................... 171
7.1 Vermögenswerte ......................................................................................................... 171 7.1.1 Inventar der Vermögenswerte (Assets) mittels Strukturanalyse .............................. 171 7.1.1.1 Erfassung Geschäftsprozessen, Anwendungen und Informationen ...................... 173 7.1.1.2 Erfassung von Datenträgern und Dokumenten ..................................................... 174 7.1.1.3 Erhebung der IT-Systeme ..................................................................................... 175 7.1.1.4 Netzplan ................................................................................................................ 176 7.1.1.5 Erfassung der Gebäude und Räume ..................................................................... 177 7.1.1.6 Aktualisierung der Strukturanalyse ...................................................................... 178 7.1.2 Eigentum von Vermögenswerten ............................................................................ 179 7.1.2.1 Verantwortiche für Vermögenswerte (Assets) ..................................................... 180 7.1.2.2 Aufgaben der Eigentümer und Verantwortlichen ................................................. 180 7.1.3 Zulässige Nutzung von Vermögenswerten .............................................................. 181 7.1.3.1 Herausgabe einer PC-Richtlinie ........................................................................... 181 7.1.3.2 Einführung eines PC-Checkheftes ........................................................................ 182 7.1.3.3 Geeignete Aufbewahrung tragbarer IT-Systeme .................................................. 183

6

7.1.3.4 Mitnahme von Datenträgern und IT-Komponenten ............................................. 185 7.1.3.5 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Videokameras ................................................................................................................... 186 7.1.3.6 Absicherung von Wechselmedien ........................................................................ 187 7.2 Klassifizierung von Informationen ........................................................................... 188

8 Personelle Sicherheit ................................................................................. 190
8.1 Regelungen für Mitarbeiter/innen ............................................................................ 190 8.1.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ........................................................................................... 190 8.1.2 Aufnahme der sicherheitsrelevanten Aufgaben und Verantwortlichkeiten in die Stellenbeschreibung .......................................................................................................... 191 8.1.3 Vertretungsregelungen ............................................................................................. 191 8.1.4 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeiterinnen/Mitarbeitern ............................................................................................................................................ 192 8.1.5 Geregelte Verfahrensweise bei Versetzung eines Mitarbeiters ............................... 193 8.1.6 Gewährleistung eines positiven Betriebsklimas ...................................................... 194 8.1.7 Clear Desk Policy ................................................................................................... 194 8.1.8 Benennung eines vertrauenswürdigen Administrators und Vertreterin/Vertreters ............................................................................................................................................ 195 8.1.9 Verpflichtung der PC-Benutzer/innen zum Abmelden ............................................ 195 8.1.10 Kontrolle der Einhaltung der organisatorischen Vorgaben ................................... 196 8.1.11 Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen .................... 196 8.2 Regelungen für den Einsatz von Fremdpersonal .................................................... 197 8.2.1 Regelungen für den kurzfristigen Einsatz von Fremdpersonal ................................ 197 8.2.2 Verpflichtung externer Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ........................................................................................... 197 8.2.3 Beaufsichtigung oder Begleitung von Fremdpersonen ............................................ 197 8.2.4 Information externer Mitarbeiter/innen über die IT-Sicherheitspolitik ................... 198 8.3 Sicherheitssensibilisierung und -schulung ............................................................... 198 8.3.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter/innen .................................. 198 8.3.2 Schulung vor Programmnutzung ............................................................................. 199 8.3.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ................................ 199 8.3.4 Betreuung und Beratung von IT-Benutzerinnen/IT-Benutzern ............................... 202 8.3.5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne) ........ 203 8.3.6 Schulung des Wartungs- und Administrationspersonals ......................................... 203 7

8.3.8 Einweisung in die Regelungen der Handhabung von Kommunikationsmedien...... 204 8.3.9 Einweisung in die Bedienung von Schutzschränken ............................................... 205

9 Physische und umgebungsbezogene Sicherheit ...................................... 207
9.1 Bauliche und infrastrukturelle Maßnahmen ........................................................... 208 9.1.1 Geeignete Standortauswahl ..................................................................................... 208 9.1.2 Anordnung schützenswerter Gebäudeteile .............................................................. 208 9.1.3 Einbruchsschutz ....................................................................................................... 209 9.1.4 Zutrittskontrolle ....................................................................................................... 210 9.1.5 Verwaltung von Zutrittskontrollmedien .................................................................. 212 9.1.6 Portierdienst ............................................................................................................. 213 9.1.7 Einrichtung einer Postübernahmestelle ................................................................... 213 9.1.8 Perimeterschutz ....................................................................................................... 214 9.2 Brandschutz ................................................................................................................ 215 9.2.1 Einhaltung von Brandschutzvorschriften und Auflagen .......................................... 215 9.2.2 Raumbelegung unter Berücksichtigung von Brandlasten ........................................ 215 9.2.3 Organisation Brandschutz ....................................................................................... 216 9.2.4 Brandabschottung von Trassen ............................................................................... 216 9.2.5 Verwendung von Brandschutztüren und Sicherheitstüren ....................................... 217 9.2.6 Brandmeldeanlagen ................................................................................................. 218 9.2.7 Brandmelder ............................................................................................................ 218 9.2.8 Handfeuerlöscher (Mittel der Ersten und Erweiterten Löschhilfe) .......................... 219 9.2.9 Löschanlagen ........................................................................................................... 220 9.2.10 Brandschutzbegehungen ........................................................................................ 221 9.2.11 Rauchverbot ........................................................................................................... 221 9.2.12 Rauchschutzvorkehrungen ..................................................................................... 221 9.3 Stromversorgung, Maßnahmen gegen elektrische und elektromagnetische Risiken ............................................................................................................................... 222 9.3.1 Angepasste Aufteilung der Stromkreise .................................................................. 222 9.3.2 Not-Aus-Schalter ..................................................................................................... 222 9.3.3 Zentrale Notstromversorgung .................................................................................. 223 9.3.4 Lokale unterbrechungsfreie Stromversorgung ........................................................ 223 9.3.5 Blitzschutzeinrichtungen (Äußerer Blitzschutz) ...................................................... 224 9.3.6 Überspannungsschutz (Innerer Blitzschutz) ............................................................ 225 8

9.3.7 Schutz gegen elektromagnetische Einstrahlung ...................................................... 225 9.3.8 Schutz gegen kompromittierende Abstrahlung ....................................................... 226 9.3.9 Schutz gegen elektrostatische Aufladung ................................................................ 228 9.4 Leitungsführung ......................................................................................................... 228 9.4.1 Lagepläne der Versorgungsleitungen ...................................................................... 228 9.4.2 Materielle Sicherung von Leitungen und Verteilern ............................................... 229 9.4.3 Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen ..................... 230 9.4.4 Auswahl geeigneter Kabeltypen .............................................................................. 230 9.4.5 Schadensmindernde Kabelführung .......................................................................... 231 9.4.6 Vermeidung von wasserführenden Leitungen ......................................................... 231 9.5 Geeignete Aufstellung und Aufbewahrung .............................................................. 232 9.5.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems ............................................ 233 9.5.2 Geeignete Aufstellung eines Servers ....................................................................... 233 9.5.3 Geeignete Aufstellung von Netzwerkkomponenten ................................................ 234 9.5.4 Nutzung und Aufbewahrung mobiler IT-Geräte ..................................................... 235 9.5.5 Sichere Aufbewahrung der Datenträger vor und nach Versand .............................. 236 9.5.6 Serverräume ............................................................................................................. 236 9.5.7 Beschaffung und Einsatz geeigneter Schutzschränke .............................................. 237 9.6 Weitere Schutzmaßnahmen ...................................................................................... 240 9.6.1 Einhaltung einschlägiger Normen und Vorschriften ............................................... 240 9.6.2 Regelungen für Zutritt zu Verteilern ....................................................................... 240 9.6.3 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile ........................ 241 9.6.4 Geschlossene Fenster und Türen ............................................................................. 241 9.6.5 Alarmanlage ............................................................................................................. 242 9.6.6 Fernanzeige von Störungen ..................................................................................... 242 9.6.7 Klimatisierung ......................................................................................................... 243 9.6.8 Selbsttätige Entwässerung ....................................................................................... 243 9.6.9 Videounterstützte Überwachung ............................................................................. 243 9.6.10 Aktualität von Plänen ............................................................................................ 244 9.6.11 Vorgaben für ein Rechenzentrum ......................................................................... 244

10 Sicherheitsmanagement in Kommunikation und Betrieb ................... 245
10.1 IT-Sicherheitsmanagement ...................................................................................... 245 10.1.1 Etablierung eines IT-Sicherheits-Management-Prozesses ..................................... 245 9

10.1.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik ................ 247 10.1.3 Erarbeitung von IT-Systemsicherheitspolitiken .................................................... 247 10.1.4 Festlegung von Verantwortlichkeiten .................................................................... 248 10.1.5 Funktionstrennung ................................................................................................. 250 10.1.6 Einrichtung von Standardarbeitsplätzen ................................................................ 250 10.1.7 Akkreditierung von IT-Systemen .......................................................................... 252 10.1.8 Change Management ............................................................................................. 252 10.1.8.1 Reaktion auf Änderungen am IT-System ........................................................... 253 10.1.8.2 Software-Änderungskontrolle ............................................................................. 254 10.2 Dokumentation ........................................................................................................ 254 10.2.1 Dokumentation von Software ................................................................................ 254 10.2.2 Sourcecodehinterlegung ......................................................................................... 256 10.2.3 Dokumentation der Systemkonfiguration .............................................................. 257 10.2.4 Dokumentation der Datensicherung ...................................................................... 258 10.2.5 Dokumentation und Kennzeichnung der Verkabelung .......................................... 259 10.2.6 Neutrale Dokumentation in den Verteilern ........................................................... 260 10.3 Dienstleistungen durch Dritte (Outsourcing) ....................................................... 261 10.3.1 Festlegung einer Outsourcing-Strategie ................................................................ 262 10.3.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben ................... 266 10.3.3 Wahl eines geeigneten Outsourcing-Dienstleisters ............................................... 268 10.3.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister ......................................... 270 10.3.5 Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben .............. 275 10.3.6 Notfallvorsorge beim Outsourcing ........................................................................ 279 10.4 Schutz vor Schadprogrammen und Schadfunktionen ......................................... 281 10.4.1 Erstellung eines Virenschutzkonzepts ................................................................... 282 10.4.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall .................................. 282 10.4.3 Empfohlene Virenschutzmaßnahmen auf Firewall-Ebene .................................... 283 10.4.4 Empfohlene Virenschutzmaßnahmen auf Server-Ebene ....................................... 284 10.4.5 Empfohlene Virenschutzmaßnahmen auf Client-Ebene und Einzelplatzrechnern ............................................................................................................................................ 284 10.4.6 Vermeidung bzw. Erkennung von Viren durch den Benutzer ............................... 285 10.4.7 Erstellung von Notfallplänen im Fall von Vireninfektionen ................................. 287 10.4.8 Auswahl und Einsatz von Virenschutzprogrammen .............................................. 288 10

10.4.9 Verhaltensregeln bei Auftreten eines Virus .......................................................... 290 10.4.10 Warnsystem für Computerviren – Aktualisierung von Virenschutzprogrammen ............................................................................................................................................ 291 10.4.11 Schutz vor aktiven Inhalten ................................................................................. 291 10.4.12 Sicherer Aufruf ausführbarer Dateien ................................................................. 294 10.4.13 Vermeidung gefährlicher Dateiformate ............................................................... 296 10.5 Datensicherung ......................................................................................................... 298 10.5.1 Regelmäßige Datensicherung ................................................................................ 298 10.5.2 Entwicklung eines Datensicherungskonzeptes ...................................................... 300 10.5.3 Festlegung des Minimaldatensicherungskonzeptes ............................................... 300 10.5.4 Datensicherung bei Einsatz kryptographischer Verfahren .................................... 301 10.5.5 Geeignete Aufbewahrung der Backup-Datenträger ............................................... 303 10.5.6 Sicherungskopie der eingesetzten Software .......................................................... 303 10.5.7 Beschaffung eines geeigneten Datensicherungssystems ....................................... 304 10.5.8 Datensicherung bei mobiler Nutzung eines IT-Systems ....................................... 305 10.5.9 Verpflichtung der Mitarbeiter/innen zur Datensicherung ...................................... 307 10.6 Netzsicherheit ........................................................................................................... 307 10.6.1 Sicherstellung einer konsistenten Systemverwaltung ............................................ 307 10.6.2 Ist-Aufnahme der aktuellen Netzsituation ............................................................. 308 10.6.3 Analyse der aktuellen Netzsituation ...................................................................... 309 10.6.4 Entwicklung eines Netzkonzeptes ......................................................................... 310 10.6.5 Entwicklung eines Netzmanagementkonzeptes ..................................................... 312 10.6.6 Sicherer Betrieb eines Netzmanagementsystems .................................................. 313 10.6.7 Sichere Konfiguration der aktiven Netzkomponenten .......................................... 314 10.6.8 Festlegung einer Sicherheitsstrategie für ein Client-Server-Netz .......................... 315 10.6.9 Wireless LAN (WLAN) ........................................................................................ 318 10.6.10 Remote Access (VPN) - Konzeption .................................................................. 321 10.6.10.1 Durchführung einer VPN-Anforderungsanalyse .............................................. 323 10.6.10.2 Entwicklung eines VPN-Konzeptes ................................................................. 325 10.6.10.3 Auswahl einer geeigneten VPN-Systemarchitektur .......................................... 331 10.6.11 Remote Access (VPN) - Implementierung .......................................................... 340 10.6.11.1 Sichere Installation des VPN-Systems ............................................................. 341 10.6.11.2 Sichere Konfiguration des VPN-Systems ......................................................... 342 11

10.6.12 Sicherer Betrieb des VPN-Systems ..................................................................... 343 10.6.13 Entwicklung eines Firewallkonzeptes ................................................................. 346 10.6.14 Installation einer Firewall .................................................................................... 350 10.6.15 Sicherer Betrieb einer Firewall ........................................................................... 351 10.6.16 Firewalls und aktive Inhalte ................................................................................ 353 10.6.17 Firewalls und Verschlüsselung ............................................................................ 354 10.6.18 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation ....................... 355 10.7 Betriebsmittel und Datenträger .............................................................................. 358 10.7.1 Betriebsmittelverwaltung ....................................................................................... 358 10.7.2 Datenträgerverwaltung ........................................................................................... 360 10.7.3 Datenträgeraustausch ............................................................................................. 361 10.8 Informationsaustausch / E-Mail ............................................................................. 363 10.8.1 Richtlinien beim Datenaustausch mit Dritten ....................................................... 363 10.8.2 Festlegung einer Sicherheitspolitik für E-Mail-Nutzung ....................................... 364 10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten ...... 366 10.8.4 Sicherer Betrieb eines Mail-Servers ...................................................................... 369 10.8.5 Einrichtung eines Postmasters ............................................................................... 371 10.8.6 Geeignete Auswahl eines E-Mail-Clients/Server .................................................. 371 10.8.7 Sichere Konfiguration der Mailclients .................................................................. 373 10.8.8 Verwendung von WebMail externer Anbietern .................................................... 373 10.9 Internet-, Web, E-Commerce, E-Government ...................................................... 375 10.9.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet) .................................... 375 10.9.2 Erstellung einer Internet-Sicherheitspolitik ........................................................... 376 10.9.3 Festlegung einer WWW-Sicherheitsstrategie ........................................................ 379 10.9.4 Sicherer Betrieb eines WWW-Servers .................................................................. 380 10.9.5 Sicherheit von WWW-Browsern ........................................................................... 382 10.9.6 Schutz der WWW-Dateien .................................................................................... 388 10.9.7 Einsatz von Stand-alone-Systemen zur Nutzung des Internets .............................. 390 10.9.8 Sichere Nutzung von E-Commerce bzw. E-Government Applikationen ............... 390 10.9.9 Portalverbundsystem in der öffentlichen Verwaltung ........................................... 392 10.10 Protokollierung und Monitoring .......................................................................... 393 10.10.1 Erstellung von Protokolldateien .......................................................................... 393 10.10.2 Datenschutzrechtliche Aspekte bei der Erstellung von Protokolldateien ............. 395 12

10.10.3 Kontrolle von Protokolldateien ........................................................................... 396 10.10.4 Rechtliche Aspekte bei der Erstellung und Auswertung von Protokolldateien zur E-Mail- und Internetnutzung ...................................................................................... 397 10.10.5 Audit und Protokollierung der Aktivitäten im Netz ............................................ 399 10.10.6 Intrusion Detection Systeme ............................................................................... 402 10.10.7 Zeitsynchronisation .............................................................................................. 403

11 Zugriffskontrolle, Berechtigungssysteme, Schlüssel- und Passwortverwaltung ...................................................................................... 404
11.1 Zugriffskontrollpolitik ............................................................................................. 404 11.1.1 Grundsätzliche Festlegungen zur Rechteverwaltung ............................................. 404 11.2 Benutzerverwaltung ................................................................................................. 405 11.2.1 Vergabe und Verwaltung von Zugriffsrechten ...................................................... 405 11.2.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ..................................................................................................................... 406 11.2.3 Organisatorische Regelungen für Zugriffsmöglichkeiten in Vertretungs- bzw. Notfällen ........................................................................................................................... 408 11.3 Verantwortung der Benutzer / Benutzerinnen ...................................................... 409 11.3.1 Regelungen des Passwortgebrauches .................................................................... 409 11.3.2 Bildschirmsperre .................................................................................................... 410 11.4 Fernzugriff ................................................................................................................ 411 11.4.1 Nutzung eines Authentisierungsservers beim Fernzugriff ..................................... 412 11.4.2 Einsatz geeigneter Tunnel-Protokolle für die VPN-Kommunikation .................... 414 11.4.3 Einsatz von Modems und ISDN-Adaptern ............................................................ 415 11.4.4 Geeignete Modem-Konfiguration .......................................................................... 417 11.4.5 Aktivierung einer vorhandenen Callback-Option .................................................. 418 11.5 Zugriff auf Betriebssysteme .................................................................................... 419 11.5.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung ................................ 419 11.5.2 Nutzung der BIOS-Sicherheitsmechanismen ........................................................ 420 11.6 Zugriff auf Anwendungen und Informationen ...................................................... 421 11.6.1 Wahl geeigneter Mittel zur Authentisierung ......................................................... 422 11.6.2 Regelungen des Gebrauchs von Chipkarten .......................................................... 424 11.6.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen 426 .... 11.7 Mobile Computing und Telarbeit ........................................................................... 428 11.7.1 Mobile IT-Geräte ................................................................................................... 430 11.7.1.1 Laptop, Notebook ............................................................................................... 432 13

.7........ 474 12.....................................7... 452 11......................4 Entwicklungsumgebung .....7..11 Informationsfluss......1........................12 Vertretungsregelung für Telearbeit ......................................... 465 12....................1................1.............................. Betrieb und Wartung eines IT-Systems .7...................7.......................................1..10 Sicherheitstechnische Anforderungen an den Kommunikationsrechner ... 459 12 Sicherheit in Entwicklung.......... 454 11..........................6 Testen von Software ................................................ 457 11.....3 Regelungen für Telearbeit ....................................7......................5 Entwicklung eines Testplans für Standardsoftware ......... 456 11................................................1.............................. Meldewege und Fortbildung ..........1.........und Wartungskonzept für Telearbeitsplätze ...13 Entsorgung von Datenträgern und Dokumenten ........1 IT-Sicherheit in der System-Anforderungsanalyse .......7................. DVDs) ...........................1 Sicherheit im gesamten Lebenszyklus eines IT-Systems ..... 471 12..................4 Regelung des Dokumenten....................9 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner....................................................1......................... 479 12................... 476 12................... 448 11........6 Betreuungs.7..................................................1.......................................... 469 12...3 Mobiltelefon.......................... 459 11..........7...................1............ -Platten....... 445 11...........7.................... 461 12.........................7. 451 11......................................... 448 11.....10 Lizenzverwaltung und Versionskontrolle von Standardsoftware .............................................1................................7....................................... 480 12...........Institution ......2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes ................................................................... 450 11.... Smart Phone ..............2 Durchführung einer Risikoanalyse und Festlegung der ITSicherheitsanforderungen ................1.......................................... 460 12...... 454 11.............................8 Installation und Konfiguration von Software ...................................... CDs.. 440 11..............................2 PDA (Personal Digital Assistant) ............... 451 11.......1...................1....7.....................................5 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger ............................7........................... 467 12....... 481 14 ............................ 478 12....... 436 11....................7 Abnahme und Freigabe von Software ..........1...........................................3 IT-Sicherheit in Design und Implementierung ....4 Wechselmedien und externe Datenspeicher (USB-Sticks.........9 Sicherstellen der Integrität von Software ...8 Regelung der Zugriffsmöglichkeiten von Telearbeiter/innen ......................................11 Deinstallation von Software ..................7.....................und Datenträgertransports zwischen häuslichem Arbeitsplatz und Institution ..........11............ 472 12..................................................7 Geregelte Nutzung der Kommunikationsmöglichkeiten .............

....................................................6 Software-Pflege....................................... 513 12................3 Einsatz von Software ... 491 12...............4...........2 Regelungen für externe Wartungsarbeiten .......................................8 Einsatz elektronischer Signaturen .........................7......6.....................................................................1 Verifizieren der zu übertragenden Daten vor Weitergabe .............................3 Auswahl eines geeigneten kryptographischen Verfahrens .......2 Nutzungsverbot privater Hard........... 487 12.................................................................................................................4 Korrekte Verarbeitung . sicherheitsrelevante Ereignisse (Incident Handling) .................................................................................6...........6............................................... 481 12........... 485 12........................ 495 12.... 487 12... 511 12..................und Software-Komponenten ............... 485 12........7.........3............3................. 489 12...............6......... 516 12.1 Überlegungen zu Informationssicherheits-Ereignissen ..................3............. 483 12..................................................4 Update von Software ......................7 Schlüssel-Management ...............................................................................6. 484 12..................................... 501 12......................2 Sorgfältige Durchführung von Konfigurationsänderungen ..................................... 517 12.....6 Einsatz kryptographischer Maßnahmen ..... 521 13...............1 Regelungen für Wartungsarbeiten im Haus ............................................................................6...7 Wartung ...2 Bedarfserhebung für den Einsatz kryptographischer Verfahren und Produkte.5 Sicherheit von Systemdateien .......1 Systemdateien .....5 Update/Upgrade von Soft...............................6.3.................................................................. 521 15 ..............2...........5.......................... 483 12...............................................................und -Änderungskonzept .............. 484 12.............4 Wartung und administrativer Support von Sicherheitseinrichtungen ...... 493 12................. 481 12................. 515 12.....1.................... 489 12.....1 Beachtung des Beitrags der Zertifizierung für die Beschaffung .............. 489 12................... 505 12....7................................................ 506 12.........................................und Hardware im Netzbereich .............................................6..12............................4 Auswahl eines geeigneten kryptographischen Produktes .......................... 498 12..............3......................................................1 Nutzungsverbot nicht-freigegebener Software ....................................................1 Reaktion auf Sicherheitsvorfälle bzw............................................7.....6.......................... 514 12...................1 Entwicklung eines Kryptokonzepts .............3......2 Evaluierung und Zertifizierung .....................................6 Physikalische Sicherheit von Kryptomodulen ...........3 Überprüfung des Software-Bestandes ..................9 Zertifizierungsdienste ............. 486 12................ 504 12........................... 521 13...................3 Fernwartung ......................... 519 13 Sicherheitsvorfälle bzw........................5..... Informationssicherheits-Ereignisse (Incident Handling) ......................................5 Regelung des Einsatzes von Kryptomodulen .....

..............10 Ersatzbeschaffungsplan ......................................14 Redundante Auslegung der Netzkomponenten .....5 Definition des eingeschränkten IT-Betriebs (Notlaufplan) ...........................1................................................................................................................................ 559 15..............1 Security Compliance Checking und Monitoring ..........................8 Alarmierungsplan ................... 552 14........................................2............................ 544 14............. 548 14........... 556 14................................. 523 13......1...................................1......................................3 Benennung einer/eines Notfall-Verantwortlichen .............................1 Security Compliance Checking und Monitoring ...... 556 14.13...............2 Übungen zur Datenrekonstruktion ........... 548 14............ 549 14........7 Untersuchung interner und externer Ausweichmöglichkeiten .....................12 Abschließen von Versicherungen .............................1.............6 Regelung der Verantwortung im Notfall .................. 557 15 Security Compliance .......1.............2 Erstellung einer Übersicht über Verfügbarkeitsanforderungen . 543 14.....................................................1.13 Redundante Leitungsführung ........................3 Erstellung eines Incident Handling Plans und Richtlinien zur Behandlung von Sicherheitsvorfällen ........................2 Festlegung von Verantwortlichkeiten bei Informationssicherheits-Ereignissen ..... 559 15........1...1..........2 Umsetzung und Test ............................................. 554 14..............4 Prioritäten bei der Behandlung von Sicherheitsvorfällen ........................................ 526 13.................................................................. 552 14..........1.............................9 Erstellung eines Wiederanlaufplans ............. 560 16 ............................................8 Nachbereitung von Sicherheitsvorfällen (Lessons Learned) ........ 529 13.........1 Definition von Verfügbarkeitsklassen .1.................... 539 14 Disaster Recovery und Business Continuity ...................1...... 531 13............. 533 13................6 Behebung von Sicherheitsvorfällen ..........................................1.................................................1....1............... 555 14......................... 543 14..................7 Eskalation von Sicherheitsvorfällen ...........1....................................................... 551 14..............................................1...........................9 Computer Emergency Response Team (CERT) ......1.....4 Erstellung eines Disaster Recovery Handbuches ............................................... 528 13.....2 Überprüfung auf Einhaltung der Sicherheitspolitiken .......2....................... 547 14..............1...................1...............................................................................................................................................................................1... 550 14...............................11 Lieferantenvereinbarungen ......5 Meldewege bei Sicherheitsvorfällen ...................... 537 13.1 Durchführung von Disaster Recovery Übungen ..................................... 543 14........1....................................................1. 559 15............1........... 546 14................ 546 14..................1.................................................................1 Einhaltung von rechtlichen und betrieblichen Vorgaben ...

......1 Sicherheitsszenarien ..............................................1............................. 573 A.........................3.1........... 599 A......3................ 564 15.....2......................................................................................... 568 A..... 600 17 ................................. 567 A..1 Konzept und Funktionen der Bürgerkarte ....................3 Auswertung von Protokolldateien ...5 Durchführung von Sicherheitskontrollen in Client-Server-Netzen ............. 575 A............3 Vollmachten ..................1....1... 592 A.Amtssignatur .........................8 Schlüsselverteilungszentralen ..................6 Kontrollgänge ................................................1..............................................................................3.........................................................................5 Portalverbund .4 Module für Online Applikationen (MOA) .......................................1....................................1....................................................................................................................................2 Tunneling ..........1................................................. 583 A.................................1.......1.... 587 A..1..........1........ 571 A..............................2 Sicherheitstechnologien ..4........3 MOA ZS ................2......................4.............................................1..........1.......................................3..............4 MOA AS ......... 563 15.. 586 A.. 594 A.........................5 Authentizitätsnachweise .... 578 A............. 581 A...............1....1 Kryptographische Methoden ......................................................2...................1...................3 Sicherheitsfunktionen für E-Government in Österreich ............................. 584 A...........1......1.....................3...............2.............. 580 A............und Verteidigungsdoktrin – Teilstrategie IKTSicherheit ...........................................................................2 Rechtlicher Hintergrund ..........................................2 Österreichische Sicherheits.................1 Industrielle Sicherheit ...2.........1.......3...........................7 Schlüsselmanagement ................................6 Digitale Signaturen.............................. 586 A.........................................1 MOA-ID Identifikation .1. 598 A....................1.... 574 A....................2..........1....................................................15............1 Beschreibung der generellen Anforderungen ..1................2.... 586 A................................2.3....... 595 A....4 Kontrolle bestehender Verbindungen ...........................................2 Personenkennzeichen und Stammzahlen .........................1...1............. 586 A..........1 Elemente der Kryptographie ...................... 567 A..........................................3 Verschlüsselung .......................... Elektronische Signaturen ..............4 Integritätsschutz ..Signaturerstellung am Server ....3 Ausstellung einer Sicherheitsunbedenklichkeitsbescheinigung ........1..........................................7 Fortlaufende Überwachung der IT-Systeme (Monitoring) .................................2 MOA SP ..............................................3..................4.............................2............................................Zustellung ......1......... 562 15.............................. 565 A....1........2 Kryptographische Grundziele .1.........Signaturprüfung (MOA SP) / MOA SS ................ 580 A...............3.........................4.......................... 583 A...........1........2.................................................................................. 560 15...............1..................................... 584 A.... 567 A........

.....................3 Virtualisierung ...........3....... 614 A.....2........................................................3.....3......................................................... 605 A..........................3............................................3......A..........................................2.....................2...............2 Referenzdokumente .........................2.................... 645 F Wichtige Adressen ...............................2..................3.....................2.............................................1 Wichtige Normen ................................................... 603 A........ Wertbehältnisse ....................................2............. 611 A................................................................ 600 A................................................................................... 626 Brandschutz ...........2..................................... 643 IKT-Board Beschlüsse ...2............... 621 B Muster für Verträge.......... Verpflichtungserklärungen und Dokumentationen .1 Einführung in die Virtualisierung .....................2.................................2......................................3....... 625 C...............3...................... Vernichtung von Akten und Daten ...................... 603 A........6 Anpassung der Infrastruktur im Zuge der Virtualisierung ................................1 Tunnel-Protokolle für die VPN-Kommunikation .......................................................................................................................... 616 A............................................ 609 A..............................2....................................................... Informationssicherheit und IT-Sicherheit .................... 619 A............4 Planung ....... 639 E Referenzierte IKT-Board Beschlüsse und Gesetze .....................8 Sichere Konfiguration virtueller IT-Systeme ......................................10 Erstellung eines Notfallplans für den Ausfall von Virtualisierungskomponenten . Sicherheitstüren und einbruchhemmende Türen ............................. 626 628 628 629 629 C................................5 Rollen und Verantwortlichkeiten bei der Virtualisierung ...........9 Sicherer Betrieb virtueller Infrastrukturen ....................... 617 A..........2 Anwendungen der Virtualisierungstechnik ...................................7 Aufteilung der Administrationstätigkeiten bei Virtualisierungsservern ...............................................................................................2............................... 643 Gesetzestexte ...... 615 A.... 649 18 ...............................................3......3.....3 Gefährdungen in Zusammenhang mit Virtualisierung .............................................................................................

Aufbau und Inhalt orientieren sich nun nach internationalen Vorgaben und erleichtern damit die Umsetzung von Vorgaben aus der ISO/IEC 27000 Normenreihe. rückt die Frage nach der Sicherheit der Informationen und der Informationstechnologie zunehmend in den Brennpunkt des Interesses. welche für österreichische Institutionen relevant sind. eine eigenständige. Diese Überarbeitung basiert einerseits auf aktuellen internationalen Entwicklungen im Bereich der Informationssicherheit und andererseits auf Kooperationen mit dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem schweizerischen Informatikstrategieorgan des Bundes (ISB). Das nun neu überarbeitete und neu strukturierte „Österreichische Informationssicherheitshandbuch“ beschreibt und unterstützt die Vorgehensweise zur Etablierung eines umfassenden Informationssicherheits-Managementsystems in Unternehmen und der öffentlichen Verwaltung. wobei weiterentwickelte zentrale Bausteine mit Hilfe automatischer Updates eingespielt werden können.Austria (A-SIT) durch. die sowohl von der öffentlichen Verwaltung als auch der Wirtschaft zielgruppenorientiert und einfach verwendet werden können. ISO/IEC 27001 und 27002) in der öffentlichen Verwaltung und der Privatwirtschaft. die gerade in der Informationsverarbeitung besonders wichtig ist. Der Aufbau des neuen Informationssicherheitshandbuchs ermöglicht auch die Berücksichtigung von Querschnittsmaterien nach Vorgabe durch Fachbereiche aus Verwaltung und Wirtschaft.B. lokale Versionen. Zusätzlich eignet sich das neue Informationssicherheitshandbuch auf Grund seiner neuen Struktur als konkrete Implementierungshilfe für nationale (E-Government) und internationale Normen (z. umfassende und dennoch kompakte Darstellung von Risken. Die nun erstmals ausschließlich elektronische Umsetzung in Verbindung mit einer kontinuierlichen Wartung durch definierte Autorengruppen mit fachspezifischen Anforderungen ermöglicht eine Tagesaktualität. Unterstützt werden auch eigene. weiter ausgebaut. dass weite Bereiche des täglichen Lebens ohne den Einsatz von informationstechnischen Systemen heute nicht mehr funktionsfähig sind. 19 . Dazu wurden Maßnahmenbausteine entwickelt. Dabei wird die bisherige Stärke des Österreichischen Sicherheitshandbuchs. denen Informationen ausgesetzt sind und Gegenmaßnahmen. Die grundlegende Überarbeitung und Aktualisierung seit der letzten Fassung aus 2007 führte das Bundeskanzleramt in Kooperation mit dem Zentrum für sichere Informationstechnologie . Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener Informationssicherheit unerlässlich.Zum Geleit Die Tatsache.

Österreich besitzt mit dem "Österreichischen Informationssicherheitshandbuch" ein anerkanntes Standardwerk zur Informationssicherheit. Es leistet einen wesentlichen Beitrag zur Erstellung und Implementierung von umfangreichen Sicherheitskonzepten in der öffentlichen Verwaltung und versteht sich als Hilfestellung für die Wirtschaft. 20 . das sich an internationalen Vorgaben orientiert und durch seine Kompaktheit auszeichnet.

Gleichermaßen werden unterschiedliche Textversionen zum gleichen thematischen Inhalt für verschiedene Zielgruppen unterstützt und entwickelt.at 21 .1 ist die erste Auflage in der neuen Struktur und bietet eine vollständige Wissensbasis. um die Aktualität sicherzustellen. Die nun vorliegende Version 3. jeweils aktuelle Themen und Aspekte in das Informationssicherheitshandbuch einzubringen. sondern auch neue Einsatzgebiete mit Hilfe von interaktiven Funktionalitäten zu geben. Auf Grund der fortschreitenden Entwicklung der Informationstechnologie wird es ein andauender Prozess sein. Damit wird der Einsatz als Implementierungshilfe für ein ISMS gemäß ISO/IEC 27001 erleichtert. Eine moderne Web-Benutzeroberfläche erleichtert die Erarbeitung von lokal erzeugten Auswahl. Ein Update-Mechanismus vergleicht lokal ergänzte Themen mit allfälligen Änderungen in der zentralen Wissensbasis. dem bewährten Österreichischen Informationssicherheitshandbuch nicht nur neue Inhalte. Damit kann das Sicherheitshandbuch international genutzt werden.und Checklisten mit eigenen Kommentaren. bestehend aus Bausteinen der bisherigen zweiteiligen Version und neu verfassten Inhalten.Vorwort und Management Summary Zur Version 3 des Informationssicherheitshandbuchs Herzlich willkommen bei der Lektüre der Version 3 des Österreichischen Informationssicherheitshandbuchs. Damit können "eigene" Sicherheitshandbücher und -policies erarbeitet werden. Unbeschadet dessen sind wir für Feedbacks der Leser und Anwender dankbar. Die inhaltliche Wartung erfolgt nun kontinuierlich. Die technische Realisierung unterstützt nun unterschiedliche Sprachen. Feedbacks zum Sicherheitshandbuch können Sie ganz einfach per E-Mail senden an: siha@a-sit. Sie sehen hier das Ergebnis eines ehrgeizigen internationalen Projekts mit dem Ziel. Die markantesten Neuheiten sind: • • • • • • Die bisherige Struktur mit 2 Teilen wurde an die Struktur der Normen ISO/IEC 27001 und 27002 angepasst: Es gibt jetzt einen Teil mit 15 Abschnitten und einer Reihe von Anhängen.

weil ihre Kenntnis uns vor Schaden bewahrt und noch viel mehr. die sich am Sicherheitsbedürfnis öffentlicher Einrichtungen orientiert hat. Wir besitzen sie aus unterschiedlichen Gründen .als Projektverantwortliche Manfred Holzbach. dann erleiden wir Schaden .Austria (A-SIT) . welche für ein spezielles Szenario beachtet werden sollen bzw. Ausgehend von seiner ersten Version („IT-Sicherheitshandbuch für die öffentliche Verwaltung“). Niemand bestreitet das. dass wir damit einen richtigen Weg einschlagen. dennoch ist es der zentrale und immer wichtiger werdende Aspekt der Informationssicherheit.Bleibt noch. 22 . Aus der Fülle möglicher Bedrohungen und der Fülle möglicher Gegenmaßnahmen methodisch diejenigen identifizieren zu helfen.weil wir für ihre Verwahrung oder Verarbeitung Verantwortung tragen. Das ist zwar nichts Neues. wenn wir sie benötigen. müssen. Ihnen für Ihr Interesse an der neuen Version zu danken und zu hoffen. in den Schutz unserer Informationen zu investieren und was ist im speziellen Fall die optimale Lösung? Hier wird es schon differenzierter. aber wie viel sind wir bereit. sind sie falsch oder einfach nicht auffindbar. das zeigen entsprechende Umfragen immer wieder. werden sie gestohlen. weil wir aus ihnen einen Vorteil ziehen. dass Sie auch der Meinung sind. Schweiz Zentrum für sichere Informationstechnologie . redaktioneller Leiter Management Summary Mehr denn je ist uns bewusst: Informationen sind Werte. das sind die Projektpartner: • • • Bundeskanzleramt Österreich (BKA) Informatikstrategieorgan des Bundes (ISB).die Palette reicht von geringfügig bis existenzbedrohend. Wir. wurde beim „Österreichischen Informationssicherheitshandbuch“ zunehmend dem steigenden Interesse aus der Wirtschaft Rechnung getragen. war von Beginn an die Zielsetzung dieses Handbuchs. Gehen sie uns verloren.

die Umsetzung und die Aufrechterhaltung eines InformationssicherheitsManagementsystems (ISMS). und es wird in den Texten auf passende Normvorschriften hingewiesen. Ein vorläufiger Höhepunkt dieser Entwicklung wird erreicht sein. der besonderes Augenmerk zu schenken ist . auf „typische“ Verhaltensmuster ist Verlass . Schulungsunterlagen ) erzeugt werden. wenn es regelmäßig der aktuellen Entwicklung Rechnung trägt und daher immer wieder überarbeitet. dass Information „ortslos“ wird . Am Beispiel der Spam-E-Mails kann man erkennen.obwohl die Mehrheit der Benutzer über die Gefahren Bescheid weiß. Mit dieser Motivation wurden mit der nun vorliegenden Version 3 neue Wege beschritten: • • • • Ein wesentliches Einsatzgebiet ist die Implementierung der für Informationssicherheit wichtigen Normen ISO/IEC 27001 und 27002. um die Aktualität sicherzustellen.sie entwickelt sich nicht so rasant weiter wie die Technik. E-Government. wenn "Cloud Computing" die geschäftliche und auch private Nutzung der Informationstechnologie durchdrungen haben wird. Und schließlich ist es immer noch die Person. Die inhaltliche Wartung erfolgt ab jetzt nun kontinuierlich. Ein Sicherheitshandbuch erfüllt seinen Zweck nur.B. Es werden unterschiedliche Sprachen unterstützt. wie schnell ein zunächst harmlos erscheinendes Phänomen zu einem massiven Problem wurde. Ein solches ist in ISO/IEC 27001 definiert als: 23 . welche sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft zu bemerkenswerten Innovationsschüben führt. Daher wurde die Kapitelstruktur weitgehende diesen Normen angepasst. Es gibt nicht nur immer wieder neue Technologien. aber auch eigene Auswahl.und Checklisten ( "eigene" Sicherheitshandbücher und -policies. ergänzt und ggf. Die steigende Vernetzung führt dazu. sowohl für die rechtmäßigen Besitzer/innen der Information wie auch für die potenziell unrechtmäßigen. Mit einer modernen Benutzeroberfläche kann sowohl einfach durch die Themen geblättert. Zugleich steigt das Risikopotenzial weiter. neu ausgerichtet wird.es ist unerheblich wo sich der/die Nutzer/in gerade physisch befindet. Kernelemente des Informationssicherheitshandbuchs sind der Aufbau.Weiterentwicklungen betreffen primär die Inhalte: Ist es doch die rasante Entwicklung im Bereich der Informationstechnologie (IT).sonst wären E-MailWürmer oder Phishing-Angriffe nicht so problematisch . sondern auch völlig neue Anwendungsgebiete wie z.

Daher sind auch kontinuierlich Anstrengungen und Kosten für Informationssicherheit in Kauf zu nehmen. enthält das Managementsystem die Struktur. Prüfen (Check): Überwachen und Überprüfen des ISMS auf seine Wirksamkeit. womit sich ein ständiger Kreislauf schließt. Praktiken. das bedeutet auf erkannte Fehler. Einhaltung der Sicherheitsmaßnahmen zu überprüfen. Verantwortung. Handeln (Act): Instandhalten und Verbessern des ISMS. eine organisationsspezifische Informationssicherheits-Politik zu erstellen und spezifisch geeignete Sicherheitsmaßnahmen auswählen. Inhalt und Struktur des Informationssicherheitshandbuchs sind an die ISO/IEC Normen 27001 und 27002 angepasst: • ISO/IEC 27001 (Informationssicherheits-Managementsysteme – Anforderungen) beschreibt die für Einrichtung. wie viel man auch investiert. Überprüfung."Teil des gesamten Managementsystems. sondern zunächst aus dem Bewusstsein des Managements und der Mitarbeiter/innen einer Organisation. über das Ziel zu schießen: 100 % Sicherheit ist nicht erreichbar. Instandhaltung und Verbesserung der Informationssicherheit abdeckt" bzw. Grundsätze. Im Informationssicherheitshandbuch wird darauf in den Kapiteln 2 und 24 . um sie zu erhalten. also Sicherheitsmaßnahmen realisieren.7) Informationssicherheit entsteht nicht von selbst aus Technik oder Know-How. Instandhaltung und Verbesserung eines Informationssicherheits-Managementsystems relevanten Anforderungen. also relevante Sicherheitsziele und strategien ermitteln. Dies bedingt erneutes Planen. Umsetzung. Es ist aber auch bei der Informationssicherheit nicht sinnvoll. Durchführung. Schwachstellen und veränderte Umfeldbedingungen reagieren und die Ursachen für Gefährdungen beseitigen. für ihre Einhaltung sorgen und Informationssicherheit im laufenden Betrieb inklusive in Notfällen zu gewährleisten. Begriffe 3. Überwachung. das bedeutet Vorhandensein. Überwachung. aber auch Kenntnis über Vorfälle sowie üblicher Good-Practices zu erlangen. Durchführen (Do): Umsetzen und Betreiben des ISMS. dass Informationen schützenswerte und gefährdete Werte für alle Beteiligten darstellen. Planungsaktivitäten. Implementierung. Durchführung. (ISO/IEC 27001. Verfahren. Prozesse und Ressourcen der Organisation. Überprüfung. Sinnhaftigkeit. Die für das Informationssicherheits-Managementsystem (ISMS) relevante Norm ISO/IEC 27001 beschreibt Informationssicherheit als "Kontinuierlichen Verbesserungsprozess" (KVP): • • • • Planen (Plan): Festlegen des ISMS. der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung.

die entsprechend den spezifischen Anforderungen und Bedürfnissen in einer Einsatzumgebung angepasst werden müssen. Amtsgeheimnis. infrastruktureller und technischer Ebene beschrieben. Literaturhinweise und Hilfsmittel wie Referenzen. Ausrichtung und Umfang Von der Ausrichtung versteht sich das Informationssicherheitshandbuch nach wie vor als Sammlung von Leitlinien und Empfehlungen für die Praxis. die nicht in den ISO Normen abgedeckt sind. EU.und NATO-Bereich.. von der Entwicklung bis zur Beendigung des Betriebs. Es soll eine Ergänzung zu den bestehenden Regelungen und Vorschriften (Datenschutzgesetz. In den Anhängen finden sich schließlich ausgewählte Technologie.. um sie auch in der Tiefe zu verstehen und Maßnahmen implementieren (etwa Produkte auswählen. 25 . Es werden hier konkrete und detaillierte Einzelmaßnahmen mit Anleitungen zu ihrer korrekten Implementierung auf organisatorischer. ISO/IEC 27002 (Leitfaden für das Informationssicherheits-Management) beschreibt konkrete Empfehlungen für Aktivitäten zur Realisierung der Maßnahmenziele. Dies wird auch durch die Online-Funktionalitäten wie Checklisten unterstützt.) darstellen und setzt diese weder außer Kraft noch steht es zu ihnen im Widerspruch. Verschlusssachenvorschriften. Damit können den spezifischen Bedrohungen angemessene Standardsicherheitsmaßnahmen für Informationssysteme und Informationen entgegengesetzt werden. wie beispielsweise die "Industrielle Sicherheit" . Informationssicherheit in einer Behörde. Organisation bzw. Vorgaben entwickeln) zu können. Im Informationssicherheitshandbuch beziehen sich die Kapitel 4 bis 15 darauf und entsprechen in ihrer Thematik auch den Kapiteln der Norm. Es wird auch besonders auf die spezifisch österreichischen Anforderungen.• 3 Bezug genommen: sie beschreiben den grundlegenden Vorgang. einem Unternehmen zu etablieren und bieten konkrete Anleitungen den umfassenden und kontinuierlichen Sicherheitsprozess zu entwickeln. personeller. . Informationssicherheitsgesetz.und Szenariobeschreibungen sowie Musterdokumente. Sein Umfang soll nach wie vor zwei an sich gegenläufige Aspekte vereinen: • Die Themen sollen ausreichend konkret und detailliert dargestellt werden. aber auch auf die durchgängige Einbeziehung des gesamten Lebenszyklus der jeweiligen Systeme. Regelungen und Rahmenbedingungen. eingegangen. Ein eigener Abschnitt im Anhang A beschreibt national relevante Sicherheitsmaßnahmen.dargestellt wird hier die Unterstützung für die Erstellung einer Sicherheitsunbedenklichkeitsbescheinigung und eine Übersicht aller für industrielle Sicherheit relevanten Vorgabedokumente aus dem nationalen.

eingeschätzt. wenn es sich wirtschaftlich vertreten lässt und mit den verfügbaren personellen. Ebenso etabliert ist die Arbeit von MELANI (Melde. Deutschland." "Es ist daher eine Management-Verantwortung. das Gesamtwerk oder größere Teile am Stück zu lesen. die uns nicht nur ihre Zustimmung zur Nutzung ihrer Unterlagen gegeben. sondern uns bei der Erarbeitung immer wieder mit Rat und Ermunterung unterstützt haben: • • 26 Bundesamt für Sicherheit in der Informationstechnik (BSI). . Wegen der immer höheren Abhängigkeit von Information gilt dies besonders für Risiken aus fehlender oder mangelhafter Informationssicherheit. Schweiz. bewertet und durch Setzen geeigneter und nachhaltiger Maßnahmen auf einen minimalen und akzpetierten Rest reduziert werden.und Analysestelle Informationssicherung) in der Schweiz und CASES (Cyberworld Awareness Security Enhancement Structure. Luxembourg ) in Luxemburg. Im Informationssicherheitshandbuch wurde diesen internationalen Entwicklungen so weit wie möglich Rechnung getragen und auf einige dieser bewährten Quellen gegriffen. einen systematischen und dauerhaften Sicherheits-Managementprozess zu etablieren." Hauptquellen und Danksagungen Schon lange wurden und werden auf nationaler und internationaler Ebene immer mehr Anstrengungen unternommen. Weiters waren auch die Vorgabedokumente der EU und NATO für Informationssicherheit maßgeblich. Bonn. Ausgesprochenen Dank sprechen wir den Organisationen und ihren maßgeblichen Partnern aus. Informatikstrategieorgan des Bundes (ISB). Abschließend drei Management-relevante Passagen (aus Kapitel 3): • • • "Zur Verantwortung der Management-Ebene gehört neben der Erreichung der geschäftlichen wie unternehmenspolitischen Ziele auch der angemessene Umgang mit Risiken. Davon sind die Normenreihe ISO/IEC 27000 und der Grundschutz des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) wohl die bekanntesten und bedeutendsten. Sie müssen so früh als möglich erkannt. zu steuern und zu kontrollieren" "Ein angestrebtes Sicherheitsniveau macht nur dann Sinn. wie dann in den einzelnen Textbausteinen auch angeführt. zeitlichen und finanziellen Ressourcen auch erreicht werden kann.• Es soll aber auch möglich bleiben. einheitliche methodische Vorgehensweisen zur Etablierung von Informationssicherheit sowie Standard-Maßnahmenkataloge zu erarbeiten. Bern.

Luxembourg 27 .• Ministére de l'Economie et du Commerce extérieur.

wie wird es gemacht."welche Überlegungen sind anzustellen. welche Aktivitäten sind zu planen und zu entscheiden. wo ist Kontrolle nötig" einen Katalog von konkreten Sicherheitsmaßnahmen. sicherstellen und ggf. hat das Potenzial zielgruppengerecht unterschiedlicher Textierungen.und Checklistenfunktionalität etwa. Implementierungshilfe zu ISO/IEC 27001: Viele Organisationen müssen oder wollen IT-Sicherheit gemäß der Norm ISO/IEC 27001 und nachgelagerter Normen etablierten bzw. umgesetzt und und eingehalten werden sollen .1 Einführung 1. Das Sicherheitshandbuch bietet dazu: • • Gemäß der Norm geordnete Interpretation der Vorgaben und Prozessbeschreibungen. Einerseits ist es durchaus im Stil einer Vorschrift formuliert.1 Das Informationssicherheitshandbuch 1. ein "maßgeschneidertes" Sicherheitshandbuch abzuleiten und in Kommentaren die tatsächlich notwendigen Maßnahmen zu beschreiben. Durcharbeiten "am Stück". eignet sich auch zum Lesen bzw.1. . die ausgewäht. Dabei wurde allerdings auf die die gebotene Kompaktheit geachtet.und Weiterbildungsmaßnahmen bzw. worauf ist zu achten" Hier ermöglicht es die Auswahl. beispielsweise den GrundschutzStandards und -Bausteinen des BSI. sowohl modular wie im Ganzen. um notwendige Überlegungen und Maßnahmen klar und unzweifelhaft zu darzustellen.1 Ziele des Informationssicherheitshandbuchs Das Österreichische Informationssicherheitshandbuch positioniert sich in der Mitte zwischen den normativen Vorgaben der ISO/IEC Normen 27001 / 27002 und verwandter Standards sowie der Fülle an sehr detaillierten Leitfäden und Handbüchern zur Informationssicherheit. auch zertifizieren lassen. -medien. um den Sicherheitsmanagement-Prozess zu etablieren und aufrecht zu erhalten: . Instrument zur Schulung und Weiterbildung: • • • • 28 Die Wissensbasis stellt insgesamt ein ganzheitliches und dennoch kompaktes und ganzheitliches Werk zur Informationssicherheit dar. andererseits bietet es eine Auswahl an Möglichkeiten und Entscheidungskriterien für die Implementierung in der Praxis. und eignet sich daher sowohl als Basis für Schulungs."was gibt es dazu.

und Darstellungsmodulen wurde dem Rechnung getragen. aber auch einfach zur Selbstkontrolle können die notwendigen Schritte und Maßnahmen ausgewählt und dann mit der Checklistenfunktion der Grad der Erfüllung mitsamt Begründungen festgehalten werden.3 nach flexiblerer Themenauswahl sowie der Möglichkeit zur Formulierung zielgruppengerechter Textierungen.und Checklistenfunktionalität auf die relevanten Themen eingeschränkt und in den Kommentaren etwa Fragen und Antworten dargestellt weren.Dafür kann der Inhalt mit der Auswahl. 29 .wobei Basiswissen gemeinsam verwaltet werden soll . 1. Wichtigstes Ziel der Neuauflage ist selbstverständlich. die Verwendung und Verbreitung des Informationssicherheitshandbuchs zu fördern.zu schaffen. Mit einer Neugestaltung der Datenstruktur und neu entwickelten Zugriffs. Es hat sich gezeigt. Damit verknüpft ist konsequenterweise die Mehrsprachigkeit.2 Scope Inhaltlich behandelt das vorliegende Handbuch den gesamten Bereich der Informationssicherheit. zum anderen von Erfahrungen und Wünschen der Benutzer/Benutzerinnen der bisherigen Version 2. 1. Letzteres wurde vor allem als Wunsch der Wirtschaft geäußert.1.1. Wenn auch ein Schwerpunkt auf IT-gestützter Information liegt.1 Ziele der Version 3 Der Relaunch als Version 3 ist motiviert einerseits von der Entwicklung und steigenden Bedeutung der Normenreihe ISO/IEC 27001 / 27002. dass das Österreichische Informationssicherheitshandbuch auch in anderen Ländern beachtet wird. Speziell aus der Schweiz kam der Vorschlag.1. sowie auch als schriftliche. wird Information dennoch umfassend gesehen: in elektronisch gespeicherter oder übertragener Form. Hilfsmittel für Self-Checks: Als Hilfsmittel für Audits. gilt sinngemaß auch beispielsweise für Schulen. Somit kam es auch zur Mitwirkung des schweizerischen ISB am Relaunch-Projekt. gesprochene oder bildhaft dargestellte Informationen. die Möglichkeit für länderspezifische Varianten .

Durchführung. Es wird allerdings auch auf spezifisch österreichische Anforderungen. und nach Möglichkeit werden Produkt. dem Anhang zu ISO/IEC 27001 . 5. kostenlos angeboten wird. infrastruktureller und technischer Ebene. die zur Speicherung. oft gibt es Überschneidungen zwischen den einzelnen Themen. Die Abgrenzung zu verwandten Gebieten.1. soweit sie in direktem Zusammenhang mit der Sicherheit von IKT-Systemen und den von ihnen verarbeiteten Informationen stehen. wie Brandschutz. 8): es handelt sich um den grundlegenden Vorgang. Überwachung. Ausnahmen gibt es allerdings dort. Sicherheit von kritischen Infrastrukturen oder Datenschutz kann nicht immer eindeutig sein. Organisation bzw. Regelungen und Rahmenbedingungen eingegangen. Instandhaltung und Verbesserung eines Informationssicherheits-Managementsystems relevanten Anforderungen gemäß ISO/IEC 27001 4. personeller. den umfassenden und kontinuierlichen Sicherheitsprozess zu entwickeln.3 Neuheiten der Version 3 Struktur Anpasssung an ISO/IEC 27001 / 27002: Anstelle der bisher 2 Hauptteile (Sicherheitsmanagement und Sicherheitsmaßnahmen) gibt es jetzt nach dem Management-Summary 15 Abschnitte und eine Reihe von Anhängen: • • • Abschnitt 1 ist eine Einführung sowohl für die Handhabung des Handbuchs als auch in die grundsätzliche Thematik. dass das Produkt schon ein Synonym für die Implementierung darstellt. wo die Durchdringung so groß ist.und Lösungspotenzial aus der und für die Praxis zu geben. sowie organisatorische. Empfehlungen für bestimmte Produkte werden nicht gegeben. Überprüfung. Verarbeitung und Übertragung von Informationen dient. einem Unternehmen zu etablieren und bieten konkrete Anleitungen. Abschnitte 2 und 3 beschreiben die für Einrichtung. Sie erörtern konkrete und detaillierte Einzelmaßnahmen und Anleitungen zu ihrer korrekten Implementierung wärend ihres gesamten Lebenszyklus auf organisatorischer. Umsetzung. 7. Informationssicherheit in einer Behörde. bauliche und personelle Fragen. Sie entsprechen in ihrer Reihenfolge und generellen Thematik den Empfehlungen gemäß ISO/IEC 27002 bzw. inkl. 1. 6. Problem. oder ein Produkt ausgesprochen spezifische Sicherheitseigenschaften aufweist bzw.allerdings keine 1:1 Entsprechung auf der Ebene der einzelnen Details (Textbausteine). Objektsicherheit. der Aktivitäten zu ihrer Umsetzung und Einhaltung .und Markennamen vermieden. Abschnitte 4 bis 15 beschreiben die konkreten Sicherheitsmaßnahmen.Betrachtet werden dabei auch die Sicherheit von Hardware und Software. Ist es doch ein Zeil des Handbuchs. 30 .

Damit werden zielgruppenorientierte Darstellungen unterstützt.B. Er bietet als Hauptfunktionalitäten: 31 . Management / Watungspersomal / Benutzer/innen) entwickelt. Die Filterregeln sind nicht a priori festgeschrieben.soferne zutreffend . In den Anhängen finden sich ausgewählte Szenarien und Technologien losgelöst von zu setzenden Maßnahmen. die mittels geeigneter Transformationen in andere gängige Darstellungs. Gesetzen und verwandter Literatur sowie Quellenhinweise.• • In den einzelnen Themenbausteinen werden . "Umgang mit Vermögenswerten". Themenbausteine etwa zu "Outsourcing".B. Anweisungen. Damit geht eine neue Nummerierung der Kapitel und Textbausteine einher. Vereinfachungen) vorhanden sein und mittels Filteroptionen ausgewählt werden. Mit Filteroptionen werden auch unterschiedliche Sprachen ermöglicht. Links zu österreichischen Gesetzen führen direkt zum entsprechenden Gesetzestext im Rechtsinformationssystem ( RIS). "Verbesserungsprozess" Neue und geänderte Themenbausteine zu veränderten Technologien oder Gefährdungen werden nunmehr kontinuierlich eingearbeitet. PDF) umgewandelt werden können.(HTML) oder Textformate (RTF. bzw. Government / Wirtschaft ) als auch für Rollen Leserkreise(z. Muster für Verträge. "Internen Audits".Bezüge zu den jeweils zugehörigen Kapiteln der ISO/IEC Normen 27001 und 27002 dargestellt. obsolete eleminiert. sondern Gegenstand von Vereinbarungen (in zentralen Autorengruppen oder individuellen Impelementierungen) und damit flexibel für Erweiterungen. Referenzen zu Normen. Datenbasis (Online Version) • • • • • Jeder Textbaustein kann künftig in mehreren unterschiedlichen Ausprägungen (Formulierungen. Inhalte • • Um alle Themen laut ISO/IEC 27001 / 27002 abzudecken. gibt es nun neue Kapitel bzw. Funktionalität (Online Viewer) Der neu entwickelte Online Viewer läuft in einem Standard-Browser und benötigt abgesehen vom Vorhandensein einer Javascript-Unterstützung keine Installation. Filteroptionen werden sowohl für Einsatzgebiete (z. Die Datenbasis besteht aus einem Satz von XML (extended Markup Language) Dateien.

Konzepte. Druck von Auswahl. die sich inzwischen geändert haben könnten (anhand ihrer jeweiligen Versionsnummer). Transformation von Auswahl. Wenn gewünscht.oder Checklisten (Online Version). Begriffe und Definitionen für solche Managementsysteme.1. Sie kann lokal abgespeichert und wieder geladen werden.Es finden sich hier die grundlegenden Prinzipien. Einsatzgebiete für Auswahl. SelfChecks und Querschnittsmaterien. das heißt einer individuelle Auswahl von Themen (ganze Kapitel.oder Checklisten aktuell gehalten werden: • • • Die lokale Liste enthält mehrere Kapitel oder Bausteine aus der Wissensbasis. Zusammenstellung einer Checkliste. Rollen. können die neuen Versionen aus der Wissensbasis in die lokale Liste übernommen werden. 1. Leserkreise sowie unterschiedliche Sprachen. Die internationale Normenfamillie ISO/IEC 27000 gibt einen allgemeinen Überblick über Managementsysteme für Informationssicherheit (ISMS) und über die Zusammenhänge ihrerverschiedenen Einzelnormen. Beim Blättern in der Liste wird ein entsprechender Warnhinweis gegeben.oder Checklisten in PDF-Textdateien. Branchen.4 Quellen.oder Checklisten sind beispielsweise das Erstellen eigener Policies. Update Funktion Mit ihrer Hilfe können lokal abgespeicherte und verwendete Auswahl. aber auch durch gezielten Sprung auf Kapitel oder Textbausteine erfolgen. Statusberichte (Erfüllungsgrad von Maßnahmen).• • • • • • Blättern (Browse) im Sicherheitshandbuch: Das kann seriell vom Anfang bis zum Ende. das ist eine individuelle Auswahl mit der Möglichkeit. Abgrenzungen Normenfamilie ISO/IEC 27000 Aufgrund der Komplexität von Informationstechnik und der Nachfrage nach Zertifizierung sind in den letzten Jahren zahlreiche Anleitungen. Zusammenstellung einer Liste. Verträglichkeiten. Unterkapitel oder Textbausteine) . Standards und nationale Normen zur Informationssicherheit entstanden. pro Textbaustein Checkboxen anzukreuzen sowie Kommentare zu verfassen und lokal abzuspeichern. Schulungsunterlagen. Filteroptionen für Einsatzgebiete. 32 .

6.• • • • Der Standard ISO/IEC 27001 "Information technology . ISO/IEC 27005 löst den bisherigen Standard ISO 13335-2 ab.Information security management systems requirements specification" ist der erste internationale Standard zum Informationssicherheitsmanagement. der auch eine Zertifizierung ermöglicht. Alle Standards dieser Reihe behandeln verschiedene Aspekte des Sicherheitsmanagements und beziehen sich auf die Anforderungen der ISO/IEC 27001. um ein ISMS zu planen. Unter anderem unterstützt er bei der Umsetzung der Anforderungen aus ISO/IEC 27001. Die weiteren Standards sollen zum besseren Verständnis und zur praktischen Anwendbarkeit der ISO/IEC 27001 beitragen und beschäftigen sich beispielsweise mit der praktischen Umsetzung der ISO/IEC 27001. ISO/IEC 27005 "Information security risk management" enthält Rahmenempfehlungen zum Risikomanagement für Informationssicherheit. 100 Seiten skizzert angerissen. also der Messbarkeit von Risiken oder mit Methoden zum Risikomanagement. Ein normativer Anhang verweist auf die Umsetzung gemäß ISO/IEC 27002. die Anforderungen des ISO/IECStandards 27001 zu erfüllen. ISO/IEC 27002 (vormals ISO 17799) "Information technology – Code of practice for information security management" befasst sich als Rahmenwerk für das Informationssicherheitsmanagement hauptsächlich mit den erforderlichen Schritten. Weitere Standards der ISO/IEC 27000 Reihe: Langfristig wird die Normenreihe ISO/IEC 27000 voraussichtlich langfristig aus den Standards 27000 – 27019 und 27030-27044 bestehen. 7. Struktur und Abhandlung der generellen Themen konform mit ISO/IEC 27001 und 27002. 33 . Ihre Umsetzung ist auch nur eine von vielen Möglichkeiten. zu überwachen und laufend zu verbessern. etablieren.Security techniques . ISO/IEC 27001 gibt in 5 konkreten Kapiteln (4. Das Informationssicherheitshandbuch geht in Aufbau. ISO/IEC 27001 bietet keine Hilfe für die praktische Umsetzung. Die Empfehlungen sind für Management-Ebenen formuliert und enthalten nur wenige konkrete technische Hinweise. Es wird allerdings keine spezifische Methode für das Risikomanagement vorgegeben. 8) allgemeine Empfehlungen für Management-Aktivitäten. Die erforderlichen Informationssicherheitsmaßnahmen werden eher kurz auf ca. bietet allerdings in einer kompakten Form auch technische und organisatorische Hinweise und Ratschläge zur Implementierung. 5. um ein funktionierendes Informationssicherheitsmanagement aufzubauen und in der Organisation zu verankern. zu betreiben.

Sie hat sich als ganzheitliches Konzept für Informationssicherheit und als Standard etabliert. die mittleren und kleineren Organisationseinheiten entgegenkommt und das Durcharbeiten des Informationssicherheitshandbuchs "am Stück" nach wie vor ermöglicht. sämtliche relevanten Themen anszusprechen. Das Österreichische Informationssicherheitshandbuch wird auf Basis einer gelebten Kooperation mit dem BSI immer wieder mit neuen Entwicklungen bei den Grundschutz-Standards und -Bausteinen abgeglichen. Teilweise grenzt es sich diesen gegenüber vor allem durch eine kompaktere Darstellungsweise ab. später mit den GrundschutzStandards und Maßnahmenbausteinen eine umfassende und äußerst detaillierte Informationsbasis und daraus etablierte Methoden für eine Vorgehensweise zum Aufbau einer Sicherheitsorganisation sowie für die Risikobewertung. denen Banken und Finanzinstitutionen ausgesetzt sind.und Analysestelle Informationssicherung) Im Rahmen von MELANI wird in der Schweiz ein CERT (Computer Emergency Response Team) betrieben. Lageberichte und Schulungsmaßnahmen geboten. So richtet sich etwa "BSI für Bürger" mit kurzen und einfach formulierten Darstellungen an Privatpersonen und KMU's. Das Informationssicherheitshandbuch behandelt zum Teil eine ähnliche Thematik. Unterschiedliche Zielgruppen werden durch jeweils separate Entwicklungen unterstützt. MELANI (Melde. breiter Raum gegeben. die Überprüfung des vorhandenen Sicherheitsniveaus und die Implementierung der angemessenen Informationssicherheit. 34 . beispielsweise wird den Problemen. Checklisten. genügen. Der Anspruch richtet sich auf gezielte und aktuelle Darstellung vor allem von Gefahren und Fehlverhalten. positioniert sich dabei stark an der Implementierung und muss dem Anspruch. Seine neuen Funktionalitäten wie unterschiedlich formulierte Textbausteine verfolgen auf eigene Weise das Ziel der Ansprache unterschiedlicher Zielgruppen. wobei keine ausgesprochenen Zielgruppen definiert sind. und das BSI bietet ISO/IEC 27001 Zertifzierungen nach ITGrundschutz an. aber auch auf einer Homepage Informationen über Gefahren und Maßnahmen.BSI Grundschutz Standards und Maßnahmenbausteine • • Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet seit 1994 zunächst mit dem Grundschutzhandbuch.

International und nicht zuletzt in den Normen hat sich in den letzten Jahren eher der Begriff “Informationssicherheit” als der umfassendere etabliert .5 Informations. bildhaft oder gesprochen). Das Informationssicherheitshandbuch hat sich aus dem "IT-Sicherheitshandbuch für die öffentliche Verwaltung" entwickelt und hat somit bisher als Zielgruppen mittlere bis größere Institutionen mit Bedarf nach knapper. Basistechnologien anschaulich beschrieben und auch Anleitungen zur Ausarbeitung einer Sicherheitspolitik speziell für kleine Organisationen gegeben. Dabei ist auch ein gewisser Bedeutungswandel bei diesen Begriffen festzustellen: Verstand man von einigen Jahren unter “IT-Sicherheit” im Wesentlichen den Schutz von IT-Systemen (und damit den auf ihnen verarbeiteten Informationen) und unter “Informationssicherheit” den Schutz von Informationen unabhängig von ihrer Darstellungsform (also elektronisch. schriftlich.1. Auf sehr einfachen und anschaulichen Webseiten wird eine umfassende Darstellung der wesentlichsten Gefahren und Sicherheitsmaßnahmen geboten.(Informations. Mit Hilfe seiner neuen Funktionalitäten wie unterschiedlich formulierbarer Textbausteine und einer informell bereits aufgenommenen Kooperation werden sich nunmehr auch einige Inhalte von CASES im Informationssicherheutshandbuch finden.und Mittelbetriebe.und Kommunikationstechnologie-) Systeme nicht zu erreichen ist. aber vorschriftähnlicher Darstellung angesprochen. zum anderen an Schüler und deren Eltern. während umgekehrt die Sicherheit von elektronisch gespeicherten und verarbeiteten Informationen ohne die technische Sicherung der zugrunde liegenden IKT. [Q: BSI Leitfaden Informationssicherheit] 35 . wie Information an sich geschützt werden kann (etwa wie mit Papierausdrucken von vertraulichen Informationen umzugehen ist). so sind diese beiden Begriffe mittlerweile fast synonym zu sehen: auch in der ITSicherheit sind Fragen zu behandeln.CASES (Cyberworld Awareness Security Enhancement Structure Die vom luxemburgischen Ministerium für Wirtschaft und Außenhandel betriebene Homepage "CASES" ist in deutscher und französischer Sprache verfügbar und richtet sich zum einen an Klein.daher auch der Name "Informationssicherheitshandbuch". Die Grenzen sind also fließend.versus IT-Sicherheit Die Definition dieser beiden Begriffe und ihrer Abgrenzung voneinander war in den vergangenen Jahren oft Gegenstand lebhafter Diskussionen. 1.

sondern zunächst aus dem Bewußtsein des Management und der Mitarbeiter/ Mitarbeiterinnen einer Organisation. sondern muss integraler Bestandteil eines modernen IKT(Informations. also elektronisch gespeicherte und verarbeitete Information genauso wie Information in schriftlicher oder gesprochener Form. Dabei wird Information unabhängig von ihrer Darstellungsform betrachtet. geschrieben. Das gegenständliche Handbuch beschreibt die Vorgehensweise zur Etablierung eines umfassenden Informationssicherheits-Management-Systems (ISMS). um sie zu erhalten. wie die Verschlüsselung vertraulicher Daten oder die Installation von Firewalls beschränken. dass weite Bereiche des täglichen Lebens ohne den Einsatz von informationstechnischen Systemen heute nicht mehr funktionsfähig sind.2. Es muss allerdings ebeso bewusst sein.1] 1. 4 Informationssicherheit entsteht nicht von selbst aus Technik oder Know-How. für die Privatwirtschaft zur Anwendung empfohlen. wie viel man auch investiert. Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener Informationssicherheit unerlässlich. Daher sind auch kontinuierlich Anstrengungen und Kosten für Informationssicherheit in Kauf zu nehmen. Die Tatsache.und Kommunikationstechnologie-) Konzeptes sein. als Bild oder in gesprochener Form.1. Die hier dargestellte Vorgehensweise wird für die österreichische Bundesverwaltung sowie für andere Bereiche der öffentlichen Verwaltung bzw. Dabei darf sich Sicherheit nicht auf einzelne Teilaspekte. [eh Teil 1 . dass 100 % Sicherheit nicht erreicht werden kann. Vertraulichkeit und Verfügbarkeit der Informationen oft nicht mehr möglich. ein angemessenes Sicherheitsniveau zu erreichen und dauerhaft zu erhalten. Ziel muss es also sein. dass Informationen schützenswerte und gefährdete Werte für alle Beteiligten darstellen. 36 .2 Informationssicherheitsmanagement Information stellt heute sowohl für die öffentliche Verwaltung als auch für Organisationen der Privatwirtschaft einen wichtigen Wert dar.1 Ziele des Informationssicherheitsmanagements ISO Bezug: 27001 0. rückt die Frage nach der Sicherheit der Informationen und der Informationstechnologie zunehmend in den Brennpunkt des Interesses. Information kann dabei in unterschiedlicher Form existieren – elektronisch gespeichert oder übertragen. Die Erfüllung der Geschäftsprozesse ist ohne die Korrektheit.

[eh Teil 1 .1] 1. 4 Informationssicherheit ist immer eine Management-Aufgabe. Fahrlässigkeit. also relevante Sicherheitsziele und strategien ermitteln.2 Aufgaben des Informationssicherheitsmanagements ISO Bezug: 27001 0. Datenmißbrauch. Vertraulichkeit: Informationen dürfen nur für die vorgesehenen Personen und Prozesse offen gelegt werden. die Verfügbarkeit kann von kleineren und größeren Systemausfällen bis zu Bränden und Katastrophen. aber auch bewußten Denial-of-Service Attacken bis zum Stillstand . die Vertraulichkeit durch Spionageaktivitäten. eine organisationsspezifische Informationssicherheitspolitik zu erstellen und spezifisch geeignete Sicherheitsmaßnahmen auswählen.2. etc. Prüfen.1. unbefugten Manipulationsversuchen (auch etwa Viren. kann diese Aufgabe erfolgreich wahrgenommen werden. bedroht. da die Informationen den vielfäligen Gefahren ausgesetzt sind: • • • So ist Integrität von technischen Fehlern. also Sicherheitsmaßnahmen realisieren. Würmer). Nur wenn die Leitung einer Organisation voll hinter den Sicherheitszielen und den damit verbundenen Aktivitäten steht. 37 . aber ebenso von Fehlern und Schlamperei gefährdet. wenn diese sie benötigen Das klingt selbstverständlich und einfach. Verfügbarkeit: Informationen müssen für die vorgesehenen Personen und Prozesse bereitgestellt sein. Handeln"): • • Planen (Plan): Festlegen des ISMS. ist in der Praxis allerdings eine Herausfoderungen für die Organisation. Durchführen.Durch Etablieren und Erhalten eines Informationssicherheits-Managementsystems (ISMS) sollen die grundlegenden Ziele der Informationssicherheit erreicht werden: • • • Integrität: Informationen dürfen nur von den vorgesehenen Personen und Prozessen verändert werden. für ihre Einhaltung sorgen und Informationssicherheit im laufenden Betrieb inklusive in Notfällen zu gewährleisten. Die für das Informationssicherheitsmanagement relevante Norm 27001 beschreibt Informationssicherheit als Kontinuierlichen Verbesserungsprozess (KVP) in einem Informationssicherheits-Managementsystem (ISMS) nach dem "Plan-Do-Check-Act"Modell (PDCA – "Planen. Durchführen (Do): Umsetzen und Betreiben des ISMS.reduziert werden.

Ermittlung und Bewertung der Informationssicherheitsrisiken (information security risk assessment). welche Aufgaben eines ISMS umgesetzt und welche Sicherheitsmaßnahmen implementiert werden können zur: • • • • • • Festlegung der Sicherheitsziele und -strategien der Organisation. das bedeutet auf erkannte Fehler. Sinnhaftigkeit. Förderung des Sicherheitsbewusstseins innerhalb der Organisation sowie Entdecken von und Reaktion auf sicherheitsrelevante Ereignisse (information security incident handling). aber auch Kenntnis über Vorfälle sowie üblicher Good-Practices zu erlangen. [eh Teil 1 .und Verbesserungsprozesse bzw. womit sich ein ständiger Kreislauf schließt. Dies bedingt erneutes Planen. Handeln (Act): Instandhalten und Verbessern des ISMS. Einhaltung der SIcherheitsmaßnahmen zu überprüfen. Schwachstellen und veränderte Umfeldbedingungen reagieren und die Ursachen für Gefährdungen beseitigen. In den folgenden Kapiteln wird dargestellt. das bedeutet Vorhandensein. Durch die Planungs-.1. Am Beginn stehen Sicherheitsziele. Durchführungs-. -handlungen werden sie erfüllt . Festlegung geeigneter Sicherheitsmaßnahmen. Informationssicherheitsmanagement ist also ein kontinuierlicher Prozess. Überwachung der Implementierung und des laufenden Betriebes der ausgewählten Maßnahmen.• • Prüfen (Check): Überwachen und Überprüfen des ISMS auf seine Wirksamkeit. Prüf.das schließlich akzeptierte Sicherheitsniveau wird erreicht.1] 38 . also Erwartungen und Anforderungen der Verantwortlichen und Beteiligten.

Er kann sowohl auf eine gesamte Organisation als auch auf Teilbereiche Anwendung finden. sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft. Integrität und Verfügbarkeit der Informationen und der sie verarbeitenden Systeme gewährleisten. Informationssicherheitsmanagement ist ein kontinuierlicher Prozess. Authentizität und Zuverlässigkeit bestehen. Zentrale Aktivitäten im Rahmen des ISMS sind: • • • • • • die Entwicklung einer organisationsweiten Informationssicherheitspolitik die Durchführung einer Risikoanalyse die Erstellung eines Sicherheitskonzeptes die Umsetzung der Sicherheitsmaßnahmen die Gewährleistung der Informationssicherheit im laufenden Betrieb die kontinuierliche Überwachung und Verbesserung des ISMS Der nachfolgend dargestellte Prozess basiert auf internationalen Standards und Leitlinien zum Informationssicherheitsmanagement. Fallweise können auch weitere Anforderungen wie Zurechenbarkeit.1 Der Informationssicherheitsmanagementprozess Informationen und die sie verarbeitenden Prozesse. dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind. Systeme und Netzwerke sind wichtige Werte jeder Organisation. 2. sowie auch noch den "Guidelines on the Management of IT Security (GMITS)" ([ISO/IEC TR 13335]) ( [ISO/IEC 13335]).2 Informationssicherheits-ManagementSystem (ISMS) Dieses Kapitel nimmt vor allem Bezug auf ISO/IEC 27001 4 "Informationssicherheits-Managementsystem" sowie ISO/IEC 27002 4 "Risikobewertung und -behandlung". insbesondere den ISO/IEC 27001( [ISO/IEC 27001]). Informationssicherheitsmanagement (ISM) soll die Vertraulichkeit. 39 .

wobei aber zu beachten ist.zu entscheiden. wenn nicht ausdrücklich anders angeführt. Unternehmen. Das nachfolgende Bild zeigt die wichtigsten Aktivitäten im Rahmen des Informationssicherheitsmanagements und die eventuell erforderlichen Rückkopplungen zwischen den einzelnen Stufen.Über die Anwendung auf Ebene einzelner Behörden. Abteilungen.. Abteilungen oder anderer Organisationseinheiten ist dann im spezifischen Zusammenhang .. 40 . allgemein der Begriff "Organisation" (oder synonym dazu "Institution") verwendet.) gemeint sein können.abhängig vom ITKonzept und den bestehenden Sicherheitsanforderungen . Im Folgenden wird. dass damit unterschiedliche Organisationseinheiten (Behörden.

1 Eine wesentliche Aufgabe des Informationssicherheitsmanagements ist das Erkennen und Einschätzen von Sicherheitsrisiken und deren Reduktion auf ein tragbares Maß.2] 2.) zu erstellen. 41 ..1 Entwicklung einer organisationsweiten Informationssicherheitspolitik ISO Bezug: 27001 4.Abbildung 1: Aktivitäten im Rahmen des Informationssicherheitsmanagements Informationssicherheitsmanagement umfasst damit die folgenden Schritte: 2. Strategien. Details zu Sicherheitsmaßnahmen und deren Umsetzung sind nicht Bestandteil der organisationsweiten Informationssicherheitspolitik. .2 Risikoanalyse ISO Bezug: 27001 4.1 Als organisationsweite Informationssicherheitspolitik (Corporate Information Security Policy) bezeichnet man die Leitlinien und Vorgaben innerhalb einer Organisation. Abhängig vom IT-Konzept und den Sicherheitsanforderungen kann es auch notwendig werden. nachgeordnete Dienststellen. [eh Teil 1 .1. Dieses "Informationsrisikomanagement" oder auch "Informationssicherheitsrisikomanagement" sollte Teil des generellen Risikomanagements einer Organisation und mit der dort gewählten Vorgehensweise kompatibel sein. sondern sind im Rahmen einzelner systemspezifischer Sicherheitsrichtlinien zu behandeln. Die organisationsweite Informationssicherheitspolitik (im Folgenden der Einfachheit halber als "Informationssicherheitspolitik" bezeichnet) stellt ein langfristig orientiertes Grundlagendokument dar.1.. die unter Berücksichtigung gegebener Randbedingungen grundlegende Ziele. eine Hierarchie von Informationssicherheitspolitiken für verschiedene Organisationseinheiten (etwa Abteilungen. Die Informationssicherheitspolitik ist eingebettet in eine Hierarchie von Regelungen und Leitlinien. auf dessen Basis die Informationssicherheit einer Organisation aufgebaut wird. Verantwortlichkeiten und Methoden für die Gewährleistung der Informationssicherheit festlegen.

Im Anschluss daran ist das verbleibende Restrisiko zu ermitteln und zu prüfen.4 Umsetzung des Informationssicherheitsplans ISO Bezug: 27001 4.2] 2. die zur Umsetzung der ausgewählten Maßnahmen erforderlich sind. mittel. In einem Informationssicherheitsplan werden alle kurz-. Abschnitt 4 Risikoanalyse): Detaillierte Risikoanalyse.und langfristigen Aktionen festgehalten. wenn nicht explizit anders erwähnt.3 Erstellung eines Sicherheitskonzeptes ISO Bezug: 27001 4. der Begriff "Risiko" stets im Sinne von "Informationssicherheitsrisiko" verwendet. Für wichtige IT-Systeme und Anwendungen wird die Erstellung eigener Sicherheitsrichtlinien (auch als "IT-Systemsicherheitspolitiken" bezeichnet) empfohlen.1. Im Rahmen des vorliegenden Handbuchs werden drei Risikoanalysestrategien behandelt (s. Der Vorgang wird im Detail in Kapitel 2.1.2] 2. Grundschutzansatz und Kombinierter Ansatz. die die Risiken auf ein definiertes und beherrschbares Maß reduzieren sollen.1 Abhängig von den Ergebnissen der Risikoanalyse werden in einem nächsten Schritt Maßnahmen ausgewählt.Aus Gründen der besseren Lesbarkeit wird im Folgenden. [eh Teil 1 . um ein organisationsweit einheitliches Vorgehen zu gewährleisten.2 Erstellung von Sicherheitskonzepten behandelt. ob dieses für die Organisation tragbar ist oder weitere Maßnahmen zur Risikoreduktion erforderlich sind. ebenso Risikoanalyse und Risikomanagement im Sinne von Informationssicherheitsrisikoanalyse und –management. einer Anwendung vorgeben sowie konkrete Sicherheitsmaßnahmen und ihre Umsetzung beschreiben.1 42 . Die Sicherheitsrichtlinien müssen mit der organisationsweiten Informationssicherheitspolitik kompatibel sein. Diese sollen die grundlegenden Leitlinien zur Sicherheit eines konkreten IT-Systems bzw. Die Festlegung einer geeigneten Risikoanalysestrategie sollte im Rahmen der Informationssicherheitspolitik erfolgen. [eh Teil 1 .

dass die meisten technischen Sicherheitsmaßnahmen ein geeignetes organisatorisches Umfeld brauchen.Bei der Implementierung der ausgewählten Sicherheitsmaßnahmen ist zu beachten. Weiters ist festzulegen. Zu den erforderlichen Follow-Up-Aktivitäten zählen (s. die Sicherheit im laufenden Betrieb aufrechtzuerhalten und gegebenenfalls veränderten Bedingungen anzupassen. Das Kapitel 2.2] 43 . Dies erfolgt durch die Definition geeigneter Kennzahlen.5 Informationssicherheit im laufenden Betrieb ISO Bezug: 27001 4.2] 2.und Schulungsmaßnahmen.1 Umfassendes Informationssicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe. Unabdingbare Voraussetzung für eine erfolgreiche Umsetzung des Informationssicherheitsplans in der Praxis sind auch entsprechende Sensibilisierungs.1. wie die Effizienz und Effektivität der ausgewählten Sicherheitsmaßnahmen beurteilt werden kann. um vollständig wirksam zu sein.3 Umsetzung des Informationssicherheitsplanes des vorliegenden Handbuchs behandelt diese Umsetzungsfragen. [eh Teil 1 . Kapitel 2.4 Informationssicherheit im laufenden Betrieb): • Die Aufrechterhaltung des erreichten Sicherheitsniveaus Dies umfasst: • • • • • • Wartung und administrativen Support von Sicherheitseinrichtungen die Messung der Effektivität der ausgewählten Sicherheitsmaßnahmen anhand definierter Kennzahlen (Information Security Measurement) die Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) sowie die fortlaufende Überwachung der IT-Systeme (Monitoring) umfassendes Change-Management eine angemessene Reaktion auf sicherheitsrelevante Ereignisse (Incident Handling) [eh Teil 1 .

Dies erfolgt durch die Auswahl geeigneter Maßnahmen.1 Auswahl von Maßnahmen ISO Bezug: 27002 4.1 Ausgehend von den in der Risikoanalyse ermittelten Sicherheitsanforderungen wird ein Sicherheitskonzept erstellt.2.1.2.und Ressourcenplanung für die Umsetzung Die Erstellung eines Sicherheitskonzeptes erfolgt in vier Schritten: • • • • Schritt 1: Auswahl von Maßnahmen Schritt 2: Prüfung von Restrisiken und Risikoakzeptanz Schritt 3: Erstellung von Sicherheitsrichtlinien Schritt 4: Erstellung eines Informationssicherheitsplans Diese vier Schritte werden in den folgenden Kapiteln näher beschrieben.1 44 . 7.1.2.2. 27002 4. 7.2 Erstellung von Sicherheitskonzepten ISO Bezug: 27001 4. 2. die die Risiken auf ein akzeptables Maß reduzieren und unter dem Gesichtspunkt von Kosten und Nutzen eine optimale Lösung darstellen.2.1. Ein Sicherheitskonzept enthält: • • • • • • die Beschreibung des Ausgangszustands einschließlich der bestehenden Risiken (Ergebnisse der vorangegangenen Risikoanalyse) die Festlegung der durchzuführenden Maßnahmen die Begründung der Auswahl unter Kosten/Nutzen-Aspekten und hinsichtlich des Zusammenwirkens der einzelnen Maßnahmen eine Abschätzung des Restrisikos sowie eine verbindliche Aussage über die Akzeptanz des verbleibenden Restrisikos die Festlegung der Verantwortlichkeiten für die Auswahl und Umsetzung der Maßnahmen sowie für die regelmäßige Überprüfung des Konzeptes eine Prioritäten-. Termin.

1 Je nach Betrachtungsweise kann eine Klassifikation von Sicherheitsmaßnahmen hinsichtlich nachfolgender Kriterien getroffen werden.2. Sicherheitsmechanismen können: • • • • • • Risiken vermeiden Bedrohungen oder Schwachstellen verkleinern unerwünschte Ereignisse entdecken die Auswirkung eines unerwünschten Ereignisses eingrenzen Risiken überwälzen es möglich machen. einen früheren Zustand wiederherzustellen [eh Teil 1 .2. die die Sicherheit von Informationen und der sie verarbeitenden IT-Systeme erhöhen. Man unterscheidet: • • • • (informations-)technische Maßnahmen bauliche Maßnahmen organisatorische Maßnahmen personelle Maßnahmen Klassifikation nach Anwendungsbereichen Man unterscheidet: Maßnahmen. Prozeduren und Mechanismen. 45 .2.Sicherheitsmaßnahmen sind Verfahrensweisen.1] 2. Klassifikation nach Art der Maßnahmen Dies ist die "klassische" Einteilung der Sicherheitsmaßnahmen.1 Klassifikation von Sicherheitsmaßnahmen ISO Bezug: 27002 4.1. Dies kann auf unterschiedliche Arten erreicht werden. die organisationsweit (oder in Teilen der Organisation) einzusetzen sind.

Man unterscheidet etwa: • • • Nicht-vernetzte Systeme (Stand-Alone-PCs) Workstations in einem Netzwerk Server in einem Netzwerk Klassifikation nach Gefährdungen und Sicherheitsanforderungen Ausgehend von den Grundbedrohungen gegen ein IT-System (Verlust der Vertraulichkeit. Dokumentation. Rollentrennung) Überprüfung der IT-Sicherheitsmaßnahmen auf Übereinstimmung mit den Informationssicherheitspolitiken (Security Compliance Checking).Dazu gehören: • • • • • • • Etablierung eines ISMS-Prozesses und Erstellung von Informationssicherheitspolitiken organisatorische Maßnahmen (z. Verfügbarkeit. Auditing Reaktion auf sicherheitsrelevante Ereignisse (Incident Handling) personelle Maßnahmen (incl. Kontrolle von Betriebsmitteln. Man unterscheidet daher: • • • • • • 46 Maßnahmen zur Gewährleistung der Vertraulichkeit (confidentiality) Maßnahmen zur Gewährleistung der Integrität (integrity) Maßnahmen zur Gewährleistung der Verfügbarkeit (availability) Maßnahmen zur Gewährleistung der Zurechenbarkeit (accountability) Maßnahmen zur Gewährleistung der Authentizität (authenticity) Maßnahmen zur Gewährleistung der Zuverlässigkeit (reliability) . Die Auswahl systemspezifischer Maßnahmen hängt in hohem Maße vom Typ des zu schützenden IT-Systems ab. etc.B.) werden die typischen Gefährdungen ermittelt. Schulung und Bildung von Sicherheitsbewusstsein) bauliche Sicherheit und Infrastruktur Notfallvorsorge Systemspezifische Maßnahmen. Integrität.

geplanter Sicherheitsmaßnahmen: Bei der Auswahl von Sicherheitsmaßnahmen zur Verminderung der Risiken wird vorausgesetzt.5. Bei einer Grundschutzanalyse werden die vorhandenen Maßnahmen im Rahmen des Soll-Ist-Vergleiches (vgl.. kann im Einzelfall eine Kosten-/Nutzen-Analyse bzw. 4. . Im Fall einer detaillierten Risikoanalyse erfolgt dies im Rahmen der "Identifikation bestehender Schutzmaßnahmen" (vgl. 47 .2 Ausgangsbasis für die Auswahl von Maßnahmen ISO Bezug: 27002 4. Um die sowohl aus Sicherheits.Wirksame Informationssicherheit verlangt im Allgemeinen eine Kombination von verschiedenen Sicherheitsmaßnahmen.2. Erkennen von Verletzungen. ein direkter Vergleich einzelner Sicherheitsmaßnahmen ( trade-off analysis) notwendig sein.6 Identifikation bestehender Sicherheitsmaßnahmen).1] 2. dass im vorhergehenden Schritt . wobei auf die Ausgewogenheit von technischen und nicht-technischen Maßnahmen zu achten ist.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen) ermittelt. Ergebnisse der Risikobewertung: Die Auswahl der Sicherheitsmaßnahmen.1 Liste existierender bzw.2.der Risikoanalyse .als auch aus Wirtschaftlichkeitsüberlegungen effizienteste Lösung zu finden.2.1.) In der Regel stehen verschiedene mögliche Sicherheitsmaßnahmen zur Auswahl.. Diese Auswahl wird von einer Reihe von Faktoren beeinflusst: • • • der Stärke der einzelnen Maßnahmen ihrer Benutzerfreundlichkeit und Transparenz für die Anwender/innen der Art der Schutzfunktion (Verringerung von Bedrohungen.1.die bereits existierenden Sicherheitsmaßnahmen aufgelistet wurden. muss auf den Ergebnissen der Risikobewertung basieren. die als Ergebnis eine Aufstellung aller existierenden oder bereits geplanten Schutzmaßnahmen mit Angaben über ihren Implementierungsstatus und ihren Einsatz liefern soll. 4. [eh Teil 1 . die die Risiken auf ein definiertes und beherrschbares Maß reduzieren.3.

1. Welche der in Frage kommenden Maßnahmen tatsächlich ausgewählt und implementiert werden. Je genauer und aufwändiger die Risikoanalyse durchgeführt wurde.2. In der Regel wird man Maßnahmen bevorzugen.1. In der Mehrzahl der Fälle wird es verschiedene Maßnahmen zur Erfüllung einer bestimmten Sicherheitsanforderung geben. so stehen für die Auswahl von geeigneten Sicherheitsmaßnahmen detailliertere und spezifischere Informationen zur Verfügung als im Fall einer Grundschutzanalyse.1 Wurde eine detaillierte Risikoanalyse durchgeführt. hängt von den speziellen Umständen ab. dass also nicht beispielsweise ausschließlich detektive oder ausschließlich präventive Maßnahmen zum Einsatz kommen.3 Auswahl von Maßnahmen auf Basis einer detaillierten Risikoanalyse ISO Bezug: 27002 4. desto qualifizierter ist im Allgemeinen die für den Auswahlprozess zur Verfügung stehende Information. ist vom spezifischen Fall abhängig. Es ist aber auch darauf zu achten. wünschenswert ist.5.2] 2. Generell ist festzuhalten. die sich jedoch hinsichtlich ihrer Effizienz und ihrer Kosten unterscheiden. dass Sicherheitsmaßnahmen einen oder mehrere der folgenden Aspekte abdecken können: • • • • • • • Vorbeugung (präventive Maßnahmen) Aufdeckung (detektive Maßnahmen) Abschreckung Schadensbegrenzung Wiederherstellung eines früheren Zustandes Bildung von Sicherheitsbewusstsein Risikoüberwälzung Welche dieser Eigenschaften notwendig bzw. 48 . dass die Gesamtheit der ausgewählten Maßnahmen ein ausgewogenes Verhältnis der einzelnen Aspekte aufweist. die mehrere dieser Aspekte abdecken.[eh Teil 1 . Umgekehrt kann eine Maßnahme gleichzeitig mehrere Sicherheitsanforderungen abdecken.

Eine sehr umfangreiche Sammlung von Grundschutzmaßnahmen. ohne weitere Risikoanalyse.1 49 . findet sich etwa in den IT-Grundschutz-Standards und -Maßnahmenkatalogen des BSI (vgl.2.1. die kontinuierlich weiterentwickelt werden. d. als relevant für die durchführende Organisation angenommen. Kapitel 4. Standardwerke zur Auswahl von Maßnahmen: In diesem Sicherheitshandbuch werden die wichtigsten Grundschutzmaßnahmen für die öffentliche Verwaltung in Österreich angeführt. Die betreffenden Bedrohungen werden a priori. Die noch nicht existierenden bzw.h. Alternativ kann auch auf andere bestehende Kataloge zurückgegriffen werden.3 Grundschutzansatz dieses Handbuchs).[eh Teil 1 .5. geplanten Maßnahmen werden in eine Liste von noch zu realisierenden Maßnahmen zusammengefasst.4] 2.3] 2.2.1. [eh Teil 1 .4 Auswahl von Maßnahmen im Falle eines Grundschutzansatzes ISO Bezug: 27002 4.1. In Maßnahmenkatalogen wird eine Reihe von Schutzmaßnahmen gegen die meisten üblichen Bedrohungen angeführt.5.1. Die empfohlenen Maßnahmen werden mit den existierenden oder bereits geplanten Maßnahmen verglichen.5 Auswahl von Maßnahmen im Falle eines kombinierten Risikoanalyseansatzes ISO Bezug: 27002 4.1 Grundsätzlich ist die Auswahl von Sicherheitsmaßnahmen im Falle eines Grundschutzansatzes relativ einfach.

In diesem Stadium ist auch die Einbeziehung der betroffenen Benutzer/innen zu empfehlen. die einerseits ein adäquates Sicherheitsniveau für Systeme der Schutzbedarfsklasse "niedrig bis mittel" gewährleisten. wenn ihre Notwendigkeit für die Benutzer/innen einsichtig ist. [eh Teil 1 . in welchem Maß sie akzeptiert oder aber abgelehnt oder umgangen werden. die Auswirkungen der ausgewählten Maßnahmen zu analysieren. dass sie einander ergänzen und unterstützen und sich nicht etwa gegenseitig behindern oder in ihrer Wirkung schwächen. Anschließend werden die noch fehlenden Sicherheitsmaßnahmen für IT-Systeme mit hohen bis sehr hohen Sicherheitsanforderungen ausgewählt.5] 2. Damit soll gewährleistet werden. dem des BSI entsprechende Schutzmaßnahmen ausgewählt und umgesetzt. dass die zusätzlichen Maßnahmen mit dem ITGesamtkonzept und den bereits bestehenden Sicherheitsmaßnahmen verträglich sind. Zur Bewertung von Sicherheitsmaßnahmen ist wie folgt vorzugehen: • • • • • • 50 Erfassung aller Bedrohungen. gegen die die ausgewählten Maßnahmen wirken Beschreibung der Auswirkung der Einzelmaßnahmen Beschreibung des Zusammenwirkens der ausgewählten und der bereits vorhandenen Sicherheitsmaßnahmen Überprüfung.6 Bewertung von Maßnahmen ISO Bezug: 27002 4.1.1.2. Die Akzeptanz von Maßnahmen steigt.Im Falle eines kombinierten Ansatzes werden zunächst anhand dieses Handbuchs oder eines Grundschutzkataloges wie z.1 Unabhängig von der verfolgten Strategie ist es in jedem Fall notwendig. ob und inwieweit die Maßnahmen zu Behinderungen beim Betrieb des IT-Systems führen können Überprüfung der Vereinbarkeit der Maßnahmen mit geltenden rechtlichen Vorschriften und Richtlinien Bewertung. andererseits auch für hochschutzbedürftige Systeme bereits ein gewisses Maß an Schutz bieten. da die Wirksamkeit von Sicherheitsmaßnahmen stark davon abhängt. d.5.h. in welchem Ausmaß die Maßnahmen eine Reduktion der Risiken bewirken .B.

2 Risikoakzeptanz 51 . Auch Rahmenbedingungen können im Laufe der Zeit. wie etwa die Lage eines Gebäudes. die entweder durch das Umfeld vorgegeben oder durch das Management festgelegt werden. klimatische Bedingungen und Platzangebot können die Auswahl von Sicherheitsmaßnahmen beeinflussen.2. Die Kosten für Sicherheitsmaßnahmen müssen in einem angemessenen Verhältnis zum Wert der zu schützenden Objekte stehen.und/oder Software Weitere Einschränkungen können organisatorischer.5.5. sollte die Leitungsebene entscheiden. gesetzlicher oder sozialer Natur sein. Technische Rahmenbedingungen z. ob die Kosten für die Realisierung der Maßnahmen im richtigen Verhältnis zur Reduzierung der Risiken stehen und ob die Risiken auf ein akzeptables Maß beschränkt werden. [eh Teil 1 . [eh Teil 1 .7] 2.1.B. personeller.1 Bei der Auswahl und Umsetzung von Sicherheitsmaßnahmen sind stets auch Rahmenbedingungen (constraints) zu berücksichtigen.7 Rahmenbedingungen ISO Bezug: 27002 4.1.6] 2.Bevor die Maßnahmen umgesetzt werden. Beispiele für solche Rahmenbedingungen sind: • • • • Zeitliche Rahmenbedingungen Etwa: Wie schnell ist auf ein erkanntes Risiko zu reagieren? Wann kann/muss eine Maßnahme realisiert sein? Finanzielle Rahmenbedingungen Im Allgemeinen werden budgetäre Einschränkungen existieren. durch soziale Veränderungen oder durch Veränderungen im technischen oder organisatorischen Umfeld. Umweltbedingungen Auch durch das Umfeld vorgegebene Rahmenbedingungen. einem Wandel unterliegen und sind daher regelmäßig zu überprüfen und zu hinterfragen.2.1. Kompatibilität von Hard.

Es besteht die Möglichkeit. ist wie folgt vorzugehen: Schritt 1: Quantifizierung des Restrisikos In diesem ersten Schritt ist das Restrisiko so exakt wie möglich zu ermitteln. 14. 14.6 Akzeptanz von außergewöhnlichen Restrisiken).auch nach Auswahl und Umsetzung aller angemessenen Sicherheitsmaßnahmen verbleibt im Allgemeinen ein Restrisiko. nicht-akzeptable bedürfen einer weiteren Analyse. [eh Teil 1 .1.2] 52 .5 Akzeptables Restrisiko sowie 4.ISO Bezug: 27002 4. ob dieses für die betreffende Organisation tragbar ist oder weitere Maßnahmen zu veranlassen sind. so besteht in begründeten Ausnahmefällen die Möglichkeit einer bewussten Akzeptanz dieses erhöhten Restrisikos. Das Vorgehen dabei und die Verantwortlichkeiten dafür sind in der Informationssicherheitspolitik festzulegen (vgl. eventuell mit hohen Kosten verbundene Maßnahmen auszuwählen. Kapitel 4.2 Absolute Sicherheit ist nicht erreichbar . zu untersuchen. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken. wie weit und mit welchen Kosten nicht-akzeptable Restrisiken weiter verringert werden können.2. unwirtschaftlich oder aufgrund gegebener Rahmenbedingungen nicht wünschenswert. Die Alternative dazu ist eine bewusste und dokumentierte Akzeptanz des erhöhten Restrisikos.1 Risikoanalysestrategien.5 Akzeptables Restrisiko sowie 4. Die Entscheidungsgrundlage dafür sollte in der (organisationsweiten) Informationssicherheitspolitik festgelegt sein (vgl. Schritt 3: Entscheidung über nicht-akzeptable Restrisiken Die weitere Behandlung von nicht-akzeptablen Restrisiken sollte stets eine Managemententscheidung sein.1. 4. Schritt 4: Akzeptanz von außergewöhnlichen Restrisiken Ist eine weitere Reduktion des Restrisikos nicht möglich. und zusätzliche.1 Risikoanalysestrategien.5. Dabei bedient man sich am besten der Verfahren und Erkenntnisse aus der vorangegangenen Risikoanalyse. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken. Akzeptable Restrisiken können in Kauf genommen werden.1. 4. Schritt 2: Bewertung der Restrisiken Die verbleibenden Restrisiken sind als "akzeptabel" oder "nicht-akzeptabel" zu klassifizieren. Um zu entscheiden.6 Akzeptanz von außergewöhnlichen Restrisiken ). Kapitel 4.

1] 2.1 Aufgaben und Ziele ISO Bezug: 27001 4.3 Sicherheitsrichtlinien ISO Bezug: 27001 4.1 Eine Sicherheitsrichtlinie sollte Aussagen zu den sicherheitsrelevanten Bereichen eines Systems treffen: • • • • • Definition und Abgrenzung des Systems.2. wie weit die Aufgabenerfüllung der Organisation durch eine Verletzung der Vertraulichkeit. [eh Teil 1 . sollen für jeweils spezifische Sicherheitsrichtlinien auf die einzelnen wichtigen Systeme eingehen. eine InternetSicherheitsrichtlinie oder eine Richtlinie zum Einsatz mobiler Geräte. Beschreibung der wichtigsten Komponenten Definition der wichtigsten Ziele und Funktionalitäten des Systems Festlegung der Informationssicherheitsziele des Systems Abhängigkeit der Organisation vom betrachteten IT-System.1 Für alle komplexen oder stark verbreiteten IT-Systeme sollten spezifische Sicherheitsrichtlinien erarbeitet werden.5.5.2 Inhalte ISO Bezug: 27001 4. eine Netzsicherheitsrichtlinie.2. dabei ist zu untersuchen.3. Kosten für den laufenden Betrieb) 53 . Typische Beispiele sind etwa eine PC-Sicherheitsrichtlinie.2.2.2.1 Während das Sicherheitsskonzept ganzheitlich Maßnahmen darstellt.und Wartungskosten. um die Risiken auf ein definiertes und beherrschbares Maß zu bringen.3.3.3] 2.2. Investitionen in das System (Entwicklungs-. Verfügbarkeit oder Integrität des Systems oder darauf verarbeiteter Information gefährdet wird. [eh Teil 1 . Beschaffungs.2.

1 Auch eine Sicherheitsrichtlinie stellt kein einmal erstelltes.5.3.5. Risikoanalyse Sicherheitsrisiken Beschreibung der bestehenden und der noch zu realisierenden Sicherheitsmaßnahmen Gründe für die Auswahl der Maßnahmen Kostenschätzungen für die Realisierung und den laufenden Betrieb (Wartung) der Sicherheitsmaßnahmen Verantwortlichkeiten [eh Teil 1 .2. Bedrohungen und Schwachstellen lt.2] 2.2.2.3. [eh Teil 1 .3 Fortschreibung der Sicherheitsrichtlinien ISO Bezug: 27001 4.4 Verantwortlichkeiten ISO Bezug: 27001 4. unveränderbares Dokument dar.1 54 .3.2. noch umzusetzenden Sicherheitsmaßnahmen stets dem tatsächlich aktuellen Stand entspricht.3. Insbesondere ist es von Bedeutung.• • • • • • • Risikoanalysestrategie Werte.3] 2. dass die Liste der existierenden bzw. sondern ist regelmäßig auf Aktualität zu überprüfen und bei Bedarf entsprechend anzupassen.

Im Detail sind für jedes System zu erstellen: • • • • eine Liste der vorhandenen sowie eine Liste der noch zu implementierenden Sicherheitsmaßnahmen.5.2.und Sensibilisierungsmaßnahmen 55 . die/der sie mit der/dem IT-Sicherheitsbeauftragten abstimmen wird.4] 2.3.4 Informationssicherheitspläne für jedes System ISO Bezug: 27001 4. Im Allgemeinen wird diese Verantwortung bei der/dem für das gegenständliche System zuständigen Bereichs-IT-Sicherheitsbeauftragten liegen. wie die ausgewählten Sicherheitsmaßnahmen umgesetzt werden. Er enthält eine Prioritäten. die Verbesserung bestehender Maßnahmen eine Kosten. abhängig von Prioritäten und Ressourcen Budget Verantwortlichkeiten Schulungs.3 Organisation und Verantwortlichkeiten für Informationssicherheit). Letztere/r hat dafür Sorge zu tragen. [eh Teil 1 .Die Verantwortlichkeiten für die Erstellung und Fortschreibung der Sicherheitsrichtlinien sind im Einzelnen in der Informationssicherheitspolitik festzulegen (vgl.und Aufwandsschätzung für Implementierung und Wartung der Maßnahmen Detailplanung für die Implementierung Diese soll folgende Punkte umfassen: • • • • • Prioritäten Zeitplan.und Ressourcenplanung sowie einen Zeitplan für die Umsetzung der Maßnahmen. dazu Kapitel 5. vergleichbares Niveau aufweisen. für jede dieser Maßnahmen sollte eine Aussage über ihre Wirksamkeit sowie möglicherweise notwendige Verbesserungen oder Verstärkungen getroffen werden eine Prioritätenreihung für die Implementierung der ausgewählten Sicherheitsmaßnahmen bzw. dass die einzelnen Sicherheitsrichtlinien mit der organisationsweiten Informationssicherheitspolitik kompatibel sind und auch untereinander ein einheitliches.2.3 Ein Informationssicherheitsplan beschreibt.

um an veränderte System.2.B. [eh Teil 1 . jährliches Update) Eintritt von Ereignissen. die die Bedrohungslage verändern.. Änderungen am Markt oder die Einführung neuer Applikationen Ereignisse. Umfeldeigenschaften angepasst zu bleiben.• • • Test.bzw..und Abnahmeverfahren und -termine Nachfolgeaktivitäten eine Bewertung des nach der Implementierung aller Maßnahmen zu erwartenden Restrisikos Weiters sollte der Sicherheitsplan auch die Kontrollmechanismen festlegen. die die Eintrittswahrscheinlichkeit von Bedrohungen verändern. und Möglichkeiten des Eingriffes bei Abweichungen vom vorgesehenen Prozess oder bei notwendigen Änderungen definieren. etwa aufgrund von Preisänderungen oder der Verfügbarkeit neuer Technologien Voraussetzungen für eine effiziente und zielgerichtete Fortschreibung des Sicherheitskonzeptes sind: • • 56 die laufende Überprüfung von Akzeptanz und Einhaltung der Sicherheitsmaßnahmen die Protokollierung von Schadensereignissen .) neue Möglichkeiten für Sicherheitsmaßnahmen.4] 2.4 Das Sicherheitskonzept muss laufend fortgeschrieben werden. die den Fortschritt der Implementierung der ausgewählten Maßnahmen bewerten. wie etwa die Entwicklung neuer Techniken oder veränderte Einsatzbedingungen (Einsatzort. . wie etwa die Änderungen von Organisationszielen oder Aufgabenbereichen. IT-Ausstattung. wie etwa politische oder gesellschaftliche Entwicklungen oder das Bekanntwerden neuer Attacken Eintritt von Ereignissen.2. Anlässe für eine neue Untersuchung und das Fortschreiben des Konzeptes können sein: • • • • • Ablauf eines vorgeschriebenen oder vereinbarten Zeitraumes (z. die die Werte verändern können.5 Fortschreibung des Sicherheitskonzeptes ISO Bezug: 27001 4.5.

die Umsetzung des Informationssicherheitsplans im Rahmen eines Projektes abzuwickeln.• die Kontrolle der Wirksamkeit und Angemessenheit der Maßnahmen Ob eine neuerliche Risikoanalyse erforderlich ist oder lediglich die Auswahl der Maßnahmen überarbeitet wird.5. Es empfiehlt sich. dass • • • • • Verantwortlichkeiten rechtzeitig und eindeutig festgelegt werden. finanzielle und personelle Ressourcen rechtzeitig zugewiesen werden. Als letzter Schritt der Umsetzung des Informationssicherheitsplans sind die implementierten Maßnahmen in ihrer tatsächlichen Einsatzumgebung auf ihre Auswirkungen zu testen und abzunehmen (Akkreditierung). [eh Teil 1 . die Maßnahmen korrekt umgesetzt werden. Bei der Umsetzung des Plans ist zu beachten. der Zeitplan eingehalten wird.3. um die optimale Einhaltung und Akzeptanz der Maßnahmen bei den Anwenderinnen/ Anwendern zu erreichen.2 57 . [eh Teil 1 .2.3 Umsetzung des Informationssicherheitsplans Die korrekte und effiziente Implementierung von Sicherheitsmaßnahmen und ihr zielgerichteter Einsatz hängen in hohem Maße von der Qualität des im vorangegangenen Schritt erstellten Informationssicherheitsplans ab. Gleichzeitig mit der Implementierung der Sicherheitsmaßnahmen sollten auch entsprechende Schulungs. Dieser muss gut strukturiert.5] 2.5] 2. die Kosten sich in dem vorher abgeschätzten Rahmen halten.5. hängt vom Ausmaß der eingetretenen Veränderungen ab.1 Implementierung von Maßnahmen ISO Bezug: 27001 4. genau dokumentiert und den tatsächlichen Anforderungen der betroffenen Institution angepasst sein.und Sensibilisierungsmaßnahmen gesetzt werden.

der • • • die Testmethoden die Testumgebung die Zeitpläne für die Durchführung der Tests beinhaltet. dass ein Teil der Maßnahmen systemspezifisch sein wird.Sobald der Informationssicherheitsplan erstellt und verabschiedet wurde. Sie/ er hat dafür Sorge zu tragen. Dabei ist zu beachten. Es wird empfohlen. sowie nicht redundant oder widersprüchlich sind die systemspezifischen Maßnahmen kompatibel sind und ein einheitliches. Schritt 2: Testplan und Tests Tests sollen sicherstellen. entsprechend der vorgegebenen Zeitpläne und Prioritäten. Die Abstimmung der einzelnen systemspezifischen Informationssicherheitspläne für die Gesamtorganisation obliegt in der Regel der/dem IT-Sicherheitsbeauftragten. zu erfolgen. dass die Implementierung korrekt durchgeführt und abgeschlossen wurde. für die Tests einen Testplan zu erstellen. angemessenes Sicherheitsniveau haben Besonderer Wert ist auf eine detaillierte. sind die einzelnen Maßnahmen zu implementieren. auf ihre Übereinstimmung mit der Sicherheitspolitik zu überprüfen (Security Compliance Checking) und auf Korrektheit und Vollständigkeit zu testen. Schritt 1: Implementierung der Sicherheitsmaßnahmen Die Implementierung der ausgewählten Sicherheitsmaßnahmen hat anhand des Informationssicherheitsplans.1 Auswahl von Maßnahmen). korrekte und aktuelle Dokumentation dieser Implementierungen zu legen. Die durchgeführten Tests sind im Detail zu beschreiben und die Ergebnisse in einem standardisierten Testbericht festzuhalten. Die Verantwortlichkeiten dafür sind im Detail festzulegen. dazu auch 2. 58 . ein anderer Teil aber organisationsweit einzusetzen ist (vgl.2. dass • • die systemübergreifenden. organisationsweiten Maßnahmen vollständig und angemessen.

dass zum einen eventuell bestehende Sicherheitslücken erkannt werden können. Es kann im Einzelfall notwendig sein. Gewährleistung der Vertraulichkeit: Dokumentation über Sicherheitsmaßnahmen kann unter Umständen sehr vertrauliche Information enthalten und ist daher entsprechend zu schützen.1 Security Compliance Checking und Monitoring) durchzuführen. Schritt 3: Prüfung der Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) Security Compliance Checks sind sowohl im Rahmen der Implementierung der Maßnahmen als auch als wiederholte Aktivität zur Gewährleistung der Informationssicherheit im laufenden Betrieb (s. zum anderen ausreichend Information für einen korrekten und effizienten Einsatz der Maßnahmen zur Verfügung steht. dazu auch Kap. Benutzung.5 Klassifizierung von Informationen). 59 • . 15.2. So weit wie möglich sollte bei der Klassifizierung und Behandlung solcher Dokumente auf die Vorgaben im Rahmen der Informationssicherheitspolitik der Organisation zurückgegriffen werden (vgl. Verteilung.Abhängig von der speziellen Bedrohungslage und der Art der Maßnahmen kann die Durchführung von Penetrationstests erforderlich sein. Die wichtigsten Anforderungen an die Dokumentation sind: • • • Aktualität: Alle Sicherheitsmaßnahmen sind stets auf dem aktuellen Stand der Realisierung zu beschreiben. Vollständigkeit Hoher Detaillierungsgrad: Die Sicherheitsmaßnahmen sind so detailliert zu beschreiben. Aufbewahrung und Vernichtung von sicherheitsrelevanter Dokumentation zu entwickeln. Dabei sind zu prüfen: • • • die vollständige und korrekte Umsetzung der Sicherheitsmaßnahmen der korrekte Einsatz der implementierten Sicherheitsmaßnahmen die Einhaltung der organisatorischen Sicherheitsmaßnahmen im täglichen Betrieb Dokumentation Die Dokumentation der implementierten Maßnahmen stellt einen wichtigen Teil der gesamten Sicherheitsdokumentation dar und ist notwendige Voraussetzung für die Kontinuität und Konsistenz des Informationssicherheitsprozesses. dazu 5. weitere Verfahrensweisen zur Erstellung. Diese Verfahrensweisen sind ebenfalls entsprechend zu dokumentieren.

die eine .• Konfigurations.und Integritätskontrolle: Es ist sicherzustellen.. das zum Ziel hat. . Um das Sicherheitsbewusstsein aller Mitarbeiter/innen zu fördern und den Stellenwert der Informationssicherheit innerhalb einer Organisation zu betonen. Schwachstellen.) die Pläne zur Implementierung und Überprüfung der Sicherheitsmaßnahmen . dass keine unauthorisierten Änderungen der Dokumentation erfolgen.6.2. organisationsweites Sensibilisierungsprogramm erstellt werden.2 Nur durch Verständnis und Motivation ist eine dauerhafte Einhaltung und Umsetzung der Richtlinien und Vorschriften zur Informationssicherheit zu erreichen..2.dies wird in der Regel die/der ITSicherheitsbeauftragte sein . [eh Teil 1 .die Anforderungen aus den einzelnen Teilbereichen und systemspezifische Anforderungen hier einfließen zu lassen und entsprechend zu koordinieren. Es ist Aufgabe der dafür verantwortlichen Person . Informationssicherheit zu einem integrierten Bestandteil der täglichen Arbeit zu machen. Das Sensibilisierungsprogramm sollte folgende Punkte umfassen: • Information aller Mitarbeiter/innen über die Informationssicherheitspolitik der Organisation. die für die gesamte Organisation Gültigkeit haben) die wichtigsten Ergebnisse der Risikoanalysen (Bedrohungen.beabsichtigte oder unbeabsichtigte Beeinträchtigung der implementierten Maßnahmen nach sich ziehen könnten.2. Im Rahmen einer Einführung sollten insbesondere folgende Punkte erläutert werden: • • • • • • die Informationssicherheitsziele und -politik der Organisation sowie deren Erläuterung die Bedeutung der Informationssicherheit für die Organisation Organisation und Verantwortlichkeiten im Bereich der Informationssicherheit die Risikoanalysestrategie die Sicherheitsklassifizierung von Daten • • 60 ausgewählte Sicherheitsmaßnahmen (insbesondere solche. Das Sensibilisierungsprogramm sollte systemübergreifend sein.3.1] 2. Risiken. sollte ein umfassendes.2 Sensibilisierung (Security Awareness) ISO Bezug: 27002 5. 8.

a. wann und wo solche Veranstaltungen nötig sind.3 Schulung ISO Bezug: 27002-5.3.2.2.B. 8. im Arbeitsablauf.. um das vorhandene Wissen aufzufrischen und neue Mitarbeiter/innen zu informieren. [eh Teil 1 .• • • die Auswirkungen von sicherheitsrelevanten Ereignissen für einzelne Anwender und für die gesamte Institution die Notwendigkeit.) Das Sensibilisierungsprogramm sollte jede/n Mitarbeiter/in der Institution auf ihre/ seine Verantwortlichkeit für Informationssicherheit hinweisen. beförderte oder versetzte Mitarbeiter/in so weit in Fragen der Informationssicherheit geschult werden. 6. Sicherheitsverstöße zu melden und zu untersuchen die Konsequenzen bei Nichteinhaltung von Sicherheitsvorgaben Zur Sensibilisierung der Mitarbeiter/innen können u.. Darüber hinaus sollte jede/r neue. z.1. wie es der neue Arbeitsplatz verlangt. Auftreten eines Virus.5 Über das allgemeine Sensibilisierungsprogramm hinaus sind spezielle Schulungen zu Teilbereichen der Informationssicherheit erforderlich. 61 . ergeben. 15. Die Veranstaltungen zum Sensibilisierungsprogramm sollten in regelmäßigen Zeitabständen wiederholt werden.2. 8.2.1. Dabei ist insbesondere die Verantwortung des Managements für Informationssicherheit zu betonen ("Informationssicherheit als Managementaufgabe").2. .2] 2.2. folgende Maßnahmen beitragen: • • • regelmäßige Veranstaltungen zum Thema Informationssicherheit Publikationen schriftliche Festlegung der Berichtswege und Handlungsanweisungen im Falle eines vermuteten Sicherheitsproblems (z. Gegebenenfalls liefern Bereichs-IT-Sicherheitsbeauftragte Informationen.1. Das Sensibilisierungsprogramm ist regelmäßig auf seine Wirksamkeit und Aktualität zu überprüfen und laufend an Veränderungen in der Informationssicherheitspolitik sowie an neue Technologien anzupassen. Die organisationsweite Planung dieser Veranstaltungen sollte die/der IT-Sicherheitsbeauftragte übernehmen. wenn sich durch Sicherheitsmaßnahmen einschneidende Veränderungen.6. Angriff von außen ("Hacker").B.

Wiederaufbereitung und Virenschutz. die mit Aufgaben der IT-Sicherheitsverwaltung betraut sind (z.B. Besondere Betonung ist dabei auf die Schulung der korrekten Implementierung und Anwendung von Sicherheitsmaßnahmen zu legen. Büroräumen und Versorgungseinrichtungen mit besonderer Betonung der Verantwortung der einzelnen Mitarbeiter/innen (z. digitale Signaturen u. Serverräumen.B. Projektleiter/innen) Mitarbeiter/innen mit spezieller Verantwortung für den Betrieb eines IT-Systems oder einer wichtigen Applikation (z. die in besonderem Maße mit Informationssicherheit zu tun haben. sind speziell dafür auszubilden und zu schulen. Business Continuity Planung Schulungs.ä. Dazu zählen etwa: • • • • • • die/der IT-Sicherheitsbeauftragte und die Bereichs-IT-Sicherheitsbeauftragten die Mitglieder des Informationssicherheitsmanagement-Teams Mitarbeiter/innen. Zugangs. LANs. Berechtigungssysteme. die im Rahmen von Schulungsveranstaltungen behandelt werden sollten. Inter-/Intranets.B. Protokollierung. um keine Sicherheitslücken durch mangelndes Wissen oder Sicherheitsbewusstsein entstehen zu lassen. Brandschutz) Personelle Sicherheit Hardware. Applikationsverantwortliche) Mitarbeiter/innen. Handhabung von Zutrittskontrollmaßnahmen.und Softwaresicherheit: Dazu gehören etwa Identifikation und Authentisierung. Verschlüsselung. 62 . Netzwerksicherheit: Netzwerkinfrastruktur.und Zugriffsrechten) Das Schulungsprogramm ist von jeder Organisation spezifisch für ihren Bedarf eigenen zu entwickeln.und Sensibilisierungsveranstaltungen zum Thema Informationssicherheit müssen zeitgerecht geplant und umgesetzt werden. Organisation des Informationssicherheitsmanagements.B. Behandlung von sicherheitsrelevanten Vorfällen. die zu VERTRAULICH. Typische Beispiele für die Themen. sind: • • • • • • Sicherheitspolitik und -infrastruktur: Rollen und Verantwortlichkeiten. regelmäßige Überprüfung von Sicherheitsmaßnahmen und ähnliches Bauliche Sicherheit: Schutz von Gebäuden.Personen. Vergabe von Zutritts-. GEHEIM oder STRENG GEHEIM eingestuften Informationen Zugang haben Mitarbeiter/innen mit spezieller Verantwortung für die Systementwicklung (z.

dass seine Sicherheit • • • in einer definierten Betriebsumgebung unter definierten Einsatzbedingungen für eine definierte vorgegebene Zeitspanne gewährleistet ist.3.4. auch 2. Wir ein IT-System akkreditiert.in Echtbetrieb gehen.6. Erst nach erfolgter Akkreditierung kann ein solches System .3. Techniken zur Akkreditierung sind: • • • Prüfung der Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking).1 Implementierung von Maßnahmen und 2. vgl. wann eine Neuakkreditierung durchzuführen ist.6.3] 2. Wesentlich bei der Akkreditierung ist die Anwendung standardisierter und damit vergleichbarer Vorgehens.4] 63 .[eh Teil 1 .3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) Tests Evaluation und Zertifizierung von Systemen Änderungen der eingesetzten Sicherheitsmaßnahmen oder der Betriebsumgebung können eine neuerliche Akkreditierung des Systems erforderlich machen. sollten in den zugehörigen Sicherheitsrichtlinien festgelegt werden. dass dieses den Anforderungen der Informationssicherheitspolitik und der Sicherheitsrichtlinien genügt. [eh Teil 1 .und Zustandsbeschreibungen sowie standardisierter Vorgaben für Erfüllung und Dokumentation. ist insbesondere darauf zu achten.4 Akkreditierung Unter Akkreditierung eines IT-Systems versteht man die durch eine unabhängige Instanz formal dokumentierte Sicherstellung. Die Kriterien.oder eine spezifische Anwendung davon .

das erreichte Sicherheitsniveau zu erhalten bzw.sei es durch eine Veränderung der Bedrohungslage oder durch falsche Verwendung der implementierten Sicherheitsmaßnahmen . Ziel aller Follow-Up-Aktivitäten ist es.liegen sollte.4 Informationssicherheit im laufenden Betrieb Umfassendes Informationssicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe.4.2. in den einzelnen Sicherheitsrichtlinien detailliert festgelegt werden. 8 Das nach der Umsetzung des Informationssicherheitsplans erreichte Sicherheitsniveau lässt sich nur dann aufrechterhalten. Weiters muss eine angemessene Reaktion auf alle sicherheitsrelevanten Änderungen sowie auf sicherheitsrelevante Ereignisse gewährleistet sein. 2.1 Aufrechterhaltung des erreichten Sicherheitsniveaus ISO Bezug: 27001 4.4. Generell gilt auch hier. weiter zu erhöhen. Aktualität und die Umsetzung in der täglichen Praxis überprüft werden. Compliance. Monitoring sichergestellt sind: • • • Wartung und administrativer Support der Sicherheitseinrichtungen müssen gewährleistet sein.soweit definiert . unveränderbares Dokument.sollen erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. 6. 64 . Die Verantwortlichkeiten für diese Aktivitäten müssen im Rahmen der organisationsweiten Informationssicherheitspolitik bzw.2. wenn Support. sondern muss stets auf seine Wirksamkeit. Verschlechterungen der Wirksamkeit von Sicherheitsmaßnahmen . Ein Sicherheitskonzept ist kein statisches. die Verantwortung für organisationsweite Sicherheitsmaßnahmen sowie die Gesamtverantwortung bei der/ dem IT-Sicherheitsbeauftragten. dass die Verantwortung für systemspezifische Maßnahmen bei den einzelnen BereichsIT-Sicherheitsbeauftragten . die Informationssicherheit im laufenden Betrieb aufrechtzuerhalten. die realisierten Maßnahmen müssen regelmäßig auf ihre Übereinstimmung mit der Informationssicherheitspolitik geprüft werden (Security Compliance Checking) und die IT-Systeme fortlaufend überwacht werden (Monitoring).

die Überprüfung der Parametereinstellungen und eventueller Rechte auf mögliche nichtautorisierte Änderungen.4. dazu auch 2. Die Kosten für Wartungs.2. wenn verfügbar (besonders.1] 2. [eh Teil 1 . Die Wartung von Sicherheitseinrichtungen hat in Abstimmung mit den Verträgen. Backup und Restore sowie die Wartung von sicherheitsrelevanten Komponenten. im Bereich Virenschutz). Zu diesen Aufgaben zählen etwa die regelmäßige Auswertung und Archivierung von Protokollen.1. ist sicherzustellen. 6.7. ob sie wie beabsichtigt funktionieren 65 . dass • • • • die erforderlichen finanziellen und personellen Ressourcen zur Wartung von Sicherheitseinrichtungen zur Verfügung stehen organisatorische Regelungen existieren. die Reinitialisierung von Startwerten oder Zählern sowie Updates der Sicherheitssoftware.und Supportaufgaben können im Einzelfall beträchtlich sein und sollten daher bereits bei der Auswahl der Sicherheitsmaßnahmen bekannt sein und in den Entscheidungsprozess mit einfließen. zu erfolgen und darf nur durch dafür autorisierte Personen vorgenommen werden.und Supportaktivitäten sollten nach einem detailliert festgelegten Plan erfolgen und regelmäßig durchgeführt werden.Von besonderer Wichtigkeit für die Aufrechterhaltung oder weitere Erhöhung eines einmal erreichten Sicherheitsniveaus ist eine permanente Sensibilisierung aller betroffenen Mitarbeiter/innen für Fragen der Informationssicherheit (vgl.2 Sensibilisierung (Security Awareness)). Alle Wartungs. 8 Viele Sicherheitsmaßnahmen erfordern zur Gewährleistung ihrer einwandfreien Funktionsfähigkeit Wartung und administrativen Support. Um die Aufrechterhaltung eines einmal erreichten Sicherheitsniveaus zu gewährleisten. die mit den Lieferfirmen geschlossen wurden.2 Wartung und administrativer Support von Sicherheitseinrichtungen ISO Bezug: 27001 4. aber nicht ausschließlich.4.3. die die Aufrechterhaltung der Informationssicherheitsmaßnahmen im laufenden Betrieb ermöglichen und unterstützen die Verantwortungen im laufenden Betrieb klar zugewiesen werden die Maßnahmen regelmäßig daraufhin geprüft werden.

falls sich neue Schwachstellen zeigen Alle Wartungs. Dies muss für alle IT-Systeme. ob • • • die Sicherheitsmaßnahmen vollständig und korrekt umgesetzt werden der korrekte Einsatz der implementierten Sicherheitsmaßnahmen gewährleistet ist (Stichproben!) die organisatorischen Sicherheitsvorgaben im täglichen Betrieb eingehalten und akzeptiert werden Weiters sind die getroffenen Maßnahmen regelmäßig auf Übereinstimmung mit gesetzlichen und betrieblichen Vorgaben zu überprüfen. Zeitpunkte Security Compliance Checks sollten zu folgenden Zeitpunkten bzw. bei Eintreten folgender Ereignisse durchgeführt werden: 66 . Dabei ist zu prüfen. wie es im Sicherheitskonzept und im Informationssicherheitsplan vorgesehen ist. [eh Teil 1 . dass alle Maßnahmen so eingesetzt werden. Die Prüfungen können durch externe oder interne Auditoren/Auditorinnen durchgeführt werden und sollten soweit möglich auf standardisierten Tests und Checklisten basieren.4.1.und Supportaktivitäten im Sicherheitsbereich sollten protokolliert werden. 15.3 Überprüfung von Maßnahmen auf Übereinstimmung mit der Informationssicherheitspolitik (Security Compliance Checking) ISO Bezug: 27001 4.4.1] 2.7. -Projekte und Applikationen sowohl während der Planungsphase als auch im laufenden Betrieb und letztlich auch bei der Außerbetriebnahme sichergestellt sein.1 Zielsetzung Zur Gewährleistung eines angemessenen und gleich bleibenden Sicherheitsniveaus ist dafür Sorge zu tragen.2.2. Der regelmäßigen Auswertung dieser Protokolle kommt besondere Bedeutung für die gesamte Informationssicherheit zu.• Maßnahmen verstärkt werden.

2] 2. sollte das Monitoring durch die Ermittlung von Kennzahlen unterstützt werden. Mögliche Gründe dafür sind eine Änderung der IT-Sicherheitsziele. seine Benutzer/innen und die Systemumgebung das im Informationssicherheitsplan festgelegte Sicherheitsniveau beibehalten. Alle Änderungen der potentiellen Bedrohungen.1 Security Compliance Checking und Monitoring) für bereits in Betrieb befindliche IT-Systeme oder Applikationen: nach einer bestimmten. Wo technisch möglich und sinnvoll. Solche Kennzahlen können beispielsweise die Systemverfügbarkeit.• • für neue IT-Systeme oder relevante neue Anwendungen: nach der Implementierung (vgl.4.2. daraus resultierend. Schwachstellen. jährlich) sowie bei signifikanten Änderungen. neue Applikationen oder die Verarbeitung von Daten einer höheren Sicherheitsklasse auf existierenden Systemen oder Änderungen in der Hardware-Ausstattung. die Zahl der Hacking-Versuche über Internet oder die Wirksamkeit des Passwortmechanismus betreffen. die Sicherheitsanforderungen an das Gesamtsystem können im Laufe des Lebenszyklus eines IT-Projektes oder -Systems erheblichen Änderungen unterliegen. zu überprüfen. 15. in den Sicherheitsrichtlinien vorzugebenden Zeitspanne (z.4 Fortlaufende Überwachung der IT-Systeme (Monitoring) ISO Bezug: 27002 4.4 Monitoring ist eine laufende Aktivität mit dem Ziel. Dazu wird ein Plan für eine kontinuierliche Überwachung der IT-Systeme im täglichen Betrieb erstellt. dazu auch Kap. Aus diesem Grund ist eine fortlaufende Überwachung folgender Bereiche erforderlich: • • Wert der zu schützenden Objekte: Sowohl die Werte von Objekten als auch. ob das IT-System.1.B. [eh Teil 1 . die eine rasche und einfache Erkennung von Abweichungen von den Sollvorgaben ermöglichen.7. Bedrohungen und Schwachstellen: 67 . zu schützenden Werte und Sicherheitsmaßnahmen können möglicherweise signifikante Auswirkungen auf das Gesamtrisiko haben.

Sicherheitsmaßnahmen: Die Wirksamkeit der implementierten Sicherheitsmaßnahmen ist laufend zu überprüfen. aber auch durch den Einsatz neuer Technologien. Es ist sicherzustellen. so sind entsprechende Gegenmaßnahmen zu setzen. was durch die Sicherheitsmaßnahmen erreicht wurde (Soll-/IstVergleich). [eh Teil 1 . dass sie einen angemessenen und den Vorgaben der Sicherheitsrichtlinien entsprechenden Schutz bieten. Werden im Rahmen des kontinuierlichen Monitoring signifikante Abweichungen des tatsächlichen Risikos von dem im Sicherheitskonzept festgelegten akzeptablen Restrisiko festgestellt.1. Änderungen in den Werten der bedrohten Objekte. Neue potentielle Schwachstellen sind so früh wie möglich zu erkennen und abzusichern. Durch ein kontinuierliches Monitoring soll die Leitung der Institution ein klares Bild darüber bekommen. ob die Ergebnisse den Sicherheitsanforderungen der Institution genügen sowie über den Erfolg einzelner spezifischer Aktivitäten zur Informationssicherheit. können die Wirksamkeit der Sicherheitsmaßnahmen nachhaltig beeinflussen. den Bedrohungen und den Schwachstellen.7.3] 68 .• Organisatorisch oder technologisch (hier insbesondere durch neue Technologien in der Außenwelt) bedingt können sowohl die Wahrscheinlichkeit des Eintritts einer Bedrohung als auch die potentielle Schadenshöhe im Laufe der Zeit starken Änderungen unterliegen und sind daher regelmäßig zu evaluieren.

Wegen der immer höheren Abhängigkeit von Information gilt dies besonders für Risiken aus fehlender oder mangelhafter Informationssicherheit. bewertet und durch Setzen geeigneter und nachhaltiger Maßnahmen auf einen minimalen und akzeptierten Rest reduziert werden. über Schwachstellen und Sicherheitsvorfälle zu informieren und Verbesserungen vorzuschlagen 69 .1 Verantwortung der Managementebene 3. 3.3 Managementverantwortung und Aufgaben beim ISMS Dieses Kapitel nimmt Bezug auf ISO/IEC 27001 5 bis 8 . Bewertung der Risiken. Dies bedeutet. Sie müssen so früh als möglich erkannt. eingeschätzt. so ist es zu planen. einen systematischen und dauerhaften Sicherheitsmanagementprozess zu etablieren. dass die Managementebene für die Umsetzung folgender Aufgaben zu sorgen hat: • • • • • • • Erarbeitung einer Sicherheitspolitik Erarbeitung der Zielsetzungen und Detailaufgaben des ISMS Benennung von Rollen und verantwortlichen Personen Darstellung.1 Es ist eine Managementverantwortung. des ISMS Schaffung von Awareness und Motivation für die Notwendigkeit der Einhaltung der Sicherheitsregeln Schaffung von Awareness und Motivation. Festlegung von Kriterien für akzeptable Restrisiken Schaffung von Awareness für die Bedeutung und den Nutzen eines angemessenen Informationssicherheitsniveaus bzw. Zur Verantwortung der Managementebene gehört neben der Erreichung der geschäftlichen wie unternehmenspolitischen Ziele auch der angemessene Umgang mit Risiken. Einschätzung. Wird ein Informationssicherheits-Management-System (ISMS) eingerichtet.1. zu steuern und zu kontrollieren. zu betreiben sowie zu kontrollieren und zu verbessern. zu implementieren.1 Generelle Managementaufgaben beim ISMS ISO Bezug: 27001 5.

im positiven Fall jeweils auch Sicherstellung von deren Umsetzung Wie der Sicherheitsprozess organisiert wird. welche mit Sicherheitsaufgaben betraut werden und diese ausschließlich oder zusätzlich zu anderen Aufgaben ausüben. die sich aus gesetzlichen oder vertraglichen Verpflichtungen ableiten Aktuelle Sicherheitsrisiken mitsamt ihren möglichen . Unbeschadet davon bleibt die Gesamtverantwortung jedoch immer bei der Managementebene. vergleichbaren Organisationen. Arbeitsgruppen Es muss laufend überprüft werden. bei größeren Einheiten wird sich ein Mitglied der Managementebene persönlich um das ISMS kümmern bzw. wenn sie stetig mit den essentiellen Informationen versorgt wird (analog dazu. für die Sicherheit zum Geschäftsmodell gehört . ob und welche Sicherheitsmaßnahmen bzw. dass sie mit Geschäftskennzahlen versorgt werden muss): • • • • • • Sicherheitsanforderungen. ob und welche Sicherheitsmaßnahmen zu adaptieren sind und welche Verbesserungsmöglichkeiten umgesetzt werden. Dies kann auch .im Rahmen einer eigenen Sicherheitsorganisation erfolgen.• • • Bereitstellung ausreichender finanzieller und personeller Ressourcen für Einrichtung und dauerhaften Betrieb des ISMS sowie der Sicherheitsmaßnahmen Durchführung von Audits und Management-Reviews im Rahmen des ISMS Herbeiführung von Entscheidungen über Verbesserungsvorschläge. Sehr kleine Organisationen werden fallweise unter der Leitung des Geschäftsführers/ der Geschäftsführerin punktuell externe Berater heranziehen. sowie ihre voraussichtliche Entwicklung Aufgetretene Schwachstellen oder Sicherheitsvorfälle Auswirkungen von tatsächlichen oder potenziellen Sicherheitsvorfällen auf kritische Geschäftsprozesse Potenzielle Gefährdungen aus veränderten Rahmenbedingungen und zukünftigen Entwicklungen Brauchbare Vorgehensweisen zur Informationssicherheit aus allgemeinen oder branchenüblichen Standards.etwa bei großen Organisationen oder solchen. Sie kann diese Verantwortung allerdings nur dann effizient wahrnehmen. Verfahren des ISMS noch wirksam bzw. angemessen sind. hängt von seiner Komplexität ab. wird ein/e Sicherheitsbeauftragte/r oder mehrere Sicherheitsbeauftragte benannt. 70 . Aus diesen Informationen sind von der Managementebene laufend Schlussfolgerungen zu ziehen und Entscheidungen zu treffen: welche Schwachstellen behoben wurden.auch finanziellen Auswirkungen. diese wiederum von Größe und Aufgaben der Organisation.

Diesen sind jene gegenüberstellen.2 Ressourcenmanagement 3. aber mit vertretbarem personellen.336] 3. zeitlichen und finanziellen Aufwand erreicht werden können. Nur wenn der Sinn von Sicherheitsmaßnahmen bzw. Es muss ebenso klar sein.oft erhebliche . Ist das nicht möglich. Verbesserungsvorschläge gemacht.2. Daher macht es Sinn. dann muss die Sicherheitsstrategie oder aber die Geschäftsprozesse bzw. dass es keine 100%ige Sicherheit geben kann.1 Bereitstellung von Ressourcen ISO Bezug: 27001 5. Werden die Anwender/innen in die Planung und Umsetzung von Maßnahmen einbezogen. dass Sicherheitsmaßnahmen . [Q: BSI M 2. Grenzen der Sicherheit: • • • Es muss klar sein. ist gar keine. die nie fertig wird. werden diese auch gelebt und Informationen über Schwachstellen gegeben bzw. 71 . die Mitarbeiter/innen zur aktiven Mitwirkung am Sicherheitsprozess zu motivieren und für diesbezüglich ausreichende Ausbildungs.2. die als Folge eines schweren Sicherheitsvorfalls anfallen würden.1 Aufwand und Nutzen bei der Informationssicherheit Ein angestrebtes Sicherheitsniveau macht nur dann Sinn.Die Managementebene hat die Aufgabe. die ihnen zugehörige Informationsverarbeitung geändert werden. die niemand vorhersagen kann und die ein höheres Schadenspotenzial als das akzeptierte Restrisiko nach sich ziehen.Kosten verursachen.und Awarenessmaßnahmen zu sorgen. -vorgaben und -anweisungen verstanden wird. die Sicherheitsziele so zu definieren. Eine "starke" Sicherheitsmaßnahme. wenn es sich wirtschaftlich vertreten lässt und mit den verfügbaren personellen. dass sie zwar die Risiken auf das akzeptierte Maß senken. Es können Verkettungen von Vorfällen auftreten. zeitlichen und finanziellen Ressourcen auch erreicht werden kann. sondern nur ein akzeptiertes Restrisiko. werden sie auch von sich aus Ideen einbringen und die Tauglichkeit von Sicherheitsmaßnahmen aus Sicht der täglichen Praxis beurteilen.

welche dies neben ihren eigentlichen Aufgaben wahrnehmen können.oft sehr einfache . Für ad-hoc Beratungen. aber nur innerhalb eines geeigneten organisatorischen Rahmens und bedient von qualifizierten Menschen. kurzfristig externe Sicherheitsexperten heranzuziehen.8. Selbstverständlich ist Sicherheitstechnik eine wichtige Lösung und häufig unentbehrlich. In einem solchen Fall muss auf den Schutz der Informationen gegenüber Externen geachtet werden. bei der die Anzahl an Sicherheitsvorfällen signifikant zurückgeht. dass er/sie die Sicherheitsaufgaben neben den eigentlichen Tätigkeiten ausübt. Die Erfahrung zeigt allerdings. Größere Organisationen oder solche mit hohen Ansprüchen an Informationssicherheit.1 Richtlinien beim Datenaustausch mit Dritten ) Ressourcen für die Einrichtung des ISMS: IS-Management-Team Die sorgfältige Einrichtung und Planung des ISMS bedeutet einen erheblichen Zeit. Die Informationssicherheit wird dadurch schneller in allen Organisationseinheiten umgesetzt und es gibt weniger Konflikte.während dieser Zeit von ihren sonstigen Aufgaben so weit als möglich freigestellt werden. werden entweder hauptamtliche Sicherheitsbeauftragte beschäftigen oder ISManagement-Teams aus mehreren Mitarbeitern/Mitarbeiterinnen. Weit verbreitet ist die Ansicht. Ressourcen für die Organisation Erfahrungsgemäß ist die Benennung eines/einer IT-Sicherheitsbeauftragten eine sehr effiziente Sicherheitsmaßnahme. 72 . zusammenstellen. Wenn möglich sollten diese als IS-Management-Team formiert und .organisatorische Maßnahmen in vielen Fällen am effektivsten sind. dass personelle Ressourcen und geeignete .und Arbeitsaufwand für alle mit der Informationssicherheit befassten Mitarbeiter/innen. der dennoch in einem eher straffen Terminplan zu erledigen ist.vor allem durch technische Maßnahmen bewerkstelligen lässt. bis er gar nicht mehr zunimmt.zumindest ein Teil von ihnen .insbesondere IT-Sicherheit . da der tatsächliche Gewinn an Sicherheit immer geringer wird. dass sich Informationssicherheit . Ihm/ihr muss allerdings ausreichend Zeit für seine diesbezügliche Tätigkeit zugestanden werden. Daher ist es eher in kleineren Organisationen möglich. ( siehe dazu 10. Mit einem solchen Team werden unterschiedliche Organisationseinheiten in den Sicherheitsprozess einbezogen und Kompetenzen gebündelt.Ab einem bestimmten Niveau rechnet sich der steigende Aufwand für angestrebte noch höhere Sicherheitsniveaus nicht mehr. Überprüfungen oder Implementierungen kann es sich auch für kleine Organisationen lohnen.

in vielen Fällen aus Ressourcenmangel aber nicht gegeben. um die Wirksamkeit und Eignung der Sicherheitsmaßnahmen systematisch überprüfen zu können. mangelhaft gewartete IT-Einrichtungen.Das IS-Management-Team kann sich etwa . Dabei ist auch laufend zu bewerten: • • • ob der Aufwand jeweils noch im Einklang zum Sicherheitsnutzen steht. ob die verwendeten Sicherheitsmaßnahmen die zugehörigen Geschäftsprozesse noch unterstützen. etc. Zusätzlich kann es zu schleichender Demotivierung mit allen negativen Folgen führen. Datenschutz Personal Betriebsrat Finanz / Controlling Rechtsabteilung Für eine kontinuierliche Steuerung des Prozesses sollte ein solches IS-ManagementTeam regelmäßig zusammenkommen. welche die ohnehin problematische Situation verschärfen.je nach Größe und Art der Organisation . Daher sollte sich die Managementebene immer wieder vom Ablauf des Betriebs und der Situation der Mitarbeiter/innen überzeugen und bei Mängeln für deren rasche Behebung sorgen. sind Quellen für plötzlich auftretende Fehler. fehlende Ausbildung. Ressourcen für Betrieb und Überprüfung Ein reibungsloser IT-Betrieb ist zwar eine Voraussetzung für Informationssicherheit. Überlastete IT-Mitarbeiter/innen.aus den Bereichen zusammensetzen: • • • • • • • • • Informationssicherheit Fachabteilungen Haustechnik Revision IT. zeitliche und finanzielle Ressourcen erforderlich und bereitzustellen. Weiters sind personelle. welche Alternativen eingesetzt werden könnten. 73 .

was sie in kritischen Situationen tun bzw. dass Informationssicherheit ein Erfolgsfaktor ist Überzeugung aller Mitarbeiter/innen. Verbesserungen einzuleiten.2 Schulung und Awareness ISO Bezug: 27001 5.2. Die mitgebrachten Kenntnisse und Erfahrungen decken jedoch nur einen Teil des Benötigten für die nunmehrige Tätigkeit ab und werden mit der Zeit weniger aktuell.Schließlich sind noch Ressourcen bereitzustellen. ManagementReviews) und ggf.2. [Q: BSI Standard 100-2] 3. unterlassen sollen Ausreichende Kenntnisse und Fertigkeiten zur Durchführung ihrer Aufgaben Kenntnis der betrieblichen Abläufe Kenntnis der Ansprechpartner für Sicherheitsfragen oder -probleme Die Organisation wird ihre geschäftlichen. ausgeprägtes Sicherheitsbewußtsein bei den Mitarbeitern und Mitarbeiterinnen und deren ausreichende und weiterentwickelte Qualifikation. Dies wird in der Regel von einem/ einer entsprechend ausgebildeten Mitarbeiter/in in Zusammenwirken mit der Managementebene durchgeführt. 74 . die Folgen und Auswirkungen ihrer Tätigkeit im beruflichen und privaten Umfeld einzuschätzen. dass und warum bestimmte Sicherheitsmaßnahmen notwendig und sinnvoll sind Wissen bei den Mitarbeitern/innen über Erwartungen hinsichtlich Informationssicherheit Wissen bei den Mitarbeitern/innen. um das ISMS selbst auf Konsistenz und Wirksamkeit zu überprüfen (Interne / externe Audits.2 Wirksame Informationssicherheitsmaßnahmen benötigen neben ihrer sachlichen Implementierung eine Sicherheitskultur der Organisation. aber auch sicherheitsrelevanten Ziele wohl nur mit hinreichend ausgebildeten und informierten Mitarbeitern/Mitarbeiterinnen erreichen. Schulung und positive Bewußtseinsbildung vermittelt Kompetenz und ermöglicht den Mitarbeitern/Mitarbeiterinnen. Laufende Information. Dies ist ein langfristiger und kontinuierlicher Prozeß mit vielschichtigen Effekten: • • • • • • • Überzeugung aller Mitarbeiter/innen. Das beginnt selbstverständlich schon bei der Auswahl von Bewerbern bei der Einstellung und setzt dafür genaue und aktuelle Job-Beschreibungen voraus.

und Awarenessprogramm aufgebaut und in Schritten durchlaufen.und Awarenessprogramm: Optimalerweise wird für umfassende und angemessene Kompetenz ein Schulungs.und Awarenessmaßnahmen nachhaltig zu unterstützen. unerlaubte Ausübung von Rechten. sich der Bedeutung von ausreichender Information.oder Administratorrechten Manipulation an Informationen oder Software Social Engineering Ausspähen von Informationen Es muss daher im vitalen Interesse der Managementebene liegen. Damit werden Unterschiede im Wissenstand einzelner Mitarbeiter/innen abgesehen von ausgesprochenen Spezialisierungen . Fehlerhafte Nutzung oder Administration von IT-Systemen) Nichtbeachtung von Sicherheitsmaßnahmen Sorglosigkeit im Umgang mit Informationen Mangelhafte Akzeptanz von Informationssicherheit Weiters kann aus unzureichender Information (etwa wenn dies als böse Absicht des Managements interpretiert wird) im Zusammenwirken mit stetiger Überlastung Frustration entstehen. Schulungs. Schulung und Awareness für Informationssicherheit bei den Mitarbeitern/Mitarbeiterinnen bewusst zu sein und Schulungs.Gefährdungen: Unzureichende Informationen und Kenntnisse können im Bereich der Informationssicherheit eine Reihe von Gefährdungen heraufbeschwören: • • • • Vertraulichkeits. sondern ein Mittel zur Erreichung der geschäftlichen und sicherheitspolitischen Ziele und unterliegen wie jede andere Maßnahme einer Kosten-/Nutzen Relation.ausgeglichen.oder Integritätsverlust von Daten durch Fehlverhalten (unzureichende Kenntnis der Regelungen. was mitunter zu vorsätzlichen Handlungen führen kann: • • • • • Unberechtigte IT-Nutzung Missbrauch von Benutzer. Selbstverständlich gilt auch hier der Grundsatz der Angemessenheit: Schulungen sind kein Selbstzweck. 75 .

in der sie für ihre eigentlichen Aufgaben nicht zur Verfügung stehen. Im IT-Bereich können Sicherheitsschulungen durchaus in IT-Schulungen integriert werden. so dass dann aus Zeitmangel die Schulung gar nicht vollständig durchgeführt wird. Stromanschluss. dann muss für die notwendige Infrastruktur (Konferenzraum. darauf verzichtet oder nur dezidierte Internet-PCs dafür verwendet werden.vor allem bei E-Learning . Spezialkenntnisse. E-Learning eingesetzt werden kann. Basiswissen. aber auch Basiswissen zu Informationssicherheit und Fertigkeiten für Verhalten in kritischen Situationen. Weiters . inkl. Administratoren. Projektor. • • • • • • Lernziele definieren: Vor allem Sicherheitsziele der eigenen Organisation müssen vermittelt werden.Speziell kleine Organisationen werden sich jedoch mitunter auf das Aufspüren und Beheben individueller Kenntnislücken beschränken müssen. ob eigene Mitarbeiter/innen die Schulungen durchführen oder externe Trainer/innen. Externe). haben dafür meist mit geringerer Komplexität zu tun. die bereits einmal durchgeführt wurden. deren Messung.B. Javascript. sofern die Trainer hinreichend qualifiziert sind und der Sicherheit hinreichend Platz eingeräumt wird. Zielgruppen für einzelne Schulungs. soweit möglich. Hier besteht jedoch die Gefahr einer Überfrachtung. Erfolgskriterien für das Schulungs. Weiters ist zu klären. etc. Lernmethoden und -medien auswählen: eine wesentliche Entscheidung ist.untersucht werden. da diese unterschiedliche Bedürfnisse aber auch Zeitressourcen haben (etwa: Management.und Awarenessprogramme.und Awarenessmaßnahmen definieren. 76 . Schulungs. sollten auf ihren Erfolg und ihre künftige Brauchbarkeit .muss auf potenzielle Sicherheitsrisiken durch die Schulungsmedien geachtet werden (etwa aktive Inhalte wie Java.auch für weitere Programme .diese zahlt sich wörtlich aus. neue Abläufe/ Systeme). Spezialisierung (etwa: neue Mitarbeiter/innen. Lernbedarf identifizieren: auf Basis bisheriger Kenntnisse. Planung und Konzeption: Am Beginn des Programms steht die sorgfältige Planung . ActiveX) und ggf. da Schulungen. Findet die Schulung in den eigenen Räumen statt. erhebliche Kosten verursachen können und den Mitarbeitern/Mitarbeiterinnen erhebliche Zeit abverlangen. Umfeld und Hintergründen. Lerninhalte festlegen: jedenfalls alle Regelungen und Verfahren für den jeweiligen Arbeitsplatz.und Awarenessprogramm definieren inkl. Die generellen Anforderungen sind jedoch die gleichen wie bei größeren Einheiten.) gesorgt werden. ob standardisierte Seminare ("von der Stange") ausreichen (dazu sind auch deren Termine zu berücksichtigen). ob und inwieweit individuelle Schulungen notwendig sind oder ob z. Benutzer. Seminare etc.

ggf. kann auch ein positives Absolvieren dargestellt werden. auch Zeit für die Erledigung der wichtigsten Aufgaben verbleiben. Wenn nicht anders möglich. Methoden. Die Organisation sollte für jede/n Mitarbeiter/in im Personalakt festhalten. Nach der Schulungs-/Awarenessmaßnahme sollte ihr Erfolg und ihre Effizienz überprüft werden: • • • • • Wurden alle betroffenen Mitarbeiter/innen erreicht? Wurden die Inhalte verstanden? Waren die Mitarbeiter/innen mit der Schulungs-/Awarenessmaßnahmen zufrieden? Gibt es (sachlich begründeten) Bedarf für weitere Schulungen? Hat sich die Einstellung der Mitarbeiter/innen gegenüber Sicherheitsmaßnahmen positiv geändert? Dies ist allerdings nicht einfach zu ermitteln. Die Lerneinheiten sollten jeweils zeitlich so gestaltet werden. 77 . welche Schulungs-/ Awarenessmaßnahmen absolviert wurden. dass die Inhalte auch aufgenommen werden können. Die zu schulenden Mitarbeiter/innen müssen für die Zeit der Schulung möglichst von ihren angestammten Aufgaben freigestellt werden. Im Fall externer Trainer muss darauf geachtet werden. muss ggf. können sein: • • • Fragebögen mit Bewertungen der Teilnehmer Fragebögen mit Fragen aus dem gelernten Stoff Diskussionsmeeting Management / Sicherheitsbeauftragte/r / Mitarbeiter/innen nach der Schulungs-/Awarenessmaßnahme Dokumentation von Schulungs-/Awarenessmaßnahmen: Am Schluss einer Aus. dass sie im Zuge der Schulung nicht Kenntnis über sensible Informationen erhalten. um den Erfolg nachzuprüfen. ist eine sorgfältige Terminplanung erforderlich. da es zu keinen mißbräuchlichen Überwachungsaktionen kommen darf.Durchführung und Kontrolle: Damit möglichst alle vorgesehenen Mitarbeiter/innen effizient geschult werden.oder Weiterbildungsmaßnahme sollte jedem Teilnehmer/ jeder Teilnehmerin eine Teilnahmebestätigung übergeben werden.

Bedrohungen.Flankierende Schulungs. E-Mails. 1-2 Quizfragen Rundschreiben. M 2. Daher sollte das Schulungsangebot sowohl für neue wie auch für erfahrene Mitarbeiter/innen in regelmäßigen Abständen Auffrischungs. IT-Systemen. einwandfrei funktionieren und wirksam sind. Schwachstellen und möglicher Abwehrmaßnahmen ist eine ständige Auffrischung und Erweiterung des Wissens über Informationssicherheit erforderlich. um die Informationssicherheitsziele zu erreichen. . Zeitschriften mit sicherheitsrelevanten Themen Mitarbeiterzeitung. ob Ziele. Vorgaben. nach wie vor geeignet sind. Messen und Konferenzen E-Learning-Programme Planspiele zur Informationssicherheit Diskussionsmeetings (Round-Tables) Flankierende Schulungs. korrekt umgesetzt sind und von allen Beteiligten eingehalten werden. Maßnahmen und Verfahren innerhalb der eigenen Organisation: • • • • 78 die gesetzlichen und normativen Vorschriften erfüllen.13.und Ergänzungskurse vorsehen. [Q: BSI B 1.312] 3. Poster und Broschüren interne Informationsveranstaltungen externe Seminare. Die Schulungsprogramme selbst müssen regelmäßig aktualisiert und an neue Gegebenheiten angepasst werden.und Awarenessmaßnahmen: Vor dem Hintergrund ständig neuer Anwendungen.3 Interne ISMS Audits Interne Audits dienen zur Überprüfung.und Awarenessmaßnahmen: Abgesehen von "klassischen" Schulungs-/Awarenessmaßnahmen bieten sich zur kontinuierlichen Weiterbildung an: • • • • • • • • • Informationsforum zur Informationssicherheit im Intranet Anmeldebildschirm mit Sicherheitsinformationen resp.

da sie ihre Gedanken im Rahmen des Audits einbringen können und sollen 3. PC) zur Verfügung gestellt werden.Interne Audits sind bei Akkreditierungen meist eine notwendige Vorleistung für extern durchgeführte Akkreditierungs.a. welcher der Managementebene sowie allen Beteiligten bzw. Damit können Schwachstellen besser erkannt und zielgerichtete Verbesserungen eingeleitet werden.) oder reduzierter Ressourcen (Urlaubszeit) fallen.1 Planung und Vorbereitung interner Audits ISO Bezug: 27001 6 Interne Audits sollten einmal pro Jahr durchgeführt werden und dabei nicht in Zeiten hoher Arbeitsbelastungen (Systemumstellungen. Die Managementebene muss den Auditprozess initiieren und mittragen sowie dafür sorgen. Das Audit sollte nach einem Auditplan verlaufen. Der Auditplan enthält eine konkrete Checkliste. etc. Weiterer Nutzen liegt im Erkennen von: • • • • Schulungs. Interne Audits können im Vergleich zu zeitlich begrenzteren externen Akkreditierungs. nach der der/die Auditor/in die Audit-Themen Punkt für Punkt durchgeht und die u.bzw. Zertifizierungsaudits wesentlich umfassender erfolgen.und Informationsbedarf der Führungskräfte und Mitarbeiter/innen Verbesserungspotenzial bei Geschäftsprozessen und Sicherheitsmaßnahmen Möglichkeiten zur Optimierung der Organisation sowie in der Motivation der Mitarbeiter/innen.3.oder Zertifizierungsaudits. Rechnungsabschlüsse. tiefer in die Themen eindringen und können jeweils nach und nach Teilbereiche der Organisation umfassen. enthält: • • • • • Datum Zeit Thema Teilnehmer Erledigungsvermerk 79 . dass den Auditoren/Auditorinnen und teilnehmenden Mitarbeitern/ Mitarbeiterinnen ausreichend Zeit und Sachressourcen (Konferenzraum. Betroffenen vorab bekannt gegeben wird.

ISO 19011) Kenntnis der Unternehmens.B. für welche sie nicht verantwortlich sind Fachliche Qualifikationen: ausreichende Schul. welche Bedeutung die zu untersuchenden Bereiche haben und in welchem Status (Planung / Etablierung / Test / produktiver Betrieb) sie sich befinden. Bei der Planung des Auditprogramms ist zu priorisieren. für das Audit relevante Normen (z. Analyse. Werden im Zuge des Audits vertrauliche Dokumentationen benötigt. Berichtswesen) Persönliche Fähigkeiten: • • • • • 80 Klare und verständliche mündliche und schriftliche Ausdrucksweise Aktives Zuhören Ausdauer. Fragetechnik. Festigkeit auch in Stresssituationen Einfühlungsvermögen zugleich mit Beharrlichkeit Erkennen von größeren Zusammenhängen und Konsequenzen aus Einzelinformationen . so ist für deren ausreichenden Schutz zu sorgen. ebenso die Anforderungen an die Ergebnisdokumentation. Belastbarkeit. an die allerdings Anforderungen zu stellen sind: Objektivität und Unparteilichkeit: • • • • • • • Auditoren/Auditorinnen dürfen nur Bereiche auditieren.Anforderungen an die Durchführung des Audits und die Verantwortlichkeiten sind festzulegen und zu dokumentieren.und Sicherheitsziele sowie der wesentlichen Abläufe und Prozesse Kenntnisse der wesentlichen Themen der Informationssicherheit Schulung um Audits durchführen zu können (Methodik.und Berufsausbildung um die Geschäftsprozesse und Sicherheitsmaßnahmen zu verstehen Kenntnis der relevanten Gesetze und Normen. Anforderung an Auditoren/Auditorinnen: Die Managementebene muss einen oder mehrere Auditoren/Auditorinnen benennen. ebenso müssen die Ergebnisse aus früheren Audits einfließen. Bewertung. in denen sie nicht selbst tätig sind bzw. inkl.

Detailüberprüfungen finden meist im Gespräch mit den jeweils befassten Mitabeitern/Mitarbeiterinnen . Checkliste.wenn möglich . Sicherheitspolitik.). Es liegt am Auditor / an der Auditorin.. Programm.2 Durchführung interner Audits ISO Bezug: 27001 6 Auditoren/Auditorinnen und Beteiligte aus den zu auditierenden Organisationseinheiten haben sich vorbereitet (Auditplan.). Es ist oft sinnvoll. Sicherheitskonzept. mit aktuellen Themen zu beginnen. . Handbücher.an deren Arbeitsplatz statt. Zunächst erklären die Auditoren/Auditorinnen die Zielsetzung des Audits. Mitglieder der Managementebene sollten nach Möglichkeit anwesend sein. so sollte nach weiteren Beispielen gefragt werden. Systembeschreibungen.3. der vorläufige Zeitplan wird besprochen. Systembeschreibungen. aber auch an den Vorgaben liegen. vor allem wann welche Mitarbeiter/innen zur Verfügung stehen sollen. Sicherheitskonzept. Geschäftsziele. Inhaltliche Grundlage des internen Audits sind die Vorgaben (Gesetze. Dokumentationen.. die relevanten Gesetze einzuhalten und Normen zu erfüllen? Welche Vorgaben sind vorhanden? Sind sie den befassten Personen bekannt und werden sie verstanden? Sind die Vorgaben vollständig und klar formuliert? Gehen aus den Vorgaben die Verantwortlichkeiten und Zuständigkeiten hervor? Beschreiben die Vorgaben jeweils geschlossene Workflows (Eingabe / Verarbeitung / Ausgabe-Ergebnis)? Gibt es Vorgaben zur Protokollierung von Abweichungen / Vorfällen? 81 . Werden Abweichungen von einer Vorgabe erkannt. ein konstruktives und positives Klima zu schaffen . Diese sind relevant für Verbesserungsmaßnahmen: das Problem kann an der Einhaltung.3. Arbeitsanweisungen) durchgegangen und Fragen gestellt / beantwortet. Dabei werden die Unterlagen (Vorgaben. Damit werden auch allfällige Ängste vor Notizen genommen.etwa indem zu Ideen und Beiträgen für Verbesserungsmaßnahmen ermuntert wird und diese notiert werden. ... um allfällige systematische Abweichungen aufzudecken. Es ist zunächst zu hinterfragen: • • • • • • Sind die Vorgaben geeignet. Normen. Meist beginnt ein Audit mit einem Gespräch der Auditoren/Auditorinnen und maßgeblichen Mitarbeitern/Mitarbeiterinnen.

ob eine bestimmte Maßnahme gut oder weniger gut umgesetzt ist.. nach den Gründen für entdeckte nicht eingehaltene Vorgaben zu fragen (nicht verstanden / Überlastung / mangelnde Information. die nicht angewendet werden? Gibt es umgekehrt durchgeführte Tätigkeiten. dass ihre Fragen stets zum Zweck des Audits und keinesfalls zu ihrer eigenen Weiterbildung gestellt werden. Tagesprotokolle. konnten solche anhand der Vorgaben behoben werden / mußte improvisiert werden? Gab es Änderungen bei den Vorgaben auf Grund von Sicherheitsvorfällen? Werden die jeweiligen Tätigkeiten in der Praxis dokumentiert und wie (Arbeitsaufzeichnungen. erfolgte Behebung von Störungen. wenn Vertiefung zum Verständnis notwendig wird oder sich ein Verdacht auf Abweichungen ergibt. Meinungsäußerungen.. Sinnvoll ist es dabei. 82 . situationsbezogen müssen ergänzende Fragen gestellt und beantwortet werden...)? Welche persönliche Meinung haben die befassten Mitarbeiter/innen von den Vorgaben? Halten sie die Vorgaben für sinnvoll? Welche Verbesserungsmaßnahmen schlagen die Mitarbeiter/innen vor? Die Fragenkomplexe werden mit Hilfe der Checkliste durchgegangen. .• Wurden allfällige Verbesserungsmaßnahmen aus dem letzten Audit umgesetzt und wie? Der nächste Fragenkomplex betrifft ihre Einhaltung: • • • • • • • • • • Welche Nachweise sind vorgesehen... Auditoren/Auditorinnen müssen allerdings speziell darauf achten. Diese dient aber nur als Leitfaden. . Die Erkenntnisse für die Auditoren/Auditorinnen ergeben sich aus den Antworten in Relation mit den schriftlichen Unterlagen. .)? Welche dokumentierten Hinweise über die Wirksamkeit der Vorgaben / Maßnahmen gibt es (verhinderte Eindringversuche. bieten Feedback und können zu einer angeregteren Diskussion beitragen. für die keine Vorgaben existieren? Wie exakt werden die Vorgaben bei der praktischen Tätigkeit eingehalten? Gab es Sicherheitsvorfälle. Schon bei der Frage-/Antwortdiskussion müssen die Auditoren/Auditorinnen auf Objektivität und Unparteilichkeit achten. um die Einhaltung kontrollieren und überprüfen zu können? Gibt es Vorgaben.). sollten allerdings gezielt eingesetzt werden.

etwa bei den subjektiv empfundenen Gründen für Abweichungen. Dabei wird den Teilnehmern für ihre Mitwirkung gedankt und eine Vorschau auf das Ergebnis geboten: • • • • Vorläufige Erkenntnisse aus der Befragung und den Unterlagen Zeitpunkt und Art der Berichtslegung (Erkenntnisse. aber auch Erkenntnisse zur Erhöhung der Qualität bzw. 83 . Dabei ist auf Objektivität zu achten. allgemeinen Verbesserung: • • • • Die Vorgaben sind zu wenig bekannt. sind falsch oder mangelhaft. Empfehlungen) Allfällige Möglichkeiten zur Stellungnahme Termin für Schlussdokument und Schlusspräsentation 3. Protokolle werden nicht ausgewertet.3. welche Maßnahmen nach sich ziehen müssen: • • • • • • Wesentliche Vorgaben für Arbeitsabläufe fehlen. Bei Sicherheitsvorfällen musste improvisiert werden und die Vorgaben wurden nicht entsprechend modifiziert. Bedarf für Schulung und Awareness. Nicht benötigte Vorgaben.Am Schluss der Durchführungsphase sollte wiederum ein Gespräch der Auditoren mit maßgeblichen Mitarbeitern/Mitarbeiterinnen und Managementvertretern stattfinden. Wesentliche vorgegebene Dokumentationen oder Protokolle werden nicht verfasst/geführt.3 Ergebnis und Auswertung interner Audits ISO Bezug: 27001 6 Die Erkenntnisse aus den Befragungen werden den einzelnen Vorgaben und Beschreibungen zugeordnet und von den Auditoren/Auditorinnen analysiert. Verantwortlichkeiten oder Zuständigkeiten für Prozesse fehlen oder sind falsch. Vorgaben werden regelmäßig oder gar nicht eingehalten. Beispiele für Erkenntnisse. Ungünstig formulierte Vorgaben mit hohem Schulungsaufwand.

Schließlich erfolgt die gesamtheitliche Auswertung nach: • • • • Vorhandensein und Qualität der Vorgaben. klar und verständlich formuliert sein und seine Gliederung für alle internen Audits möglichst gleich sein.• • Prozesse und Abläufe. Er sollte nicht redundanterweise das System. Die nächste Stufe sind Schlussfolgerungen für das Gesamtsystem. Schwachstellen bzw.B. Systematische Nichteinhaltungen. Bereitstellung besserer Arbeitsmittel. sowie zu: • • Empfehlungen zur Verbesserung der Vorgaben und ihrer Einhaltung. indem etwa versucht wird. Abweichungen und Trends zu finden. Grad ihrer Einhaltung. das diese in der Organisation bekannt sind. aber auch Abweichungen an bestimmten Stellen in der Organisation. Interner Audit Bericht Der Bericht dient vor allem zur Dokumentation erkannter Schwachpunkte und als Checkliste für Verbesserungsmaßnahmen. Empfehlungen zur Verbesserung von Prozessen und Maßnahmen. Der Bericht sollte kompakt. Single Points of Failure: Konzentration von Zuständigkeiten. ZIile der Organisation. beispielsweise wie folgt: 84 . die vereinfacht oder gar eingespart werden könnten. die sich durch mehrere Bereiche der Organisation ziehen: • • • • Gemeinsamkeiten bei mangelhaften Vorgaben (z. Tatsächliche (historische) oder künftige (potenzielle) Auswirkungen auf das Erreichen der Sicherheitsziele resp. sondern kann davon ausgehen. unverständliche Formulierung. die Vorgaben oder Maßnahmen beschreiben. Wirkungsgrad der Maßnahmen. komplizierte Beschaffung). Lücken im System.

Auditzeitraum. allfällige Bereiche die nicht geprüft wurden Management Summary der wesentlichsten Erkenntnisse aus Gesamtsicht Jeweils pro auditierter Vorgabe: Bezeichnung. Aussagen über die Wirksamkeit von Maßnahmen (wenn möglich) Empfehlungen für Maßnahmen (bei mangelhafter Erfüllung) mit Terminhorizonten bzw. außerplanmäßiges Nach-Audit bei schwerwiegenden Abweichungen) Stellungnahmen. Auditor/Auditorin. die Ziele der Organisation Zusammenfassung und Priorisierung der wichtigsten Verbesserungsvorschläge (betreffend Vorgaben wie Umsetzungen und Einhaltung) Zeithorizont für das nächste Audit (ggf. zu den Erkenntnissen Stellung zu nehmen. verwendete Unterlagen. Es muss allen Beteiligten klar sein. Schlussbesprechung Vor der offiziellen Übergabe des Auditberichts an die Managementebene sollen die betroffenen Personen bzw. welche das Bild verzerren würden. erfüllt / nicht erfüllt / nicht anwendbar im Einzelfall) Begründungen. Berichtsdatum. Es sollte eine angemessene. Immerhin kann es im Zuge des Audits zu Missverständnissen oder beim Verfassen des Berichts zu Darstellungen gekommen sein. nicht aber um etwa richtigerweise 85 .• • • • • • • Formalia (Anlass. auditierte Organisationseinheit(en). um falsche Darstellungen im Bericht zu korrigieren. allgemeine Verbesserungsvorschläge (wie Schulungsbedarf) Identifizierte Zuständigkeiten für die Umsetzung sowie als Gesamtergebnis am Schluss: • • • • • Eindruck der Auditoren/Auditorinnen über den Ablauf des Audits Zusammenfassung der wesentlichsten Erkenntnisse über alle Bereiche Schlussfolgerungen für das Sicherheitsniveau bzw. Eine probate Vorgehensweise besteht in der Vorab-Aussendung des Berichts oder der für die Betroffenen relevanten Teile als "Vorversion zur Stellungnahme". aber nicht zu lange Frist für die Stellungnahmen gesetzt werden und diese sollten nach Möglichkeit schriftlich erfolgen. dass Stellungnahmen nur berücksichtigt werden. Inhalt Feststellungen (etwa: erfüllt / teilw. Stellen Gelegenheit erhalten.

insbesondere der Auditbericht . Bei größeren Meinungsverschiedenheiten kann auch ein Gespräch mit den Betroffenen sinnvoll sein. 86 . daher entsprechend zu schützen. Prüfergebnisse und -berichte sind in der Regel besonders vertraulich. Diese Dokumentation . Jedenfalls sollte ein Ergebnisprotokoll geführt und der Auditdokumentation beigelegt werden. Nichteinhaltung von Vorgaben. dass Maßnahmen zur Behebung von erkannten Schwachstellen.4 Management-Review des ISMS Die Managementebene hat dafür zu sorgen. Abweichungen. Dies hat ohne unbegründete Verzögerung zu erfolgen. Dabei muss vor allem seitens des Managements darauf geachtet werden. bei dem Mitarbeiter/innen für Nichteinhaltungen angeklagt werden. Die Managementebene soll zum Ergebnis Stellung nehmen. Bei der Schlussbesprechung kann seitens des Managements bereits ein Ausblick über die Umsetzung von Verbesserungsvorschlägen samt Zeithorizont gemacht werden. Die Auditoren/Auditorinnen präsentieren dabei das Gesamtergebnis laut Auditbericht (Ablauf des Audits. dass das Ziel des Audits und der Schlussbesprechung die Optimierung von Vorgaben sowie Abläufen und des Sicherheitsniveaus ist und es sich keinesfalls um ein Tribunal handelt. Verbesserungsvorschläge.etwa betreffend Gründe für im Audit gemachte Feststellungen.ist die inhaltliche Grundlage für ein nun folgendes Management-Review.erkannte Schwachstellen oder Abweichungen wegzudiskutieren. 3. Die betroffenen Organisationseinheiten haben die Gelegenheit für Stellungnahmen . ergriffen werden oder aber die Ursachen beseitigt werden. Begründete Stellungnahmen werden in die offizielle Version des Berichts eingearbeitet und diese dem Management übergeben. wenn es sich um relevante Schwachstellen handelt. wesentliche Erkenntnisse. nächstes Audit) und sprechen allfälligen Handlungsbedarf der Managementebene an. An der Schlussbesprechung sollten maßgebliche Mitarbeiter/innen der auditierten Organisationseinheiten sowie Mitglieder der Managementebene teilnehmen. etc. Schlussfolgerungen. erfüllte Vorgaben positiv herausstreichen aber auch seine Entschlossenheit zur Umsetzung wichtiger Verbesserungsmaßnahmen zum Ausdruck bringen.

Werden regelmäßig interne oder externe Audits durchgeführt. Wirksamkeit und Effizienz zu prüfen. Awareness der Mitarbeiter/innen.überprüfen.zumindest einmal jährlich . Durchsicht der Dokumentation hinsichtlich Aktualität und Workshops (mit Ergebnisprotokollen) zur Diskussion von Problemen und Erfahrungen schon ausreichend sein. Eine solche Überprüfung wird als Management-Review bezeichnet.1 Sie sollen geeignet sein. so sind deren Ergebnisse eine gute Grundlage für Management-Reviews. -maßnahmen. -konzept. Somit muss die Managementebene das ISMS regelmäßig . einerseits den Sicherheitsprozess. Sicherheitspolitik finden. andererseits die Umsetzung der Sicherheitsmaßnahmen auf ihre Angemessenheit. vorgaben und Abläufen hinsichtlich Praxistauglichkeit und Einsparungspotenzial Optimierung von Kompetenz.Eine erfolgreiche Steuerung mit den dafür notwendigen Entscheidungen ist allerdings nur möglich. wenn die Managementebene einen Überblick hat. Weiters kann die regelmäßige Durchführung von Management-Reviews eine notwendige Voraussetzung für Akkreditierungen darstellen. Wesentlich ist. inwieweit die Sicherheitsziele mit Hilfe der eingesetzten Sicherheitsstrategie und den dafür umgesetzten Maßnahmen tatsächlich erreicht werden konnten.1 Management-Review Methoden ISO Bezug: 27001 7. Grundsätzliche Aussagen zu einer solchen Überprüfung und ihren Grundlagen sollten sich daher bereits in der Informationssicherheitsstrategie bzw. hängt nicht zuletzt von der Größe und Komplexität der eigenen Organisation ab. dass die Managementebene ein Bild über den aktuellen Stand des Sicherheitsniveaus und allfälligen Handlungsbedarf bekommt: 87 . Aufwertung der Unternehmenskultur 3. ob es aktuell und nachhaltig zur Erreichung der Sicherheitsund Geschäftsziele geeignet und wirksam ist. Sicherheitspolitik.4. Zielsetzungen sind dabei: • • • • • Erkennen. Wie umfassend und damit aufwändig die Grundlagen sind. Abschätzen und Eliminieren von Fehlern und Schwachstellen Optimieren des Informationssicherheitsprozesses hinsichtlich Effizienz Verbesserung von Strategie. In kleinen Organisationen können ansonsten jährliche Funktionsprüfungen der IT-Systeme.

1 Review der Strategie und des Sicherheitskonzepts ISO Bezug: 27001 7. Angriffe) Für Fragestellungen im Detail zur Erhebung und zum Erkennen von Schwachstellen und Verbesserungsmöglichkeiten siehe 3. Für die Durchführung ist es oft zielführend einen Workshop zu veranstalten. 88 . Entwicklungen im Umfeld der eigenen Organisation (Gesetze. Sicherheitsbeauftragte sowie maßgebliche Führungskräfte oder Spezialisten aus den betroffenen Bereichen (etwa der IT) teilnehmen. Konzepte. Relevante Aspekte: • • Gerade der IT-Bereich erweist sich als ausgesprochen schnelllebig. [Q: BSI-Standard 100-2] 3. Maßnahmen oder Technologien die noch vor einigen Jahren als sicher galten. wenn man sich in trügerischer Weise darauf verläßt.3.• • • • Berichte von internen oder externen Audits (resp. Trends.4. können zum heutigen Zeitpunkt sicherheitstechnisch völlig überholt sein und damit gefährliche Schwachstellen darstellen.1. Vorschriften oder Normen können erheblichen Einfluss auf die Geschäftsprozesse und damit auf das Sicherheitskonzept haben.2 Durchführung interner Audits Relevant für das Management-Review sind allerdings nicht nur aktuell erkannte Erhebungen zu Schwachstellen. Technologien. Änderungen von relevanten Gesetzen. Dokumentation.2 Dies ist zur kontinuierlichen Anpassung an sich laufend ändernde innere wie äußere Rahmenbedingungen notwendig. Auswertung von Sicherheitsvorfällen Allfällige Übungen und Tests zur Simulation von Sicherheitsvorfällen und deren Ergebnisse Ereignisse. sondern es müssen die . an dem Vertreter der Managementebene. vergleichbaren Erhebungen betreffend Vorgaben und deren Erfüllung) Erkennen.mitunter strategischen Ursachen erforscht und Entscheidungen zur Abhilfe getroffen werden.

unverständlich.• • • Änderungen innerhalb der eigenen Organisation (neue IT-Systeme.2 Review der Sicherheitsmaßnahmen ISO Bezug: 27001 7. neue Organisationsstruktur. die in der Folge eine Gefahr von fahrlässigen oder vorsätzlichen störenden Handlungen heraufbeschwören und jedenfalls die Effizienz mindern. des Sicherheitskonzepts sein. Geschäftspartnern oder Kunden. Outsourcing) müssen schon in der Planungsphase in das Sicherheitskonzept eingearbeitet werden. [Q: BSI-Standard 100-2] 89 . nicht eingehaltene Sicherheitsmaßnahmen können Planungsfehler oder gar unrealistische Annahmen oder Elemente der Sicherheitsstrategie bzw.wenn auch Kosten für die Informationssicherheit schwer zu ermitteln sind . zeitliche und finanzielle Ressourcen zur Verfügung gestellt wurden. Wirtschaftlichkeit der Sicherheitsstrategie und spezifischer Sicherheitsmaßnahmen .1. [Q: BSI-Standard 100-2] 3. Klima des Improvisierens). nicht bekannt.2 Dies ist zur Sicherstellung der Einhaltung von Maßnahmen bei sich laufend ändernde innere wie äußere Rahmenbedingungen notwendig. basiert aber oft im Mangel an Information. Schulung bzw. nicht eingehaltene Sicherheitsmaßnahmen liegt in fehlender Akzeptanz seitens der Mitarbeiter/ innen. Bewusstseinsbildung. Rückmeldungen über Fehler und Schwachstellen in den Prozessen (aus Audits. aber auch Feedbacks von Mitarbeitern/Mitarbeiterinnen. ob ausreichend personelle.4. Beschwerden von Kunden oder Mitarbeitern können ein Indikator für Unzufriedenheit sein. mangelnde Motivation. Umzug. Ein weiterer Hauptgrund für nicht umgesetzte resp. unklar) oder im Bereich der für die Einhaltung Verantwortlichen liegt (Überlastung. Der Grund für mangelhaft umgesetzte bzw.sollte regelmäßig untersucht werden: ob die tatsächlich angefallenen Kosten den ursprünglich geplanten Kosten entsprechen oder ob inzwischen ressourcenschonendere Sicherheitsmaßnahmen verfügbar sind und sinnvoll eingesetzt werden können. Wurden Vorgaben nicht eingehalten. Relevante Aspekte: • • • • Die Sinnhaftigkeit von Maßnahmen (Beitrag zum Erreichen von Sicherheitszielen) fällt in das Review der Sicherheitsstrategie Für ihre Umsetzung und Einhaltung ist entscheidend. Sie kann nicht erzwungen werden. so ist zu klären ob es an den Vorgaben (fehlend.

3 Ergebnisse sind bewertete Möglichkeiten für Änderungen resp. 90 . Unter Umständen ist es sinnvoll.2 Management-Review Ergebnis und Auswertung ISO Bezug: 27001 7. akzeptierten Risiken Änderungen von Prozessen. Wenn solche Veränderungen vorgenommen und Verbesserungen dann umgesetzt werden. die Sicherheitsstrategie oder das Sicherheitskonzept geändert und die Informationssicherheitsorganisation den Erfordernissen angepasst werden sollten. wenn Sicherheitsziele unter den bisherigen Rahmenbedingungen nicht oder nur umständlich (also mit hohem finanziellen oder personellen Aufwand) erreicht werden können. die Sicherheitsziele abgeändert werden. auf Grund von Veränderungen der eigenen Organisation oder des Umfelds bzw. Motivationsförderung Aktualisierung von Dokumentationen Verbesserung der Methoden zur Messung der Wirksamkeit von Maßnahmen Schließlich sind im Rahmen des Verbesserungsprozesses Entscheidungen zu treffen. Änderungs. Es kann sich herausstellen. dass sie für die Entscheidungen und die Umsetzung von Maßnahmen geeignet sind. Erfahrungen von Vorfällen. Verbesserungen des ISMS. welche Ressourcen ihnen zugeordnet werden und unter welche Verantwortlichkeiten sie fallen.3. Jedenfalls müssen die Ergebnisse des Management-Reviews so dokumentiert werden. ob / wann / welche Verbesserungsmaßnahmen umgesetzt werden. schließt sich der Managementkreislauf wieder und es wird erneut mit der Planungsphase begonnen. der Sicherheitspolitik und einzelner Sicherheitsmaßnahmen./ Verbesserungspotenzial kann betreffen: • • • • • • • Aktualität der erkannten resp.und Awarenessmaßnahmen. müssen. grundlegende Änderungen an der IT-Umgebung vorzunehmen oder Geschäftsprozesse zu verändern. Ggf.4. Abläufen auf Grund des Reviews Verfügbarkeit von Ressourcen Schulungs. z. B. der Sicherheitsstrategie. akzeptierten Risiken Wirksamkeit der erkannten resp. dass die Sicherheitsziele.

5 Verbesserungsprozess beim ISMS Um das angestrebte und erreichte Sicherheitsniveau dauerhaft zu gewährleisten. sondern umfasst vor allem die Umsetzung der dort identifizierten Verbesserungsmaßnahmen.B. die vom Management und allen Mitarbeitern/Mitarbeiterinnen getragen und umgesetzt werden. Vom Prinzip her ist der Verbesserungsprozess im Bereich der Informationssicherheit vergleichbar mit dem Verbesserungsprozess des Qualitätsmanagements (z.1. 3. 8.2. zum anderen darf er nicht als administrativer Overhead gesehen werden. 8. Vorschlägen und externen Informationsquellen.2 Verbesserungen basieren auf Erkenntnissen aus eigenen Betriebsabläufen.[Q: BSI-Standard 100-2] 3. welche seine Grundlage bilden (Interne ISMS Audits sowie Management Review des ISMS). sondern soll alle Aktivitäten und die gesamte Organisation durchdringen.5. Zertifizierung. der Unterschied liegt in der Sicht auf die behandelten Aspekte und Abläufe (Risikominimierung). 91 .1 Grundlagen für Verbesserungen ISO Bezug: 27001 4.4. nach ISO 9001). Sicherheitspolitik Sicherheitskonzept Sicherheitsmaßnahmen Abläufe und Verfahren Dokumentation Wissensstand und Awareness bei allen Beteiligten Ein etablierter und dokumentierter Verbesserungsprozess ist zum einen Voraussetzung für Akkreditierung resp. Es handelt sich dabei nicht um eine periodisch wiederkehrende Vorgangsweise. müssen alle für die Informationssicherheit relevanten Bereiche einem kontinuierlichen Verbesserungsprozess unterzogen werden: • • • • • • Sicherheitsstrategie. Der Verbesserungsprozess geschieht nicht losgelöst von den Aktivitäten. sondern vielmehr um die Summe kleinerer Schritte zur Verbesserung.

Protokolle) interner und externer Audits Ergebnisse (Berichte. Mitwirkung in Gremien Ein Fokus sollte sich auf die Ursachen für erkannte Abweichungen und Gefährdungen richten. Einsparungspotenzial.199] 3. [Q: BSI M 2. Beschwerden Vorschläge von Sicherheitsbeauftragten Vorschläge von Mitarbeitern/Mitarbeiterinnen Erfahrungen anderer vergleichbarer Organisationen Publizierte oder informelle Sicherheitswarnungen Informationen aus Fachpublikationen. Umstellung auf alternative Maßnahmen die effizienter sind. Awareness Auswertung: Verbesserungen bei Protokollierung und Protokollauswertung 92 . Verbesserung. Gerade Verbesserungsvorschläge der unmittelbar befassten Mitarbeiter/innen bieten ein oft unterschätztes Verbesserungs. in der Praxis besser greifen oder weniger Ressourcen benötigen Implementierung: Verbesserung hinsichtlich korrekter Implementierung und Konfiguration Einhaltung: Organisatorische Maßnahmen. Anpassung an neue Rahmenbedingungen Sicherheitsmaßnahmen: Eliminieren erkannter Schwachstellen. Verbesserung bei Anforderungen.2 Entscheidungs.5. Fachtagungen.• • • • • • • • Ergebnisse (Berichte.2. 8. dass Mitarbeitervorschläge ernsthaft behandelt werden.bzw. Protokolle) des Management-Reviews Dokumentierte Abwicklungen von Reklamationen bzw. Sicherheitskonzept: Aktualisierung.3 Dieser ergibt sich für die Managementebene bei: • • • • • Sicherheitspolitik. darüber hinaus wird die Motivation gestärkt wenn es zur Organisationskultur gehört.und Handlungsbedarf ISO Bezug: 27001 8. Ebenso wertvoll erweisen sich gelebte Kontakte zu Sicherheitsbeauftragten anderer vergleichbarer Organisationen. Schulungen.

und Prüfkriterien: Optimierung der Prozesse. Dokumentation und Information des Managements über Fortschritt.bzw. Planung von baulichen oder infrastrukturellen Veränderungen.auch für den Fall. Begleitende Kontrolle.inklusive Zeitpunkt und Zuständigkeiten für die Umsetzung. über Schulungs. Umsetzung der Korrekturmaßnahmen: • • • • • • • Alle erforderlichen Korrekturmaßnahmen in einem Umsetzungsplan inkl. um die Wirksamkeit und Einhaltung von Sicherheitsmaßnahmen feststellen zu können Korrekturmaßnahmen: Sie sollen verhindern.oder Software bzw. Im Umsetzungsplan sollen Prioritäten abhängig vom jeweiligen Risiko gesetzt werden. Fertigstellung. allfällige Abänderungen. Setzen von personellen Maßnahmen. dass eine Korrekturmaßnahme verworfen wird. Möglichst frühzeitige Prüfung der Wirksamkeit. Kommunikation der umzusetzenden Maßnahmen und Verbesserungen und Abstimmung mit allen Betroffenen. Kommunikationseinrichtungen oder Netzwerken). 93 . Erkannte Fehler und Schwachstellen müssen ohne unnötigen Verzug eliminiert werden. In der Folge sind jeweils die Verantwortlichen für die Umsetzung zu benennen und mit den notwendigen Ressourcen auszustatten. Vornahme von technischen Veränderungen (etwa an Hard.• Mess. Dabei kommen je nach Ursache in Frage: • • • • Anpassung organisatorischer Maßnahmen und Abläufe. Terminen festhalten. Es müssen jeweils Entscheidungen der Managementebene erfolgen und dokumentiert werden . Awarenessprogramme bis hin zu disziplinären Maßnahmen oder Auswechseln von leitenden Personen. dass in der Praxis festgestellte Abweichungen zum Sicherheitskonzept und den Anforderungen erneut auftreten. Für jede erkannte Abweichung sollte eine Korrekturmaßnahme vorgeschlagen und darüber entschieden werden .

und Handlungsbedarf. sondern auch potenzielle Schwachstellen oder Abweichungen untersucht worden sein. bevor sie auftreten. Anforderungen an Vorbeugungsmaßnahmen müssen festgelegt werden. [Q: BSI M 2. D. bereitzustellende Ressourcen sowie begleitende Kontrolle und Dokumentation notwendig..199] 94 .Vorbeugende Verbesserungsmaßnahmen: Diese werden auf Grund der Informationslage gemäß 3.h. Dabei ist wesentlich: • • • • • Die zu setzenden Maßnahmen müssen in Relation zu den möglichen Auswirkungen des erkannten Problempotenzials stehen.. Sicherheitswarnungen.5. es sind Umsetzungsplan. womit sich der Zyklus schließt. Dazu sind insbesondere auch Ergebnisse von: • • • • Geänderter Gefährdungs. obwohl noch keine Schwachstellen wirksam geworden sind. Managemententscheidungen. Ursachen für mögliche Abweichungen von den Anforderungen des ISMS zu eliminieren.) Ergebnisse von Tests Durchführung von Disaster Recovery Übungen Übungen zur Datenrekonstruktion heranzuziehen.oder Risikolage (auf Grund neuer Risikoanalysen. Daher sind sie in vielen Fällen wirtschaftlicher als Korrekturmaßnahmen.1 Grundlagen für Verbesserungen festgelegt. Allerdings müssen zuvor nicht nur tatsächlich festgestellte.5. benannte Verantwortliche. Die laufende bzw. Ziel ist es. Ihre Umsetzung entspricht sinngemäß der für Korrekturmaßnahmen. sonst werden sie unwirtschaftlich. erfolgte Umsetzung von Konzeptänderungen oder Maßnahmen zwecks Korrektur und/oder Vorbeugung ist wiederum Gegenstand des ständigen Verbesserungsprozesses. Die Art der Maßnahmen entspricht weitgehend dem unter 3. .2 dargestellten Entscheidungs.

dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird. Eine wesentliche Voraussetzung für erfolgreiches Informationssicherheitsmanagement ist die Einschätzung der bestehenden Sicherheitsrisiken. Grundschutzansatz: • 95 .und stellt ihre Vor. so dass neben hohen Kosten auch die Gefahr besteht. wie die Ziele der Risikoanalyse . eine Strategie zur Risikoanalyse festzulegen. dass für kritische Systeme nicht schnell genug Schutzmaßnahmen ergriffen werden können. Diese sollte für die gesamte Organisation gültig sein und festlegen. Das nachfolgende Kapitel beschreibt die drei heute meist verbreiteten Strategien zur Risikoanalyse . benötigt jedoch viel Zeit und Aufwand.und Nachteile und ihre typischen Einsatzbereiche gegenüber. Grundschutzansatz und kombinierter Ansatz .Erkennen und Bewerten von Einzelrisiken und Gesamtrisiko erreicht werden sollen. diese Risiken zu erkennen und zu bewerten und so das Gesamtrisiko zu ermitteln. Diese Methode führt zu effektiven und angemessenen Sicherheitsmaßnahmen. 4. in weiterer Folge dieses Risiko so weit zu reduzieren.1 Risikoanalysestrategien ISO Bezug: 27002 4.detaillierte Risikoanalyse. Ziel ist es. Mögliche Risikoanalysestrategien sind: • Detaillierte Risikoanalyse: Für alle IT-Systeme wird eine detaillierte Risikoanalyse durchgeführt.1 Es ist empfehlenswert. In einer Risikoanalyse wird versucht.4 Risikoanalyse Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 4 ff " Risikobewertung und behandlung ".

Eine detaillierte Risikoanalyse umfasst die folgenden Schritte: 96 . Sie wird in den meisten Einsatzumgebungen die empfehlenswerte Strategie zur Risikoanalyse darstellen. möglicherweise auch von Monaten liegt.und des Risikoanalyseansatzes. Durch den Verzicht auf eine detaillierte Risikoanalyse spart diese Vorgehensweise Ressourcen und führt schnell zu einem relativ hohen Niveau an Sicherheit. dass der Grundschutzlevel für das betrachtete IT-System möglicherweise nicht angemessen sein könnte. der zumindest im Bereich von Wochen. 4. da alle IT-Systeme mit hohem Schutzbedarf wirksam und angemessen geschützt werden. und Maßnahmen für die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv ausgewählt werden können. Dies erlaubt eine schnelle und effektive Auswahl von grundlegenden Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung eines angemessenen Schutzniveaus. Diese Option kombiniert die Vorteile des Grundschutz. Dazu werden die Werte (Assets). Als Sicherheitsmaßnahmen kommen sog.• Unabhängig vom tatsächlichen Schutzbedarf wird für alle IT-Systeme von einer pauschalisierten Gefährdungslage ausgegangen. Für ITSysteme der Schutzbedarfskategorie "niedrig bis mittel" wird auf eine detaillierte Risikoanalyse verzichtet. Der Nachteil liegt darin.1 Eine detaillierte Risikoanalyse für ein IT-System umfasst die Identifikation der bestehenden Risiken sowie eine Abschätzung ihrer Größe. Kombinierter Ansatz: In einem ersten Schritt wird in einer Schutzbedarfsfeststellung ( High Level Risk Analysis ) der Schutzbedarf für die einzelnen IT-Systeme ermittelt. Die erstmalige Durchführung einer detaillierten Risikoanalyse und die anschließende Erstellung eines Sicherheitskonzeptes erfordern einen Aufwand.2 Detaillierte Risikoanalyse ISO Bezug: 27002 4. Im Folgenden werden die drei angeführten Risikoanalysestrategien näher erläutert. IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" sind einer detaillierten Risikoanalyse zu unterziehen. Bedrohungen und Schwachstellen identifiziert und die daraus resultierenden Risiken ermittelt. Grundschutzmaßnahmen ( Baseline Security Controls ) zum Einsatz. auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden.

mögliche Schwachstellen des Systems zu identifizieren und ihre Bedeutung zu klassifizieren. 97 . Fehlbedienung.und Software. Personal sowie Infrastruktur. Hard. ob und in welchem Maße auch andere Objekte (z. Schritt 3: Wertanalyse (Impact Analyse) In diesem Schritt wird der Wert der bedrohten Objekte ermittelt. Gebäude und Infrastruktur) in die Analyse einbezogen werden sollen. bewusste Angriffe) und möglicher Angreifer/innen (Mitarbeiter/innen. assets) Ziel dieses Schrittes ist die Erfassung aller bedrohten Objekte. die innerhalb des im vorangegangenen Schritt festgesetzten Analysebereiches liegen. . Leasingpersonal.Schritt 1: Abgrenzung des Analysebereiches Hier sind die zu analysierenden IT-Systeme zu spezifizieren und anzugeben.) die Ermittlung der Eintrittswahrscheinlichkeiten Schritt 5: Schwachstellenanalyse Eine Bedrohung kann nur durch die Ausnutzung einer vorhandenen Schwachstelle wirksam werden. Es ist daher erforderlich.. Die Wertanalyse umfasst im Einzelnen: • • • • die Festlegung der Bewertungsbasis für Sachwerte die Festlegung der Bewertungsbasis für immaterielle Werte die Ermittlung der Abhängigkeiten zwischen den Objekten die Bewertung der bedrohten Objekte und der möglichen Schäden (Impact Analyse) Schritt 4: Bedrohungsanalyse Die Objekte sind vielfachen Bedrohungen ausgesetzt. die sowohl aus Nachlässigkeit und Versehen als auch aus Absicht resultieren können.B.. Schritt 2: Identifikation der bedrohten Objekte (Werte. Die Bedrohungsanalyse umfasst: • • die Identifikation möglicher Bedrohungen (Katastrophen. Außenstehende. Zu untersuchen sind dabei insbesondere die Bereiche Organisation.

B.1 Abgrenzung des Analysebereiches ISO Bezug: 27002 4. Geplante neue Sicherheitsmaßnahmen müssen mit den existierenden kompatibel sein und eine wirtschaftlich und technisch sinnvolle Ergänzung darstellen.1 98 . Bei der Durchführung einer Risikoanalyse sind folgende Prinzipien zu beachten: • • • • • Das gesamte Verfahren muss transparent gemacht werden. Es dürfen keine versteckten Annahmen gemacht werden. dazu führen.2. Das vorliegende Handbuch gibt Hinweise und Unterstützung zur Durchführung dieser Schritte. Schritt 8: Auswertung und Aufbereitung der Ergebnisse Eine Auswertung und Aufbereitung des Ergebnisses schließt die Risikoanalyse ab. Alle Bewertungen müssen begründet werden. Der Aufwand für die Durchführung des Verfahrens sollte dem Wert der ITAnwendungen und den Werten der Institution im Allgemeinen angemessen sein. Alle Schritte müssen so dokumentiert werden. dass sie später auch für andere nachvollziehbar sind. Schritt 7: Risikobewertung In diesem Schritt werden die Einzelrisiken und das Gesamtrisiko ermittelt und bewertet. In der Folge werden die einzelnen Schritte einer Risikoanalyse detailliert behandelt. um subjektive Einflüsse zu erkennen und so weit wie möglich zu vermeiden. Die Wahl einer konkreten Risikoanalysemethode sowie ein etwaiger Einsatz von Tools zur Unterstützung dieser Analyse bleiben der durchführenden Institution überlassen. dass Bedrohungen unbetrachtet bleiben. 4. die z. Ein derartiges Vorgehen erleichtert auch eine spätere Überarbeitung des Informationssicherheits-Konzeptes. dass alle der im Folgenden angeführten Schritte durchgeführt werden und die geforderten Ergebnisse liefern. Wichtig ist.Schritt 6: Identifikation bestehender Sicherheitsmaßnahmen Zur Vermeidung unnötiger Aufwände und Kosten sind die bereits existierenden Sicherheitsmaßnahmen zu erfassen und auf ihre Auswirkungen hinsichtlich der Gesamtsystemsicherheit sowie auf korrekte Funktion zu prüfen.

2.2 Identifikation der bedrohten Objekte (Werte. Klimaanlage. Integrität oder Verfügbarkeit eines anderen Objektes voraus. Fähigkeiten und Leistungen einbezogen werden sollen. Beispiele dafür sind etwa die Erfordernis einer funktionsfähigen Infrastruktur (Stromversorgung. . immaterielle Güter. 99 . zu erfassen. Infrastruktur. ob sich die Analyse auf Hardware. assets) ISO Bezug: 27002 4. Integrität oder Verfügbarkeit eines Objektes setzt vielfach die Vertraulichkeit. Vertrauen in die Institution oder gute Beziehungen zu anderen Organisationen Zwischen den bedrohten Objekten bestehen grundsätzlich komplexe Abhängigkeiten.Vor Beginn einer Risikoanalyse ist es erforderlich. von denen der Betrieb des ITSystems und seine Anwendungen und damit die Funktionsfähigkeit der Organisation abhängen. also alle Objekte. Information Personen Fähigkeiten: etwa Herstellen eines Produktes oder Erbringen einer Dienstleistung immaterielle Güter: beispielsweise Image. Die Vertraulichkeit. 4. die innerhalb des festgestellten Analysebereiches liegen.) für den Betrieb eines IT-Systems oder die Abhängigkeit der Software von unversehrter und verfügbarer Hardware.. Paperware logische Objekte: beispielsweise Software.. den zu analysierenden Bereich genau abzugrenzen. Unter den bedrohten Objekten einer Organisation ist alles zu verstehen. Software und Daten des betrachteten IT-Systems beschränkt oder ob und in welchem Ausmaß andere Werte wie Gebäude und Infrastruktur. Hardware. was für diese schutzbedürftig ist. Dazu zählen etwa: • • • • • physische Objekte: beispielsweise Gebäude. Dabei ist anzugeben. Daten. Personen.1 In diesem Schritt sind alle bedrohten Objekte ( assets ). Datenträger.

den Analyseaufwand zu begrenzen. dem Wiederbeschaffungswert eines Objektes.2.1 Zunächst ist zu entscheiden.3 Wertanalyse (Impact Analyse) ISO Bezug: 27002 4. in welcher Tiefe und in welchem Detaillierungsgrad die einzelnen Objekte analysiert werden sollen. Eine quantitative Bewertung kann etwa beruhen auf • • • • dem Zeitwert eines Objektes. der sich aus dem Verlust oder der Modifikation eines zu schützenden Objektes für die betroffene Organisation ergibt.2. den das Objekt für eine/n potentielle/n Angreifer/in hätte.3. ob die Bewertung quantitativ oder qualitativ erfolgen soll. Dabei ist es den Erfordernissen im Einzelfall anzupassen. in vielen Fällen wird eine Zusammenfassung in Gruppen sinnvoll sein und beitragen. oder dem Schaden.1 In diesem Schritt wird der Wert der im vorangegangenen Schritt identifizierten Objekte ermittelt. 4.1 Festlegung der Bewertungsbasis für Sachwerte ISO Bezug: 27002 4. Die Wertanalyse umfasst im Einzelnen: • • • • die Festlegung der Bewertungsbasis für Sachwerte die Festlegung der Bewertungsbasis für immaterielle Werte die Ermittlung der Abhängigkeiten zwischen den Objekten die Bewertung der bedrohten Objekte und der möglichen Schäden 4.Die Identifizierung der bedrohten Objekte sowie ihre nachfolgende Bewertung stellen wesentliche Voraussetzungen für ein erfolgreiches Informationssicherheitsmanagement dar. 100 . dem Wert.

Eine qualitative Bewertung erfolgt durch Einteilung in Klassen. da diese Einfluss auf die Bewertung der einzelnen zu schützenden Objekte haben kann. wie etwa Bewahrung des guten Rufes oder Gewährleistung der Vertraulichkeit. was die einzelnen Klassen bedeuten bzw. vertrauliche Information). 101 .gering . Beispiele hierfür sind etwa: • • 3-stufige Bewertung: gering . Es ist zu beachten. der sich aus einem Angriff auf das zu schützende Objekt für die betroffene Organisation ergibt.hoch .und Software.mittel . 4.sehr hoch Als Basis für eine qualitative Bewertung ist festzulegen. den das Objekt für einen potentiellen Angreifer hätte (z. So ist etwa die Funktionsfähigkeit der Hardware abhängig von der Funktionsfähigkeit der Stromversorgung und eventuell der Klimaanlage. oder dem Schaden.3 Ermittlung der Abhängigkeiten zwischen den Objekten ISO Bezug: 27002 4. dass die potentiellen Schäden den eigentlichen (Zeit.2. kann eine quantitative oder eine qualitative Bewertungsbasis festgelegt werden.hoch 5-stufige Bewertung: unbedeutend . die zu ihrer Verarbeitung bzw. Die Integrität von Information bedingt die Integrität und Verfügbarkeit der Hard.2 Festlegung der Bewertungsbasis für immaterielle Werte ISO Bezug: 27002 4.3. wie sie definiert sind.oder Wiederbeschaffungs-)Wert beträchtlich übersteigen können. 4. auch die gegenseitige Abhängigkeit von Objekten festzustellen.1 Es ist wichtig. Eine quantitative Bewertung kann in diesem Fall beruhen auf • • dem Wert.2.3. Speicherung eingesetzt wird.mittel .1 Auch für immaterielle Werte.B.

Die Bewertung sollte durch die Applikations-/Projektverantwortlichen sowie die betroffenen Benutzer/innen vorgenommen werden. Unterstützung in der Bewertung kann von verschiedenen Abteilungen. Einkauf. die die Risikoanalyse durchführt. [ISO/IEC 13335] ist eine Bedrohung ein "möglicher Anlass für ein unerwünschtes Ereignis.2.4 Bewertung der bedrohten Objekte ISO Bezug: 27002 4. Es ist daher notwendig. die die Risikoanalyse durchführt.4.oder Wiederbeschaffungswert wird die Bewertung von bedrohten Objekten in der Regel sehr subjektiv sein. im Rahmen der Analyse möglichst genaue Bewertungsbasen und Regeln vorzugeben und diese eventuell durch Beispiele zu illustrieren sowie möglichst viele unterschiedliche Personen nach ihrer Einschätzung zu befragen. das zu einem Schaden für das System oder die Organisation führen kann". Es ist Aufgabe derjenigen Person. kommen. etwa Finanzen.1 Mit Ausnahme der Festsetzung von Zeit. . die einzelnen Bewertungen auf Plausibilität und Konsistenz zu prüfen und ein konsolidiertes Ergebnis zu erarbeiten.4 Bedrohungsanalyse ISO Bezug: 27002 4.3. IT. Die zu schützenden Objekte sind vielfältigen Bedrohungen ausgesetzt..2. erstellt eine Liste der zu bewertenden Objekte und gibt die Bewertungsbasen vor.1 Lt. Bedrohungen sind charakterisiert durch: 102 . 4. weiters ist ihre Schwere und Eintrittswahrscheinlichkeit abzuschätzen. Ergebnis der Wertanalyse: Aufstellung der bedrohten Objekte und ihres Wertes für die Organisation. Im Rahmen der Risikoanalyse müssen diese identifiziert werden. Durchführung: • • • • Die Person..

fahrlässige Zerstörung von Geräten oder Daten. Personalausfall) Organisatorische Mängel (etwa fehlende oder unzureichende Regelungen für Wartung. Die Bedrohungsanalyse umfasst im Einzelnen: • • die Identifikation möglicher Bedrohungen die Ermittlung der Eintrittswahrscheinlichkeiten 4.. mangelhafte Kennzeichnung von Datenträgern) Menschliche Fehlhandlungen (etwa fehlerhafte Systemnutzung oder -administration. Rache. die Motivation: Motivation für (absichtliche) Bedrohungen können etwa finanzielle Gründe.4.1 Identifikation möglicher Bedrohungen ISO Bezug: 27002 4. Blitzschlag. die Häufigkeit des Auftretens.) liegen statistische Daten vor. Erdbeben. die für die Einschätzung hilfreich sein können. Softwarefehler. der durch diese Bedrohung verursacht werden kann.und Sicherheitseinrichtungen. Für einige umweltbedingte Bedrohungen (etwa Erdbeben. Nichtbeachtung von Sicherheitsmaßnahmen) Technisches Versagen (etwa Ausfall von Versorgungs.• • • • ihren Ursprung: Bedrohungen durch die Umwelt oder durch den Menschen.2. die Größe des Schadens. aber auch Geltungssucht oder erhoffte Publicity sein.. Dokumentation. Wettbewerbsvorteile. fehlende Auswertung von Protokolldaten.1 Bedrohungen werden nach Kategorien unterteilt: • • • • • Höhere Gewalt (etwa Blitzschlag. Im Falle absichtlicher Bedrohungen ist zwischen Innentätern und Außentätern zu unterscheiden. Feuer. defekte Datenträger) Vorsätzliche Handlungen 103 . . Test und Freigabe. wobei letztere wieder in absichtliche oder zufällige Bedrohungen zu unterteilen sind.

seiner Komponenten. Es ist daher immer erforderlich. Viren. über Bedrohungskataloge hinaus auch die Möglichkeit weiterer Bedrohungen in Betracht zu ziehen.2. ist in den letzten Jahren ein Trend in Richtung qualitativer Bewertung zu erkennen. .(etwa Manipulation/Zerstörung von Geräten.bis fünfteilige Skalen. Auch die Eintrittswahrscheinlichkeit kann quantitativ oder qualitativ bewertet werden. die den Charakter von Checklisten haben. Einschätzung der Attraktivität und Verwundbarkeit des IT-Systems bzw. Umweltfaktoren und organisationsspezifischen Einflüssen. die ihrerseits eine Kombination aus Bedrohungen und Schwachstellen darstellen. wie beispielsweise: 104 .). 4. Solche Kataloge finden sich etwa in [BSI 7105]. und in [ISO/IEC 27005]. Statistiken. die durch die ungenaue Methode der Schätzung nicht zu rechtfertigen ist. In den IT-Grundschutzkatalogen des BSI gibt es eine umfangreiche Sammlung von so genannten "Gefährdungen". Bei der Identifikation von möglichen Bedrohungen können Bedrohungskataloge hilfreich sein. Es ist jedoch zu betonen. Manipulation an Daten oder Software. der Motivation und den vorausgesetzten Fähigkeiten und Ressourcen einer/ eines potentiellen Angreiferin/Angreifers.1 In diesem Schritt der Risikoanalyse ist zu bestimmen. mit welcher Wahrscheinlichkeit eine Bedrohung im betrachteten Umfeld eintreten wird. Da eine quantitative Bewertung in vielen Fällen eine Genauigkeit vortäuschen könnte. dass keine derartige Liste vollständig sein kann. Abhören. alle wesentlichen Bedrohungen zu erfassen. trojanische Pferde. Wiedereinspielen von Nachrichten. Maskerade) Es ist wichtig. da andernfalls Sicherheitslücken bestehen bleiben können. Bewährt haben sich hier etwa drei. Diese ist abhängig von: • • • • der Häufigkeit der Bedrohung (Wahrscheinlichkeit des Auftretens anhand von Erfahrungen..4. Nichtanerkennen einer Nachricht.2 Bewertung möglicher Bedrohungen ISO Bezug: 27002 4.. und darüber hinaus auch Bedrohungen einem ständigen Wandel und einer ständigen Weiterentwicklung unterworfen sind.

4.2. mangelndes Sicherheitsbewusstsein 105 . der von ihnen bedrohten Objekte.1 Unter einer Schwachstelle ( vulnerability ) versteht man eine Sicherheitsschwäche eines oder mehrerer Objekte.5 Schwachstellenanalyse ISO Bezug: 27002 4. Typische Beispiele für Schwachstellen sind etwa: • • • • • • • Mangelnder baulicher Schutz von Räumen mit IT-Einrichtungen Nachlässige Handhabung von Zutrittskontrollen Spannungs.und Implementierungsfehler schwache Passwortmechanismen unzureichende Ausbildung. die durch eine Bedrohung ausgenützt werden kann. und ihrer Eintrittswahrscheinlichkeiten.oder Temperaturschwankungen bei Hardwarekomponenten kompromittierende Abstrahlung Spezifikations. Beispiel: 4: einmal pro Minute 3: einmal pro Stunde 2: einmal pro Tag 1: einmal pro Monat 0: einmal im Jahr Ergebnis der Bedrohungsanalyse: Liste von Bedrohungen.4: sehr häufig 3: häufig 2: mittel 1: selten 0: sehr selten Diese allgemeinen Bedeutungen der Skalenwerte sind für den spezifischen Anwendungsbereich zu konkretisieren.

Eine Schwachstelle selbst verursacht noch keinen Schaden, sie ist aber die Voraussetzung, die es einer Bedrohung ermöglicht, wirksam zu werden und damit ein IT-System zu beeinträchtigen. Auf Schwachstellen, für die eine korrespondierende Bedrohung existiert, sollte daher sofort reagiert werden. Eine Schwachstellenanalyse ist die Überprüfung von Sicherheitsschwächen, die durch festgestellte Bedrohungen ausgenutzt werden können. Diese Analyse muss sowohl das Umfeld als auch bereits vorhandene Schutzmaßnahmen mit einbeziehen. Es ist wichtig, jede Schwachstelle daraufhin zu bewerten, wie leicht es ist, sie auszunutzen. Beispielhafte Auflistungen von Schwachstellen, die auf typische Problembereiche hinweisen, finden sich etwa in [ISO/IEC 27005], Annex D sowie in [BSI 7105].

Ergebnis der Schwachstellenanalyse:
Liste von potentiellen Schwachstellen mit Angaben darüber, wie leicht diese für einen Angriff ausgenützt werden können.

4.2.6 Identifikation bestehender Sicherheitsmaßnahmen
ISO Bezug: 27002 4.1

Sicherheitsmaßnahmen sind Verfahrensweisen, Prozeduren und Mechanismen, die eine oder mehrere der nachfolgenden Funktionen erfüllen:

• • • • • •

Vermeidung von Risiken, Verkleinerung von Bedrohungen oder Schwachstellen, Entdeckung unerwünschter Ereignisse, Eingrenzung der Auswirkungen eines unerwünschten Ereignisses, Überwälzung von Risiken oder Wiederherstellung eines früheren Zustandes.

Wirksame IT-Sicherheit verlangt im Allgemeinen eine Kombination von verschiedenen Typen von Maßnahmen.

106

Da die Sicherheitsmaßnahmen, die aufgrund einer Risikoanalyse ausgewählt werden, in der Regel zusätzlich zu bereits bestehenden Maßnahmen eingeführt werden sollen, ist es notwendig, alle bereits existierenden oder geplanten Sicherheitsmaßnahmen zu identifizieren und ihre Auswirkungen zu überprüfen, um unnötigen Aufwand zu vermeiden. Stellt sich heraus, dass eine bereits existierende oder geplante Maßnahme ihren Anforderungen nicht gerecht wird, so ist zu prüfen, ob sie ersatzlos entfernt, durch andere Maßnahmen ersetzt oder aus Kostengründen belassen werden soll. Im Rahmen dieses Schrittes sollte auch geprüft werden, ob die bereits existierenden Sicherheitsmaßnahmen korrekt zum Einsatz kommen. Falsch oder unvollständig eingesetzte Sicherheitsmaßnahmen stellen eine zusätzliche potentielle Schwachstelle eines Systems dar.

Ergebnis:
Aufstellung aller bereits existierenden oder geplanten Sicherheitsmaßnahmen mit Angaben über ihren Implementierungsstatus und ihren Einsatz.

4.2.7 Risikobewertung
ISO Bezug: 27002 4.1

Ein Risiko ist die Möglichkeit, dass eine Bedrohung unter Ausnutzung einer Schwachstelle Schaden an einem Objekt oder den Verlust eines Objektes und damit direkt oder indirekt einen Schaden verursacht. Ziel dieses Schrittes ist es, die Risiken, denen ein IT-System und seine Objekte ausgesetzt sind, zu erkennen und zu bewerten, um auf dieser Basis geeignete und angemessene Sicherheitsmaßnahmen auswählen zu können. Risiken sind eine Funktion folgender Parameter:

• • • •

Wert der bedrohten Objekte (Schadensausmaß), Möglichkeit, eine Schwachstelle durch eine Bedrohung auszunutzen, Eintrittswahrscheinlichkeit einer Bedrohung, bereits existierende oder geplante Sicherheitsmaßnahmen, die dieses Risiko reduzieren könnten. 107

Wie diese Größen miteinander verknüpft werden, um die Höhe der Einzelrisiken und des Gesamtrisikos zu bestimmen, ist abhängig von der gewählten Risikoanalysemethode. Wieder können quantitative oder qualitative Bewertungen vorgenommen oder aber beide Möglichkeiten kombiniert werden. [ISO/IEC 27005] gibt im Anhang vier Beispiele für Methoden zur Risikobewertung. Es ist zu beachten, dass jegliche Änderung an Werten, Bedrohungen, Schwachstellen oder Sicherheitsmaßnahmen bedeutenden Einfluss auf die Einzelrisiken und auf das Gesamtrisiko haben kann.

Ergebnis:
Quantitative oder qualitative Bewertung von Einzelrisiken und Gesamtrisiko für den betrachteten Analysebereich.

4.2.8 Auswertung und Aufbereitung der Ergebnisse
ISO Bezug: 27002 4.1

Der adäquaten Aufbereitung, Auswertung und Interpretation der Ergebnisse einer Risikoanalyse kommt wachsende Bedeutung zu. Da die Risikoanalyse auch als Grundlage für weitreichende weiterführende Entscheidungen dient, ist auf eine klare Darstellung der Situation sowie eine umfassende Ergebnisdarstellung zu achten. Hilfreich dabei sind graphische und tabellarische Darstellungen.

4.3 Grundschutzansatz
ISO Bezug: 27002 4.1, 4.2

Die im Rahmen dieses Handbuchs empfohlene Vorgehensweise zur Grundschutzanalyse folgt im Wesentlichen den Vorgaben zum IT-Grundschutz des BSI. In diesem Kapitel wird eine kurze Zusammenfassung des Verfahrens, angepasst an die Erfordernisse der öffentlichen Verwaltung in Österreich, gegeben. Details zum Verfahren finden sich im BSI-Standard 100-2 sowie den BSI-Katalogen zu Gefährdungen und Sicherheitsmaßnahmen. 108

4.3.1 Die Idee des IT-Grundschutzes
ISO Bezug: 27002 4.1, 4.2

Ziel des Grundschutzansatzes ist es, den Aufwand für die Erstellung eines Informationssicherheits-Konzeptes angemessen zu begrenzen. Dies wird dadurch erreicht, dass von einer pauschalisierten Gefährdungslage ausgegangen und damit auf eine detaillierte Risikoanalyse verzichtet wird. Die Auswahl der zu realisierenden Sicherheitsmaßnahmen erfolgt auf der Basis vorgegebener Kataloge. Die Vorteile dieser Vorgehensweise sind:

• •

Der Aufwand für die Risikoanalyse wird stark reduziert. Der Einsatz von Grundschutzmaßnahmen führt schnell zu einem relativ hohen Niveau an Sicherheit gegen die häufigsten Bedrohungen.

Zudem sind Grundschutzmaßnahmen meist stark verbreitet und damit relativ kostengünstig und schnell zu implementieren. Dem stehen folgende Nachteile gegenüber:

• •

Der Grundschutzlevel kann für das betrachtete System zu hoch oder zu niedrig sein. Ist er zu hoch, werden unnötige finanzielle und personelle Ressourcen verbraucht, ist er zu niedrig, bleiben unter Umständen untragbare Risiken bestehen. Aufgrund der fehlenden detaillierten Risikoanalyse kann unter Umständen eine angemessene Reaktion auf sicherheitsrelevante Hard- oder Softwareänderungen schwierig sein.

Die Wahl eines Grundschutzansatzes wird daher in folgenden Fällen empfohlen:

• •

Wenn feststeht, dass im betrachteten Bereich nur IT-Systeme mit niedrigem oder mittlerem ("normalem") Schutzbedarf zum Einsatz kommen. Falls in einem Bereich (IT-System, Abteilung, ...) noch keine oder offensichtlich zu schwache Sicherheitsmaßnahmen vorhanden sind, kann die Realisierung von Grundschutzmaßnahmen dazu beitragen, rasch ein relativ gutes Niveau an IT-Sicherheit zu erreichen. In diesem Fall sollte aber in einem nachfolgenden Schritt geprüft werden, ob das erreichte Niveau bereits ausreichend ist oder weitere Analysen und Maßnahmen erforderlich sind. 109

Als Teil eines umfassenden Risikoanalysekonzeptes ("kombinierter Ansatz"): Wird zunächst in einem ersten Schritt festgestellt, welche IT-Systeme besonders schutzbedürftig sind ("Schutzbedarfsfeststellung"), so besteht die Möglichkeit, den Arbeitsaufwand für die Risikoanalyse und die Auswahl spezifischer Sicherheitsmaßnahmen auf diese hochschutzbedürftigen Systeme zu konzentrieren. Für alle anderen Systeme können Grundschutzmaßnahmen eingesetzt werden, ohne damit unangemessene Sicherheitsrisiken einzugehen. Details dazu s. Kapitel Kombinierter Ansatz.

4.3.2 Grundschutzanalyse und Auswahl von Maßnahmen
ISO Bezug: 27002 4.1, 4.2

Im Folgenden wird ein reiner Grundschutzansatz beschrieben, d.h. es wird davon ausgegangen, dass entweder bereits eine Schutzbedarfsfeststellung erfolgt ist und damit die IT-Systeme identifiziert sind, für die der IT-Grundschutz zu konzipieren ist, oder dass bewusst (zunächst) ein reiner Grundschutzansatz gewählt wird. Ein kombinierter Ansatz und die Stellung des IT-Grundschutzes in einem solchen werden im nachfolgenden Kapitel beschrieben. Eine Grundschutzanalyse besteht im Wesentlichen aus den folgenden beiden Teilschritten: Schritt 1: Nachbildung eines IT-Systems oder eines IT-Verbundes (Kombination mehrerer IT-Systeme) durch vorhandene Bausteine ("Modellierung") Schritt 2: Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen

4.3.2.1 Modellierung
ISO Bezug: 27002 4.1, 4.2

Die Modellierung eines IT-Systems oder eines IT-Verbundes ist abhängig vom zugrunde liegenden Baustein- und Maßnahmenkatalog, da versucht werden muss, das System durch die vorhandenen Bausteine möglichst genau nachzubilden. Eine der umfassendsten und ausgereiftesten Sammlungen von Bausteinen und Maßnahmen stellen die Grundschutz-Standards und -Kataloge des BSI dar ( [BSI GSHB]). Anhand dieses Werkes soll nachfolgend die Modellierung eines ITVerbundes beschrieben werden. 110

Zentrale Aufgabe des Schrittes "Modellierung" ist es, den betrachteten IT-Verbund mit Hilfe der vorhandenen Bausteine des IT-Grundschutzes nachzubilden. Als Ergebnis wird ein Modell des IT-Verbundes erstellt, das aus verschiedenen, ggf. auch mehrfach verwendeten Bausteinen des Handbuchs besteht und eine Abbildung zwischen den Bausteinen und den sicherheitsrelevanten Aspekten des IT-Verbundes beinhaltet. Um die Abbildung eines im Allgemeinen komplexen IT-Verbunds auf die Bausteine des Handbuchs zu erleichtern, bietet es sich an, die Sicherheitsaspekte gruppiert nach bestimmten Themen zu betrachten.

Abbildung 1: Schichten des IT-Grundschutzmodells nach BSI Grundschutz Die Sicherheitsaspekte eines IT-Verbunds werden wie folgt den einzelnen Schichten zugeordnet:

• •

Schicht 1 umfasst sämtliche übergreifenden Sicherheitsaspekte, die für sämtliche oder große Teile des IT-Verbunds gleichermaßen gelten. Dies betrifft insbesondere übergreifende Konzepte und die daraus abgeleiteten Regelungen.Typische Bausteine der Schicht 1 sind unter anderem Informationssicherheitsmanagement, Organisation, Datensicherungskonzept und Computer-Virenschutzkonzept. Schicht 2 befasst sich mit den baulich-technischen Gegebenheiten, in der Aspekte der infrastrukturellen Sicherheit zusammengeführt werden. Dies betrifft insbesondere die Bausteine Gebäude, Räume, Schutzschränke und häuslicher Arbeitsplatz. Schicht 3 betrifft die einzelnen IT-Systeme des IT-Verbunds, die ggf. in Gruppen zusammengefasst wurden. Hier werden die Sicherheitsaspekte sowohl von Clients als auch von Servern, aber auch von Stand-alone-Systemen behandelt. In die Schicht 3 fallen damit beispielsweise die Bausteine Unix-System, Tragbarer PC, Windows NT Netz und TK-Anlage. 111

• •

Schicht 4 betrachtet die Kommunikations- und Vernetzungsaspekte der ITSysteme, wie etwa die Bausteine Netz- und Systemmanagement und Firewalls. Schicht 5 schließlich beschäftigt sich mit den eigentlichen IT-Anwendungen, die im IT-Verbund genutzt werden. In dieser Schicht können unter anderem die Bausteine E-Mail, WWW-Server, Faxserver und Datenbanken zur Modellierung verwendet werden.

Die in diesem Schritt zu leistende Aufgabe besteht darin, das reale IT-System durch die vorhandenen Bausteine möglichst genau nachzubilden. Abschließend sollte überprüft werden, ob die Modellierung des Gesamtsystems vollständig ist und keine Lücken aufweist. Es wird empfohlen, hierzu den Netzplan oder eine vergleichbare Übersicht über den IT-Verbund heranzuziehen und die einzelnen Komponenten systematisch durchzugehen. Jede Komponente sollte entweder einer Gruppe zugeordnet oder einzeln modelliert worden sein. Wichtig ist, dass nicht nur alle Hard- und Software-Komponenten in technischer Hinsicht nachgebildet sind, sondern dass auch die zugehörigen organisatorischen, personellen und infrastrukturellen Aspekte vollständig abgedeckt sind.

4.3.2.2 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen Maßnahmen
ISO Bezug: 27002 4.1, 4.2

Im zweiten Schritt der Grundschutzanalyse wird die Modellierung nach IT-Grundschutz als Prüfplan verwendet, um festzustellen, welche Standardsicherheitsmaßnahmen bereits umgesetzt wurden, bzw. welche nicht oder unzureichend umgesetzt wurden. Das SOLL besteht aus den in den einzelnen Bausteinen empfohlenen Maßnahmen. Der Vergleich mit den vorhandenen Maßnahmen ergibt als Resultat die Maßnahmen, die es noch für den IT-Grundschutz umzusetzen gilt. Der eigentliche Soll-Ist-Vergleich soll mittels Interviews und stichprobenartiger Kontrollen durchgeführt werden.

4.3.3 Vorgehen bei Abweichungen
ISO Bezug: 27002 4.1, 4.2

112

Für die Errichtung eines IT-Grundschutzes sollten zwar prinzipiell alle im Baustein vorgeschlagenen IT-Grundschutzmaßnahmen umgesetzt werden, es besteht jedoch die Möglichkeit, dass bei bestimmten Einsatzumgebungen empfohlene Grundschutzmaßnahmen nicht umgesetzt werden können oder sollten. Diese Abweichung von der Empfehlung ist dann zu dokumentieren und zu begründen. An dieser Stelle sollten auch eventuell vorhandene über den IT-Grundschutz hinausgehende IT-Sicherheitsmaßnahmen herausgearbeitet und dokumentiert werden.

4.3.4 Dokumentation der Ergebnisse
ISO Bezug: 27002 4.1, 4.2

Aus der beschriebenen Vorgehensweise soll als Ergebnis eine Liste von Maßnahmen, die es für die Erreichung des IT-Grundschutzes noch umzusetzen gilt. Zu jeder Maßnahme sollten

• • • •

der Umsetzungsgrad (ja/teilweise/nein/entbehrlich) sowie, soweit zu diesem Zeitpunkt bereits möglich, die Verantwortlichkeiten für die Umsetzung der Zeitpunkt für die Umsetzung und eine Kostenschätzung

angegeben werden. Für die Durchführung einer Grundschutzanalyse in einer komplexen Einsatzumgebung empfiehlt sich der Einsatz eines Tools. Bekanntestes Beispiel ist das im Auftrag des BSI entwickelte "IT-Grundschutz-Tool". Hierdurch ergeben sich komfortable Möglichkeiten zur Auswertung und Revision der Ergebnisse, beispielsweise die Suche nach bestimmten Einträgen, der Generierung benutzerdefinierter Reports sowie Statistikfunktionen.

4.4 Kombinierter Ansatz
ISO Bezug: 27002 4.1, 4.2

113

Die Stärken beider oben diskutierter Risikoanalysestrategien - Zeit sparende Auswahl kostengünstiger IT-Sicherheitsmaßnahmen durch Grundschutzanalysen und wirksame Reduktion hoher Sicherheitsrisiken durch detaillierte Risikoanalysen - kommen in einem sog. kombinierten Ansatz zum Tragen. Dabei wird zunächst ermittelt, welche IT-Systeme hohe oder sehr hohe Sicherheitsanforderungen haben, und welche niedrige bis mittlere haben (Schutzbedarfsfeststellung). Das Ergebnis dieses Schrittes ist eine Einteilung in zwei Schutzbedarfskategorien: "niedrig bis mittel" und "hoch bis sehr hoch". IT-Systeme der Schutzbedarfskategorie "niedrig bis mittel" werden einer Grundschutzanalyse unterzogen, während IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" einer detaillierten Risikoanalyse zu unterziehen sind, auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. Alternativ dazu können auch etwa drei Schutzbedarfskategorien gewählt werden (s. Kap. 4.4.1, zweites Beispiel). Dabei werden IT-Systeme der Schutzbedarfskategorie "normal" einer Grundschutzanalyse unterzogen. IT-Systeme der Schutzbedarfskategorie "hoch" sind einer eingehenderen Betrachtung zu unterziehen. Wahlweise sind auch hier Grundschutzmaßnahmen (ev. in verstärktem Maße) anzuwenden, oder es ist eine detaillierte Risikoanalyse durchzuführen. ITSysteme der Schutzbedarfskategorie "sehr hoch" sind jedenfalls einer detaillierten Risikoanalyse zu unterziehen, auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. Generell empfiehlt es sich, zunächst eine Grundschutzanalyse für alle Systeme durchzuführen anschließend eine eventuelle erforderliche detaillierte Risikoanalyse für Systeme höherer Schutzbedarfskategorien.

Vorteile eines kombinierten Ansatzes

• • • •

Die Vorgehensweise ermöglicht es, rasch einen relativ guten Sicherheitslevel für alle IT-Systeme zu realisieren. Die in der Schutzbedarfsfeststellung erarbeiteten Erkenntnisse können die Grundlage für eine Prioritätenreihung für die nachfolgenden Aktivitäten bilden. Der Aufwand kann auf hochsicherheitsbedürftige Systeme konzentriert werden. Das Verfahren findet im Allgemeinen hohe Akzeptanz, da es mit verhältnismäßig geringem Initialaufwand rasch sichtbare Erfolge bringt.

114

Empfehlung:
Aus diesen Gründen kann für die Mehrheit der Fälle empfohlen werden, als Risikoanalysestrategie einen kombinierten Ansatz zu wählen.

4.4.1 Festlegung von Schutzbedarfskategorien
ISO Bezug: 27002 4.1, 4.2

Voraussetzung für eine Schutzbedarfsfeststellung ist die Festlegung von Schutzbedarfskategorien. Die nachfolgende Tabelle gibt eine Orientierungshilfe für die Festlegung der Schutzbedarfskategorien und damit die Klassifizierung der Anwendungen anhand der maximal möglichen Schäden anhand von Grenzwerten. Diese sind jedoch nur als Beispiele zu sehen. Jede Organisation sollte für sich prüfen, ob diese Klassifizierung ihren Anforderungen entspricht und gegebenenfalls eigene Grenzwerte und Einordnungen festlegen. Weiters ist darauf hinzuweisen, dass die in der Tabelle angeführten sieben Schadenskategorien nicht vollständig sein müssen. Für alle Schäden, die sich nicht in diesen Kategorien abbilden lassen, ist ebenfalls eine Aussage zu treffen, wo die Grenze zwischen "niedrig bis mittel" und "hoch bis sehr hoch" zu ziehen ist. Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" 1. Verstoß gegen Gesetze, • Verstöße gegen • Schwere Verstöße Vorschriften oder Verträge Vorschriften gegen Gesetze und Gesetze mit und Vorschriften geringfügigen (Strafverfolgung) Konsequenzen • Verletzungen von Geringfügige Verträgen mit hohen • Verletzungen von Konventionalstrafen Verträgen mit geringen oder Haftungsschäden Konventionalstrafen • Ein möglicher Ein möglicher Missbrauch • Missbrauch personenbezogener personenbezogener Daten hat erhebliche Daten hat nur Auswirkungen auf geringfügige die gesellschaftliche Auswirkungen auf Stellung oder die die gesellschaftliche wirtschaftlichen 115

Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" Stellung oder die Verhältnisse der/des wirtschaftlichen Betroffenen (Verlust Verhältnisse der/des der Vertraulichkeit oder Betroffenen Integrität sensibler Daten) 2. Beeinträchtigung der Eine Beeinträchtigung • • Eine über Bagatellpersönlichen Unversehrtheit erscheint nicht möglich. verletzungen hinausgehende Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden. 3. Beeinträchtigung der • Es kann zu einer • Es kann zu Aufgabenerfüllung leichten bis maximal einer schweren mittelschweren BeeinBeeinträchtigung der trächtigung der Aufgabenerfüllung Aufgabenerfüllung bis hin zur kommen. Handlungsunfähigkeit der betroffenen • Eine Zielerreichung Organisation kommen. ist mit vertretbarem Mehraufwand möglich. • Bedeutende Zielabweichung in Qualität und/oder Quantität. 4. Vertraulichkeit der • Es werden nur Daten • Es werden auch Daten verarbeiteten Information der Sicherheitsklassen der Sicherheitsklassen OFFEN und VERTRAULICH, EINGESCHRÄNKT GEHEIM und/oder verarbeitet bzw. STRENG GEHEIM gespeichert. verarbeitet bzw. gespeichert. 5. Dauer der Verzichtbarkeit • Die maximal • Die maximal tolerierbare Ausfallszeit tolerierbare Ausfallszeit der Anwendung beträgt des Systems beträgt mehrere Stunden bis lediglich einige mehrere Tage. Minuten.

116

Kategorie "niedrig bis mittel" Kategorie "hoch bis sehr hoch" 6. Negative Außenwirkung Eine geringe • • Eine breite bzw. nur interne Beeinträchtigung des Beeinträchtigung Vertrauens in die des Ansehens oder Organisation oder Vertrauens ist zu ihr Ansehen ist zu erwarten. erwarten. 7. Finanzielle Auswirkungen • Der finanzielle Schaden • Der zu erwartende ist kleiner als (z.B.) finanzielle Schaden ist Euro 50.000.--. größer als (z.B.) Euro 50.000.--. Eine andere Möglichkeit besteht darin, drei Schutzbedarfskategorien zu definieren: Schutzbedarfskategorie "normal": Die Schadensauswirkungen sind begrenzt und überschaubar. Maßnahmen des ITGrundschutzes reichen im Allgemeinen aus. Diese Kategorie entspricht der obigen Kategorie "niedrig bis mittel". Schutzbedarfskategorie "hoch": Die Schadensauswirkungen können beträchtlich sein. Wahlweise können weiter (verstärkte) Grundschutzmaßnahmen eingesetzt oder eine detaillierte Risikoanalyse durchgeführt werden. Schutzbedarfskategorie "sehr hoch": Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. IT-Grundschutzmaßnahmen alleine reichen nicht aus, die erforderlichen Sicherheitsmaßnahmen sollten individuell auf Basis einer Risikoanalyse ermittelt werden. Schutzbedarfskategorie "hoch": Die nachfolgende Tabelle gibt eine Orientierungshilfe für die Festlegung der Schutzbedarfskategorien und damit die Klassifizierung der Anwendungen anhand der oben angeführten Einteilungen. Diese sind wiederum als Beispiele zu sehen. Jede Organisation sollte für sich prüfen, ob diese Klassifizierung ihren Anforderungen entspricht und gegebenenfalls eigene Grenzwerte und Einordnungen festlegen. Kategorie "normal" Kategorie "hoch" Kategorie "sehr hoch" 1. Verstoß • Verstöße gegen • Verstöße gegen • Schwere gegen Gesetze, Vorschriften und Vorschriften Verstöße gegen Vorschriften oder Gesetze mit und Gesetze Gesetze und Verträge geringfügigen mit erheblichen Vorschriften Konsequenzen Konsequenzen (Strafverfolgung) 117

Kategorie "normal"

2. Beeinträchtigung der persönlichen Unversehrtheit

3. Beeinträchtigung der Aufgabenerfüllung

Kategorie "sehr hoch" Geringfügige Verletzungen • • Verletzungen Verletzungen von Verträgen von Verträgen, von Verträgen mit hohen deren mit keinen Konventionalstrafen Haftungsschäden oder geringen ruinös sind • Ein möglicher Konventionalstrafen Missbrauch • Ein möglicher Ein möglicher personenbezogener Missbrauch Missbrauch Daten hat personenbezogener personenbezogener erhebliche Daten würde Daten hat nur Auswirkungen für die/den geringfügige auf die Betroffene/n den Auswirkungen gesellschaftliche gesellschaftlichen auf die Stellung oder gesellschaftliche oder die wirtschaftlichen Stellung wirtschaftlichen Ruin bedeuten. oder die Verhältnisse wirtschaftlichen der/des Verhältnisse Betroffenen. der/des Betroffenen. Eine • Eine • Gravierende Beeinträchtigung Beeinträchtigung Beeinträchtigungen erscheint nicht der persönlichen der persönlichen möglich. Unversehrtheit Unversehrtheit kann nicht sind möglich. absolut • Gefahr für Leib ausgeschlossen und Leben werden. Es kann zu • Es kann zu • Es kann zu einer einer leichten einer schweren sehr schweren bis maximal Beeinträchtigung Beeinträchtigung mittelschweren der der Beeinträchtigung Aufgabenerfüllung Aufgabenerfüllung der kommen. bis hin zur Aufgabenerfüllung Bedeutende Handlungsunfähigkeit • kommen. der betroffenen Zielabweichung Organisation Eine in Qualität und/ kommen. Zielerreichung oder Quantität. ist mit vertretbarem Mehraufwand möglich.

Kategorie "hoch"

118

Verluste.1. Beeinträchtigung ist zu erwarten. sogar existenzgefährdender Art. oder STRENG verarbeitet bzw. Stunde.) Euro beachtliche die Institution 50.--. Finanzielle Auswirkungen • Kategorie "sehr hoch" Es werden Es werden • • Es werden nur Daten der auch Daten auch Daten Sicherheitsklassen der Klasse der Klassen OFFEN und VERTRAULICH GEHEIM und/ EINGESCHRÄNKT verarbeitet bzw. Dauer der Verzichtbarkeit • 6.2 Die Schutzbedarfsfeststellung bildet die Grundlage für eine Entscheidung über die weitere Vorgehensweise und ist daher mit entsprechender Sorgfalt durchzuführen. Kategorie "hoch" 4.Kategorie "normal" 4. GEHEIM gespeichert. Die Schutzbedarfsfeststellung erfolgt in 3 Schritten: • Schritt 1: Erfassung aller vorhandenen oder geplanten IT-Systeme 119 .000. Negative Außenwirkung • 7. ist zu erwarten. finanzielle existenzbedrohend.4. Die maximal Die maximal • • Die maximal tolerierbare tolerierbare tolerierbare Ausfallszeit der Ausfallszeit des Ausfallszeit des Anwendung Systems liegt Systems ist beträgt mehr als zwischen einer kleiner als eine 24 Stunden. verarbeitet bzw. gespeichert. nur interne Beeinträchtigung landesweite Beeinträchtigung des Ansehens breite des Ansehens oder Vertrauens Ansehens.B. Eine geringe • Eine breite • Eine bzw. Vertrauens. Der finanzielle • Der Schaden • Der finanzielle Schaden liegt bewirkt Schaden ist für unter (z.oder oder Vertrauens ist zu erwarten. gespeichert. 4. Vertraulichkeit der verarbeiteten Information • 5.2 Schutzbedarfsfeststellung ISO Bezug: 27002 4. evtl. und 24 Stunden. ist jedoch nicht existenzbedrohend.

aus denen das ITSystem zusammengesetzt ist. nicht die einzelnen Bestandteile. An dieser Stelle soll nur das System als solches erfasst werden (z. PC-Client. die oft in großer Anzahl vorhanden sind.1. Dies gilt insbesondere für PCs.1 Erfassung aller vorhandenen oder geplanten IT-Systeme ISO Bezug: 27002 4. Drucker etc. Server. deren Daten/Informationen und Programme den höchsten Bedarf an Integrität aufweisen.2 Zunächst werden die vorhandenen und geplanten IT-Systeme aufgelistet.B. Zur Reduktion der Komplexität kann man gleiche IT-Systeme zu Gruppen zusammenfassen..1. 4. die die kürzeste tolerierbare Ausfallszeit haben. Dabei sind zuerst diejenigen Anwendungen des jeweiligen IT-Systems zu benennen.2.2. 4. wie Rechner. Hierbei steht die technische Realisierung eines IT-Systems im Vordergrund.2 Ziel dieses Schrittes ist es. StandAlone-PC. Windows-Server.soweit zu diesem Zeitpunkt bereits möglich .4.4.B. Bildschirm.nach ihrem Sicherheitsbedarf vorsortiert werden. Windows-Server). z.2 Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen IT-Systemen ISO Bezug: 27002 4. wenn von Anwendungsstruktur und -ablauf vergleichbare Anwendungen auf diesen Systemen laufen.• • Schritt 2: Erfassung der IT-Anwendungen und Zuordnung zu den einzelnen ITSystemen Schritt 3: Schutzbedarfsfeststellung für jedes IT-System 4. 4. alle oder zumindest die wichtigsten auf dem betrachteten IT-System laufenden oder geplanten IT-Anwendungen zu erfassen. • • • deren Daten/Informationen und Programme den höchsten Bedarf an Vertraulichkeit haben. 120 . Diese sollten anschließend . Tastatur.

4.2 Für alle IT-Systeme der Schutzbedarfskategorie "niedrig bis mittel" bzw. Dabei ist es unbedingt auch erforderlich.1 angeführte Tabelle dienen. so ist das gesamte System in die Schutzbedarfskategorie "normal" einzuordnen. Die Auswahl einer konkreten Methode zur Risikoanalyse sowie der eventuelle Einsatz eines Tools zur Unterstützung dieser Analyse bleiben der durchführenden Institution überlassen.3 Schutzbedarfsfeststellung für jedes IT-System ISO Bezug: 27002 4. Die zu erwartenden Schäden bestimmen den Schutzbedarf. eine den spezifischen Anforderungen der betroffenen Organisation entsprechende modifizierte Tabelle zu erstellen.2 In dieser Phase soll die Frage beantwortet werden. "normal" ist eine Grundschutzanalyse gemäß der in Kapitel 4. Es ist aber empfehlenswert.1. Ist für alle auf einem System laufenden Anwendungen ein normaler Schutzbedarf erhoben worden. 121 .4.2. Die Realisierung von Grundschutzmaßnahmen bietet hier in der Regel einen ausreichenden Schutz. Als Orientierungshilfe für die Einordnung von IT-Anwendungen in Schutzbedarfskategorien kann die in 4. 4. "sehr hoch" einzuordnen. Details dazu finden sich in Kapitel 4. so ist das gesamte IT-System in die Schutzbedarfskategorie "hoch" bzw.4.1. wenn Vertraulichkeit.3 Durchführung von Grundschutzanalysen und detaillierten Risikoanalysen ISO Bezug: 27002 4. die Applikations-/Projektverantwortlichen und die Benutzer/innen der betrachteten IT-Anwendungen nach ihrer Einschätzung zu befragen. welche Schäden zu erwarten sind.3 Grundschutzansatz beschriebenen Vorgehensweise durchzuführen. 4.4. Alle IT-Systeme der Schutzbedarfskategorie "hoch bis sehr hoch" sind einer detaillierten Risikoanalyse zu unterziehen.2 Detaillierte Risikoanalyse dieses Handbuchs. Wurde dagegen mindestens eine Applikation mit hohem oder sehr hohem Schutzbedarf ermittelt. Integrität oder Verfügbarkeit einer IT-Anwendung und/ oder der zugehörigen Informationen ganz oder teilweise verloren gehen. Die Ermittlung des Schutzbedarfes erfolgt nach dem Maximum-Prinzip. 4.

6 Akzeptanz von außergewöhnlichen Restrisiken ISO Bezug: 27002 4. ob mit (ev. Im Allgemeinen verbleibt ein Restrisiko.Geht man von drei Schutzbedarfskategorien aus.2 Sicherheitsmaßnahmen können für gewöhnlich Risiken nur teilweise mindern. diese Restrisiken so exakt wie möglich zu quantifizieren und sie dann bewusst zu akzeptieren. IT-Systeme der Schutzbedarfskategorie "sehr hoch" sind jedenfalls einer detaillierten Risikoanalyse zu unterziehen. diesen Prozess durch generelle Richtlinien zu unterstützen. Um ein organisationsweit einheitliches Niveau des Restrisikos zu gewährleisten. dass durch Kumulationseffekte oder gegenseitige Beeinflussungen eine Reihe von kleinen Einzelrisiken zu einem inakzeptablen Restrisiko führen kann. Dieser Prozess wird als "Risikoakzeptanz" bezeichnet.2. dessen Abdeckung wirtschaftlich nicht mehr vertretbar wäre.2 Verbleibt nach Durchführung aller vorgesehenen Sicherheitsmaßnahmen ein Restrisiko. Dabei ist zu beachten. verstärkten) Grundschutzmaßnahmen das Auslangen gefunden werden kann. Es ist notwendig. Ist dies technisch nicht möglich oder unwirtschaftlich. oder eine detaillierte Risikoanalyse erforderlich ist. Die Entscheidung über die Akzeptanz von Restrisiken ist daher immer eine für das spezielle System zu treffende Managemententscheidung.4 Risikoanalysestrategien. dieses erhöhte Restrisiko bewusst anzunehmen. 122 . so besteht in begründeten Ausnahmefällen die Möglichkeit. 4. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken) und festlegen. 5. 4. so ist für IT-Systeme der Schutzbedarfskategorie "hoch" zu überlegen. so sollten zusätzliche Sicherheitsmaßnahmen vorgesehen und damit das Risiko weiter reduziert werden. ist es hilfreich. Diese sollten im Rahmen der Informationssicherheits-Politik definiert werden (vgl. das höher ist als das generell akzeptable. welche Risiken die betroffene Organisation generell zu akzeptieren bereit ist.5 Akzeptables Restrisiko ISO Bezug: 27002 4.

123 .Die Entscheidung über die Akzeptanz eines außergewöhnlichen Restrisikos ist durch das Management zu treffen. Die Entscheidung ist schriftlich zu begründen und durch die Leitung der Organisation in schriftlicher Form zu akzeptieren. die genauen Verantwortlichkeiten dafür sind in der Informationssicherheits-Politik festzulegen.

konkret umgesetzt. die Erarbeitung einer Informationssicherheits-Politik zu unterstützen. wie etwa Sicherheitsrichtlinien 5. etwa der E-Mail-Sicherheitsrichtlinie oder der Netzwerksicherheitsrichtlinie. Strategien. 27002 5. Grundzüge der Business Continuity Planung Aktivitäten zur Überprüfung und Aufrechterhaltung der Sicherheit Verweise auf weitere Dokumente zum Thema Informationssicherheit. Sie stellt ein Grundlagendokument dar. Ziel dieses Abschnittes ist es. Verantwortlichkeiten und Methoden langfristig und verbindlich festlegt.1.5 Informationssicherheits-Politik Dieses Kapitel nimmt Bezug auf ISO/IEC 27001 4 ff "InformationssicherheitsManagementsystem" sowie ISO 27002 . die den Schutz der Informationen und der IT-Systeme innerhalb einer Organisation gewährleisten.5 ff "Sicherheitspolitik".1 124 . Diese sind: • • • • • • • • Informationssicherheitsziele und -strategien Erklärung der Leitungsebene über die Unterstützung der Ziele des Informationssicherheits-Managements (Management Commitment) Organisation und Verantwortlichkeiten für Informationssicherheit Risikoanalysestrategien. Die organisationsweite Informationssicherheits-Politik soll allgemeine Festlegungen treffen. das die sicherheitsbezogenen Ziele. akzeptables Restrisiko und Risikoakzeptanz Klassifizierung von Daten Klassifizierung von IT-Anwendungen und IT-Systemen. Die Informationssicherheits-Politik bildet die Basis für die Entwicklung und die Umsetzung eines risikogerechten und wirtschaftlich angemessenen Informationssicherheits-Konzeptes. Diese Richtlinien werden in den nachgeordneten Sicherheitsrichtlinien.1 Aufgaben und Ziele einer InformationssicherheitsPolitik ISO Bezug: 27001 4. Das folgende Kapitel gibt eine Anleitung zur Erstellung einer derartigen Politik und legt die wesentlichen Inhalte fest.

5.2 Inhalte der Informationssicherheits-Politik Der folgende Abschnitt beschreibt. Die direkt mit Informationssicherheit beschäftigten Mitarbeiter/innen müssen im Besitz einer aktuellen Version der Informationssicherheits-Politik sein. Geltungsbereich Im Bereich der öffentlichen Verwaltung ist zumindest auf Ressortebene eine eigene. 5. etwa auf Behördenoder Abteilungsebene. Bei Bedarf können aus dieser weitere Informationssicherheits-Politiken.Eine organisationsweite Informationssicherheits-Politik hat die Aufgabe. Jede/r Mitarbeiter/in muss Kenntnis über die wichtigsten Inhalte der Informationssicherheits-Politik haben. Im Bereich der Privatwirtschaft wird die Erarbeitung einer organisationsweiten Informationssicherheits-Politik zumindest für große bis mittlere Unternehmen empfohlen. Über die angeführten Themenbereiche hinaus können organisationsspezifisch weitere wichtige Sicherheitsthemen in die Informationssicherheits-Politik aufgenommen werden. ressortspezifische Informationssicherheits-Politik zu erstellen. abgeleitet werden. Integrität und Verfügbarkeit der Information in einer Organisation sicherzustellen. und gibt Anleitungen zur Erstellung dieses Dokumentes. Dabei gilt: • • • • • Die Informationssicherheits-Politik wird als schriftliches Dokument erstellt und bildet die Grundlage des Informationssicherheits-Managements. Die Informationssicherheits-Politik enthält ein explizites Statement des Managements über die Unterstützung der Informationssicherheitsziele (Management Commitment).2. schreibt aber keine Implementierung vor. Abhängig von der Unternehmensstruktur und den strategischen Zielen kann die Erstellung einer Informationssicherheits-Politik auch für kleinere Unternehmen empfehlenswert sein. welche Themenbereiche im Rahmen der Informationssicherheits-Politik in jedem Fall angesprochen werden sollten.1 Informationssicherheitsziele und -strategien 125 . Die Informationssicherheits-Politik wird offiziell verabschiedet und in Kraft gesetzt. Das Management unterstützt und fördert die Aktivitäten zum Informationssicherheits-Management. die Vertraulichkeit. Die Informationssicherheits-Politik legt Leitlinien fest.

Verträge und Regelungen (etwa des Datenschutzgesetzes. des Informationssicherheitsgesetzes.zu formulieren. Integrität und/oder Verfügbarkeit)? .1. Dies erfordert: • • • • • • • • Vertraulichkeit der verarbeiteten Informationen Einhaltung aller Gesetze. insbesondere in Bezug auf Vertraulichkeit. von SLAs und Normen) Korrektheit. Vollständigkeit und Authentizität der Informationen (Integrität der IT) Rechtzeitigkeit (Verfügbarkeit der Daten und Services) Sicherung der investierten Werte Sicherstellung der Kontinuität der Arbeitsabläufe Reduzierung der im Schadensfall entstehenden Kosten (Schadensvermeidung und Schadensbegrenzung) Gewährleistung des besonderen Prestiges Neben diesen eher allgemein gültigen Zielen sind die organisationsspezifischen Sicherheitsziele .bezugnehmend auf die spezifischen Aufgaben und Projekte .1 Schritt 1: Festlegung der wesentlichen Informationssicherheitsziele Im Rahmen der Erstellung der Informationssicherheits-Politik sind zunächst die spezifischen Sicherheitsziele der Organisation zu erarbeiten. die öffentliche Verwaltung im Allgemeinen Hohe Verlässlichkeit des Handelns. Richtigkeit und Rechtzeitigkeit.ISO Bezug: 27002 6. die mit dieser Politik erreicht werden sollen. Zur Präzisierung dieser Ziele sind nützlicherweise folgende Fragen zu stellen: • • 126 Welche Informationen sind besonders schützenswert? Welche Auswirkungen hätte eine gravierende Verletzung der Sicherheit dieser Informationen (Verlust von Vertraulichkeit. Beispiele für solche Ziele sind: • • • Gewährleistung der Erfüllung von aus gesetzlichen Vorgaben resultierenden Anforderungen Gewährleistung des Vertrauens der Öffentlichkeit in die betroffene Organisation bzw.

2. Detailbeschreibungen sind Aufgabe der nachgeordneten Sicherheitsrichtlinien. 5.• • • Welche wesentlichen Entscheidungen hängen von der Genauigkeit. Schritt 3: Ausarbeitung von Strategien für das InformationssicherheitsManagement Die Sicherheitsstrategie legt fest. Integrität oder Verfügbarkeit dieser Informationen ab? Welche essentiellen Aufgaben der betreffenden Organisation können bei Kompromittierung dieser Informationen nicht mehr durchgeführt werden? Welche essentiellen Aufgaben der betreffenden Organisation können ohne ITUnterstützung nicht mehr durchgeführt werden? Schritt 2: Festlegung des angestrebten Sicherheitsniveaus In diesem Schritt ist festzulegen. Beispiele für Strategien für das Informationssicherheits-Management sind: • • • • • • • eine klare Zuordnung aller Verantwortlichkeiten im InformationssicherheitsProzess die Einführung eines QM-Systems die Entwicklung von Sicherheitsrichtlinien für die wichtigsten Systeme. welches Sicherheitsniveau in Bezug auf • • • Vertraulichkeit Integrität und Verfügbarkeit angestrebt werden soll. Services und Anwendungen die Etablierung eines organisationsweiten Incident Handling Plans Orientierung an internationalen Richtlinien und Standards Informationssicherheit als integraler Bestandteil des gesamten Lebenszyklus eines IT-Systems die Förderung des Sicherheitsbewusstseins aller Mitarbeiter/innen. Eine organisationsweite Informationssicherheits-Politik kann und soll lediglich eine High-Level-Beschreibung der gewählten Strategien beinhalten. wie die definierten Sicherheitsziele erreicht werden können.2 Management Commitment 127 .

Die Organisation des ISM ist für jede Institution . Auf der Ebene der Bundesverwaltung ist zusätzlich in jedem Ressort die Person einer/eines Informationssicherheitsbeauftragten gemäß Informationssicherheitsgesetz einzurichten.spezifisch festzulegen und in der Informationssicherheits-Politik festzuschreiben.3 Die Leitungsebene soll im Rahmen der Informationssicherheits-Politik ein klares Bekenntnis zur Bedeutung der Informationssicherheit für die Institution abgeben.durchaus auch von mehreren Personen wahrgenommen werden können. die Rollen und Verantwortlichkeiten aller in den Informationssicherheits-Prozess involvierten Personen klar zu definieren. unten) die Bereichs-IT-Sicherheitsbeauftragten und die Applikations-/Projektverantwortlichen. dass eine Person eine dieser 128 .abhängig von der Größe und den Sicherheitsanforderungen einer Organisation . 6. In diesem Fall ist auf eine genaue Trennung der Kompetenzen und Verantwortlichkeiten Bedacht zu nehmen. Dazu zählen insbesondere die Unterstützung der Ziele und Prinzipien der Informationssicherheit und die Erklärung ihrer Übereinstimmung mit den Geschäftszielen und -strategien. ist es erforderlich.3 Organisation und Verantwortlichkeiten für Informationssicherheit ISO Bezug: 27002 6.2. um Rollen handelt.1.2.entsprechend ihrer Größe. 5.3 Um eine Berücksichtigung aller wichtigen Aspekte und eine effiziente Erledigung sämtlicher anfallender Aufgaben zu gewährleisten. dass es sich bei diesen Funktionen bzw. die im Folgenden näher beschrieben werden. die . Gremien. Es ist zu betonen. Weiters werden für diesen Bereich durch das IKT-Board verbindliche Regelungen zur IKT-Sicherheit vorgegeben.1.1. Genauso ist es möglich. Zentrale Aufgaben im Informationssicherheits-Management-Prozess übernehmen dabei • • • • das Informationssicherheits-Management-Team die IT-Sicherheitsbeauftragten (zur Wahl der Bezeichnung s. Struktur und Aufgaben .ISO Bezug: 27002 6.

auf die speziellen Aufgaben und Anforderungen der betreffenden Organisation abgestimmte Beschreibung ist im Rahmen der organisationsweiten Informationssicherheits-Politik zu geben. Gremien kurz beschrieben.3. Die/der IT-Sicherheitsbeauftragte kann einzelne Aufgaben delegieren. die Gesamtverantwortung für die Informationssicherheit verbleibt aber bei dieser Person.3 Die/der IT-Sicherheitsbeauftragte ist die zentrale Ansprechperson für alle Informations. Nachfolgend werden die wichtigsten typischen Aufgaben und Verantwortlichkeiten dieser Funktionen bzw.2.als auch des Privatwirtschaftsbereiches eingeführten Begriff handelt. Eine detaillierte. Anmerkung: Die Bezeichnung "IT-Sicherheitsbeauftragte/r" für die Person einer/ eines zentralen Sicherheitsverantwortlichen wurde zum einen gewählt.Rollen zusätzlich zu anderen Aufgaben übernimmt. weil es sich um einen in vielen Institutionen sowohl des Behörden. zum anderen. 129 .und IT-Sicherheitsfragen innerhalb einer Organisation und trägt die fachliche Verantwortung für diesen Bereich.1. um diese Rolle gegenüber der Rolle der/des Informationssicherheitsbeauftragten gemäß Informationssicherheitsgesetz abzugrenzen. Dabei ist aber unbedingt darauf zu achten. der/dem ganz spezifische Aufgaben lt. So könnte beispielsweise ein Systemadministrator als Bereichs-IT-Sicherheitsbeauftragte/r für dieses System agieren. dass ausreichend Zeit für die sicherheitsrelevanten Tätigkeiten zur Verfügung steht und es zu keinen Kollisionen von Verantwortlichkeiten oder Interessen kommt. Gesetz zukommen. 5. Zu den Pflichten der/des IT-Sicherheitsbeauftragten gehören: • • • • • die verantwortliche Mitwirkung an der Erstellung des InformationssicherheitsKonzeptes die Gesamtverantwortung für die Realisierung der ausgewählten Sicherheitsmaßnahmen die Planung und Koordination von Schulungs.und Sensibilisierungsveranstaltungen die Gewährleistung der Informationssicherheit im laufenden Betrieb sowie die Verwaltung der für Informationssicherheit zur Verfügung stehenden Ressourcen.1 Die/der IT-Sicherheitsbeauftragte ISO Bezug: 27002 6.

2 Das Informationssicherheits-Management-Team ISO Bezug: 27002 6.3 Die Bereichs-IT-Sicherheitsbeauftragten ISO Bezug: 27002 6. eventuell zusätzlich zu anderen Aufgaben. dass die/der IT-Sicherheitsbeauftragte sowie ein/e Vertreter/in der IT-Anwender/innen dem Informationssicherheits-Management-Team angehören.Der Funktion der/des IT-Sicherheitsbeauftragten kommt eine zentrale Bedeutung zu. 5.1. Zu den Aufgaben des Teams zählen typischerweise: • • • • • • die Festlegung der Informationssicherheitsziele der Organisation die Entwicklung einer organisationsweiten Informationssicherheits-Politik Unterstützung und Beratung bei der Erstellung des InformationssicherheitsKonzeptes die Überprüfung des Konzeptes auf Erreichung der Informationssicherheitsziele die Förderung des Sicherheitsbewusstseins in der gesamten Organisation sowie die Festlegung der personellen und finanziellen Ressourcen für Informationssicherheit.definiert und klar einer Person. Zusammensetzung des Teams: Die genaue Festlegung der Zusammensetzung sowie der Aufgaben und Verantwortlichkeiten des Informationssicherheits-Management-Teams haben im Rahmen der Informationssicherheits-Politik zu erfolgen.3.also auch bei kleinen Organisationen . Generell ist zu empfehlen. zugeordnet sein. Vorgaben und Richtlinien zur Informationssicherheit.1.3 130 . 5. Daher sollte diese Rolle in jedem Fall .3.3 Das Informationssicherheits-Management-Team ist verantwortlich für die Regelung der organisationsweiten Informationssicherheitsbelange sowie für die Erarbeitung von Plänen.2.2.

Ein Bereich kann beispielsweise ein IT-System oder eine Betriebssystemplattform sein.Die Komplexität moderner IT-Systeme erfordert zur Gewährleistung eines angemessenen Sicherheitsniveaus tief gehende Systemkenntnisse. Wenn mehrere unterschiedliche Systemplattformen zum Einsatz kommen. des Projekts die Klassifizierung der verarbeiteten Daten.3 Für jede IT-Anwendung und jedes IT-Projekt ist die fachliche Gesamtverantwortung und damit auch die Verantwortung für deren Sicherheit klar festzulegen. 131 . 5. auch eine Zuordnung nach Abteilungen oder Betriebsstandorten ist denkbar.oder Projektverantwortlichen zählen insbesondere • • • • die Festlegung der Sicherheits.3. Diese haben die fachliche Verantwortung für alle IT-Sicherheitsbelange in einem bestimmten Bereich.1. Zu den Aufgaben einer/eines Applikations.2.und Qualitätsanforderungen der Applikation bzw. Zu den Aufgaben einer/eines Bereichs-IT-Sicherheitsverantwortlichen zählen • • • • • • die Mitwirkung bei den ihren/seinen Bereich betreffenden Teilen des Informationssicherheits-Konzeptes die Erarbeitung eines detaillierten Plans zur Realisierung der ausgewählten Sicherheitsmaßnahmen die Umsetzung dieses Plans die regelmäßige Prüfung der Wirksamkeit und Einhaltung der eingesetzten Sicherheitsmaßnahmen im laufenden Betrieb Information der/des IT-Sicherheitsbeauftragten über bereichsspezifischen Schulungsbedarf sowie Meldungen an die/den IT-Sicherheitsbeauftragten bei sicherheitsrelevanten Ereignissen.4 Applikations-/Projektverantwortliche ISO Bezug: 27002 6. können diese von einer einzelnen Person oft nicht mehr abgedeckt werden. Bereichs-IT-Sicherheitsbeauftragte zu definieren. Daher wird es in vielen Fällen empfehlenswert sein. die Vergabe von Zugriffsrechten sowie organisatorische und administrative Maßnahmen zur Gewährleistung der ITSicherheit in der Projektentwicklung und im laufenden Betrieb.

Aufgaben der/des Informationssicherheitsbeauftragten sind: • • • • • • • die Überwachung der Einhaltung der Bestimmungen des Informationssicherheitsgesetzes. 5. Jede/r Mitarbeiter/in. Information der Bundesministerin bzw. Lieferanten und Vertragspartnern festzulegen.1. muss ihre/seine spezifischen Pflichten und Verantwortlichkeiten im Rahmen der Informationssicherheit kennen und erfüllen. falls erforderlich.3.6 Weitere Pflichten und Verantwortungen im Bereich Informationssicherheit ISO Bezug: 27002 6.1. 1 Z1 und 2 Informationssicherheitsgesetz. Informationssicherheitsgesetz) klassifizierten Informationen die Berichterstattung darüber an die Informationssicherheitskommission Behebung von erkannten Mängeln Sicherheitsüberprüfung von betroffenen Personen gemäß §3 Abs.5 Die/der Informationssicherheitsbeauftragte ISO Bezug: 27002 6. der Informationssicherheitsverordnung und der sonstigen Informationssicherheitsvorschriften die periodische Überprüfung der Sicherheitsvorkehrungen für den Schutz von (lt. 132 .3 Sicherheit ist nicht ausschließlich Angelegenheit der damit per Definition betrauten Personen.2.2. Die/der Informationssicherheitsbeauftragte ist Mitglied der Informationssicherheitskommission.Neben den oben beschriebenen Rollen gibt es im Bereich der Bundesverwaltung eine spezielle.3. auch wenn sie/er nicht direkt in den Bereich Informationssicherheit involviert ist. per Gesetz festgelegte Rolle: die/den Informationssicherheitsbeauftragte/n. 5. Ebenso sind die Rechte und Pflichten von externen Personen. des Bundesministers des jeweiligen Ministeriums in Angelegenheiten der Informationssicherheit sowie Erstattung von Verbesserungsvorschlägen.3 Auf Ressortebene sind gemäß Informationssicherheitsgesetz Informationssicherheitsbeauftragte zu bestellen.

Ziel ist es.7 Informationssicherheit und Datenschutz ISO Bezug: 27002 6. 133 . Im folgenden Abschnitt werden die wichtigsten Punkte. Weiters ist die Vorgehensweise bei der Akzeptanz von außergewöhnlichen Restrisiken zu definieren. In der Informationssicherheits-Politik sollen die Risikoanalysestrategie der Organisation sowie das akzeptable Restrisiko festgelegt werden. Dazu wird in einer Risikoanalyse das Gesamtrisiko ermittelt. die datenschutzbezogenen Aufgaben zu konzentrieren und die erforderlichen Tätigkeiten zuzuordnen.4 Risikoanalysestrategien. akzeptables Restrisiko und Akzeptanz von außergewöhnlichen Restrisiken ISO Bezug: 27002 4.2 Methodisches Risikomanagement ist zur Erarbeitung eines vollständigen und organisationsweiten Informationssicherheits-Konzeptes unerlässlich. ist es zunächst erforderlich sie zu kennen und zu bewerten.4 Auch wenn die Einrichtung einer/eines Datenschutzbeauftragten gesetzlich nicht gefordert ist (vgl.2. Datenschutzgesetz (DSG 2000)). aufgeführt. Es ist aber zu betonen. ist es sinnvoll.3.2. Details zur Risikoanalyse sind in Abschnitt Risikoanalyse enthalten. DSG 2000 verarbeitet werden. dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird.3. Um Risiken zu beherrschen. in denen personenbezogene Daten lt. dieses Risiko so weit zu reduzieren. 5.1. 15. die im Rahmen der Informationssicherheits-Politik zum Thema Risikoanalyse festgelegt werden sollten. externe Mitarbeiter/innen Lieferanten und Vertragspartner 5.Im Rahmen der organisationsweiten Informationssicherheits-Politik sind daher auch die Aufgaben und Verantwortlichkeiten folgender Personenkreise zu definieren: • • • • • Management/Behördenleitung ("Sicherheit als Managementaufgabe") Datenverarbeitungs(DV)-Entwicklung und technischer Support Dienstnehmer/innen Leasingpersonal. dass die Gesamtverantwortung für die Datenschutzbelange bei der Geschäftsführung verbleibt und nicht delegiert werden kann.1. in Organisationen.

Schritt 1: Festlegung der anzuwendenden Risikoanalysestrategie Man kann drei Varianten zur Risikoanalysestrategie einer Organisation unterscheiden: • Grundschutzansatz: Unabhängig von den tatsächlichen Sicherheitsanforderungen werden für alle IT-Systeme Standardsicherheitsmaßnahmen ("Grundschutzmaßnahmen") eingesetzt. Diese Methode gewährleistet die Auswahl von effektiven und angemessenen Sicherheitsmaßnahmen. • Schritt 2: Festlegung des akzeptablen Restrisikos Nach Durchführung aller ausgewählten Sicherheitsmaßnahmen verbleibt im Allgemeinen ein Restrisiko. so dass auf eine detaillierte Risikoanalyse verzichtet und eine Grundschutzanalyse (s. auf deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden. Der Nachteil liegt darin. Diese Option kombiniert die Vorteile des Grundschutzansatzes mit denen einer detaillierten Risikoanalyse und stellt heute die allgemein empfohlene Vorgehensweise dar. dass der Grundschutzlevel für die vorhandenen Geschäftsprozesse und IT-Systeme möglicherweise nicht angemessen sein könnte. In der Informationssicherheits-Politik sind diese akzeptablen Restrisiken so exakt wie möglich zu quantifizieren. so sind die betroffenen Geschäftsprozesse und IT-Systeme einer detaillierten Risikoanalyse zu unterziehen. o. dessen Abdeckung wirtschaftlich nicht mehr vertretbar wäre. Besteht sehr hoher Schutzbedarf. Dies erlaubt eine schnelle und effektive Auswahl von grundlegenden Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung eines angemessenen Schutzniveaus. ausgehend von den Geschäftsprozessen. 134 . Bei hohem Schutzbedarf können wahlweise Grundschutzmaßnahmen eingesetzt oder eine detaillierte Risikoanalyse durchgeführt werden. Bei normalem Schutzbedarf wird von einer pauschalisierten Gefährdungslage ausgegangen. die sie unterstützenden Systeme und die verarbeiteten Informationen ermittelt. Diese Vorgehensweise spart Ressourcen und führt schnell zu einem relativ hohen Niveau an Sicherheit.) durchgeführt werden kann. der Schutzbedarf für die einzelnen Prozesse. • Kombinierter Ansatz: In einem ersten Schritt wird in einer Schutzbedarfsfeststellung (High Level Risk Analysis). Detaillierte Risikoanalyse: Für alle Geschäftsprozesse und die sie unterstützenden IT-Systeme wird eine detaillierte Risikoanalyse durchgeführt. benötigt jedoch viel Zeit und Aufwand.

Diese Klassen sind lt.2. Vertraulichkeit (Vertraulichkeitsklassen) Die Vertraulichkeitsklassen können als Maß dafür gesehen werden. welche Auswirkungen ein Missbrauch der Information auf die Institution haben kann. die in Abweichung von der generellen Sicherheitspolitik in Kauf genommen werden sollen. sowie die Verantwortlichkeiten dafür festzulegen. 5. gespeicherten und übertragenen Informationen in Bezug auf ihre Vertraulichkeit und die Datenschutzanforderungen ist wesentliche Voraussetzung für die spätere Auswahl adäquater Sicherheitsmaßnahmen.2 Die Klassifizierung der verarbeiteten. die Österreich im Einklang mit völkerrechtlichen Regelungen erhalten hat". In der Sicherheitspolitik sind • • das Vorgehen bei Risiken.2. das höher ist als das generell akzeptable und dessen weitere Reduktion technisch nicht möglich oder unwirtschaftlich wäre. 135 . so besteht in begründeten Ausnahmefällen die Möglichkeit einer bewussten Akzeptanz des erhöhten Restrisikos.5 Klassifizierung von Informationen ISO Bezug: 27002 7.5.2.1 Definition der Sicherheitsklassen ISO Bezug: 27002 7. 5. Informstionssicherheitsgesetz gesetzlich festgelegt für "klassifizierte Informationen. Im Bereich der Bundesverwaltung sind die unten angeführten hierarchischen Klassen definiert. Daher sind in der Informationssicherheits-Politik entsprechende Sicherheitsklassen zu definieren und weiters die Verantwortlichkeiten für die Durchführung der Klassifizierung festzulegen.Schritt 3: Festlegung der Vorgehensweise zur Akzeptanz von außergewöhnlichen Restrisiken Verbleibt nach Durchführung aller im Sicherheitsplan vorgesehenen Maßnahmen ein Restrisiko.1 Festlegung von Klassifizierungsstufen bzgl.

3 B-VG genannten Interessen schaffen. In den übrigen Verwaltungsbereichen und in der Privatwirtschaft ist es jeder Organisation überlassen. zur Vorbereitung einer Entscheidung oder im überwiegenden Interesse der Parteien geboten ist (Amtsverschwiegenheit). auch die leichtfertige Einstufung in eine zu hohe Vertraulichkeitsklasse ist zu vermeiden. der auswärtigen Beziehungen. in denen nicht zwingende Gründe für ein anderes Klassifizierungsschema bestehen. 20. Ordnung und Sicherheit. sofern es nicht bereits diesbezügliche Regelungen gibt. Landes.HINWEIS: Im Sinne der Kompatibilität und Einheitlichkeit erscheint diese Klassifizierung auch für andere Daten im Bereich der Bundesverwaltung sinnvoll. Abs.und Gemeindeverwaltung betrauten Organe sowie die Organe anderer Körperschaften des öffentlichen Rechts sind.. sofern sie nicht besonders strenge Sicherheitsanforderungen haben. im wirtschaftlichen Interesse einer Körperschaft des öffentlichen Rechts. . der umfassenden Landesverteidigung. GEHEIM: Die Informationen sind vertraulich und ihre Preisgabe würde zudem die Gefahr einer erheblichen Schädigung der in Art. Im Rahmen der Informationssicherheits-Politik sollte darauf hingewiesen werden. empfohlen. Nicht nur die Einstufung in eine zu niedrige Vertraulichkeitsklasse ist mit potentiellen Gefahren verbunden. im Allgemeinen mit weniger Klassen (meist 3 oder 4) das Auslangen finden. da etwa die Behandlung von geheimen Daten durchwegs mit erheblichem Aufwand verbunden ist. dass die Klassifizierung der Daten sehr sorgfältig vorzunehmen ist. soweit gesetzlich nicht anderes bestimmt ist. 136 . STRENG GEHEIM: Die Informationen sind geheim und ihr Bekannt werden würde überdies eine schwere Schädigung der in Art. 3 B-VG genannten Interessen wahrscheinlich machen. in ihrer Informationssicherheits-Politik eine für ihre Zwecke adäquate Definition von Vertraulichkeitsklassen vorzunehmen. Aus Gründen der Kompatibilität wird die Anwendung des genannten Schemas in denjenigen Bereichen.. 20.] VERTRAULICH: Die Informationen stehen nach anderen Bundesgesetzen unter strafrechtlichem Geheimhaltungsschutz und ihre Geheimhaltung ist im öffentlichen Interesse gelegen. 20. Nicht-klassifizierte Informationen werden nachfolgend auch als "OFFEN" bezeichnet. Abs. zur Verschwiegenheit über alle ihnen ausschließlich aus ihrer amtlichen Tätigkeit bekannt gewordenen Tatsachen verpflichtet. 3 BVG genannten Interessen zuwiderlaufen. Allerdings werden Organisationen der Privatwirtschaft. [Anmerkung: Alle mit Aufgaben der Bundes-. Abs. • • • • EINGESCHRÄNKT: Die unbefugte Weitergabe der Informationen würde den in Art. deren Geheimhaltung im Interesse der Aufrechterhaltung der öffentlichen Ruhe.

dass die Klassifizierung einer Information von jener Person vorzunehmen ist. Gesundheit oder Sexualleben von natürlichen Personen. deren Daten verwendet werden). Gewerkschaftszugehörigkeit. Die/der für die Information verantwortliche Mitarbeiter/in wird oft als "Dateneigner" oder "Data Owner" bezeichnet.3 Erarbeitung von Regelungen zum Umgang mit klassifizierten Informationen 137 . oder. • 5. Deklassifizierung erfolgt und wie klassifizierte Information gekennzeichnet wird.Klassifizierung von Daten in Bezug auf Datenschutz Werden personenbezogene Daten verarbeitet. politische Meinungen. wenn diese keine eindeutigen Vorgaben gemacht hat. in welcher Form die Klassifizierung bzw. die diese Information von außen erhält. SENSIBEL: Daten über rassische und ethnische Herkunft. so sind die Daten auch dahingehend zu klassifizieren.5. Dies kann in den einzelnen Organisationen unterschiedlich sein und auch von IT-System zu IT-System differieren. wer die Klassifizierung der Daten vorzunehmen hat. 5.2 Festlegung der Verantwortlichkeiten und der Vorgehensweise für klassifizierte Informationen ISO Bezug: 27002 7. religiöse oder philosophische Überzeugungen. von jener Person in der Organisation.2.1 Im Rahmen der Informationssicherheits-Politik ist generell festzulegen. von der diese Information stammt. • • NUR INDIREKT PERSONENBEZOGEN: Der Personenbezug der Daten kann mit rechtlich zulässigen Mitteln nicht bestimmt werden.2.2. deren Identität bestimmt oder bestimmbar ist. Als allgemeine Richtlinie kann gelten. Weiters ist festzulegen. PERSONENBEZOGEN: Angaben über Betroffene (Anmerkung ad Betroffene: Jede vom Auftraggeber verschiedene natürliche oder juristische Person oder Personengemeinschaft.als auch für den privatwirtschaftlichen Bereich.5. Die nachfolgende Klassifizierung gemäß Datenschutzgesetz (DSG 2000) gilt sowohl für den Behörden.

in dem u.ISO Bezug: 27002 7. wie die Information in Abhängigkeit von den Sicherheitsklassen zu behandeln ist. die Verfügbarkeit der wichtigsten Applikationen und Systeme innerhalb eines definierten Zeitraumes zu gewährleisten sowie Vorkehrungen zur Schadensbegrenzung im Katastrophenfall zu treffen ("Gewährleistung eines kontinuierlichen Geschäftsbetriebes"). Versendung durch Post oder Kurier. durch wen) Weitere Informationen zum Umgang mit klassifizierten Informationen siehe Kapitel 7. Grundzüge der Business Continuity Planung ISO Bezug: 27002 7. folgende Fragen behandelt werden: • • • • • • • • • Kennzeichnung klassifizierter Information (sowohl elektronischer als auch nichtelektronischer) Verwahrung klassifizierter Information (Zugriffsberechtigungen. so empfiehlt sich die Erarbeitung eines eigenständigen Dokumentes. persönliche Weitergabe. etwaige Vorschriften zur Verschlüsselung) Übermittlung klassifizierter Information (mündliche Weitergabe.2 Ziel der Business Continuity Planung ist es. elektronische Übertragung.2. unter welchen Bedingungen) Deklassifizierung klassifizierter Information (wann. über welche Verbindungen. Vorschriften zur Verschlüsselung) Registrierung klassifizierter Information Ausdruck klassifizierter Information (auf welchem Drucker.2 5. chiffriert. durch wen) Backup (Klartext.6 Klassifizierung von IT-Anwendungen und IT-Systemen. 138 . Werden in einer Organisation häufig klassifizierte Informationen verarbeitet und gespeichert.2.2 In diesem Schritt ist festzulegen. durch wen. Schutz der Backup-Medien) Aufbewahrung / Wiederverwendung / Vernichtung von Datenträgern mit klassifizierter Information Weitergabe klassifizierter Information (an wen.a.2.

Es ist ein Datenverlust bzw. ein Datenverlust ist auszuschließen. Die Business Continuity Planung selbst ist nicht Bestandteil der InformationssicherheitsPolitik. so dass bei Betriebsunterbrechung des einen Standortes die IT-Anwendung uneingeschränkt am zweiten Standort weiter betrieben werden kann. Datenverlust nicht. Die IT-Anwendung kann bei technischen Problemen erst nach deren Behebung am ursprünglichen Produktivsystem in Betrieb genommen werden. sondern muss in den entsprechenden weiteren Aktivitäten erfolgen. 139 . Betriebsverfügbarkeitskategorie 3 – Redundante Infrastruktur: Die Infrastruktur für die IT-Anwendung ist derart ausgelegt. Dazu werden die Daten je nach Aktualisierungsgrad laufend in die Zero-Risk-Umgebung transferiert und der Betrieb der IT-Anwendung derart gestaltet. dass ein Wiederaufsetzen eines definierten Notbetriebes in der Zero-Risk-Umgebung umgehend möglich ist.und Ausfallssicherheitsüberlegungen im IT-Bereich des Bundeskanzleramtes [K-Fall]: • • • • Betriebsverfügbarkeitskategorie 1 – Keine Vorsorge (unkritisch): Für die IT-Anwendung werden keine besonderen Vorkehrungen getroffen. welche auch die Anforderungen in Katastrophenfällen berücksichtigt: • K-Fall sicher (K2 bis K4): Die IT-Anwendung ist derart konzipiert.Dabei wird unterschieden zwischen der Aufrechterhaltung der Betriebsverfügbarkeit im Fall von Störungen oder Bedienungsfehlern (im Folgenden auch als Business Contingency Planung bezeichnet) sowie der Gewährleistung eines Notbetriebes und des geordneten Wiederanlaufs im Katastrophenfall (Katastrophenvorsorge. Die Sicherung wird an einen externen Ort ausgelagert. KPlanung). Betriebsverfügbarkeitskategorie 2 – Offline Sicherung: Es sind die gängigen Sicherungsmaßnahmen für die IT-Anwendung vorgesehen. Ausfall der IT-Anwendung unbestimmter Dauer denkbar. dass zumindest ein Notbetrieb in einer Zero-Risk-Umgebung möglich ist. Im Rahmen der Informationssicherheits-Politik sind die Verfügbarkeitsklassen für IT-Anwendungen und die diesen Anwendungen zugrunde liegenden IT-Systeme sowie der darauf verarbeiteten oder gespeicherten Informationen zu definieren. Zusätzlich zu den vier genannten Kategorien ist noch die Zusatzqualität „K-Fall sicher“ definiert. dass bei Ausfall einer IT-Komponente der Betrieb durch redundante Auslegung ohne Unterbrechung fortgesetzt werden kann. Eine Behinderung in der Wahrnehmung der Aufgaben der betroffenen Verwaltungsstelle entsteht durch den Ausfall bzw. Nachfolgend ein Beispiel für ein solches Klassifizierungsschema – basierend auf den Katastrophenvorsorge. Betriebsverfügbarkeitskategorie 4 – Redundante Standorte: Die IT-Infrastruktur sowie die darauf aufsetzende IT-Anwendung ist auf zwei Standorte verteilt.

Wirksamkeit und Ordnungsmäßigkeit der eingesetzten Maßnahmen sowie deren Übereinstimmung mit der Informationssicherheits-Politik und dem Informationssicherheits-Konzept vorgeben.1. dass bei ihrer Erstellung alle wesentlichen Kräfte der Organisation beteiligt werden und das Dokument mit Vertreterinnen/ Vertretern aller Beteiligten bzw.2.3 Life Cycle der Informationssicherheits-Politik 5.1 Definition von Verfügbarkeitsklassen 5.7 Überprüfung und Aufrechterhaltung der Sicherheit ISO Bezug: 27002 5.2.1 Die Informationssicherheits-Politik soll von allen Mitarbeiterinnen/Mitarbeitern getragen werden.1. Umfassendes InformationssicherheitsManagement beinhaltet vielmehr auch die Aufgabe. organisatorische Regelungen …) gegeben werden.1 Abschließend sollte ein Verweis auf die wichtigsten Dokumente zum Informationssicherheits-Management (Sicherheitsrichtlinien. Informationssicherheit im laufenden Betrieb kontinuierlich zu überprüfen und aufrechtzuerhalten.2 Informationssicherheit ist kein durch einmalige Anstrengungen erreichbarer und dann unveränderbarer Zustand.1.1 Erstellung der Informationssicherheits-Politik ISO Bezug: 27002 5. Für nähere Informationen und für Klassifizierungsbeispiele siehe 14.1.8 Dokumente zur Informationssicherheit ISO Bezug: 27002 5.3. 5. Die Informationssicherheits-Politik muss daher Leitlinien und Kennzahlen zur Bewertung der Sicherheit hinsichtlich Angemessenheit. Betroffenen abgestimmt wird. 140 . Die Zusatzoption „K-Fall sicher“ in Verbindung mit Betriebsverfügbarkeitskategorie 1 ist nicht sinnvoll. 5. Informationen über spezielle Sicherheitsmaßnahmen oder -systeme. Es ist daher wichtig.In Summe ergibt eine derartige Einstufung die Verfügbarkeitsklassen 1 bis 4 und K2 bis K4.

Im Allgemeinen wird dies.3. also allen Mitarbeiterinnen/Mitarbeitern der Organisation. Wo nötig. in Kraft gesetzt und jedem Mitarbeiter/jeder Mitarbeiterin zur Verfügung gestellt. aber auch etwa externen Mitarbeiterinnen/Mitarbeitern und Lieferanten.2 Offizielle Inkraftsetzung der Informationssicherheits-Politik ISO Bezug: 27002 5. 5. 5.). Weiters sollen Vertreter/innen folgender Bereiche an der Erstellung der organisationsweiten Informationssicherheits-Politik mitarbeiten bzw. in den Abstimmungsprozess miteinbezogen werden: • • • • • • • IT-Abteilung Anwender/innen Bereichs-IT-Sicherheitsbeauftragte Personalabteilung Gebäudeverwaltung und Infrastruktur Revision Budgetabteilung Die wesentlichen Inhalte der Informationssicherheits-Politik müssen allen Betroffenen und Beteiligten. soweit bereits definiert.Zunächst ist eine verantwortliche Person für die Erstellung der Informationssicherheits-Politik zu nominieren.3 Regelmäßige Überarbeitung 141 .. Dazu sollten in der Folge die für die einzelnen Personengruppen wichtigsten Richtlinien und Vorgaben der Informationssicherheits-Politik zusammengefasst und jeder/jedem Betroffenen in schriftlicher Form zur Kenntnis gebracht werden. Ergänzungen zu Dienstverträgen. die/der IT-Sicherheitsbeauftragte sein. bekannt sein.1. dass sie die volle und für jede/n Beteiligte/n sichtbare Unterstützung durch das Management erhält. Geheimhaltungsverpflichtungen von externen Personen.. Wesentliche Voraussetzung für eine erfolgreiche Implementierung und Umsetzung der Informationssicherheits-Politik ist. . sind das Einverständnis mit diesen Vorgaben und die Kenntnis der daraus erwachsenden Verpflichtungen auch durch eine Unterschrift bestätigen zu lassen (etwa Verpflichtung auf das Datengeheimnis.1 Die Informationssicherheits-Politik wird von der Leitung der Organisation offiziell verabschiedet.3.

Die Verantwortung dafür ist dezidiert festzulegen. so ist eine sofortige Überarbeitung der Informationssicherheits-Politik in die Wege zu leiten. Im Allgemeinen wird sie bei der für die IT-Sicherheit beauftragten Person liegen. Als Richtwert hierfür kann ein Zeitraum von zwei bis drei Jahren angesehen werden.1. Kommt es jedoch zwischenzeitlich zu gravierenden Änderungen im ITSystem. dennoch ist auch sie regelmäßig auf ihre Aktualität und Übereinstimmung mit den tatsächlichen Anforderungen zu überprüfen und bei Bedarf entsprechend anzupassen. in der Organisationsstruktur oder in den Bedrohungen.ISO Bezug: 27002 5. 142 .2 Zwar stellt die Informationssicherheits-Politik ein langfristiges Dokument dar. nach dem die Informationssicherheits-Politik spätestens überprüft und aktualisiert werden sollte.

je nach Organisationsform und Geschäftsbereich. Sie initiiert und steuert den Informationssicherheits-Prozess innerhalb der Organisation.6 Organisation Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 6 ff " ". 6.Verantwortung ISO Bezug: 27002 6. Folgendes zu veranlassen: 143 . Kontrolle und Weiterentwicklung der Informationssicherheitsmaßnahmen sowie Etablierung und Pflege von Kontakten zu Behörden. 6. Abgesehen von der Bereitstellung dafür notwendiger finanzieller und personeller Ressourcen müssen klare Ziele und Richtlinien vorgegeben und die jeweiligen Rollen und Verantwortlichkeiten festgesetzt werden. dass die Informationssicherheit nach innen und außen gewährleistet ist. Ob Informationssicherheit erreicht und erhalten wird. Dazu hat die Management-Ebene die Aufgabe. in verschiedenen Regelwerken festgelegt sein. Sicherheitsexperten und Interessensgruppen.1.1 In der Folge werden zunächst die Grundsätze und Maßnahmen des Informationssicherheits-Managements innerhalb der Organisation dargestellt. Sie übernimmt die Gesamtverantwortung für Informationssicherheit. dass die Management-Ebene die Sicherheitsmaßnahmen auch selbst vorbildlich lebt. • • • Die Management-Ebene wird über mögliche Risiken und Konsequenzen aufgrund mangelhafter Informationssicherheit informiert. Dies kann auch. Mit der steigenden Abhängigkeit der Geschäftsprozesse von der Informationstechnik steigen auch die Anforderungen.1 Management .1. hängt also weitgehend vom Engagement und der Unterstützung des Managements ab.1 Die oberste Management-Ebene jeder Behörde und jedes Unternehmens ist dafür verantwortlich. Voraussetzung dafür ist eine aktive Rolle der ManagementEbene bei Implementierung. dass alle Geschäftsbereiche zielgerichtet und ordnungsgemäß funktionieren und dass Risiken frühzeitig erkannt und minimiert werden. Letztlich kommt es aber auch darauf an.1 Interne Organisation ISO Bezug: 27002 6.

dass sie in allen Bereichen mit den verfügbaren Ressourcen (Personal. Zeit. Finanzmittel) erreichbar sind. um das Informationssicherheits-Niveau aufrecht zu erhalten.Gremien ISO Bezug: 27002 6. Darstellung der Sicherheitsanforderungen. Die Verantwortung für Informationssicherheit verbleibt auch dort.1. steuern und kontrollieren. dass bisweilen den Aussagen unbeteiligter Dritter mehr Gewicht bemessen wird als denen eigener Kollegen/ Kolleginnen. um die Wirksamkeit der Maßnahmen der Informationssicherheits-Politik zu überprüfen. Darstellung der Auswirkungen von Sicherheitsvorfällen auf die kritischen Geschäftsprozesse. Integration der Maßnahmen in die Prozesse der Organisation. Überprüfung und Genehmigung der Informationssicherheits-Politik. Etablierung von Mechanismen. Letztere bieten zusätzlich zum Fachlichen bei der notwendigen Sensibilisierung auch den Nutzen. Erarbeitung.1. Identifikation von Informationssicherheits-Zielen.1 Zusammenwirken verantwortliches Management Mitarbeiter/innen . Dabei ist eine intensive Beteiligung der Führungsebene im "Managementprozess Informationssicherheit" erforderlich. Die Management-Ebene muss allerdings die Informationssicherheitsziele so definieren.1 Die Management-Ebene muss den Sicherheitsprozess initiieren. die sich aus gesetzlichen und vertraglichen Vorgaben ergeben. Hilfestellungen kann die Management-Ebene dabei von branchentypischen Standard-Vorgehensweisen zur Informationssicherheit und externen Beratern/ Beraterinnen erhalten.1. die Aufgabe "Informationssicherheit" wird allerdings typischerweise an eine/n IT-Sicherheitsbeauftragte/n delegiert.• • • • • • • • Ermitteln der Sicherheitsrisiken für die Organisation und die Informationen sowie damit verbundene Auswirkungen und Kosten. [Q: BSI-Standard 100-2] 6. Etablierung von Mechanismen. 144 .

Daher sollten diese die Management-Ebene über mögliche Risiken und Konsequenzen aufgrund mangelhafter Informationssicherheit regelmäßig informieren. Geschäftsprozessen und IT von der Management-Ebene häufig als Bringschuld der IT. Die Management-Ebene übernimmt auch im Bereich Informationssicherheit eine Vorbildfunktion. speziell wenn es bereits zu einem Sicherheitsvorfall gekommen ist. [Q: BSI-Standard 100-2] 145 . Die Management-Ebene benennt die für Informationssicherheit zuständigen Mitarbeiter/innen und stattet diese mit den erforderlichen Kompetenzen und Ressourcen aus. die die Entscheidung über den Umgang mit Risiken trifft und die entsprechenden Ressourcen zur Verfügung stellen muss. Die Management-Ebene trägt die Verantwortung für Prävention und Behandlung von Sicherheitsrisiken. Allerdings wird rechtzeitige Information über mögliche Risiken beim Umgang mit Informationen. Dementsprechend sind die Zuständigkeiten und Verantwortlichkeiten bezüglich Informationssicherheitsthemen zu klären.Nur so kann das Informationssicherheits-Management sicherstellen. Die Management-Ebene muss sich dafür einsetzen. dass Informationssicherheit in alle relevanten Geschäftsprozesse bzw. Abhängig von Größe und Struktur der Organisation kann dies durch bestehende oder speziell eingerichtete Managementorgane oder -gremien umgesetzt werden. Die oberste Management-Ebene ist somit diejenige Instanz. Der/Die IT-Sicherheitsbeauftragte braucht hierbei erfahrungsgemäß die volle Unterstützung der Management-Ebene. dass keine untragbaren Risiken bestehen und Ressourcen an der richtigen Stelle investiert werden. Die Leitungsebene trägt zwar die Verantwortung für die Erreichung der Sicherheitsziele. dass sie von solchen Informationen umfassend und rechtzeitig erreicht wird. vor allem dass sie selbst die vorgegebenen Sicherheitsregeln beachtet. Dies enthebt die Management-Ebene jedoch nicht von ihrer Verantwortung. Die Gesamtverantwortung für Informationssicherheit verbleibt bei der obersten Management-Ebene. um unter dem überall herrschenden Erfolgsdruck von den jeweiligen Fachverantwortlichen in jede wesentliche Aktivität eingebunden zu werden. Idealerweise sollten dabei folgende Prinzipien eingehalten werden: • • • • • Die Initiative für Informationssicherheit geht von der Management-Ebene aus. der Sicherheitsprozess muss aber von allen Beschäftigten in einer Organisation mitgetragen und mitgestaltet werden. Die Aufgabe "Informationssicherheit" wird durch die Management-Ebene aktiv unterstützt. Fachverfahren und Projekte integriert wird.oder Sicherheitsexperten gesehen.

Schaffung und Förderung von Awareness und Etablierung von Ausbildungs.1. 146 . Abstimmung und Beschlusslagen für die erforderlichen Maßnahmen. Benutzern/Benutzerinnen. Dazu sind Rollen innerhalb der Organisation festzulegen und diesen entsprechende Aufgaben zuzuordnen.und Schulungsmaßnahmen für Informationssicherheit. Identifikation von bestehenden oder sich verändernden Bedrohungen.2 Um das angestrebte Sicherheitsniveau zu erreichen. Aktivitäten im Rahmen einer solchen Zusammenarbeit sind: • • • • • • • Abgleichen der Sicherheitsaktivitäten mit der Informationssicherheits-Politik. Diese Rollen werden dann qualifizierten Mitarbeitern/ Mitarbeiterinnen zur Ausführung übertragen. Wenn nötig sollten auch Fachexperten (Recht. muss der Informationssicherheits-Prozess organisationsweit umgesetzt werden. denen die Informationen und informationsverarbeitenden Einrichtungen ausgesetzt sind. Maßnahmen. Administratoren. Meistens umfasst die Koordination der Informationssicherheit die Zusammenarbeit von Managern/Managerinnen.2 Koordination ISO Bezug: 27002 6. Beschaffenheit und Struktur der jeweiligen Organsiation ab. Entwicklern sowie Auditoren und Sicherheitspersonal. Schlussfolgerungen und Verbesserungsmaßnahmen aus Informationssicherheits-Vorfällen (in der eigenen oder auch anderen Organisationen) Wie viele und welche Personen mit Informationssicherheit befasst sind. wenn kein Einklang mit der Informationssicherheits-Politik erstellbar ist. Bewertung der Eignung und Wirksamkeit der Sicherheitsmaßnahmen. Personalwesen) eingebunden werden. hängt selbstverständlich von der Größe.1.6. Zumindest sollte es jedoch eine/einen Sicherheitsbeauftragten als zentralen Ansprechpartner für die Koordination des InformationssicherheitsProzesses geben.Damit können alle wichtigen Aspekte berücksichtigt und die Aufgaben effizient und effektiv erledigt werden. Risikomanagement.

Siehe dazu auch : 5. Jede/r Mitarbeiter/in ist dabei für das verantwortlich. Es regelt die übergreifenden Belange der Informationssicherheit und arbeitet Pläne. Unbeschadet davon ist jede/r Mitarbeiter/in für die Aufrechterhaltung der Informationssicherheit an seinem/ihrem Arbeitsplatz und in seiner/ihrer Umgebung verantwortlich.mehrere befasste Personen. Die Fachverantwortlichen als die "Eigentümer" von Informationen und Anwendungen müssen sicherstellen. damit die Zuständigkeit jederzeit deutlich erkennbar ist.1.etwa in größeren Organisationen . es sei denn.2. kann ein IS-Management-Team aufgebaut werden. die Administratoren für deren korrekte Umsetzung und die Benutzer/innen für den sorgfältigen Umgang mit den zugehörigen Informationen.3 Um zu einer umfassenden Gesamtsicherheit zu gelangen.3 Definierte Verantwortlichkeiten für Informationssicherheit ISO Bezug: 27002 6. Es muss festgelegt werden.1. Um den direkten Zugang zur obersten Management-Ebene sicherzustellen. Umgekehrt sollten natürlich alle Mitarbeiter/innen wissen. der/die Leiter/in IT zusammen mit dem Informationssicherheits-Management für die Ausarbeitung von Sicherheitsvorgaben für die IT-Komponenten.Gibt es . es ist explizit anders geregelt. Hierfür sollte immer eine konkrete Person (inklusive Vertreter/ in) und keine abstrakte Gruppe benannt werden. Anwendungen und IT-Komponenten sowie für deren Sicherheit verantwortlich ist. Der/Die Sicherheitsbeauftragte soll direkt einem/einer für Informationssicherheit verantwortlichen Manager/Managerin berichten. Anwendungen und ITKomponenten sollten alle Verantwortlichen und deren Vertreter/innen namentlich genannt sein. Bei komplexeren Informationen.3 Organisation und Verantwortlichkeiten für Informationssicherheit [Q: BSI-Standard 100-2] 6. dass 147 . was in seinem/ihrem Einflussbereich liegt. ist die Beteiligung aller Mitarbeiter/innen einer Organisation an der Umsetzung der notwendigen Sicherheitsmaßnahmen erforderlich. Anwendungen und Systemen. Vorgaben und Richtlinien aus. für welche Informationen. Anwendungen und IT-Komponenten sie in welcher Weise verantwortlich sind. wer für Informationen. Beispielsweise ist die Leitungsebene der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei der Einführung einer neuen Anwendung. sollten diese Rollen als Stabsstelle organisiert sein.

Freigabe. Die Regelung muss den gesamten Lebenszyklus der jeweiligen Komponente umfassen.3 Organisation und Verantwortlichkeiten für Informationssicherheit [Q: BSI-Katalog M 2. Mobiltelefonen und Software. Anwendungen und IT-Komponenten korrekt festgestellt wurde die erforderlichen Sicherheitsmaßnahmen umgesetzt werden dies regelmäßig (z.und Kompatibilitätstest Freigabe Installation Lizenzverwaltung Deinstallation . B. Siehe dazu auch : 5.4 Benutzungsgenehmigung für Informationsverarbeitung ISO Bezug: 27002 6. Zugriff zu den Informationen.1. USB-Sticks. also je nach Eigenschaften und Sicherheitsrelevanz: • • • • • • • 148 Erstellung eines Anforderungskataloges Auswahl eines geeigneten Produktes Funktions. welche die Informationssicherheit gefährden. PDA's. Dies betrifft die geregelte Abnahme. monatlich) überprüft wird die Aufgaben für die Umsetzung der Sicherheitsmaßnahmen klar definiert und zugewiesen werden der Zugang bzw. wie mit eventuellen Restrisiken umgegangen wird. täglich.225] 6. Installation und Betrieb von informationsverarbeitenden Komponenten aller Art muss koordiniert und genehmigt sein.2. wöchentlich.4 Beschaffung. schriftlich dokumentiert werden Die Fachverantwortlichen müssen zusammen mit dem InformationssicherheitsManagement entscheiden.• • • • • • der Schutzbedarf der Informationen.1. Installation und Benutzung von Komponenten wie auch etwa externen Laufwerken. Anwendungen und ITKomponenten geregelt ist Abweichungen.

sind generelle Verbote ihres Einsatzes zunehmend schwieriger umzusetzten.1 Nutzungsverbot nicht-freigegebener Software. sowie 12.1.3. Vor der Inbetriebnahme neuer Komponenten sind (sofern erforderlich) die Administratoren bzw. und 12. Da sie praktisch sind und in vielen Fällen von der ManagementEbene benutzt werden.216] 149 .3.1 Mobile IT-Geräte Jedenfalls muss vor Genehmigung von den Komponenten bekannt sein: • • • • ihre Funktionstüchtigkeit ihre Sicherheitseigenschaften mögliche durch ihren Einsatz entstehende Sicherheitsrisiken allfällige Einsatzbedingungen. Die Installation und Benutzung nicht freigegebener IT-Komponenten muss verboten und die Einhaltung dieses Verbotes regelmäßig kontrolliert werden.1.11 Deinstallation von Software. wenn sie auch Geschäftsinformationen verarbeiten sollen (weit verbreitet sind Kalender und Telefonlisten auf PDA's bzw. in denen auch alle sicherheitsrelevanten Einstellungen dokumentiert sind. weiters ist bei diesen dann oft unklar. Siehe dazu auch: 11.6 (ff) Testen von Software. wer der Eigentümer der Information ist. Ebenfalls muss die allfällige Verwendung von persönlichen oder privaten Informationsverarbeitungs-Einrichtungen geregelt werden. wenn sich Änderungen auf die Sicherheit des Gesamtsystems auswirken könnten. bis 12. Konfigurationsanleitungen erarbeitet werden.7.und Software-Komponenten [Q: BSI-Katalog M 2. Auch nach der Erstinstallation von Komponenten müssen diese weitergepflegt werden. Siehe dazu auch : • • • • 12. Mobiltelefonen): Diese können erhebliche Schwachstellen bedeuten. die Benutzer/ innen in deren Anwendung zu schulen. Statt dessen müssen exakte Policies ihrer Verwendung und notwendiger Maßnahmen (etwa Verschlüsselung) definiert und umgesetzt werden.2 Nutzungsverbot privater Hard.• Entsorgung / Vernichtung Notwendigkeit zur Koordination und Genehmigung betrifft auch Wartungsaktivitäten an bestehenden sicherheitsrelevanten Einrichtungen. zu erarbeitende Installationsanweisungen Während des Genehmigungsverfahrens sollten außerdem Installationsbzw.

der überlassenden Organisation allfällige Regelungen für den Gebrauch und die Weitergabe von vertraulichen Informationen an weitere Partner.1. B. z. Haftungen.5 Vertraulichkeitsvereinbarungen ISO Bezug: 27002 6. diese entsprechend zu behandeln.6. In diesen Fällen müssen sie rechtlich bindend verpflichtet werden. die vertraulich behandelt werden müssen. etwa Pflicht zur Überbindung der Vertraulichkeitsvereinbarung welche Konsequenzen bei Verletzung der Vereinbarung eintreten.1. die von den externen Mitarbeitern/Mitarbeiterinnen unterzeichnet werden. Eine Vertraulichkeitsvereinbarung bietet die rechtliche Grundlage für die Verpflichtung externer Mitarbeiter/innen zur vertraulichen Behandlung von Informationen. In der Vertraulichkeitsvereinbarung kann auch auf die relevanten Sicherheitsrichtlinien und weitere Richtlinien der Organisation hingewiesen werden. Aus diesem Grund muss sie den geltenden Gesetzen und Bestimmungen für die Organisation in dem speziellen Einsatzbereich entsprechen und diese berücksichtigen. etwa Strafzahlungen bzw. sollten diese neben der Vertraulichkeitsvereinbarung auch die ITSicherheitsrichtlinien für die Nutzung der jeweiligen IT-Systeme unterzeichnen. ob die Vertraulichkeit für unbeschränkten Zeitraum sicherzustellen ist welche Aktionen bei Beendigung dieser Vereinbarung vorgenommen werden müssen.5 Externe Mitarbeiter/innen oder Subunternehmen benötigen und erhalten häufig für die Erfüllung ihrer Aufgaben Zugang zu vertraulichen Informationen oder erzielen Ergebnisse. In einer Vertraulichkeitsvereinbarung sollte beschrieben sein: • • • • • • • • • welche Informationen vertraulich behandelt werden müssen für welchen Zeitraum diese Vertraulichkeitsvereinbarung gilt bzw. In dem Fall. geistigem Eigentum geregelt sind welche Verwendung der Informationen zulässig ist allfällige Kontrollrechte des Urhebers bzw. in welche Gerichtsbarkeit die Vertraulichkeitsvereinbarung fällt. Sie muss klar formuliert sein und aktuell gehalten werden. dass externe Mitarbeiter/innen Zugang zur organisationsinternen ITInfrastruktur haben. Hierüber sind Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) abzuschließen. Vernichtung oder Rückgabe von Datenträgern wie die Eigentumsrechte an Informationen resp. 150 .

generell Zugang zu Expertenwissen. Gefährdungen. auch informelle Beziehungen zu solchen Institutionen gepflegt werden.1. aber auch Wasser-. sondern ein gemeinsamer Wissensstand mehrerer Partner aufgebaut. Sinnvoll ist auch die Teilnahme oder Mitgliedschaft in Interessens-. eingewiesen werden können. die Kontakte mit ihnen gepflegt werden.oder Telekombetreiber) ist insbesondere bei Notfällen. Dies ist eine Aufgabe des Incident Handlings (siehe dazu 13.5 Vereinbarung betreffend die Überlassung von Daten [Q: BSI-Katalog M 3. kann die Organisation auf neue Gegebenheiten (etwa Vorschriften) angepasst werden.je nach Einsatzzweck . Behandlung von Sicherheitsvorfällen gefunden werden. welche Vereinbarung für welche Fälle notwendig ist.Es kann sinnvoll sein. Best Practices und anderer Bereiche erhöht. 151 . einen Überblick über passende Gremien und Interessensgruppen zu haben und zu entscheiden.55] 6. ggf. Expertengremien.7 Rasche Kontaktaufnahme mit zuständigen Behörden oder Versorgungseinrichtungen (Feuerwehr.1. Produkten.6 Kontaktpflege mit Behörden und Gremien ISO Bezug: 27002 6. Sicherheitsvorfällen oder Verdacht auf kriminelle Handlungen von entscheidender Bedeutung. Muster siehe: Anhang C.1. Dazu ist es sinnvoll. der in der Regel viel umfassender ist.6. Polizei.4 Alarmierungsplan). damit rasch und zuverlässig die richtigen Ansprechpartner kontaktiert und ggf. In solchen Gremien sind meist rasch und unkompliziert Sicherheitswarnungen und Informationen über bereits erprobte Behebungsmaßnahmen.1. Damit wird nicht nur der eigene Wissensstand betreffend Technologien. Daher sollen zum einen rechtzeitig Pläne. in welchen aktiv mitgearbeitet oder lediglich Ergebnisse beobachtet werden. Verfahren und Kontaktlisten erstellt werden. In diesem Fall muss klar definiert werden. bzw.zu verwenden. Aufsicht. Weiters können über solche geeignete Gremien oder Foren neue oder zusätzliche Ansprechpartner für Problemlösungen bzw.bzw. Damit können beispielsweise Vorsorgemaßnahmen vorab abgestimmt oder relevante Neuerungen bekanntgegeben werden. 6. zu bekommen. Elektrizitäts und Gasversorgungsunternehmen sowie Internet. Arbeits. resp. verschiedene Vertraulichkeitsvereinbarungen . resp. Zum anderen sollten regelmäßige.

Dies umfasst: • • • • • • • • • • • • neue Geschäftsprozesse neue Anwendungen neue Hard-.8 Das angestrebte Sicherheitsniveau wird in der Regel nicht auf einmal bzw. 152 .oder Schadensfälle aber auch: Planungsänderungen. Infrastruktur und Umfeld sind immer wieder Änderungen unterworfen. 6. und bleibt nicht ohne Weiteres dauerhaft bestehen. Leitungen.1. Büros. Entweder dürfen sie also nicht verwendet werden.1.Allerdings ist zu beachten. Netzwerke) veränderte Organisationen (Outsourcing) neue Mitarbeiter/innen in Schlüsselpositionen oder: neue oder veränderte Gefährdungen (Nachbarfirmen mit Gefährdungspotenzialen) neue Angriffstechnologien veränderte Vermögenswerte und damit neuer Schutzbedarf Kenntnis von neuen Schwachstellen bereits eingetretene Sicherheitsvor. dass sensible Informationen auch gegenüber Gremien oder Kontaktpersonen geschützt bleiben müssen. Software neue oder veränderte Infrastrukturen (Gebäude. Organisation. Terminverzug bei der Umsetzung von Sicherheitsmaßnahmen. mit einer einzelnen Maßnahme erreicht.7 Unabhängige Audits der Sicherheitsmaßnahmen ISO Bezug: 27002 6. oder es müssen geeignete Vertraulichkeitsvereinbarungen abgeschlossen werden.

die am Sicherheitskonzept mitgewirkt haben. Durchführung der Prüfungen: Die laufenden Umsetzungsaktivitäten selbst sind hinsichtlich Umsetzungsstatus. Geprüft werden die Maßnahmen laut Sicherheitskonzept: • • • ob damit die angestrebten Sicherheitsziele erreicht werden können ob sie zum Zeitpunkt der Prüfung noch umsetzbar. sondern: • • • • Suche nach und Eliminierung von Fehlerquellen. konfiguriert sind ob Auswertungen (etwa von Protokollen) tatsächlich durchgeführt werden und Auffälligkeiten beachtet werden 153 . aktuell und vollständig sind ob bzw. Solche Prüfungen sollten: • • • vom Management initiiert und begleitet sein regelmäßig durchgeführt werden (zumindest einmal pro Jahr) aber auch zwischenzeitlich und unangekündigt erfolgen. Sie sollte durch eine weitgehend unabhängige und kompetente Stelle (Revisionsabteilung oder spezialisierte externe Gutachter) erfolgen: • • • damit nicht nur die unternehmenseigene Sichtweise zum Tragen kommt die Ergebnisse nicht angezweifelt werden können und die Gelegenheit zum Einbringen zusätzlicher Expertise genutzt werden kann. wirksam. ob die Sicherheitsmaßnahmen gemäß Sicherheitskonzept umgesetzt sind oder werden ob technische Maßnahmen korrekt implementiert bzw. inwieweit sie umgesetzt sind (vorhanden. Ziel der Prüfung ist nicht Überwachung der Mitarbeiter/innen als Selbstzweck oder gar deren Bloßstellung. dokumentiert) und auch gelebt werden. Ressourceneinsatz und Kosten zu prüfen. Termintreue. insbesondere bei Änderungen in der Organisation. Keinesfalls sollten Personen als Prüfer tätig sein. Schwachstellen und Mängeln Abgleich.Prüfziel und Prüfzweck: Dies erfordert die regelmäßige Überprüfung (Audit) aller Sicherheitsmaßnahmen.

Daher muss ihnen der Nutzen dargestellt und allfällige Ängste vor Schuldzuweisungen genommen werden. Sicherheitskonzept. Selbstverständlich muss dafür gesorgt sein. ob nicht wirtschaftlichere Maßnahmen möglich sind) Schlußfolgerungen aus Sicherheitsvorfällen Verhindern. Sicherheitskonzept und dokumentierte Sicherheitsmaßnahmen. Fortschritt. Sicherheitsmaßnahmen. Die Durchführung der Prüfung muss vom Management wie jedes andere Projekt koordiniert und begleitet werden. Norm) . die Sicherheitsziele zu erreichen.B.und Korrekturmaßnahmen Wesentlich für den Erfolg der Prüfung im Sinne eines Verbesserungspotenzials ist die Akzeptanz und Offenheit seitens aller Beteiligter. dass das Management regelmäßig über Verlauf. vorläufige Erkenntnisse und allfällige Probleme der Prüfung informiert wird. Dies gilt insbesondere auch für eingesetzte Prüfwerkzeuge. Jedenfalls ist dem Management ein Prüfbericht vorzulegen: • • 154 Was wurde jeweils im Einzelnen geprüft und von wem Was war die Prüfgrundlage (z. Immerhin bedeutet sie eine Zusatzbelastung für die Mitarbeiter/innen. Auch hier ist darauf zu achten. Solche dürfen nur von autorisierten Personen verwendet werden und sind selbst vor Missbrauch zu schützen. bisweilen auch räumlich ausreichend unterzubringen ist. wenn sich die Information auch aus Quellen der normalen Tätigkeit gewinnen lässt). Maßnahmen auf Grund der Prüfergebnisse: Es ist vorab zu definieren. (Eignung. Ansonsten würden womöglich bekannte Schwachstellen oder gar Vorfälle verschwiegen oder heruntergespielt. entsprechende Vertraulichkeitsvereinbarungen abgeschlossen werden. dass sich Sicherheitsvorfälle wiederholen Aufzeigen von Verbesserungs. was auf Grund der Ergebnisse der Prüfung geschehen soll. dass sensible Informationen geschützt bleiben müssen bzw. andererseits darf kein Bereich ungeprüft bleiben. Es sollte einerseits auf Effizienz geachtet werden (etwa Vermeiden unnötiger ad-hoc Listen und Aufstellungen. die zeitlich bzw. Basis für die Prüfung sind primär Sicherheitspolitik.• • • • • • • Erkennen von schwachen oder nicht wirksamen Sicherheitsmaßnahmen von nicht eingehaltenen Sicherheitsanweisungen und den Ursachen dafür von neuen oder veränderten Bedrohungen Anpassungsbedarf für das Sicherheitskonzept bzw.

Verbesserungsmaßnahmen abhängig von der Ursache können sein: • • • • • ISMS: Anpassung der Sicherheitspolitik oder des Sicherheitskonzepts Organisation: Abänderung organisatorischer Maßnahmen. Softwareänderungen. Kommunikationsionfrastrukturanpassung Zu jeder festgestellten Abweichung soll eine Verbesserungsmaßnahme vorgeschlagen werden . Netzwerk-. [Q: BSI-Katalog M 2. welche Konsequenzen zu ziehen bzw.bei regelmäßigen Prüfungen . Verbesserungsmaßnahmen einzuleiten sind.199] 155 . sollte der jeweilige Vorgesetzte informiert werden. Schließlich entscheidet die Management-Ebene auf Basis der Prüfergebnisse. um angemessene Konsequenzen einzuleiten. Dazu wird ein Umsetzugsplan verabschiedet wobei festgehalten wird: • • • Zeitaufwand und Fertigstellungstermine Verantwortlichkeiten für die Umsetzung Zur Verfügung gestellte Ressourcen Die Umsetzung der Verbesserungsmaßnahmen ist dann Gegenstand des nächsten Audit. zusätzliche Kontrollmechanismen. auf Basis der Ergebnisse entsprechende Verbesserungsmaßnahmen einzuleiten.existiert in der Organisation ein periodischer Verbesserungsprozess.• • • • Was war im Einzelnen das zu erreichende Prüfziel Inwieweit wurde es erreicht oder welche Abweichungen / Unregelmäßigkeiten wurden festgestellt War jeweils die Implementierung / Konfigurierung / Dokumentation korrekt Wie sind allfällig erkannte Schwachstellen / Unregelmäßigkeiten / neue Gefahren zu quantifizieren und welcher Handlungsbedarf ergibt sich daraus Es ist dann die Pflicht des Managements. Verantwortung und Ressourcen für ihre Umsetzung. Optimalerweise . veränderte Leitungsführungen Technik: Hard-. im Rahmen dessen die Korrekturmaßnahmen dokumentiert.oder gar disziplinäre Maßnahmen Infrastruktur: Bauliche Veränderungen. umgesetzt und ihrerseits wieder überprüft werden. veränderte Zugriffsberechtigungen Personal: Awareness-. Schulungs. Werden unzulässige Aktivitäten von Mitarbeitern/Mitarbeiterinnen entdeckt.inklusive Zeitpunkt.

6. Regelmäßige Management-Berichte Für die Management-Ebene sind nicht so sehr die Details. Auf Aspekte. ist laufend dieses laufend zu bewerten und der Informationssicherheits-Prozess zu steuern. Verzögerungen.8 Die Management-Ebene benötigt für ihre Entscheidungen aussagekräftige und aufbereitete Informationen.1. Die Sprache sollte auch für nicht technisch versierte Leser verständlich sein. Dies gilt auch für die aktuelle Situation der Informationssicherheit. Änderungen. Ressourcenbedarf. sondern die Eckdaten relevant: • • • • Ergebnisse von Audits und Überprüfungen Berichte von Not. diese aber nicht wiederholt werden. daher muss die Management-Ebene darüber informiert werden. sollte ggf. verwiesen. Um deren Niveau zu halten.ob und inwieweit die eigene Organisation betroffen ist .oder Sicherheitsvorfällen Berichte über den Status des Informationssicherheits-Prozesses (Erledigungen. etwa: • • • • • 156 unerwartete Sicherheitsprobleme neue Gefährdungspotenziale neue Gesetze Probleme die mit den vorgesehenen Ressourcen nicht gelöst werden können In Massenmedien dargestellte Vorfälle . die bereits in anderen Berichten erörtert wurden. Ad-Hoc Management-Berichte Im Anlassfall sollten ad-hoc Berichte erarbeitet werden. Jede Änderung an den Sicherheitszielen.1. den Implementíerungen und ím Umfeld wirkt sich auf das Sicherheitsniveau aus. Probleme. künftige Planungen) Verbesserungsvorschläge Dies sollte in regelmäßigen aber kurzen und übersichtlichen Berichten an die Management-Ebene erfolgen.8 Berichtswesen ISO Bezug: 27002 6.

heißen Application Service Provider (ASP): • E-Mail 157 .Abgesehen von bloßen Kenntnisnahmen ist das Ziel solcher Berichte meist eine Entscheidung der Management-Ebene. die auf ihren eigenen Systemen Anwendungen für ihre Kunden betreiben.2. wenn zu den aufgezeigten Punkten auch klar formulierte Vorschläge für Maßnahmen dargestellt werden . Diese wird nur dann erreicht. Ob dies in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters geschieht.1.2 Outsourcing bedeutet. Ressourcenbedarfs und der jeweiligen Priorität. 10.oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert und von diesen durchgeführt werden.2. [Q: BSI-Katalog M 2. einer Applikation. ist nicht erheblich.1 Outsourcing ISO Bezug: 27002 6.1 6. Beispiele: • • • Nutzung und Betrieb von Hardware und Software Betrieb eines Rechenzentrums.inklusive einer Schätzung des damit verbundenen Aufwands bzw. einer Website Wachdienst Dienstleistungen mit Bezug zur IT-Sicherheit ausgelagert heißen Security Outsourcing oder Managed Security Services: • • • • ausgelagerter Firewall-Betrieb Netzwerküberwachung Virenschutz Betrieb eines Virtual Private Networks (VPN) Dienstleister. dass Arbeits.2 Zusammenarbeit mit Externen ISO Bezug: 27002 6.200] 6.

Sicherheitmaßnahmen sowie die Gestaltung vertraglicher Regelungen zwischen Auftraggeber und Dienstleister.2 Gefährdungen beim Outsourcing ISO Bezug: 27002 6. Der Ablauf eigener Geschäftsprozesse wird nun vom Dienstleister gesteuert und es entsteht eine Abhängigkeit von dessen Qualität.2.2. dass die Informationssysteme und Netzwerke der eigenen Organisation und ihrer Dienstleister miteinander verbunden werden. spricht man von Application Hosting. Meist sind Auftraggeber und Dienstleister über das Internet oder ein VPN miteinander verbunden.• • • SAP-Anwendungen Archivierung Web-Shops Sind die Anwendungen Eigentum des Kunden. besteht nach wie vor ein Trend zu verstärkter Auslagerung. [Q: BSI B 1. Eine Herausforderung für die Informationssicherheit liegt darin.11] 6. Wesentlich sind daher beim Outsourcing die Kenntnis und Behandlung der Gefährdungen bzw. Damit ergeben sich eine Reihe von potenziell höchst gefährlichen bzw. Die Erwartung an Outsourcing von Geschäftsprozessen oder Produktionen sind unter Anderem: • • • • Konzentration auf Kernkompetenz (Core Business) Kostenersparnis (etwa IT-Systeme samt Personal) Entlastung eigener Ressourcen Flexibilität der Prozesse Obwohl auch einige Outsourcing-Projekte gescheitert sind.1 158 . existenzgefährdenden Risiken für die auftraggebende Organisation.

und Datenträgertransport Unzureichendes Sicherheitsmanagement Ungeeignete Verwaltung von Zugangs. um Fehlentwicklungen der eigenen Organisation frühzeitig zu erkennen und zu verhindern. müssen zuvor die organisationseigenen Werte und Informationen entsprechend ihrer strategischen Bedeutung für die Organisation beurteilt und klassifiziert werden. die Ausgestaltung der Wertschöpfungskette und betrifft viele weitere wesentliche Belange eines Organisationsmanagements. Die Gefährdungen können parallel auf physikalischer.und Zugriffsrechten Fehlerhafte Outsourcing-Strategie Unzulängliche vertragliche Regelungen mit einem externen Dienstleister Unzureichende Regelungen für das Ende des Outsourcing-Vorhabens Abhängigkeit von einem Outsourcing-Dienstleister Störung des Betriebsklimas durch ein Outsourcing-Vorhaben Mangelhafte IT-Sicherheit in der Outsourcing-Einführungsphase Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister Unzureichendes Notfallvorsorgekonzept beim Outsourcing Menschliche Fehlhandlungen 159 . die Definition ihrer Kernkompetenzen. • • • • • • • • • • • • • • • • • • Höhere Gewalt Ausfall eines Wide Area Netzwerkes Organisatorische Mängel Fehlende oder unzureichende Regelungen Unerlaubte Ausübung von Rechten Fehlendes oder unzureichendes Test. Es sollten daher alle Anstrengungen unternommen werden. technischer und auch menschlicher Ebene existieren und sind nachfolgend in den einzelnen Gefährdungskatalogen aufgeführt.Die Gefährdungslage eines Outsourcing-Vorhabens ist ausgesprochen vielschichtig.und Freigabeverfahren Ungesicherter Akten. Die Entscheidung über das Auslagern einer speziellen Aktivität beeinflusst nachhaltig die strategische Ausrichtung der Organisation. Um die jeweils existierenden Risiken quantitativ bewerten zu können.

2.• • • • • • • • • • • • Vertraulichkeits.oder Integritätsverlust von Daten durch Fehlverhalten Technisches Versagen Schlechte oder fehlende Authentifikation Ausfall eines Kryptomoduls Ausfall der Systeme eines Outsourcing-Dienstleisters Vorsätzliche Handlungen Missbrauch von Fernwartungszugängen Missbrauch von Administratorrechten Social Engineering Vertraulichkeitsverlust schützenswerter Informationen Integritätsverlust schützenswerter Informationen Weitergabe von Daten an Dritte durch den Outsourcing-Dienstleister [Q: BSI B 1.2.11] 6. organisatorische und sicherheitsrelevante Aspekte nach sich und bedingt vorab: • 160 Unternehmensstrategie . Outsourcing zieht wirtschaftliche.und Betriebsphasen ISO Bezug: 27002 6. müssen die sicherheitsrelevanten Gesichtspunkte herausgearbeitet werden. Phase 1: Strategische Planung des Outsourcing-Vorhabens: Schon bei der Entscheidung. ob und in welcher Form ein OutsourcingVorhaben umgesetzt wird.3 Outsourcing Planungs. Für jedes Teilsystem und für die Schnittstellenfunktionen muss das definierte Sicherheitsniveau gewährleistet sein. als auch aus Komponenten beim Auftraggeber.1 Ein ausgelagerter IT-Verbund kann sowohl aus Komponenten bestehen. die sich ausschließlich im Einflussbereich des Outsourcing-Dienstleisters befinden. technische. In der Regel gibt es in diesem Fall Schnittstellen zur Verbindung der Systeme.

Ein gewisser Know-How Transfer zum Dienstleister lässt sich (auch mit "wasserdichten" Vertraulichkeitsvereinbarungen) nicht verhindern. Meist ist es notwendig. wieso das dem Dienstleister gelingen wird. Es muss vorab abgeschätzt werden. Datenübertragung vom und zum Dienstleister erzeugt neue Gefährdungen. Ein häufiger Grund. eingeführt und durchgeführt und bewirken Änderungen des Sicherheitskonzepts und der Implementierungen. dass die Verantwortung für Produkte oder Dienstleistungen bei der eigenen Organisation verbleibt. Konzessionen. mitunter aber durch Auslagern mit höherem Risiko . etwa durch gute Auslastung großer Installationen. um festzustellen. • Die IT-Sicherheit sollte keinesfalls bei den strategischen Überlegungen vernachlässigt werden.bei gleicher oder gar besserer Qualität.verbunden sein kann: • • • • • • Outsourcing kann in der Regel nicht einfach rückgängig gemacht werden. Im Rahmen des Outsourcing werden neue Prozesse und Arbeitsabläufe entworfen. es entsteht eine langfristige Bindung an den Dienstleister.sowie weiteren Risiken . Sie verliert die alleinige und vollständige Kontrolle darüber. wo dies tatsächlich möglich ist. Gewerbeberechtigungen. ob Auslagerungen von Aufgaben rechtlich möglich bzw. auf Grund von Auflagen schwierig sein werden (etwa gesetztlich festgeschriebene Kompetenzen. Es muss klar sein. da bei dessen Mitarbeitern/Mitarbeiterinnen entsprechendes Wissen entsteht. Daher sollte eine Sicherheitsanalyse durchgeführt werden. Der Dienstleister hat Zugriff auf Informationen und IT-Ressourcen der eigenen Organisation.• • • • • Machbarkeitsstudie mit den Rahmenbedingungen Kosten-Nutzen-Schätzung Welche Anwendungen sollen ausgelagert werden (Kerngeschäft. Routineabläufe)? Wie können weiterhin Anforderungen an die IT gestellt werden? Was geschieht mit bisher selbst entwickelten IT-Anwendungen? Wesentlich ist zunächst die Klärung. IT-Dienstleistungen auszulagern ist die Erwartung von Kostensenkungen . Selbstverständlich gibt es viele Fälle. wie bestehende IT-Systeme oder IT-Verbünde abgegrenzt und getrennt werden können. Einschaltung von Aufsichtsbehörden). damit Teile davon ausgelagert werden können: • • IT-Strukturanalyse Schutzbedarfsfeststellung 161 . wenn er dabei auch noch einen Gewinn lukriert. dass Mitarbeiter/innen oder Subunternehmer des Dienstleisters zeitweise in den Räumlichkeiten der eigenen Organisation arbeiten müssen.

Integrität und Verfügbarkeit müssen erfolgen. Diese Sicherheitsanforderungen sind die Basis für das Ausschreibungsverfahren. Geschäftsprozessen. Schließlich erfolgt die Dokumentation der Outsourcing-Strategie mit Zielen. Räume) hinsichtlich Vertraulichkeit. Diese werden zunächst beginnend mt den gewünschten Sicherheitsniveaus in den betroffenen Bereichen immer weiter verfeinert. Diese müssen identifiziert und beschrieben werden. Kommunikationsverbindungen. Notwendige Einräumung von Zutritts. einen geeigneten Dienstleister auszuwählen. um dann konkret genug zu sein. Anwendungen. Risikoanalyse) durchgeführt werden. Auch nach erfolgter Auswahl wird eine weitere Verfeinerung der Sicherheitsanforderungen bis hin zu den Umsetzungsschritten notwendig sein. Es entstehen Schnittstellen zwischen den nun im Verbund wirkenden Aufgaben.250] Phase 2: Definition der wesentlichen Sicherheitsanforderungen: Wenn die Entscheidung zum Outsourcing gefallen ist. B. Folgende Aspekte sind in der Regel zu berücksichtigen: • • • • • • • Welches Mindestniveau (IT-Grundschutz) ist von beiden Parteien zu erfüllen? Sowohl Dienstleister wie eigene Organisation müssen über ein Sicherheitskonzept verfügen und dieses umgesetzt haben. Meist wird ein zusätzliches Restrisiko bei der eigenen Orgtanisation verbleiben. Mit dem ausgelagerten Betrieb ergeben sich neue Sicherheitsanforderungen sowohl an den auszuwählenden Dienstleister wie auch an die eigene Organisation. müssen die wesentlichen übergeordneten Sicherheitsanforderungen für das Outsourcing-Vorhaben festgelegt werden. Strukturanalyse und Schutzbedarfsfeststellung (IT-Systeme. [Q: BSI M 2. Dies kann erheblichen Aufwand verursachen.und Zugriffsrechten für den Dienstleister. An diese Schnittstellen müssen technische und organisatorische Sicherheitsanforderungen gestellt werden. etwa bei länderübergreifendem Outsourcing oder wenn einer oder beide Partner weltweit tätig sind. Chancen und Risiken sowie den Erfahrungen.• Feststellung des Handlungsbedarfs sowie der Kosten für umzusetzende Maßnahmen Bei hohem Schutzbedarf wichtiger Systeme oder Anwendungen muss eine ergänzende Sicherheitsanalyse (z. Aufzeigen der Auswirkungen relevanter Gesetze und Vorschriften. 162 . Systemen. Anwendungen.

durch unabhängige Dritte). Spezielle Anforderungen an Hard-/ Software (etwa zertifizierte Produkte beim Dienstleister). Spezifizieren von gewünschten Verfahren für die Kontrolle und Überwachung (etwa unangekündigte Kontrollen vor Ort. Organisation. anders sein als das der eigenen Organisation) Anforderungen an die Informationssicherheit Kriterien zur Messung von Servicequalität und Sicherheit Anforderungen an die Qualifikation der Mitarbeiter/innen. dass diese dann tatsächlich tätig sind und dass es geeignete Vertreter/innen gibt 163 . etwa da langfristige Abhängigkeiten entstehen. Trennung von Hard.und Signaturverfahren). Anforderungen an die Protokollierung und Auswertung von Protokolldateien. Personal und Technik durch das zu erreichende Sicherheitsniveau (etwa auch Alarmierungen. Anforderungen zur Qualitätssicherung (etwa Messungen von Reaktionszeiten. Kritische Erfolgsfaktoren dafür. Audits . Benennung von Sicherheitsbeauftragten beim Dienstleister).ggf. Anforderungen an die Verfügbarkeit von Diensten und IT-Systemen (Service Levels.• • • • • • • • Beschreibung der Anforderungen an Infrastruktur.251] Phase 3: Auswahl des Outsourcing-Dienstleisters: Ihr kommt eine besondere Bedeutung zu. Vorgaben an die Mandantenfähigkeit und ggf. Vorgaben zur Absicherung der Kommunikation zwischen Dienstleister und eigener Organisation (Verschlüsselungs.und Software (etwa keine Systeme anderer Mandanten im gleichen Raum des Dienstleisters. sind: • • • • • • • möglichst detailliertes Anforderungsprofil darauf basierendes Pflichtenheft Eine bedarfsgerechte Ausschreibung sollte enthalten: Beschreibung des Outsourcing-Vorhabens (Aufgabenbeschreibung und Aufgabenteilung) Beschreibung des geforderten Qualitätsniveaus (dieses kann ggf. Sicherstellung. dass sich geeignete Dienstleister bewerben. exklusiv genutzte Hardware in Käfigen). [Q: BSI M 2. Verfügbarkeit). Lastverteilung etwa bei Web-Servern).

Reaktionszeiten. [Q: BSI M 2. Sicherheitsüberprüfung. Vorliegen von Sicherheitsüberprüfungen der Mitarbeiter/ innen des Dienstleisters Zu beachten ist. Auch die Erstellung des IT-Sicherheitskonzeptes selbst sollte Vertragsbestandteil sein.252] Phase 4: Vertragsgestaltung: Auf Basis des Pflichtenheftes muss nun ein Vertrag mit dem Partner ausgehandelt werden. der die gewünschten Leistungen inklusive Qualitätsstandards und Fristen im Einklang mit der vorhandenen Gesetzgebung festschreibt. die vereinbarten Leistungen und Ziele so genau und eindeutig wie möglich vertraglich festzuhalten. wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen. In diesem Vertrag müssen auch die genauen Modalitäten der Zusammenarbeit geklärt sein: Ansprechpartner.253] Phase 5: Erstellung eines IT-Sicherheitskonzepts für den ausgelagerten IT-Verbund: Auftraggeber und Outsourcing-Dienstleister müssen ein detailliertes Sicherheitskonzept. dass diese von allen befassten Mitarbeitern/ Mitarbeiterinnen (auch den eigenen) auch in Detailaspekten beherrscht wird Notwendigkeit bzw. welches Personal der Dienstleister einsetzen wird (Qualifikation. [Q: BSI M 2. diese nur gegen Vertraulichkeitsvereinbarung an den sich bewerbenden Dienstleister zu übermitteln. das auch ein Notfallvorsorgekonzept enthält. sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden.• • Bei ausländischen Dienstleistern: Festlegung der Sprache für die gemeinsame Kommunikation und Sicherstellung. IT-Anbindung. Daher kann es notwendig sein. Ausgestaltung der IT-Sicherheitsvorkehrungen. die aufgrund unterschiedlicher Interpretationen der beschriebenen Leistungen notwendig werden. dass aus detallierten Sicherheitsanforderungen Schlüsse auf die eigenen Sicherheitsmechanismen und ihre Wirksamkeit gezogen werden können. Kontrolle der Leistungen. Dabei ist es empfehlenswert. Ggf. Insbesondere ist zu klären. Weitergabe von Information an Dritte etc. Diese Verträge werden häufig als Service Level Agreements (SLA) bezeichnet. Verwertungsrechte. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages. Umgang mit vertraulichen Informationen. kann und sollte sich der Auftraggeber ein Mitspracherecht einräumen lassen. 164 . Sprachkenntnisse). erstellen.

da während dieser mit Sicherheitsvorfällen gerechten werden muss. sondern muss während der Migration stetig weiterentwickelt und konkretisiert werden.ggf.Bei Outsourcing-Projekten ergeben sich viele technische und organisatorische Details erst im Laufe der Planung und der Migration der Systeme. Outsourcing-Dienstleister 3. aus welchem die Sicherheit im Zusammenspiel der Einzelsysteme hervorgeht. durch externe Dritte . Daher wird das Sicherheitskonzept für das Outsourcing-Vorhaben in den wenigsten Fällen gleich vollständig und endgültig sein. nach erfolgreichen Angriffen. Am Sicherheitskonzept des Outsourcing-Dienstleisters ist der Auftraggeber nicht direkt beteiligt.und Timeservern. um Veränderungen z.prüfen. Outsourcing-Auftraggeber 2. für die das "Vier-Augen-Prinzip" anzuwenden ist Hard-/Software Einsatz gehärteter Betriebssysteme. ob es vorhanden und ausreichend ist. B. Sicherheitskonzepte für Outsourcing-Vorhaben unterscheiden sich in einigen Punkten von solchen für eigene Systeme. zu erkennen Einsatz von Syslog. um Angriffe frühzeitig zu erkennen Einsatz von Datei-Integrität-Prüfungssystemen. Einige Themen und Aspekte für das OutsourcingSicherheitskonzept: Organisation • • • • • • Umgang mit Daten und schützenswerten Betriebsmitteln wie Druckerpapier und Speichermedien. Besondere Aufmerksamkeit ist dabei auch auf die Migrationsphase der Aufgaben und Systeme zum Dienstleister zu richten. sollte aber in einem Audit .zuständig für die Netzanbindung ist in der Regel der Outsourcing-Dienstleister). insbesondere Regelungen zum Anfertigen von Kopien und Löschen/Vernichten Festlegung von Aktionen. Netzprovider (Anbindung zwischen den Outsourcing-Parteien . um Angriffe möglichst zu erschweren Einsatz von Intrusion-Detection-Systemen (IDS). Jeder Beteiligte muss ein Sicherheitskonzept in seinem jeweiligen Einflussbereich erstellen und umsetzen (im Fall des Netzproviders sind die Schnittstellen relevant). da in der Regel 3 technische Parteien beteiligt sind: • • • 1. Darüber hinaus muss dann ein IT-Sicherheitskonzept für das Gesamtsystem erstellt und mit den Teilkonzepten abgestimmt werden. um eine möglichst umfassende Protokollierung zu ermöglichen 165 .

Ansprechpartnern und Abläufen Erstellen von Detailregelungen für die Datensicherung (z. B. unangekündigte Kontrollen vor Ort. getrennte Backup-Medien für jeden Klienten. Netzverbindung. B. die auf seinen Systemen betrieben werden. durch Verschlüsselung. B. Dienstqualität. Eskalationsstrategien. Verfügbarkeit. Notfallvorsorgekonzepte müssen für die Systeme beim Auftraggeber. Abläufen und organisatorische Regelungen Notfallvorsorge Beim Outsourcing-Betrieb ist auch die Notfallvorsorge auf unterschiedliche Parteien aufgeteilt und die IT-Komponenten sind verteilt. Verbot von Gruppen-IDs für Personal des Dienstleisters Kommunikation • • • • • Absicherung der Kommunikation (z. Vertretungsregelungen. Virenschutz) Erstellen von Arbeitsanweisungen mit konkreten Anordnungen für bestimmte Fehlersituationen Konzeption von regelmäßig durchzuführenden Notfallübungen Eine besodere Problematik kann sich dadurch ergeben. beim Outsourcing-Dienstleister sowie für die Schnittstellen zwischen Auftraggeber und Dienstleister (z. Router. Zeitintervalle. dass das Personal des Dienstleisters meist keine inhaltlichen Kenntnisse über die Anwendungen besitzt. Detailgrad) für Kontrollen und Messung von Sicherheit. Zuständigkeiten. Daher sind genaue Anweisungen seitens des Auftraggebers erforderlich: 166 . B. elektronische Signatur) zwischen Dienstleister und Auftraggeber. um sensitive Daten zu schützen Authentisierungsmechanismen Detailregelungen für weitere Netzanbindungen Detailregelungen für den Datenaustausch Kontrollen und Qualitätssicherung Detailregelungen (z. aber Fehler beheben soll oder muss.• • Einsatz kaskadierter Firewallsysteme zur Erhöhung des Perimeterschutzes auf Seiten des Dienstleisters Sorgfältige Vergabe von Benutzer-Kennungen. Telekommunikationsprovider) existieren und detailliert beschreiben: • • • • Regelung und Dokumentation von Zuständigkeiten.

Übergang der Anwendungen und Systeme zum Dienstleister: Besonders sicherheitskritisch ist die Migrations. Aufgaben übertragen Systeme neu eingerichtet bzw. werden Kopien von Produktionsdaten ohne weiteren Schutz verwendet). M 6.oder Übergangsphase. Phase 5 wird in der Regel erst nach Beendigung der Migrationsphase abgeschlossen werden können. die selten sehr sicher sind (z. angepasst werden Bei Tests in Phasen großer Arbeitsbelastung werden gerne "quick and dirty" Lösungen gewählt. die deshalb einer sorgfältigen Planung bedarf.254. In einem zu erarbeitenden vorläufigen Sicherheitskonzept müssen die Test. [Q: BSI M 2.83] Phase 6: Migration . verboten sind auf welche anwendungsspezifischen Informationen zurückgegriffen werden kann ob und welche Schutzmaßnahmen für solche Informationen einzuhalten sind welche Anprechpartner beim Auftraggeber für anwendungsspezifische Probleme zur Verfügung stehen Ein weiteres Problem kann sich durch Fortpflanzung eines Anwendungsfehlers auf andere Anwendungen ergeben.und Einführungsphase als Teil des gesamten Vorhabens betrachtet werden: • • • in dieser Phase sind zahlreiche Betriebsfremde involviert es müssen Abläufe etabliert. ggf. 167 . zumindest sollte es aus einem Sicherheitsexperten bestehen und hat die Aufgaben: • Zusammenstellung eines gemischten Teams aus Mitarbeitern/Mitarbeiterinnen des Auftraggebers und des Outsourcing-Dienstleisters. zusätzlich mit externen Experten. Die kann der Dienstleister meist nicht selbst abschätzen und muss daher rechtzeitig mit dem Auftraggeber Kontakt aufnehmen. Seine Größe hängt vom Vorhaben ab.B. die in das IT-Sicherheitskonzept eingearbeitet werden müssen. In der eigenen Organisation sollte ein Sicherheitsmanagement-Team speziell für die Umstellungsphase eingerichtet werden und schon vor der Umstellung für sicheren ITBetrieb während der Migrationsphase sorgen.• • • • • wie bei Fehlern vorzugehen ist welche Aktionen erlaubt resp. weil sich während der Migration der IT-Systeme und Anwendungen immer wieder neue Erkenntnisse ergeben.

Sicherstellung. Nach der Umstellung / Migration muss das Sicherheitskonzept auf Basis der Erfahrungen und Änderungen während der Umstellungsphase aktualisiert werden: • • • 168 Konkrete Darstellung aller Sicherheitsmaßnahmen Ansprechpartner und Zuständigkeiten mit Namen und notwendigen Kontaktdaten. Einweisung des Dienstleisters auf die relevanten Abläufe.auch auf oberer Management-Ebene. Prüfung der Dokumentation.• • • • • • Erarbeiten eines Sicherheitskonzeptes für die Umstellungsphase. entsteht eine Gefahr des Social Engineering (z. beispielsweise in der Behandlung von Fehlfunktionen und sicherheitsrelevanten Vorkommnissen eingestellt hat. dass die vorgesehenen Mitarbeiter/innen zur Verfügun stehen (ggf. Störungen durch Tests und dabei auftretende Fehler müssen einkalkuliert werden. Schulung der Mitarbeiter/innen des Auftraggebers über Abläufe und Verhalten während und nach der Umstellung. Applikationen und ITSysteme des Auftraggebers. Planung der Produktionsumstellung. die der Dienstleister übernehmen soll. Ressourcenplanung und Tests. auf Vollständigkeit und Aktualität. Bis sich bei allen Beteiligten die notwendige Routine.mit klaren Führungsstrukturen und eindeutigen Ansprechpartnern auf beiden Seiten . B. Da sie dabei mit neuen und unbekannten Ansprechpartnern konfrontiert sind. Festlegen der Verantwortlichkeiten für die Umstellungsphase . ob durch Erkenntnisse aus der Umstellung Verträge (Service Level Agreements) oder vorgesehene Sicherheitsmaßnahmen angepasst werden müssen. • • • • In der Einführungsphase des Outsourcing-Vorhabens und der ersten Zeit des Betriebs muss dem Notfallkonzept besondere Aufmerksamkeit geschenkt werden. einer Mitarbeiterin des Sicherheitsteams des Dienstleisters). vertragliches Mitspracherecht des Auftraggebers). Urlaubssperren). sind ggf. Planung und Durchführung der erforderlichen Tests und Abnahmeprozeduren. ggf. Einstellungen sicherheitsrelevanter Parameter . Erreichbarkeitszeiten Dokumentation der Systemkonfigurationen inkl. Anpassung auf neue Gegebenheuten durch das Outsourcing. Einführungsphase und den späteren Betrieb (ggf. Auswahl geeigneter interner Mitarbeiter/innen für die Test-. ohne die laufenden Systeme zu vernachlässigen. Anruf eines vermeintlichen Mitarbeiters bzw. Mitarbeiter/innen zu zusätzlichen Bereitschaftsdiensten heranzuziehen. Laufende Überprüfung.

bzw.geplant worden sein. B. ob sie noch aufeinander abgestimmt sind und das gewünschte Sicherheitsniveau gewährleisten Auswirkungen von Änderungen im Einflussbereich des Dienstleisters und Information darüber an den Auftraggeber Im Rahmen des ausgelagerten Betriebs sind weiters durchzuführen: Regelmäßige Kontrollen • • • • • • • • Durchführung der vereinbarten Audits Umsetzungsstand der vereinbarten Sicherheitsmaßnahmen Wartungszustand von Systemen und Anwendungen Rechtezuweisung durch den Dienstleister Einsatz von Mitarbeitern/Mitarbeiterinnen.• Schulungen für das Personal auf den Regelbetrieb [Q: BSI M 2. die dem Auftraggeber nicht gemeldet wurden. personelle/organisatorische Änderungen. Kontrollbedarf entstehen allerdings Besonderheiten: • • • Regelmäßige Aktualisierungen von Richtlinien und Dokumentationen Regelmäßige Überprüfungen der Sicherheitskonzepte aller Beteiligten.255] Phase 7: Planung und Sicherstellen des laufenden Betriebs: Nach Übernahme der Systeme bzw. Gweschäftsprozesse durch den OutsourcingDienstleister sind Maßnahmen zur Gewährleistung der IT-Sicherheit im laufenden Betrieb notwendig und müssen bereits im Vorfeld . Sicherheit (z.inklusive Notfall und Eskalationsszenarien . Gesetzesänderungen. Verfügbarkeit. Qualitätsniveau Datensicherung Regelmäßige Abstimmungen Informationsaustausch zwischen den Partnern über mögliche Auswirkungen auf die Dienstleistung bzw. geplante Projekte. Vertretungen Performance. durch die Verteilung auf mehrere Partner und zusätzlichem Abstimm. B. Dies sollte in einem OursourcingBetriebskonzept erfolgen. z. Die einzelnen Aufgaben unterscheiden sich zwar nicht grundsätzlich vom Betrieb innerhalb der eigenen Organisation. vorgesehene Tests und Systemänderungen) 169 .

gestiegener Ressourcenbedarf) Regelmäßige Übungen und Tests • • • Reaktion auf Systemausfälle (Teil. Ausweitung des Dienstleistungsportfolios.oder Totalausfälle) Wiederanlauf. Software. Wiedereinspielen von Datensicherungen Beherrschung von Sicherheitsvorfällen [Q: BSIM 2.256] 170 .• • • • Information über aufgetretene Probleme wechselseitiges Feedback und Aufzeigen von Verbesserungspotenzialen Motivation der Mitarbeiter/innen (etwa positive Beispiele einer gelungenen Kooperation) Änderungswünsche (Hardware.

1 Vermögenswerte Unter Vermögenswerten sind gemäß ISO 27002 ganz allgemein zu verstehen: • • • • • • a) Informationen (Daten. Pläne. Fahrzeuge. d. zu identifizieren. IT-Systeme.1. Schulungsunterlagen. Hardware. Einrichtungen.und Kommunikationsdienste.1. 171 .. Dokumentationen. Räume und Netze erfasst.. Forschungsergebnisse. Checklisten. Anwendungen. sie zu klassifizieren. Das heißt vereinfacht: Alles was für eine Organisation einen Wert darstellt.) b) Software (System-. Datenträger d) Rechen. Räume.7 Vermögenswerte und Klassifizierung von Informationen Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 7 ff "Management von Vermögenswerten". 7. Betriebsmittel. Verträge. Versorgungseinrichtungen e) Mitarbeiter / Mitarbeiterinnen mit ihren Qualifikationen und Erfahrungen f) Immaterielle Werte. [Q: CASES Leitfaden "Klassifikation"] 7.1 Inventar der Vermögenswerte (Assets) mittels Strukturanalyse ISO Bezug: 27002 7.1 Mittels Strukturanalyse werden die Geschäftsprozesse und die dafür benötigten Assets (Informationen. Zuerst werden geschäftskritische Informationen und Anwendungen ermittelt und die betroffenen IT-Systeme. in einem Verzeichnis aufzulisten.h. Vereinbarungen. wie zB Ruf und Image der Organisation. Dazu ist es zunächst notwendig. Kommunikationsnetze) erhoben. Protokolle. Verfahrensanleitungen. Handbücher. Die folgenden Maßnahmen sollen die Vermögenswerte der Organisation schützen. Anwendungssoftware) c) Gebäude. jeweils dazu eine/n Eigentümer/in /sowie Verantwortliche/n zu benennen und Regeln für den sicheren Umgang damit aufzustellen.

ähnlich in das Netz eingebunden (z. das Konfigurationsmanagement oder die Gestaltung von Geschäftsprozessen). Es kann daher auch zweckmäßig sein.klassische Vorgehensweise ist. zunächst die IT-Systeme zu erheben. Eine weitere Vereinfachung des Vorgangs kann sich ergeben. jedes Objekt einzeln zu erfassen. Netzplanerhebung Dabei ist es oft nicht zweckmäßig ist. Aktivitäten für eine Strukturanalyse: • • • • • Erfassung Geschäftsprozesse. ähnlichen administrativen und infrastrukturellen Rahmenbedingungen unterworfen. sie dienen ähnlichen Anwendungen. abstrakte Anwendungen losgelöst von konkreten technischen Komponenten zu erfassen. Oft lassen sich dann die Anwendungen anhand der betrachteten IT-Systeme leichter ermitteln. haben den gleichen Schutzbedarf.B. Erfassung der baulichen Gegebenheiten. Anwendungen und Informationen im Geltungsbereich. Erhebung von Datenträgern und Dokumenten. Erhebung von IT-Systemen. 172 . wenn sie folgende Ähnlichkeiten aufweisen: • • • • • • vom gleichen Typ. zuerst die Anwendungen und ausgehend davon die weiteren betroffenen Objekte zu ermitteln. IT-Systeme am gleichen Switch). Damit wird die Strukturanalyse hinsichtlich Datenmenge und Komplexität handhabbar. wenn als Datenquellen bereits aktuelle Datenbanken oder Übersichten vorhanden und nutzbar sind (z. Allerdings ist es dabei schwierig.B. Stattdessen sollten Objekte zu Gruppen zusammengefasst werden. ähnlich konfiguriert. für die Inventarisierung.

B. Abgesehen von der zuvor beschriebenen Gruppenbildung beschränkt sich die Strukturanalyse auf Anwendungen und Informationen. In der Regel gibt es in einer Orgtanisation viele Clients. [Q: BSI-Standard 100-2] 7.1 Erfassung Geschäftsprozessen.1 Anwendungen sind Verfahren. Durch eine möglichst hohe Standardisierung innerhalb einer IT-Umgebung wird außerdem die Zahl potentieller Sicherheitslücken reduziert. Behörden. Ein wichtigste Beispiel ist die Zusammenfassung von Clients.1. Eine ausführliche Version des Beispiels findet sich in den Hilfsmitteln zum IT. in großen Informationsverbünden. Anwendungen und Informationen ISO Bezug: 27002 7. die sich jedoch gemäß obigem Schema in eine überschaubare Anzahl von Gruppen aufteilen lassen (Dies gilt analog auch für Räume und andere Objekte. wenn dies sinnvoll und zulässig ist. Eine Stichprobe aus einer Gruppe repräsentiert dann in der Regel den Sicherheitszustand der Gruppe. Unternehmen) unterstützen.1.Grundschutz auf den BSI-Webseiten. welche Geschäftsprozessen und Fachaufgaben in Organisationen (z. die für die betrachteten Geschäftsprozesse oder Fachaufgaben erforderlich sind und ein jedenfalls ein Mindestniveau an: • • • Geheimhaltung (Vertraulichkeit) oder Korrektheit und Unverfälschtheit (Integrität) oder Verfügbarkeit 173 .1. jeder Fachaufgabe im Geltungsbereich sind die damit zusammenhängenden Anwendungen und Informationen zu identifizieren. Bei allen Teilaufgaben sollten jeweils Objekte zu Gruppen zusammengefasst werden. andererseits der optimalen Effizienz zu optimieren. Überdies können damit auch Kosten gespart werden.Ausgehend von jedem Geschäftsprozess bzw. Für die geeignete Granularität ist zwischen einerseits einer für die Feststellung des Schutzbedarfs nötige Detaillierung.Gruppierung Bei technischen Komponenten wird durch konsequente Gruppenbildung auch die Administration wesentlich vereinfacht wird. Sicherheitsmaßnahmen für einen solchen Bereich können ohne Unterscheidung verschiedenster Schwachstellen umgesetzt werden. wo viele Server die gleiche Aufgaben wahrnehmen. Die Teilaufgaben der Strukturanalyse werden nachfolgend beschrieben und durch ein begleitendes Beispiel erläutert. weil es dann nur wenige Grundkonfigurationen gibt. können auch Server zu Gruppen zusammengefasst werden).

Schließlich wird noch ermittelt. Dabei sollte mit den Servern begonnen werden. Ergänzt wird die Erhebung mit den Clients und .. sollten bei der Erfassung der Anwendungen die Benutzer bzw. Denn es ist es angesichts der steigenden Komplexität oft schwierig. welche Netzkomponenten welche Anwendungen unterstützen.erfordern.2 Erfassung von Datenträgern und Dokumenten ISO Bezug: 27002 7. Um dies sicherzustellen. die Nutzung geeigneter Software.1. ob die beschriebene Anwendung personenbezogene Daten speichert und/oder verarbeitet (Schutzbedarf der Information ergibt Schutzbedarf der Anwendung) Unterstützte Geschäftsprozesse Verantwortliche und Benutzer/innen der Anwendung (Ansprechpartner/innen für Sicherheitsfragen) Es empfiehlt sich natürlich eine tabellarische Darstellung bzw.für den Geschäftsprozess Verantwortlichen nach ihrer Einschätzung befragt werden . • • • • Es ist also für jede Fachaufgabe festzustellen. in gemeinsamen Meeting der Fach. welche Anwendungen für ihre Abwicklung notwendig sind und auf welche Daten dabei zugegriffen wird.1. Abhängigkeiten zwischen Geschäftsprozess / Fachaufgabe und einer konkreten Anwendung darzustellen.ggf. [Q: BSI-Standard 100-2] 7.1. IT-Abteilungen und Anwendungsverantwortlichen. Wurden alternativ zuerst die IT-Systeme erfasst. Für Datenschutzbeauftragte / IT Sicherheitsbeauftragte: Vermerk.EinzelplatzSystemen.mitunter mobilen . pro erfasster Anwendung: • • • • Zwecks spätere Zuordnungensollten die Anwendungen durchnummeriert werden. die für die Anwendung bzw. empfiehlt es sich oft. an ihnen orientiert die darauf laufenden Anwendungen zusammenzutragen.1 174 . vervollständigt werden.

Mikrofilme Empfehlenswert ist auch die Erfassung der Abhängigkeiten zwischen Anwendungen. Client mit mit Betriebssystemangabe. Allerdings werden Systeme betrachtet und nicht einzelne Bestandteile (CPU. Externe Festplatten. so sind beispielsweise Informationen über den Lagerbestand Voraussetzungen für die Verarbeitung von Bestellungen.und Backup-Datenträger. Datenträger für den Austausch mit externen Kommunikationspartnern.und sonstige Handbücher. Netzdrucker. Telekommunikationsanlagen. 175 . etc.1.1.1 In ebenso tabellarischer Form wird eine Liste der vorhandenen und geplanten ITSysteme aufgestellt. [Q: BSI-Standard 100-2] 7. Smartphones für den mobilen Einsatz. es sei denn sie werden im normalen Betrieb mit unterschiedlichen Systemen verbunden (etwa externe Laufwerke). wichtige Verträge. USB-Sticks. Dabei bedeutet der Begriff IT-System umfasst dabei nicht nur Computer im engeren Sinn. Wartung. korrekte und aktuelle Auflistung der IT-Systeme ist auch für deren Überprüfung. Jedoch sind sie dann gesondert in der Strukturanalyse zu erfassen. Auch dafür sollten möglichst Gruppen gebildet und ur Datenträger und Dokumente mit einem Mindest-Schutzbedarf berücksichtigt werden.3 Erhebung der IT-Systeme ISO Bezug: 27002 7. sondern auch aktive Netzkomponenten. Fehlersuche und Instandsetzung von IT-Systemen notwendig. Im Vordergrund steht dabei die technische Realisierung eines IT-Systems. Eine vollständige. wenn sie nicht mit einer bestimmten Anwendung oder einem IT-System verknüpft sind. Ausgedruckte Notfall.Bei der Erfassung der Anwendungen sollten auch Datenträger und Dokumente mitbetrachtet und können wie Anwendungen behandelt werden. Bildschirm). Beispiele für gesondert erfasste Datenträger und Dokumente: • • • • • • Archiv. Server bzw. beispielsweise Einzelplatz-PC.1.

im Test. in Planung).4 Netzplan ISO Bezug: 27002 7. Kürzel oder Bezeichnung des IT-Systems.1 Ein Netzplan ist eine grafische Übersicht über die im Geltungsbereich eingesetzten Komponenten und deren Vernetzung. ATM) etc. Hardware-Architektur/Betriebssystem).Zu erfassen sind sowohl die vernetzten als auch die nicht vernetzten IT-Systeme. Wurden ITSysteme im Netzplan zu einer Gruppe zusammengefasst. WLAN Access Points). Netzdrucker etc.1. Router. die nicht im Netzplan aufgeführt sind. aus der die Zusammenhänge zwischen den wichtigen Anwendungen und den entsprechenden IT-Systemen hervorgehen. (vgl 7.1. Anwender/innen bzw.und Server-Computer). Anwendungen. B. Netzpläne oder ähnliche grafische Übersichten sind auch aus betrieblichen Gründen in den meisten Institutionen vorhanden. Aufstellungsort . auch solche. Plattform (z. welche dem IT-System zuzuordnen sind (Datenverarbeitung und/ oder -transfer). die nicht im Netzplan aufgeführt sind. Benutzer/innen. Token-Ring). 176 . insbesondere also auch solche. aktive Netzkomponenten (wie Switches. Backbone-Techniken (FDDI. [Q: BSI-Standard 100-2] 7. können sie weiterhin als ein Objekt behandelt werden. WLANs.1. Ergebnis ist eine Übersicht. bei Gruppen: Anzahl der zusammengefassten IT-Systeme. Administratoren des IT-Systems. Für die Informationssicherheit sind folgende Objekte relevant: • • IT-Systeme ( Client. Auch dafür sollten nach Möglichkeit bereits existierende Datenbanken oder Übersichten über die vorhandenen oder geplanten IT-Systeme genutzt werden. Informationen pro IT-System: • • • • • • • • eindeutige Nummerierung. Beschreibung (Typ und Funktion).1.1 ). Netzverbindungen zwischen diesen Systemen: LANs (Ethernet. Status (in Betrieb.

etc).. Ggf. Der Netzplan sollte möglichst in elektronischer Form mit Hilfe geeigneter Tools erstellt und gepflegt werden. etc). z. Art der Netzanbindung. Bluetooth. auf den unteren Schichten verwendete Netzprotokolle (z. Es empfiehlt sich.• Verbindungen nach außen (z. LAN. Kommunikationsanbindung (z.B. wenn ihre logischen (virtuellen) Strukturen wesentlich von den physischen abweichen. Plattform (Hardware. wie Virtuelle LANs (VLANs) oder Virtuelle Private Netze (VPNs). B. Netzadresse Für die Netzverbindungen zwischen den Objekten bzw. Virtuelle Netze.5 Erfassung der Gebäude und Räume 177 .. verkabeltes LAN. Internet-Zugänge über DSL-Modems.. ISDN aber auch Funkstrecken. Ethernet.. Datenbank-Server für bestimmte Anwendung Nr. B. maximale Datenübertragungsrate. Mobilfunk sowie Standleitungen zu entfernten Gebäuden oder Liegenschaften etc.B.1. Betriebssystem. Virtuelle IT-Systeme. vorhandenene Kommunikationsschnittstellen (z. sollten ebenfalls im Netzplan dargestellt werden. kann dafür ein separater Netzplan die Übersichtlichkeit verbessern. B. Standort (Gebäude. Router. Lichtwellenleiter. Jedes dargestellte Objekt sollte auch in einem zugehörigen Katalog eingetragen werden mit folgenden Elementen: • • • • • • • • eindeutige Nummerierung. Internet. virtuelle Netzverbindungen. Bereiche mit unterschiedlichem Schutzbedarf zu kennzeichnen. vollständige Bezeichnung (Hostname. zuständiger Administrator.). B. WLAN.1. X. anch außen wird eingetragen: • • • • Art der Verkabelung bzw. TCP/IP). Typ und Funktion (z. Internet mit Name des Providers). [Q: BSI-Standard 100-2] 7.Raumnummer). WLAN.B. Kürzel oder Bezeichnung als Referenz zur Grafik. externe Netzanbindungen (z. Identifikationsnummer).

eine je nach Gegebenheiten eine mehr oder weniger umfangreiche Übersicht bzw.1 In der Regel werden die IT.und Netzwerkstrukturen ständig an neue Anforderungen der Organisation angepasst. in denen IT-Systeme untergebracht sind sind wie Räume zu erfassen. Viele Organisationen nutzen ein Gebäude oder eine Etage allen. zu erstellen. In der Praxis werden oft nur größere Änderungen an der IT-Struktur einzelner Bereiche zum Anlass genommen. vor allem die Räume. die weit verstreut sind oder mit anderen Nutzern geteilt werden müssen. Daher ist es of sinnvoll.6 Aktualisierung der Strukturanalyse ISO Bezug: 27002 7.1. Räume. innerhalb derer die betrachteten Geschäftsprozesse und Fachaufgaben betrieben werden. sowie Wegstrecken. Oft sind Geschäftsprozesse und Fachaufgaben auch in fremden Räumlichkeiten angesiedelt. den Plan zu aktualisieren. Dabei sollte auch die Art der in den Räumen jeweils verarbeiteten Informationen nachvollziehbar sein. über die Kommunikationsverbindungen laufen. in denen IT-Systeme aufgestellt oder die für den IT-Betrieb genutzt werden: • • • • • Räume. Nicht in jedem Fall werden solche Änderungen umgehend in den Aufzeichnungen der Erhebung bzw. Die Folge ist. in denen schutzbedürftige Informationen (Datenträger. Räume sowie die Wegstrecke zwischen diesen. im Netzplan nachgezogen.1. Datenträgerarchive).1. 178 . weitere Räume. Schutzschränke. Dazu gehören Betriebsgelände. die ausschließlich dem IT-Betrieb dienen (wie Serverräume.ISO Bezug: 27002 7.1 In ein Sicherheitskonzept müssen alle Liegenschaften und Gebäude einbezogen werden. in denen unter anderem IT-Systeme betrieben werden (wie Büroräume). einen Plan über die Liegenschaften.1. da dies meist aufwändig ist. dass die Aufzeichnungen dann nicht auf dem aktuellen Stand sind. aber auch Aktenordner und Mikrofilme) aufbewahrt werden. [Q: BSI-Standard 100-2] 7. aber häufig nutzen Organisationen Liegenschaften. Gebäude. Etagen.

jeder Art von Vermögenswert ein Eigentümer zugewiesen. der/die die Verantwortung für die Verwaltung dieses Vermögenswertes und somit für dessen Sicherheit trägt.1. Dazu muss er/sie jedoch auch ausreichende und entsprechende Befugnisse besitzen. indem sie beispielsweise akive Komponenten automatisch erkennen. dass solche Funktionen emporär zusätzlichen Netzverkehr erzeugen. Insbeseondere ist er/ sie für die Klassifikation des Vemögenswertes und die darauf anzuwendenden Sicherheitsregeln und -maßnahmen verantwortlich. [Q: BSI-Standard 100-2] 7.etwa solche. Beauftragte/r. Dazu wird in der Organisation jedem Vemögenswert bzw. Dabei ist normalerweise nicht der Eigentümer oder Inhaber im rechtlichen Sinn gemeint. Existierende Informationen über die enthaltenen Kommunikationsverbindungen sichten und gegebenenfalls aktualisieren und vervollständigen. Existierende Iinformationen über Liegenschaften. Ebenso sollte das Ergebnis von automatischen bzw. sondern ein/e Manager/ in bzw.Eine häufige Vorgehensweise besteht darin. im Zuge von Audits mit den tatsächlich vorhandenen Strukturen und Objekten abzugleichen und gegebenenfalls auf den neuesten Stand zu bringen: • • • • • Existierende Übersichten. Es muss sichergestellt sein. die vorliegenden Aufzeichnungen periodisch oder anlässlich größerer Änderungen bzw.2 Eigentum von Vermögenswerten ISO Bezug: 27002 7. halb-automatischen Erkennungen stets daraufhin geprüft werden.1. ob wirklich alle relevanten Komponenten ermittelt wurden . Diese ggf. 179 .2 Zu jedem Vermögenswert (Asset) muss es eine klar definierte Verantwortlichkeit geben. Existierende Informationen über die enthaltenen IT-Systeme sichten und gegebenenfalls aktualisieren und vervollständigen. Netze konsultiert werden. Netzpläne. grafische Darstellungen und Netzpläne sichten. dass dieser Netzverkehr nicht zu Beeinträchtigungen des IT-Betriebs führt. Dazu sollten auch die IT-Verantwortlichen und Administratoren der einzelnen Anwendungen bzw. die sich zum Zeitpunkt des Erkennungslaufes nicht in Betrieb befunden haben. Zu beachten ist jedoch.und Systemmanagement unterstützen Objeklisten bzw. Gebäude und Wegstrecken sichten und gegebenenfalls aktualisieren und vervollständigen. aktualisieren oder neu erstellen. Einige Programme zum zentralisierten Netz.

1.1.225] 7. Bei komplexeren Informationen. der Leiter der IT zusammen mit dem Informationssicherheitsmanagement für die Ausarbeitung von Sicherheitsvorgaben für die IT-Komponenten. die Administratoren für deren korrekte Umsetzung und die Benutzer/innen für den sorgfältigen Umgang mit den zugehörigen Informationen. es ist explizit anders geregelt). Jede/r Mitarbeiter/in ist für das verantwortlich.1. damit die Zuständigkeit jederzeit deutlich erkennbar ist. Anwendungen und IT-Komponenten sollten alle Verantwortlichen und deren Vertretungen namentlich genannt sein.2 Grundsätzlich ist die Beteiligung und Mitwirkung aller Mitarbeiter/innen einer Organisation an der Umsetzung der erforderlichen Sicherheitsmaßnahmen erforderlich. [Q: CASES Leitfaden "Klassifikation"] 7. Dazu müssen sie allerdings wissen. Anwendungen und Systemen. . die Aufgaben für die Umsetzung der Sicherheitsmaßnahmen klar definiert und zugewiesen werden.1. für welche Informationen.Diese Verantwortung kann zwar nicht delegiert werden.2.2 Aufgaben der Eigentümer und Verantwortlichen ISO Bezug: 27002 7. Es muss jedoch konkret und exakt für alle Informationen. [Q: BSI M 2.2 Die Fachverantwortlichen als Eigentümer von Informationen und Anwendungen müssen die Sicherheitsmaßnahmen zu deren Schutz sicherstellen. • • 180 der Schutzbedarf der Informationen. was in seinem/ihrem Einflussbereich liegt (es sei denn. Anwendungen und IT-Komponenten sie in welcher Weise verantwortlich sind. Beispielsweise ist die Leitungsebene der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei der Einführung einer neuen Anwendung. aber der Eigentümer kann Mitarbeiter/innen oder Berater mit der Verwaltung und Ausarbeitung der Regeln beauftragen und genehmigt schießlich die vorgeschlagenen Regeln.1 Verantwortiche für Vermögenswerte (Assets) ISO Bezug: 27002 7.2. Anwendungen und IT-Komponenten korrekt festgestellt wird. wer für diese und deren Sicherheit verantwortlich ist. Anwendungen und ITKomponenten festgelegt werden. Dazu sollte immer eine konkrete Person (inklusive Vertretung) und keine abstrakte Gruppe benannt werden.

Die veranwortliche Entscheidung obliegt der Management-Ebene.3 Zulässige Nutzung von Vermögenswerten ISO Bezug: 27002 7. 7. 15. Zugriff zu den Informationen. die Informationssicherheit gefährdende Abweichungen schriftlich dokumentiert werden. um Kompromittierungen von gedruckten Informationen zu vermeiden. Anwendungen und ITKomponenten geregelt ist. welche Randbedingungen eingehalten werden müssen und welche IT-Sicherheitsmaßnahmen zu ergreifen sind. oft weitreichenden Privilegien sorgfältig und nur im vorgesehen Ausmaß umgehen . Diese PC-Richtlinie soll zumindest den Einsatz von unvernetzten PCs regeln. 181 .3.225] 7.1. Bedeutend ist in diesem Zusammenhang auch eine Clear Desk Policy. wie mit eventuellen Restrisiken umgegangen werden soll.dies gilt auch für Notfälle und Ausnahmesituationen. Diebstahl.3. Kompromittierung etc.3. werden PCs vernetzt betrieben oder als intelligente Terminals genutzt.1. geschützt werden.3 Benutzer/innen von Informationen und den sie verarbeitenden Einrichtungen sind dafür verantwortlich. der Zugang bzw. Selbstverständlich gehört dazu auch ein generell sorgfältiger und schonender Umgang mit Geräten wie etwa PC's. dies regelmäßig überprüft wird.1 Um einen sicheren und ordnungsgemäßen Einsatz von Personalcomputern in größeren Organisationen zu gewährleisten. Die Fachverantwortlichen müssen zusammen mit dem Management über eine Vorgehensweise befinden. dass diese nur gemäß ihrer vorgesehenen Bestimmung verwendet und vor Verlust.• • • • die erforderlichen Sicherheitsmaßnahmen umgesetzt werden.2.1. Beschädigung.3. [Q: BSI M 2.1 Herausgabe einer PC-Richtlinie ISO Bezug: 27002 7. in der verbindlich vorgeschrieben wird.1. ist die Richtlinie um diese meist weiter einschränkenden Punkte zu erweitern. 11. Speziell Administratoren und IT-Verantwortliche müssen mit den ihnen eingeräumten. sollte eine PC-Richtlinie erstellt werden.

Es ist dafür Sorge zu tragen. die PC-Anwender/innen für IT-Sicherheit zu sensibilisieren und zu motivieren. Vgl. Rechtsvorschriften und interne Regelungen: Hier wird auf wichtige Rechtsvorschriften (z. umzusetzen sind. Datenschutz-/IT-Sicherheitsbeauftragte. 15.1. dass jede/r PC-Benutzer/in ein Exemplar dieser Richtlinie besitzt und dass die Einhaltung regelmäßig überprüft wird.7. Sind Telearbeiter/innen im Unternehmen bzw. sollte die PC-Richtlinie um die dafür spezifischen Regelungen ergänzt werden.3. Vorgesetzte.1 182 .3. Geltungsbereich: In diesem Teil muss verbindlich festgelegt werden. wer im Zusammenhang mit dem PC-Einsatz welche Verantwortung trägt. [eh SYS 5. Möglicher inhaltlicher Aufbau einer PC-Richtlinie: • • • • • Zielsetzung und Begriffsdefinitionen: Dieser erste Teil der PC-Richtlinie soll dazu dienen. welche Inhalte für eine solche PC-Richtlinie sinnvoll sind. der Behörde die PC-Richtlinie gilt. das Datenschutzgesetz 2000 und das Urheberrechtsgesetz ) hingewiesen.2 Einführung eines PC-Checkheftes ISO-Bezug: 27002 7.1] 7.aktualisiert werden. Bereichs-IT-Sicherheitsbeauftragte und Applikations-/Projektverantwortliche zu unterscheiden. Es kann je nach Schutzbedarf auch über die ITGrundschutzmaßnahmen hinausgehen. Dabei sind insbesondere die Funktionen IT-Benutzer/innen.3.3.3 Regelungen für Telearbeit . Darüber hinaus kann diese Stelle genutzt werden.3. um alle relevanten betriebsinternen Regelungen aufzuführen. 11. Die PC-Richtlinie muss regelmäßig . Gleichzeitig werden die für das gemeinsame Verständnis notwendigen Begriffe definiert und eine einheitliche Sprachregelung geschaffen.2. dazu Kapitel 11. welche ITSicherheitsmaßnahmen von dem/der IT-Benutzer/in einzuhalten bzw. PC-Administratoren.insbesondere im Hinblick auf die ITSicherheitsmaßnahmen . Verantwortungsverteilung: In diesem Teil wird definiert. in der Behörde beschäftigt.B. Umzusetzende und einzuhaltende IT-Sicherheitsmaßnahmen: Im letzten Teil der PC-Richtlinie ist festzulegen. 11. für welche Teile des Unternehmens bzw.2.Im Folgenden wird grob umrissen.1.

planmäßige Zeitpunkte für die Datensicherungen. große Organisationen führen und verwalten diese Dokumentationen im Allgemeinen zentral. Zeitpunkt von Passwort-Änderungen. Diese Maßnahme bietet sich in erster Linie für kleine und mittlere Organisationen an.2] 7.7. Einsatzgebiet (z. durchgeführte Wartungen und Reparaturen.1. Zugangsmittel. Passwort-Änderungen und Viren-Checks durchführt (sofern dies nicht zentral erfolgt (s.und Software. Ansprechpartner für Problemfälle und Zeitpunkte der durchgeführten Datensicherungen. Aufstellungsort des PC. zur Verfügung stehendes Zubehör.3 11. damit sie/er regelmäßig Datensicherungen.)).3 Geeignete Aufbewahrung tragbarer IT-Systeme ISO Bezug: 27002 7. Kundendienst Inland) Erlaubnis (Laptop) aus dem Betriebsräumen zu entfernen Beschreibung der Konfiguration.1. des PCBenutzers. Kommt ein PC-Checkheft zum Einsatz. des PC-Benutzers.o. in dem der/die PC-Nutzer/in die wichtigsten Angaben zum Gerät dokumentiert. so sollte es folgende Informationen enthalten: • • • • • • • • • • • • • • • Name der PC-Benutzerin bzw. kann ein PC-Checkheft eingeführt werden. eingesetzte Hard. durchgeführte Revisionen. Das Führen eines solchen PC-Checkheftes erleichtert Kontrolltätigkeiten und unterstützt eine notwendige Selbstkontrolle der PC-Benutzerin bzw.Um die durchgeführten IT-Sicherheitsmaßnahmen am PC zu dokumentieren. [eh SYS 5.1 183 . durchgeführte Viren-Kontrollen.B.3.

am Flughafen. in Hotelzimmern sollte das mobile IT-System nicht offen herumliegen. im Flugzeug oder im Hotelzimmer zu vergessen. also beispielsweise in einem Schrank oder Schreibtisch.1 Mobile ITGeräte Einige Hinweise für die mobile Nutzung: Schutz vor Diebstahl und Verlust: • • • • • • • Das Gerät sollte gar nicht oder nur in einem minimalen Zeitraum unbeaufsichtigt sein. Vergleiche 11. wo möglich.auch dann. also beispielsweise vor Feuchtigkeit durch Regen oder Spritzwasser. um unerlaubte Nutzung zu verhindern. 184 . sollte das Gerät von außen nicht sichtbar sein (Abdecken oder Einschließen in den Kofferraum). oder angekettet werden. es nicht etwa im Taxi. Weil ein tragbares IT-Systeme besonders leicht zu transportieren und zu verbergen ist. Ebenso sollten mobile Endgeräte vor schädlichen Umwelteinflüssen geschützt werden. aber auch das Display können anderenfalls beschädigt werden.7. Auch deshalb sollten IT-Geräte aber auch ihre Akkus nicht in geparkten Autos zurückgelassen werden. wenn sie sich im vermeintlichen sicheren Büro befinden. wird das mobile IT-System in einem fremden Büro vor Ort benutzt. die tragbaren ITSysteme auch außer Haus sicher aufzubewahren. Zur Beaufsichtigung des Geräts gehört auch. so ist entweder dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen oder das Gerät mitzunehmen.Tragbare IT-Systeme wie Laptops. Bietet das Gerät eine Möglichkeit zum Anketten. Bei mobilem Einsatz müssen die Benutzer/innen versuchen. bei Aufbewahrung eines tragbaren PC oder PDA in einem Kraftfahrzeug. Insbesondere der Akku. sondern in einem Schrank verschlossen werden. PDAs oder Mobiltelefone sind durch ihre Bauform immer beliebte Ziele für Diebstähle und müssen sicher aufbewahrt werden . sollte das Gerät außerhalb der Nutzungszeiten weggeschlossen werden. Schutz vor Beschädigung: • • Ein mobiles IT-System sollte nie extremen Temperaturen ausgesetzt werden. Zusätzlich ist ein Zugriffschutz zu aktivieren oder das Gerät auszuschalten. sollte sie genutzt werden. jedenfalls sollte das Gerät nur so kurz als möglich in einem Kraftfahrzeug aufbewahrt werden (keinesfalls über Nacht).

Dabei ist jedoch darauf zu achten. für den Transport ein schützendes Behältnis zu verwenden.). wer IT-Komponenten bzw. Es ist empfehlenswert.4 Mitnahme von Datenträgern und IT-Komponenten ISO Bezug: 27002 .B. Grundsätzlich sollte für alle IT-Komponenten. kann mittels Stichproben kontrolliert werden.34] 7. dass solche Kontrollen nicht in unnötig schikanöse Durchsuchungen ausarten. etc. in größeren Organisationen) Zurittskontrollen durch Portier. Gibt es (z. welche grundlegenden IT-Sicherheitsmaßnahmen dabei beachtet werden müssen (Virenschutz.1.• Mobile IT-Systeme sind heute zwar robust. Bei Laptops sollte beispielsweise das Gerät zusammengeklappt werden. aber dennoch sollten sie auch bei kürzeren Transportwegen möglichst stoßgeschützt befördert werden. Datenträger außer Haus mitgenommen werden dürfen.3 Datenträger und IT-Komponenten sind meist innerhalb der Liegenschaft(en) der eigenen Organisation hinreichend vor Mißbrauch und Diebstahl geschützt. Grundsätzlich ist es immer empfehlenswert. die extern eingesetzt werden sollen. Aufbewahrungsorte ab. da sowohl die Scharniere als auch der Bildschirm bei einem Sturz leicht beschädigt werden können. Dabei muss festgelegt werden: • • • welche IT-Komponenten bzw. [Q: BSI M 1. z. Oft sollen sie aber auch außer Haus eingesetzt werden.3. bei Dienstreisen oder Telearbeit. Verschlüsselung sensitiver Daten. das die wichtigsten Hinweise und Vorsichtsmaßnahmen zur geeigneten Aufbewahrung und zum sicheren Transport der Geräte enthält.33.1. Für einen ausreichenden Schutz muss die Mitnahme von Datenträgern und IT-Komponenten klar geregelt werden. 185 . für die Benutzer mobiler IT-Systeme ein Merkblatt zu erstellen. Datenträger außer Haus mitnehmen darf. B.oder Wachdienste. M 1.7.bzw. Die Art und der Umfang der anzuwendenden IT-Sicherheitsmaßnahmen für extern eingesetzte IT-Komponenten hängt einerseits vom Schutzbedarf der darauf gespeicherten IT-Anwendungen und Daten und andererseits von der Sicherheit der Einsatz. sinwieweit die Regelungen für die Mitnahme von Datenträgern und IT-Komponenten eingehalten werden. eine entsprechende Genehmigung eingeholt werden müssen. Aufbewahrung.

1. müssen die Zugriffsrechte so gesetzt sein. Falls dies der Fall ist oder falls gewünscht ist. Es ist zu prüfen. sollten möglichst komplett verschlüsselt werden. müssen diese .5 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Videokameras ISO Bezug: 27002 7. muss die Systemadministration ein Kommando zur Verfügung stellen.3. Es sollte protokolliert werden. den Bildschirm) integriert ist und nur durch Software ein. Diese Mechanismen sollten auch genutzt werden. 9. Der Zugriff auf die Gerätedatei sollte nur möglich sein.3 Geeignete Aufbewahrung tragbarer IT-Systeme ). die Zugriffsrechte auf die entsprechende Gerätedatei haben.1.1 Das Mikrofon bzw. die Videokamera eines vernetzten Rechners kann von denjenigen benutzt werden. wann und von wem welche IT-Komponenten außer Haus eingesetzt wurden. das 186 . IT-Systeme oder Datenträger.218] 7.Außerhalb der organisationseigenen Büros bzw. Bei Mitnahme ins Ausland: unerlaubter Import von Verschlüsselungstechnik Es ist mit der Offenlegung der Daten vor Zollbeamten zu rechnen [Q: BSI M 1. ob Zugriffsrechte und Eigentümer bei einem Zugriff auf die Gerätedatei verändert werden. Wartung und Weitergabe von extern eingesetzten IT-Systemen sollte geregelt werden. dass es keine Unbefugten benutzen können. Bei Dienstreisen sollten sie nicht unbeaufsichtigt bleiben oder in Fahrzeugen zurückgelassen werden (siehe auch 7.1. solange jemand an dem IT-System arbeitet.1. 10.3.8. die sensitive Daten enthalten.wenn möglich ausgeschaltet oder physikalisch vom Gerät getrennt werden.5. die Kamera benutzen kann (und nicht nur in Einzelfällen eine Freigabe durch den Systemadministrator erfolgen soll). die Kamera in den Rechner (bzw.3. Wenn die Benutzung eines vorhandenen Mikrofons oder einer Kamera generell verhindert werden soll.und ausgeschaltet werden kann. Die Verwaltung. etwa: • • • • • • • IT-Systeme müssen stets sicher aufbewahrt werden. Liegenschaften sind die Benutzer/ innen für den Schutz der ihnen anvertrauten IT verantwortlich und darauf sowie auf zu ergreifende Vorsichtsmaßnahmen sind sie hinzuweisen. dass jede/r Benutzer/in das Mikrofon bzw. Falls das Mikrofon bzw. IT-Systeme wie Laptops oder Mobiltelefone und deren Anwendungen können im Allgemeinen durch PINs oder Passwörter abgesichert werden.

nur durch diese/n Benutzer/in aktiviert werden kann und die Zugriffsberechtigungen dem/der Benutzer/in nach dem Abmelden wieder entzieht. [eh SYS 5.eine Reihe von Möglichkeiten zur Verfügung. ihr nachträglicher Ausbau) (Physischer) Verschluss von Laufwerken (z.1. (Logische) Sperre von Schnittstellen: 187 .B. . Zur Verringerung dieser Bedrohungen stehen .. USB Festplatten oder CD-ROM. CD-ROM-.) erforderlich. 10.1. Verbote. wenn jemand an dem IT-System angemeldet ist. etc. dass in vielen Fällen eine völlige Sperre der Wechselmedien entweder technisch nicht möglich oder aber aus betrieblichen Gründen nicht durchsetzbar ist. ermöglichen raschen und einfachen Transfer von Daten und Programmen. Maßnahmen zur Sicherung von Wechselmedien: • • • Verzicht auf USB-. ZIPDisketten.. bringen aber auch eine Reihe von Risiken mit sich..6 Absicherung von Wechselmedien ISO Bezug: 27002 7. Wünschenswert wäre es auch. wie etwa USB-Sticks. Es ist aber zu betonen. .1.7.8 Wechselmedien. die unten beispielhaft angeführt werden..• • • nur aktiviert werden kann.. USB-Festplatten.6] 7. Mikrofon und Kamera nach einer voreingestellten Zeitspanne ohne Aktivität automatisch abzuschalten (Timeout). Hier sind zusätzliche personelle (Anweisungen.3. .) und organisatorische Maßnahmen (Kontrollen. unautorisierte Installation von Software und unberechtigte Kopien von Daten auf Wechselmedien (Verlust der Vertraulichkeit). CD-ROMs. Laufwerke (bzw.. 10. Als derartige Risiken wären unter anderem zu nennen: • • • unkontrolliertes Booten von Geräten etwa von USB-Sticks.abhängig von der Art der Wechselmedien und dem zugrunde liegenden Betriebssystem .3.. durch Einsatz von Diskettenschlössern).

Die jeweiligen Regeln müssen allen Benutzern bekannt gegeben werden und deren Einhaltung kontrolliert werden. Benutzern und Systemverantwortlichen stark reduzieren. Diese Vorgehensweise bietet einen relativ hohen Grad an Sicherheit (insbesondere an nachträglichen Nachweismöglichkeiten).Vergleiche Kapitel 11. Deaktivierung im BIOS: Das BIOS bietet Möglichkeiten um nur von bestimmten Laufwerken zu booten.• • • • Viele Betriebssysteme bieten die Möglichkeit. Hier sind entsprechende Vorkehrungen zu treffen. dass die Benutzer diese Einstellungen nicht mehr verändern können. dass bei IT-Systemen im Netzwerk ein Laden von Treibern etc. so dass etwaige Manipulationen ersichtlich sind. Dabei ist allerdings zu beachten. es ist aber zu bedenken. ist die parallele Schnittstelle oft für den Anschluss eines Druckers offen zu halten).2 188 . Häufige Übersiedlungen. Verschlüsselung: Es existieren verschiedenste Produkte. Es sollte hierbei jedenfalls das Booten von Wechselmedien im BIOS deaktiviert werden. etwa über das Internet oder mittels Attachments von Mails möglich ist. Es ist auch zu bedenken.7. Konfigurationsänderungen etc.B.3] 7. dass damit die Flexibilität der Systeme stark eingeschränkt wird. die Zugriffe ausschließlich auf Datenträger.1. Diese wird verplombt. SCSISchnittstellen) und oft auch aus betrieblichen Gründen nicht durchführbar ist (z. Schnittstellen zu sperren. können die Akzeptanz dieser Maßnahme bei Benutzerinnen bzw.B. [eh SYS 5. jedoch bestimmten Regeln unterworfen. zulassen. Gegebenenfalls Verblenden und Verplomben von Schnittstellen Nach Anschluss aller erforderlichen Schnittstellen wird die Rückseite des Gerätes mit einer speziellen Abdeckung verblendet. dass dies nicht immer technisch möglich (z. Solche Regeln könnten etwa Beschränkungen auf die Verwendung bestimmter Dateitypen sein.4 Wechselmedien und externe Datenspeicher. die mit bestimmten kryptografischen Schlüsseln versehen worden sind.2 Klassifizierung von Informationen ISO Bezug: 27002 7. Regeln: In vielen Fällen ist die Benutzung externer Speichermedien durchaus erlaubt. Es muss jedoch auch sichergestellt werden.

Somit muss nicht für jedes Asset eine eigene Liste mit Regeln erstellt werden. Jede solche Sicherheitsklasse gibt die Anforderungen bezüglich Vertraulichkeit. Dokumentation und Umsetzung der Regeln für die richtige Verwendung von Informationen duch ihren jeweiligen Eigentümer. Bei der Klassifikation wird jedem Vermögenswert (Asset) eine bestimmte Sicherheitsklasse zugeordnet. bei dem die einzelnen Assets durch ihre Klassen repräsentiert werden. Daher sollten Standardmethoden verwendet werden.und Datenschutzkriterien ist unter 5. Integrität und Verfügbarkeit des Assets wieder.Klassifikation dient zur Identifizierung. Die Klassifikation ist ein umfassender Ansatz. [Q: CASES Leitfaden "Klassifikation"] 189 . aber auch die Gewährleistung einer vollständigen und stimmigen Klassifikation.2.5 Klassifizierung von Informationen beschrieben. deren Teilbereiche ja von unterschiedlichen Eigentümern interpretiert werden. Die Herausforderungen bei Klassifikation sind zunächst die richtige Einschätzung der jeweiligen Sicherheitsklasse. Ein Leitfaden zur Klassifizierung nach Vertraulichkeits.

1 Regelungen für eigene Mitarbeiter/innen angeführt.1.3 Bei der Einstellung von Mitarbeiterinnen/Mitarbeitern sind diese zur Einhaltung einschlägiger Gesetze (z. Im Folgenden werden in Kapitel 8.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze. die Vorgaben in der täglichen Praxis umzusetzen. § 14 "Datensicherheitsmaßnahmen" und § 13 "Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland".B. Kapitel 8. Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000) § 15 "Datengeheimnis". Darüber hinaus ist es auch notwendig. sowie dem Informationssicherheitsgesetz für den Bereich der öffentlichen Verwaltung). Andererseits stellen Mitarbeiter/innen auch potentielle Angriffs.1 Regelungen für Mitarbeiter/innen 8.2 gibt einige spezielle Regelungen für Fremdpersonal. Vorschriften und interner Regelungen zu verpflichten. Vorschriften und Regelungen ISO Bezug: 27002 8. Kapitel 8. IT-Sicherheit kann auch bei besten technischen Maßnahmen nur funktionieren. wenn die Mitarbeiter/innen ein ausgeprägtes Sicherheitsbewusstsein haben und bereit und fähig sind. die teilweise sinngemäß auch für Fremdpersonal gelten. 8.1.8 Personelle Sicherheit Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 8 ff "Personelle Sicherheit". 190 . Aus diesen Gründen ist der Schulung und Sensibilisierung für Fragen der ITSicherheit eine besondere Bedeutung zuzumessen. sich mit den Möglichkeiten und potentiellen Problemen von Mitarbeiterinnen/Mitarbeitern auseinander zu setzen ("Know your Employee").3 schließlich führt Maßnahmen zur Sensibilisierung und Schulung im Bereich IT-Sicherheit auf.oder Fehlerquellen dar. Die Mitarbeiter/innen stellen eine der wichtigsten Ressourcen einer Organisation dar.

1. 7. nicht nur die Verpflichtung durchzuführen. die dann auch in eine entsprechende Verpflichtungserklärung aufzunehmen sind: • • • Clear Desk Policy.2.3.1.1. Neben der Verpflichtung auf die Einhaltung von Gesetzen und Vorschriften empfiehlt es sich insbesondere. 8.6.2 Aufnahme der sicherheitsrelevanten Aufgaben und Verantwortlichkeiten in die Stellenbeschreibung ISO Bezug: 27002 8.Damit sollen neue Mitarbeiter/innen mit den bestehenden Vorschriften und Regelungen zur IT-Sicherheit bekannt gemacht und gleichzeitig zu deren Einhaltung motiviert werden. Applikations-/Projektverantwortliche). Dabei ist es sinnvoll. 8.7 Clear Desk Policy) Einhaltung von PC-Benutzungsregeln (vgl. falls vorgesehen (vgl.1.1 191 . 10. Bereichs-ITSicherheitsbeauftragte.10 Remote Access und Anhang C) 8. Anzuführen sind dabei sowohl die allgemein aus der organisationsweiten IT-Sicherheitspolitik abzuleitenden Verpflichtungen als auch spezielle Verantwortlichkeiten auf Grund der Tätigkeit.3. Dies gilt in besonderem Maße für Mitarbeiter/innen mit speziellen Sicherheitsaufgaben (Mitglieder des IT-SicherheitsmanagementTeams. IT-Sicherheitsbeauftragte. für die Mitarbeiter/innen an zentraler Stelle zur Einsichtnahme vorzuhalten. Datenschutzbeauftragte. sondern auch die erforderlichen Exemplare der Vorschriften und Regelungen auszuhändigen und gegenzeichnen zu lassen bzw. dass alle sicherheitsrelevanten Aufgaben und Verantwortlichkeiten explizit in diese Beschreibungen aufgenommen werden. Regelungen zu folgenden Bereichen zu treffen.1.3 Vertretungsregelungen ISO Bezug: 27002 8.1 Bei der Erstellung von Stellenbeschreibungen ist dafür Sorge zu tragen. 8.1. Kap.1 Herausgabe einer PCRichtlinie) Einhaltung der Regeln für die Benutzung des Internet (s.

Es sollte vermieden werden. so sollten einige Punkte beachtet werden. Dies wären: 192 . Unfall. für vorhersehbare (Urlaub. die auf Grund ihres Spezialwissens nicht kurzfristig ersetzbar sind. welcher Aufgabenumfang im Vertretungsfall von wem wahrgenommen werden soll. Ist es in Ausnahmefällen nicht möglich. da dafür meist Spezialwissen sowie eine zeitgerechte Einarbeitung unkundiger Mitarbeiter/innen unbedingt erforderlich sind. Für die Vertretungsregelungen sind folgende Randbedingungen einzuhalten: • • • • • • • Die Übernahme von Aufgaben im Vertretungsfall setzt voraus.4 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeiterinnen/Mitarbeitern ISO Bezug: 27002 8.Vertretungsregelungen haben den Sinn. dass der Verfahrens. sollte frühzeitig überlegt werden. dass sie/er die Aufgaben jederzeit übernehmen kann. zB wenn sich zwei kollektiv Berechtigte wechselseitig vertreten. Dienstreise) und auch unvorhersehbare Fälle (Krankheit. Stellt sich heraus. 8.1. Dies ist besonders im Bereich der Informationsverarbeitung von Bedeutung. dass Vertretungsregeln u. wer wen in welchen Angelegenheiten mit welchen Kompetenzen vertritt. Die/der Vertreter/in darf die erforderlichen Zugangs. Es muss festgelegt sein. dass es Personen gibt. Kündigung) des Personenausfalls die Fortführung der Aufgabenwahrnehmung zu ermöglichen. vorgesehene Mehraugenprinzipien unterlaufen. Im Zusammenhang mit der Verwendung von kryptographischen Systemen ist auch über ein Verfahren zur Offenlegung von kryptographischen Schlüsseln im Rahmen des Kryptokonzeptes zu achten (siehe auch Kapitel 12.U. Die/der Vertreter/in muss so geschult werden. für Personen eine/n kompetente/n Vertreter/in zu benennen oder zu schulen. Hier ist es von besonders großer Bedeutung.3 Scheidet ein/e Mitarbeiter/in aus.oder Projektstand hinreichend dokumentiert ist.und Zutrittsberechtigungen nur im Vertretungsfall erhalten. eine/n Vertreter/in zu schulen.6 Kryptographische Maßnahmen). Daher muss vor Eintritt eines solchen Falles geregelt sein. welche externen Kräfte für den Vertretungsfall eingesetzt werden können. so bedeutet deren Ausfall eine gravierende Gefährdung des Normalbetriebes.

Firmenausweise einzuziehen. des Unternehmens zu erledigen hat. Dokumentationen) zurückzufordern. Ausgeschiedenen Mitarbeiterinnen/Mitarbeitern ist der unkontrollierte Zutritt zum Behörden.oder Firmengelände. Von der/dem Ausscheidenden sind sämtliche Unterlagen. tragbare Rechner. auf denen die einzelnen Aktivitäten der/des Ausscheidenden vorgezeichnet sind.3 193 . ausgeliehene IT-Geräte (z. Sämtliche mit Sicherheitsaufgaben betrauten Personen. Es sind sämtliche für die/den Ausscheidende/n eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw.B. insbesondere der Portierdienst. schützenswerte Räume zu betreten.und Zugriffsrechte auf IT-Systeme sowie darüber hinaus auch das Verbot.5 Geregelte Verfahrensweise bei Versetzung eines Mitarbeiters ISO Bezug: 27002 8. Optional kann sogar für den Zeitraum zwischen Aussprechen der Kündigung und dem Ausscheiden der Entzug sämtlicher Zugangs.1. Vor der Verabschiedung sollte noch einmal explizit darauf hingewiesen werden. die sie/er vor Verlassen der Behörde bzw. so ist der Notlaufplan zu aktualisieren.B. Wurde in Ausnahmefällen eine Zugangsberechtigung zu einem IT-System zwischen mehreren Personen geteilt (z. Dies betrifft auch die externen Zugangsberechtigungen via Datenübertragungseinrichtungen. so ist nach Ausscheiden einer der Personen die Zugangsberechtigung zu ändern. Betriebsmittel oder Zugangsmöglichkeiten verbleiden. und diese Nachfolgenden für ihre Tätigkeiten zur Verfügung stehen. sind über das Ausscheiden der/des Mitarbeiterin/Mitarbeiters zu unterrichten. ausgesprochen werden. insbesondere zu Räumen mit IT-Systemen zu verwehren.• • • • • • • • • • • Vor dem Ausscheiden ist eine Einweisung der/des Nachfolgerin/Nachfolgers durchzuführen. ausgehändigte Schlüssel. dass alle Verschwiegenheitserklärungen weiterhin in Kraft bleiben und keine im Rahmen der Tätigkeit erhaltenen Informationen weitergegeben werden dürfen.bzw. Insbesondere sind die Behörden. dass bei Ausscheidenden keine Unterlagen. Ist die ausscheidende Person ein/e Funktionsträger/in in einem Notlaufplan. mittels eines gemeinsamen Passwortes). Nach Möglichkeit sollte eine Neuvergabe der User-ID an eine/n andere/n Mitarbeiter/in vermieden/ausgeschlossen werden. Es ist sicherzustellen. Als ein praktikables Hilfsmittel haben sich Laufzettel erwiesen. zu löschen. 8. Speichermedien.

eventuell zu Sicherheitsproblemen führen kann. Unterlagen und Zubehör verschlossen werden können.2 Jede/r Mitarbeiter/in sollte vor ihrer/seiner Abwesenheit ihre/seine Unterlagen und den persönlichen Arbeitsbereich verschließen: Schreibtisch.1. Dazu gehört auch die ergonomische Gestaltung des Arbeitsplatzes. deren Nichtbeachtung u.. die bei solchen Problemen konkrete Hilfe und Lösungsmöglichkeiten anbieten kann.1 Ein positives Betriebsklima motiviert die Mitarbeiter/innen einerseits zur Einhaltung von IT-Sicherheitsmaßnahmen und bewirkt andererseits die Reduzierung von fahrlässigen oder vorsätzlichen Handlungen (vgl.2. Ergonomie ist nicht Gegenstand dieses Handbuches. Reinigungspersonal.1.) Zugriff zu Schriftstücken. 8. ein positives Betriebsklima zu erreichen. 8.. unbefugte Mitarbeiter/innen. ihre Mitarbeiter/innen und eventuelle potentielle Probleme zu kennen ("Know your Employee"). in denen Datenträger. Dies gilt insbesondere für Großraumbüros. PC und Telefon. Datenträgern und IT-Komponenten haben.Bei Versetzung einer/eines Mitarbeiterin/Mitarbeiters oder einer wesentlichen Änderung ihrer/seiner Tätigkeit sind ihre/seine Zugangsberechtigungen sowie Zugriffsrechte auf Übereinstimmung mit den neuen Anforderungen zu überprüfen und gegebenenfalls anzupassen. dass keine unberechtigten Personen (Besucher/innen.a. Ursache für eine unzureichende Aufgabenerfüllung können oftmals persönliche Probleme einer/eines Arbeitnehmerin/Arbeitnehmers sein.7 Clear Desk Policy ISO Bezug: 27002 8.2. Dazu gehören etwa verschließbare Schreibtische oder Schränke.6 Gewährleistung eines positiven Betriebsklimas ISO Bezug: 27002 8. die eine Störung des IT-Betriebs herbeiführen können. 194 . Daher ist es für jede Organisation wichtig. wenn eine Anlaufstelle zur Verfügung steht. Schrank. §126a zu Datenbeschädigung). Weiters ist bei der Ausstattung von Arbeitsplätzen darauf zu achten. aber auch in den anderen Fällen ist dafür Sorge zu tragen. dass die Einhaltung von IT-Sicherheitsmaßnahmen unterstützt wird. die Wichtigkeit einer ergonomischen Gestaltung des Arbeitsplatzes sei aber hier nochmals betont. Hierzu besteht eine Reihe von Regelungen und Normen. Daher sollte auch unter ITSicherheitsaspekten versucht werden. Dokumentationen. In vielen Fällen kann es hilfreich sein.

Ist keine Zugriffskontrolle realisiert. an einem PC unter der Identität einer/eines Anderen weiterzuarbeiten.1. Das hierfür eingesetzte Personal muss sorgfältig ausgewählt werden. dass die Befugnisse nur für die erforderlichen Administrationsaufgaben verwendet werden dürfen. sie ggf. dass erheblicher Missbrauch möglich wäre. Eine regelmäßige Kontrolle von Administratoren . Ist es einer/einem Dritten möglich.1. Es soll regelmäßig darüber belehrt werden. wieweit durch technische Maßnahmen . Kapitel 8.die Befugnisse von Administratoren eingeschränkt werden können. Vorschriften und Regelungen ) aufgenommen werden. 8. so ist die Abmeldung der/des Benutzerin/ Benutzers aus Gesichtspunkten der Ordnungsmäßigkeit dennoch vorzuschreiben.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze.in Abhängigkeit vom eingesetzten System .1. Sie haben . so ist jegliche sinnvolle Zugriffskontrolle unmöglich. Daher sind alle PC-Benutzer/innen zu verpflichten.Ist eine Clear Desk Policy-Regelung in einer Organisation vorgesehen. ohne deren Aufgabenerfüllung zu beeinträchtigen.etwa die Verschlüsselung von ausgewählten Daten oder Zugriffsbeschränkungen zu Protokollfiles . Administratoren und ihre Vertreter/innen sind in der Lage. so sollte die Einhaltung dieser Regelung in die Verpflichtungserklärung jeder/jedes Mitarbeiterin/ Mitarbeiters (vgl. auf alle gespeicherten Daten zuzugreifen. Darüber hinaus sollte geprüft werden.3 Wird ein PC von mehreren Benutzerinnen/Benutzern genutzt und besitzen die einzelnen Benutzer/innen unterschiedliche Zugriffsrechte auf im PC gespeicherte Daten oder Programme.1. wenn jede/r Benutzer/in sich nach Aufgabenerfüllung bzw. 8.1 Administratoren von IT-Systemen und ihren Vertreterinnen/Vertretern muss vom Betreiber großes Vertrauen entgegengebracht werden können.1.8 Benennung eines vertrauenswürdigen Administrators und Vertreterin/Vertreters ISO Bezug: 27002 8.9 Verpflichtung der PC-Benutzer/innen zum Abmelden ISO Bezug: 27002 8. so kann der erforderliche Schutz mittels einer Zugriffskontrolle nur dann erreicht werden. bei Verlassen des Arbeitsplatzes am PC abmeldet.ist vorzusehen.etwa durch Auswertung von Protokollen durch Revisoren . sich bei Verlassen des Arbeitsplatzes abzumelden. zu verändern und Berechtigungen so zu vergeben. 195 .weit gehende und oftmals allumfassende Befugnisse.

die Ursachen für diese Probleme festzustellen und Lösungen aufzuzeigen. Beispielsweise ist eine Anweisung.3 Mittels Protokollauswertung oder durch Stichproben ist in angemessenen Zeitabständen zu überprüfen. dass sie nicht offen über ihnen bekannte Schwachstellen und Sicherheitslücken berichten.2. ob die Benutzer/innen eines IT-Systems die organisatorischen Vorgaben (etwa Verpflichtung zur Abmeldung nach Aufgabenerfüllung oder Verbot der Weitergabe von Passwörtern) auch tatsächlich einhalten.11 Geregelte Verfahrensweise bei vermuteten Sicherheitsverletzungen ISO Bezug: 27002 8. vertrauliche Schreiben nicht unbeaufsichtigt am Drucker liegen zu lassen. ist das meist ein Zeichen dafür.1. dass nur eine kurze Unterbrechung der Arbeit erforderlich ist. Diese können beispielsweise in der Änderung bestehender Regelungen oder in der Hinzunahme technischer Maßnahmen bestehen. Kontrollen sollten vor allen Dingen darauf ausgerichtet sein.10 Kontrolle der Einhaltung der organisatorischen Vorgaben ISO Bezug: 27002 8. während einer Kontrolle mit den Beteiligten über mögliche Problemlösungen zu sprechen und entsprechende Abhilfen vorzubereiten. sondern versuchen. Wenn die Mitarbeiter/innen dies befürchten müssen.1. Vielmehr ist es wichtig.3 196 . dass diese nicht mit den Arbeitsabläufen vereinbar ist oder durch die Mitarbeiter/innen nicht umgesetzt werden kann. Wenn bei Kontrollen Mängel festgestellt werden. dass dies allen Beteiligten als Ziel der Kontrollen erkennbar ist und dass dabei keine Personen bloßgestellt werden oder als "Schuldige" identifiziert werden. 8. Es ist daher sinnvoll. Wenn Mitarbeiter/innen eine Regelung ignorieren oder umgehen. kann an Stelle des Abmeldens auch eine manuelle oder nach einer gewissen Zeit automatische Aktivierung der Bildschirmsperre erfolgen.Ist absehbar. wenn zum Drucken nur ein weit entfernter Netzdrucker zur Verfügung steht. Für die Akzeptanz von Kontrollen ist es wichtig. besteht die Gefahr. unsinnig. kommt es nicht darauf an. Mängel abzustellen. 8. bestehende Probleme zu vertuschen. nur die Symptome zu beseitigen.1.

sind ebenfalls schriftlich auf die Einhaltung der geltenden einschlägigen Gesetze.3 Beaufsichtigung oder Begleitung von Fremdpersonen ISO Bezug: 27002 8.2.sollen festgelegt.2 Verpflichtung externer Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze.1 Regelungen für den kurzfristigen Einsatz von Fremdpersonal ISO Bezug: 27002 8. des Unternehmens erlaubt ist etc.3 Externe Mitarbeiter/innen.h. dass also etwa der Aufenthalt in sicherheitsrelevanten Bereichen nur in Begleitung von Mitarbeiterinnen/ Mitarbeitern der Behörde bzw.2. dazu etwa 9.1.2 197 . denen Sicherheitsverletzungen angelastet werden.6 Portierdienst ). (vgl. 8.Die Vorgehensweise zur Untersuchung angeblicher (bewusster oder versehentlicher) Verletzungen von Sicherheitsvorgaben sowie potentielle Konsequenzen .im Falle interner Mitarbeiter/innen können dies beispielsweise disziplinäre Maßnahmen sein.1 Kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal ist wie Besucher/innen zu behandeln. Eine derartig geregelte Verfahrensweise kann einerseits infolge der abschreckenden Wirkung zur Prävention von Sicherheitsverletzungen dienen und gewährleistet andererseits eine korrekte und faire Behandlung von Personen.2 Regelungen für den Einsatz von Fremdpersonal 8.1. im Falle externer Mitarbeiter/innen etwa vertraglich abgeleitete Konsequenzen . die über einen längeren Zeitraum in einer oder für eine Organisation tätig sind und ev. 8. In Anhang B werden Beispiele für die Formulierung derartiger Verpflichtungserklärungen gegeben. Zugang zu vertraulichen Unterlagen und Daten bekommen könnten.2.2. d.1. vom Management verabschiedet und allen Mitarbeiterinnen/Mitarbeitern bekannt sein. 8. Vorschriften und internen Regelungen zu verpflichten. Vorschriften und Regelungen ISO Bezug: 27002 8.

3 Sicherheitssensibilisierung und -schulung 8.2 Externe Mitarbeiter/innen sind .2 198 .7. außer in Räumen. Für den häuslichen Arbeitsplatz gilt. Die Notwendigkeit dieser Maßnahmen ist den Mitarbeiterinnen/Mitarbeitern zu erläutern und ggf.2.4 Information externer Mitarbeiter/innen über die ITSicherheitspolitik ISO Bezug: 27002 8. wenn alle Arbeitsunterlagen verschlossen aufbewahrt sind und die IT über einen aktivierten Zugangsschutz gesichert ist (vgl.3 Regelungen für Telearbeit ).3.1. eine/n Fremde/n allein im Büro zurückzulassen. Handwerker/innen. sollte man eine/n Kollegin/Kollegen ins Zimmer oder den/die Besucher/in zu einer/einem Kollegin/Kollegen bitten. Kap.6 Portierdienst ). Fremdpersonen (z.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter/innen ISO Bezug: 27002 8. die ausdrücklich dafür vorgesehen sind. Tastaturschloss). 8. in einer Dienstanweisung festzuhalten.B.Fremde (Besucher/innen. Siehe auch 8. Wird es erforderlich.1. Ist es nicht möglich.4 Zutrittskontrolle und 9. Eine Dokumentation über den Aufenthalt von Fremdpersonen kann in einem Besucherbuch geführt werden.und Reinigungspersonal) sollten. 8. Schrank und PC (Schloss für Diskettenlaufwerk.7. Reinigungspersonal) ständig zu begleiten oder zu beaufsichtigen.2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes und 11. dass Familienmitglieder und Besucher/innen sich nur dann alleine im Arbeitsbereich aufhalten dürfen.2.7 Clear Desk Policy . nicht unbeaufsichtigt sein (siehe auch 9.1.2. 11.so weit es zur Erfüllung ihrer Aufgaben und Verpflichtungen erforderlich ist .über hausinterne Regelungen und Vorschriften zur IT-Sicherheit sowie die organisationsweite IT-Sicherheitspolitik zu unterrichten. sollte zumindest der persönliche Arbeitsbereich abgeschlossen werden: Schreibtisch. Wartungs.

Darüber hinaus müssen auch bei umfangreichen Änderungen in einer IT-Anwendung Schulungsmaßnahmen durchgeführt werden. insbesondere zu IT-Sicherheitsfragen. das Unternehmen betreibt.1.3.3. Daraus können Störungen und Schäden für den IT-Einsatz erwachsen. Stehen leicht verständliche Handbücher zu IT-Anwendungen bereit. Sie wissen nicht. Ohne eine entsprechende Einweisung kennen sie ihre Ansprechpartner/innen bzgl. Vorstellung aller Ansprechpartner/innen.1.3.2 Schulung vor Programmnutzung ISO Bezug: 27002 8. Daher ist es unabdingbar. 8.2 Schulung vor Programmnutzung und 8. Einweisung sollte zumindest folgende Punkte umfassen: • • • Planung der notwendigen Schulungen. wenn die Benutzer/innen eingehend in die ITAnwendungen eingewiesen werden. dass die Benutzer/ innen vor der Übernahme IT-gestützter Aufgaben ausreichend geschult werden. sich selbstständig einzuarbeiten.3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ).3 Schulung und Sensibilisierung zu IT-Sicherheitsmaßnahmen ISO Bezug: 27002 8. Die Einarbeitung bzw. Dies betrifft sowohl die Nutzung von Standardprogrammpaketen als auch von speziell entwickelten IT-Anwendungen. arbeitsplatzbezogene Schulungsmaßnahmen (s. Eine wesentliche Voraussetzung dazu ist allerdings die Bereitstellung ausreichender Einarbeitungszeit. welche IT-Sicherheitsmaßnahmen durchzuführen sind und welche IT-Sicherheitspolitik die Behörde bzw. IT-Sicherheit nicht.3. 8. auch 8. Erläuterung der hausinternen Regelungen und Vorschriften zur IT-Sicherheit und der organisationsweiten IT-Sicherheitspolitik. Daher kommt der geregelten Einarbeitung neuer Mitarbeiter/innen eine entsprechend hohe Bedeutung zu.Neuen Mitarbeiterinnen/Mitarbeitern müssen interne Regelungen.2 199 . so kann an Stelle der Schulung auch die Aufforderung stehen.2. Gepflogenheiten und Verfahrensweisen im IT-Einsatz bekannt gegeben werden.2 Durch unsachgemäßen Umgang mit IT-Anwendungen hervorgerufene Schäden können vermieden werden.2. 8.

Dieser Teil der Schulungsmaßnahmen hat große Bedeutung. Darüber hinaus ist der Wert von Informationen herauszuarbeiten. die in einem IT-Sicherheitskonzept erarbeitet wurden und von den einzelnen Mitarbeiterinnen/Mitarbeitern umzusetzen sind. evtl. Um dies zu verhindern. ist jede/r Einzelne zum sorgfältigen Umgang mit der IT zu motivieren. in hausinternen Publikationen. wenn alle beteiligten und betroffenen Personen einen angemessenen Kenntnisstand über ITSicherheit allgemein und insbesondere über die Gefahren und Gegenmaßnahmen in ihrem eigenen Arbeitsgebiet haben. insbesondere unter den Gesichtspunkten Vertraulichkeit. Das Aufzeigen der Abhängigkeit der Organisation und damit der Arbeitsplätze von dem reibungslosen Funktionieren der IT-Systeme ist ein geeigneter Einstieg in die Sensibilisierung. Integrität und Verfügbarkeit. im Intranet oder am "Schwarzen Brett". Eine solche Einbindung hat den Vorteil. auch durch praktische Hinweise z. Insbesondere sollen folgende Themen in der Schulung zu IT-Sicherheitsmaßnahmen vermittelt werden: • • • Sensibilisierung für IT-Sicherheit Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit. etwa in die ITAnwenderschulung. Diese Sensibilisierungsmaßnahmen sind in regelmäßigen Zeitabständen zu wiederholen.B. Es liegt in der Verantwortung der Organisationsleitung. Die produktbezogenen IT-Sicherheitsmaßnahmen 200 . Angesichts des Umfangs der möglichen Schulungsthemen und der Bedeutung der IT-Sicherheit ist bei der Auswahl der Schulungsinhalte ein koordiniertes Vorgehen erforderlich. zu integrieren. Dieses ist in Schulungskonzepten darzulegen und zu dokumentieren. Jede/ r Mitarbeiter/in ist auf die Notwendigkeit der IT-Sicherheit hinzuweisen. dass ITSicherheit unmittelbar als Bestandteil des IT-Einsatzes wahrgenommen wird. Darüber hinaus sollte jede/r Benutzer/in dazu motiviert werden. Schulungsthemen zur IT-Sicherheit soweit möglich in andere Schulungskonzepte der betreffenden Organisation.Umfassende IT-Sicherheit kann nur dann gewährleistet werden. Es sollte versucht werden. Zusätzlich sind Verhaltensregeln zu vermitteln. sich auch in Eigeninitiative Kenntnisse anzueignen. Die mitarbeiter/innenbezogenen IT-Sicherheitsmaßnahmen Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden. da viele ITSicherheitsmaßnahmen erst nach einer entsprechenden Schulung und Motivation effektiv umgesetzt werden können. die Verständnis für die IT-Sicherheitsmaßnahmen wecken. durch geeignete Schulungsmaßnahmen hierfür die nötigen Voraussetzungen zu schaffen.

Die Bedeutung der Datensicherung und deren Durchführung Die regelmäßige Datensicherung ist eine der wichtigsten ITSicherheitsmaßnahmen in jedem IT-System..6. Mögliche Inhalte dieser Schulung sind (siehe Kap. Zugangscodes für Voicemail. Dies können neben Passwörtern zur Anmeldung. Schutz vor Schadprogrammen und Schadfunktionen): • • • • • • Wirkungsweise und Arten von Schadprogrammen Vorbeugende Maßnahmen Erkennen des Schadprogrammbefalls Sofortmaßnahmen im Verdachtsfall Maßnahmen zur Eliminierung des Schadprogrammes • • Der richtige Einsatz von Zugangscodes und Zugangskontrollmedien Hierbei sollen die Bedeutung von Zugangscodes (Passwörtern. Bürgerkarte . Der geregelte Ablauf eines Datenträgeraustausches Die Festlegung.2 Regelungen des Gebrauchs von Chipkarten ). Kap. Token. der Pausenschaltung durch Bildschirmschoner auch Möglichkeiten der Verschlüsselung von Dokumenten oder Datenfeldern sein. Besonders bedeutend ist dies für den PC-Bereich. können die Vergabe von Zugriffsrechten erleichtern und den Aufwand für die Datensicherung deutlich reduzieren. PINs. ist allen Beteiligten bekannt zu geben. auch 11.) und Zugangskontrollmedien (Karten.• Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden. so sind die Mitarbeiter/innen in die Handhabung dieser Verfahren ausreichend einzuarbeiten.5 Datensicherung) der Organisation und die von jeder/jedem Einzelnen durchzuführenden Datensicherungsaufgaben. die inhärent mit einem Softwareprodukt verbunden sind und bereits im Lieferumfang enthalten sind. Hinweise und Empfehlungen über die Strukturierung und Organisation von Dateien. die einen wirksamen Einsatz von Zugangscodes und Zugangskontrollmedien erst ermöglichen. Vermittelt werden sollen das Datensicherungskonzept (s. wann welchen Kommunikationspartnerinnen/ Kommunikationspartnern welche Datenträger übermittelt werden dürfen.) für die IT-Sicherheit erläutert werden. Ebenso sind die Randbedingungen.3. in dem jede/r Benutzer/in selbst die Datensicherung verantwortlich durchführen muss. 10.1 Regelungen des Passwortgebrauches und 11. 201 . herauszuarbeiten (vgl. Werden bestimmte IT-gestützte Verfahren zum Schutz der Daten während des Austausches eingesetzt (wie etwa Verschlüsselung. digitale Signaturen oder Checksummenverfahren). wie mit Viren umzugehen ist. die anwendungsspezifische Daten enthalten.. etc. Das Verhalten bei Auftreten eines Schadprogramms auf einem PC Hier soll den Mitarbeiterinnen/Mitarbeitern vermittelt werden.

Die Einweisung in Notfallmaßnahmen Sämtliche Mitarbeiter/innen (auch nicht unmittelbar mit IT befasste Personen wie Portier oder Wachpersonal) sind in bestehende Notfallmaßnahmen einzuweisen. sind für die gesetzlich erforderlichen Sicherheitsmaßnahmen zu schulen. die die IT-Benutzer/innen in die Lage versetzt. Richtiges Verhalten bei Auftreten von Sicherheitsproblemen (IHP) Die in den Incident Handling-Plänen (IHPs) festgelegten Aufgaben und Verantwortlichkeiten aller Mitarbeiter/innen bei Auftreten sicherheitsrelevanter Ereignisse sind allen betroffenen Mitarbeiterinnen/Mitarbeitern bekannt zu machen. die vorhandene Informationstechnik sachgerecht einzusetzen. Die typischen Muster solcher Versuche. 202 .3. der Umgang mit Feuerlöschern. die mit personenbezogenen Daten (sowohl in IT-Systemen als auch in Akten) arbeiten müssen. Löschung. aber auch aus Bedienungsfehlern resultieren. fehlerhaften Softwareinstallationen. Da Social Engineering oft mit der Vorspiegelung einer falschen Identität einhergeht. Mitarbeiter/innen. die Verhaltensweisen bei Feuer. ebenso wie die Methoden.• • • • Der Umgang mit personenbezogenen Daten An den Umgang mit personenbezogenen Daten sind besondere Anforderungen zu stellen. Datensicherheitsmaßnahmen sowie Übermittlung und Überlassung von Daten.2. Widerspruch.4 Betreuung und Beratung von IT-Benutzerinnen/ITBenutzern ISO Bezug: 27002 8. Dies betrifft etwa Meldepflichten.. Diese Probleme können aus Hardwaredefekten. auch 8. Dazu gehören die Erläuterung der Fluchtwege. den Umgang mit den Rechten von Betroffenen (Auskunft.3.).2 Neben der Schulung. regelmäßige Schulungen und gegebenenfalls praktische Übungen sind vorzusehen (vgl.5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne)) Vorbeugung gegen Social Engineering Die Mitarbeiter/innen sollen auf die Gefahren des Social Engineering hingewiesen werden. über gezieltes Aushorchen an vertrauliche Informationen zu gelangen. sollten Mitarbeiter/innen regelmäßig darauf hingewiesen werden. . das Notfall-Meldesystem (wer als Erstes wie zu benachrichtigen ist) und der Umgang mit dem Disaster Recovery Handbuch.. sich dagegen zu schützen. 8. bedarf es einer Betreuung und Beratung der IT-Benutzer/innen für die im laufenden Betrieb auftretenden Probleme. die Identität von Gesprächspartnerinnen/Gesprächspartnern zu überprüfen und insbesondere am Telefon keine vertraulichen Informationen weiterzugeben. sollten bekannt gegeben werden. Richtigstellung.

5 Aktionen bei Auftreten von Sicherheitsproblemen (Incident Handling Pläne) ISO Bezug: 27002 8. die einzuhaltenden Meldewege. an wen sie/er sich in Problemfällen zu wenden hat. IHPs sind allen betroffenen Mitarbeiterinnen/Mitarbeitern bekannt zu machen. die Verantwortlichkeiten für die Meldung bzw.3 Erstellung eines Incident Handling Plans und Richtlinien zur Behandlung von Sicherheitsvorfällen dieses Handbuches). die Protokollierung und Dokumentation sicherheitsrelevanter Vorfälle sowie die Ausbildung von Personen. 8. Untersuchung sicherheitsrelevanter Vorfälle. eine zentrale Stelle mit der Betreuung der IT-Benutzer/innen zu beauftragen und diese allen Mitarbeiterinnen/Mitarbeitern bekannt zu geben ("Helpdesk").3.6 Schulung des Wartungs. Gegenmaßnahmen treffen müssen. Unternehmen kann es daher sinnvoll sein.und Administrationspersonals 203 . Die Einrichtung eines Helpdesk kann sich insbesondere bei einer hohen Zahl dezentraler Systeme wie PCs als vorteilhaft erweisen. die sicherheitsrelevante Vorfälle behandeln bzw. Es muss für jede/n Benutzer/in klar ersichtlich sein.3.1. 8. dazu auch 13.In größeren Behörden bzw. Unter sicherheitsrelevanten Ereignissen sind dabei zu verstehen: • • • • • • • • Angriffe und (vermutete) Angriffsversuche gegen ein IT-System (vermutete) Sicherheitsschwächen Funktionsstörungen von Systemen (etwa durch maliziöse Software) Incident Handling-Pläne sollen in schriftlicher Form und verbindlich festlegen: wie auf sicherheitsrelevante Ereignisse zu reagieren ist. Dabei hat sich die Wahl einer besonders leicht zu merkenden Telefonnummer besonders bewährt.2.1 Die Aufgaben und Verantwortlichkeiten aller Mitarbeiter/innen bei Auftreten von sicherheitsrelevanten Ereignissen sollten im Rahmen der organisationsweiten ITSicherheitspolitik (High-Level-Beschreibung) sowie spezieller "Incident HandlingPläne" (IHPs) sowohl für einzelne Bereiche als auch für die gesamte Organisation festgelegt werden (vgl.

3.und Administrationspersonal sollte mindestens so weit geschult werden. was solche Regelungen umfassen sollten. Im Folgenden werden einige Beispiele angeführt. die/der für die Verteilung eingehender Fax-Sendungen zuständig ist und als Ansprechpartner/in in FaxProblemfällen fungiert. dass • • • • • • alltägliche Administrationsarbeiten selbst durchgeführt. Tätigkeiten im Normalbetrieb bis zur Erkennung von Problemen eigenhändig durchgeführt.dazu zählen Fax und Router genauso wie etwa Anrufbeantworter und Voice Mail . die Eingriffe von externem Wartungspersonal nachvollzogen und Manipulationsversuche oder unbefugte Zugriffe auf die Systeme erkannt werden können. 8. Verständliche Bedienungsanleitungen. Fax (Stand-alone-Gerät) • Festlegung einer/eines Fax-Verantwortlichen. Sie sind den jeweiligen technischen Anforderungen und Möglichkeiten anzupassen. Alle Mitarbeiter/innen sind daher auf die Besonderheiten der Handhabung von solchen Geräten hinzuweisen und für potentielle Gefahren zu sensibilisieren.2.2 Das Wartungs. auch Dienstanweisungen sind den Mitarbeiterinnen/Mitarbeitern zur Kenntnis zu bringen und verfügbar zu halten. 204 .8 Einweisung in die Regelungen der Handhabung von Kommunikationsmedien ISO Bezug: 27002 8.ISO Bezug: 27002 8. einfache Fehler selbst erkannt und behoben. Datensicherungen selbsttätig durchgeführt.2 Der Einsatz neuer Medien und Geräte . bringt aber auch neue potentielle Gefährdungen der Vertraulichkeit und Integrität von Informationen mit sich.erleichtert die Kommunikation.2. Sicherheitshinweise und ggf.

wie zum Beispiel das Nichtverwerfen von Codeschlössern. Regelmäßiges Abhören und Löschen aufgezeichneter Gespräche. Beispiele für zu vermittelnde Punkte sind: • • Korrekter Umgang mit dem Schloss des Schutzschrankes: Dabei ist auf typische Fehler hinzuweisen. Kontrolle von Einzelsendenachweisen.5. Schlüsselhinterlegung und Vertretungsregelung sind aufzuzeigen. wie etwa telefonische Ankündigung eines derartigen Fax). die die Nutzung eines Schutzschrankes umfasst. dass der Schutzschrank bei .auch nur kurzfristiger . auch 9.vgl. Verbot des Versendens von vertraulichen Informationen per Fax (oder besondere technische und organisatorische Vorkehrungen für diesen Fall. 205 . Die Regelungen zur Schlüsselverwaltung. Dies sollte auch bei Neuübertragung einer Aufgabe erfolgen.3. Abschalten nicht benötigter Leistungsmerkmale. überzählige Handbücher. Im Falle eines Serverschrankes ist darauf hinzuweisen.Nichtbenutzung verschlossen wird. Druckerpapier) nicht im Serverschrank aufbewahrt werden sollen. dass unnötige brennbare Materialien (Ausdrucke. Fernzugänge Information über mögliche Gefährdungen. Insbesondere ist einzufordern. 8. einzuhaltende Sicherheitsmaßnahmen und Regelungen beim Betrieb eines Routers.9 Einweisung in die Bedienung von Schutzschränken ISO Bezug: 27002 8.3.7 Beschaffung und Einsatz geeigneter Schutzschränke ) sind die Benutzer/innen in die korrekte Bedienung einzuweisen.3 Nach der Beschaffung eines Schutzschrankes (Serverschrank oder Datensicherungsschrank . Auswirkungen verschiedener Konfigurationen auf die Betriebssicherheit des Routers. Verwendung einheitlicher Fax-Deckblätter. Anrufbeantworter • • • • Regelung über den Einsatz von Sicherungscodes für die Fernabfrage Vermeidung schutzbedürftiger Informationen auf Anrufbeantwortern. wer das Faxgerät benutzen darf. ggf.• • • • • • Festlegung.

206 . sollten dessen Öffnungszeiten minimiert werden. Gegebenenfalls ist sporadisch zu kontrollieren. Wird ein klimatisierter Serverschrank eingesetzt. bei Bedarf disloziert gelagert werden. ob im Serverschrank Wasser kondensiert ist. disloziert ausgelagert ist. wenn eine Kopie der Datensicherungsbestände in einem anderen Brandabschnitt bzw. Eine Aufbewahrung im Serverschrank ist daher ungeeignet und nur dann zulässig.• • Datensicherungsträger des Servers sollten in einem anderen Brandabschnitt bzw.

Fenstern. Dabei sind verschiedene Schutzebenen zu betrachten. Räume für technische Infrastruktur. des Gebäudes sind sicherheitsrelevant? Im Folgenden werden eine Reihe von grundlegenden Sicherheitsmaßnahmen angeführt. USV.. Die in diesem Abschnitt beschriebenen Maßnahmen dienen dem Schutz von Informationssystemen mittels baulichen und infrastrukturellen Vorkehrungen. wenn ja. Kommunikationsverbindungen. Stromversorgung. Nach Möglichkeit sollten bauliche und infrastrukturelle Maßnahmen bereits in der Planungs. Datenträgerarchiv. ein nachträglicher Einbau ist meist teuer oder gar unmöglich. Infrastruktur (Wasser-.9 Physische und umgebungsbezogene Sicherheit Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 9 ff "Physische und umgebungsbezogene Sicherheit". Bauphase Berücksichtigung finden. Auflagen von etwaigen Versicherungen eingehalten werden. wie etwa Grundstücke. 207 . ist abhängig von Größe und Schutzbedarf der Organisation. Die nachfolgenden Fragen können bei der Beurteilung der baulichen und infrastrukturellen Sicherheit hilfreich sein: • • • • • • • Lage des Gebäudes (Befindet es sich auf einem eigenen gesicherten Grundstück? Wie sind die benachbarten öffentlichen Verkehrsflächen beschaffen?) Steht das Gebäude der betreffenden Organisation zur Alleinbenützung zur Verfügung oder gibt es andere Mitbenutzer. Türen. . welche? Wer hat Zutritt zum Gebäude? Gibt es eine physische Zutrittskontrolle? Ist ein Portierdienst eingerichtet? Stärke und Schutz/Überwachung von Wänden. Weiters ist zu beachten. dass die Bedingungen bzw. Welche davon in einem konkreten Fall zum Einsatz kommen.bzw.) Welche Bereiche des Grundstückes bzw.. Serverräume. Klimaanlage. Gebäude oder Räume (Büros.. Lüftungsschächten etc.)..

Austritt schädlicher Stoffe) die Verfügbarkeit des Gebäudes (z. Dabei handelt es sich nicht um eine vollständige Aufzählung aller für einen Bereich relevanten Normen und auch nicht um verbindliche Einsatzempfehlungen. die Einfluss auf die Iinformationssicherheit haben. für Gebäude in Einflugschneisen von Flughäfen besteht Gefahr durch einen eventuellen Flugzeugabsturz. In der Nähe von Kraftwerken oder Fabriken kann durch Unfälle oder Betriebsstörungen (Explosion. Bundesstraße.1.da diese Verkehrswege auch potentielle Fluchtwege darstellen können .1 Geeignete Standortauswahl ISO Bezug: 27002 Bei der Planung des Standortes. neben den üblichen Aspekten wie Raumbedarf und Kosten auch Umfeldgegebenheiten. S.. möglicherweise zur Anwendung kommende Normen geben und ein detailliertes Einarbeiten in die Materie erleichtern. empfiehlt es sich. 9.Wo sinnvoll bzw. Streunende Haustiere können Fehlalarme von Bewegungsmeldern verursachen und Personen gefährden.oder Eisenbahnen kann es zu Störungen von Datenleitungen und CRT-Bildschirmen kommen.) liegen. zu berücksichtigen: • • • • • • • In Zusammenhang mit Schwächen in der Bausubstanz kann es durch Erschütterungen naher Verkehrswege (Straße. Vor.B.1. . hilfreich werden in den nachfolgenden Maßnahmenbeschreibungen Normen beispielhaft herausgegriffen und angeführt.2 Anordnung schützenswerter Gebäudeteile 208 . In der Nähe von Gewässern und in Niederungen ist mit Hochwasser zu rechnen. an dem ein Gebäude angemietet werden oder entstehen soll. Bahn. Die Nähe zu optimalen Verkehrswegen wird in vielen Fällen als Vorteil angesehen werden. Bei Überbauten von U-. kann aber .. Gebäude. die angeführten Beispiele sollen lediglich einen Hinweis auf existierende.und Nachteile sind entsprechend abzuwägen. die direkt an Hauptverkehrstrassen (Autobahn. Eisenbahn.unter Umständen auch die Durchführung eines Anschlages erleichtern. durch Evakuierung oder großräumige Absperrung) beeinträchtigt werden. UBahn) zu Beeinträchtigungen der IT kommen. 9.1 Bauliche und infrastrukturelle Maßnahmen 9. können durch Unfälle beschädigt werden. In der Nähe von Sendeeinrichtungen kann es zu Störungen der IT kommen.

besondere Schließzylinder. Sicherung von Kellerlichtschächten.sind durch Anschlag. Räume unterhalb von Flachdächern sind durch eindringendes Regenwasser gefährdet. Schranken und Fahrzeugsperren Kameraüberwachung und Bewegungsmelder 9. dass schutzbedürftige Räume oder Bereiche im Zentrum eines Gebäudes besser untergebracht sind als in dessen Außenbereichen. "Freilandschutz"). Dazu zählen etwa: • • • Zäune und Mauern Tore. Vandalismus und höhere Gewalt (Verkehrsunfälle in Gebäudenähe) gefährdet. Als Faustregel kann man sagen.1. diese Aspekte schon in die Bauplanung für ein neues Gebäude oder in die Raumbelegungsplanung bei Einzug in ein bestehendes einzubeziehen. auch das Umfeld des Gebäudes in das Sicherheitskonzept einzubeziehen (etwa bei einer eigenen. Dazu gehören: • • • Sicherungen bei einstiegsgefährdeten Türen oder Fenstern. ausschließlich der betreffenden Organisation gehörigen Liegenschaft). so können zusätzliche bauliche und technische Sicherheitsmaßnahmen getroffen werden ("Perimeterschutz". Zusatzschlösser und Riegel. Insbesondere ist zu beachten: • • • • Kellerräume sind durch Wasser gefährdet. Besteht die Möglichkeit. Räume im Erdgeschoss mit schlecht einsehbaren Höfen sind durch Einbruch und Sabotage gefährdet.Schützenswerte Räume oder Gebäudeteile sollten nicht in exponierten oder besonders gefährdeten Bereichen untergebracht sein.zu öffentlichen Verkehrsflächen hin . 209 . Optimal ist es. Räume im Erdgeschoss .3 Einbruchsschutz ISO Bezug: 27002 Die gängigen Maßnahmen zum Einbruchsschutz sollten den örtlichen Gegebenheiten entsprechend angepasst werden.

Operator. 9. Solche Zeitabhängigkeiten können etwa sein: Zutritt nur während der Arbeitszeit oder befristeter Zutritt bis zu einem fixierten Datum. Rechenzentren und sicherheitssensiblen Geräten zählt zu den wichtigsten physischen Schutzmaßnahmen. Das Zutrittskontrollkonzept legt die generellen Richtlinien für den Perimeter-. sollte auch beim IT-Einsatz der Grundsatz der Funktionstrennung berücksichtigt werden. Den Mitarbeiterinnen/Mitarbeitern ist durch Regelungen bekannt zu geben. Räume mit Peripheriegeräten (Drucker. In Anhang A sind relevante ÖNORMEN zum Einbruchsschutz angeführt.. Generelle Festlegung der Zutrittskontrollpolitik: Hier wird grundsätzlich festgelegt.).) Zutritt zu welchen Bereichen benötigen. organisatorische und personelle Maßnahmen. Rechnerräume. .. So verhindert beispielsweise eine getrennte Lagerung von Ersatzteilen für IT-Systeme und Datenträgern den unerlaubten Zugriff von Wartungstechnikerinnen/Wartungstechnikern auf die Datenträger. einbruchgesicherte Notausgänge. Gebäude. Angehörige von Lieferfirmen etc.• • • Verschluss von nichtbenutzten Nebeneingängen. Kommunikationseinrichtungen und die Haustechnik sein. Um die Zahl der zutrittsberechtigten Personen zu einem Raum möglichst gering zu halten. Ein Zutrittskontrollsystem vereinigt verschiedene bauliche. 210 .1. Fachabteilungsmitarbeiter/innen. welche Personengruppen (etwa RZMitarbeiter/innen. Kundinnen/ Kunden.4 Zutrittskontrolle Die Überwachung des Zutritts zu Gebäuden. Archive. Die einzelnen Bereiche können unterschiedliche Sicherheitsstufen aufweisen. ob zeitliche Beschränkungen der Zutrittsrechte erforderlich sind.und Geräteschutz fest. Dokumentation der Vergabe und Rücknahme von Zutrittsberechtigungen Definition von Zeitabhängigkeiten: Es ist zu klären. Dazu gehören: • • • • • Festlegung der Sicherheitszonen: Zu schützende Bereiche können etwa Grundstücke. Bestimmung einer/eines Verantwortlichen für Zutrittskontrolle: Diese/r vergibt die Zutrittsberechtigungen an die einzelnen Personen entsprechend den in der Sicherheitspolitik festgelegten Grundsätzen. Gebäude.und Lastenaufzügen außerhalb der Dienstzeit. welche Maßnahmen zum Einbruchsschutz beachtet werden müssen. Verschluss von Personen.

. wird ein Alarm an einer entfernten Überwachungsstelle (Portier. . . Festlegung der Beweissicherung: Hier ist zu bestimmen. sowie welche Aktionen bei versuchtem unerlaubten Zutritt zu setzen sind. die Authentisierung durch Überwachungspersonal (persönlich oder mittels Überwachungskameras) oder durch automatische Identifikations. .• • • • Festlegung der Zutrittskontrollmedien: Es ist festzulegen. die Wartung und die regelmäßige Revision des Zutrittskontrollsystems in vertretbarer Relation zum möglichen Sicherheitsrisiko? Ist die Kapazität des Zutrittskontrollsystems der Größe der Organisation angepasst? Insbesondere ist eine ausreichende Zahl von Kontrollstellen und eventuellen Vereinzelungsmechanismen vorzusehen. der den Zugang zu geschützten Bereichen gewaltsam erzwingen will. Karte. dass im Brandfall die Mitarbeiter/innen schnellstmöglich die gefährdeten Zonen verlassen können. etwa einer zusätzlichen Ziffer zur üblichen PIN. Dabei bedarf es einer sorgfältigen Abwägung zwischen den Sicherheitsinteressen des Systembetreibers und den Schutzinteressen der Privatsphäre der/des Einzelnen..) und bei Austritt einer Mitarbeiterin bzw. sicherzustellen. Polizei) ausgelöst. Voraussetzung für eine Nullsummenprüfung ist die Installation von Vereinzelungsmechanismen) erforderlich ? Ist das Auslösen eines "stillen Alarms" vorzusehen? Durch Eingabe einer vereinbarten Kennung. um Warteschlangen auch zu Stoßzeiten (Arbeitsbeginn. zu welchen Zeiten und unter welchen Randbedingungen eine Rechteprüfung erfolgen muss. ob die Identifikation bzw. Behandlung von Ausnahmesituationen: Es ist u. Schleusen.a. Festlegung der Rechteprüfung: Im Zutrittskontrollkonzept ist festzulegen.) notwendig? Welche Maßnahmen sind bei unautorisierten Zutrittsversuchen zu setzen? Ist eine Nullsummenprüfung (Anmerkung . Sperrmöglichkeiten bei Verlust oder Duplizierung des Zutrittskontrollmediums (Schlüssel.. eines Mitarbeiters. Eine solche Maßnahme bietet Schutz gegen jemanden. Karten oder biometrische Methoden erfolgen soll. Weiters sind folgende Fragen zu klären: • • • • Sind beim Betreten und/oder Verlassen eines geschützten Bereiches Vereinzelungsmechanismen (Drehtüren. den laufenden Betrieb. Stehen die Kosten für die Installation.Nullsummenprüfung: Feststellung der Anzahl der im geschützten Bereich befindlichen Personen durch Vergleich der Zu.. PINs).und Authentisierungssysteme wie Zugangscodes (Passwörter. wo. welche Daten bei Zutritt zu und Verlassen von einem geschützten Bereich protokolliert werden.und Abgänge.) zu vermeiden. • • • 211 ...

212 . Bei Zuständigkeitsänderungen von Mitarbeiterinnen/Mitarbeitern sind deren Schließberechtigungen zu prüfen und Schlüssel gegebenenfalls einzuziehen. Aufbewahrung. einzelne Räume aus der Schließgruppe herauszunehmen und mit Einzelschließung zu versehen.2 Musteranwendung MA002 Zutrittskontrollsysteme). Anhang C.Das Zutrittskontrollkonzept sollte bereits vor der Systemauswahl so detailliert wie möglich feststehen und weitgehend stabil bleiben. überflüssige bürokratische Abläufe) können dazu führen. Die Ausgabe der Schlüssel erfolgt gegen Quittung und ist zu dokumentieren. bei • • • Feststellung von Sicherheitsmängeln Erweiterungen des sicherheitsrelevanten Bereiches schlechter Benutzerakzeptanz: Die Akzeptanz durch die Benutzer ist ein entscheidendes Kriterium. Nicht ausgegebene Schlüssel und die Reserveschlüssel sind gegen unbefugten Zugriff geschützt aufzubewahren.5 Verwaltung von Zutrittskontrollmedien ISO Bezug: 27002 Für alle Schlüssel eines Gebäudes ist ein Schließplan zu fertigen. ggf. Ausfälle. Die Herstellung. wie bei Verlust einzelner Schlüssel zu reagieren ist (Meldung. Wartezeiten. die die Meldung beim Datenverarbeitungsregister erleichtert und daher für die Anwenderin bzw. zu restriktive Handhabung.1.und Muster-Verordnung 2000 wurde eine neue Musteranwendung "MA002 Zutrittskontrollsysteme" geschaffen (s. die Regeln zu verletzen. so sind für schutzbedürftige Bereiche eigene Schließgruppen zu bilden. 9. Zu beachten ist: • • • • • • Ist eine Schließanlage vorhanden. den Anwender hilfreich sein kann. Überarbeitungen werden jedoch notwendig. Verwaltung und Ausgabe von Schlüsseln ist zentral zu regeln. Beim Ausscheiden von MitarbeiterinnenMitarbeitern sind alle Schlüssel einzuziehen (Aufnahme der Schlüsselverwaltung in den Laufzettel). Es sind Vorkehrungen zu treffen. Austausch von Schließgruppen etc. dass auch grundsätzlich sicherheitsbewusste Mitarbeiter bereit sind. Mängel im Zutrittskontrollsystem (häufige Fehlalarme.). Austausch des Schlosses. Ersatz. Mit der Standard. Kostenerstattung. Reserveschlüssel sind vorzuhalten und gesichert aufzubewahren.

Scharfschaltung der Alarmanlage. • • • • • • Der Portier beobachtet bzw. Scheidet ein/ e Mitarbeiter/in aus.1.oder Chipkarten. Abhängig von der Sensibilität des zu schützenden Bereiches können auch gesperrte Schließsysteme zum Einsatz kommen. Dem Portier müssen die Mitarbeiter/innen bekannt sein. Die Besucherin bzw. sicherheitsrelevanten Bereich.B. sowie die Ausgabe von Besucherausweisen oder Besucherbegleitscheinen zu erwägen. die die Anfertigung eines Schlüssels nur unter Vorliegen definierter Bedingungen (etwa schriftliche Zustimmung einer/eines Verantwortlichen) erlauben.6 Portierdienst ISO Bezug: 27002 Die Einrichtung eines Portierdienstes hat weit reichende positive Auswirkungen gegen eine ganze Reihe von Gefährdungen. 9. ab wann dieser Mitarbeiterin bzw. Unbekannte Personen haben sich beim Portier zu legitimieren. diesem Mitarbeiter der Einlass zu verwehren ist. so genannte Multifunktionschipkarten. der Besucher wird zu der/dem Besuchten begleitet oder am Eingang abgeholt. Voraussetzung ist allerdings. in dem der Zutritt von Fremdpersonen zum Gebäude dokumentiert werden kann.1. kontrolliert alle Personenbewegungen am Eingang zum Gebäude bzw. Gebäudesicherung nach Dienst. dass bei der Durchführung des Portierdienstes einige Grundprinzipien beachtet werden. Kontrolle der Außentüren und Fenster). Das Gleiche gilt sinngemäß auch für alle anderen Zutrittskontrollmedien wie Magnetstreifen.oder Geschäftsschluss. Abhängig von der Sensibilität des Bereiches sind die Führung eines Besucherbuches. Der Portier hält vor Einlassgewährung einer Besucherin bzw. 9. um so illegal nachgefertigten Schlüsseln die Funktion zu nehmen.• • Schlösser und Schlüssel zu besonders schutzbedürftigen Bereichen (zu denen nur sehr wenige Schlüssel ausgegeben werden sollten) können bei Bedarf getauscht werden. ist auch der Portier zu unterrichten. eines Besuchers bei der/dem Besuchten Rückfrage. bzw. welche Aufgaben dem Portier im Zusammenspiel mit weiteren Schutzmaßnahmen zukommen (z.7 Einrichtung einer Postübernahmestelle 213 . Die Aufgabenbeschreibung muss verbindlich festschreiben.

Solche Regeln können etwa sein: • • • • Pakete.oder Botendienst bzw. vom Dienst habenden Mitarbeiter (z.B. Operator. sind nicht zu übernehmen. Wird außerhalb der Amts. 214 .B. Schutz durch Bewachungsunternehmen äußere Zutrittskontrollmechanismen z.1. .. ob eine Sendung erwartet wird. gebracht werden. so ist von der Dienst habenden Mitarbeiterin bzw. dürfen erst nach Rücksprache mit der/dem namentlich angeführten Empfänger/in oder einer/ einem berechtigten Vertreter/in übernommen werden. Portier.und/oder Fahrzeugschleusen Entscheidend ist.8 Perimeterschutz ISO Bezug: 27002 Sofern es die Gegebenheiten und die Infrastruktur es zulassen sollten bereits auf dem Grundstück der Organisation zusätzliche Sicherheitseinrichtungen installiert werden.) bei der/dem Empfänger/in rückzufragen. von einer Privatperson gebracht werden. so ist die Sendung nicht anzunehmen. 9.bzw. Bürostunden ein Brief oder ein Paket abgegeben.ISO Bezug: 27002 Die Übernahme von Briefen und Paketen sollte durch eine zentrale Stelle unter Beachtung von für die betreffende Organisation adäquaten Sicherheitsregeln erfolgen. Je nach Art und Topologie der Infrastruktur bzw. Zaunanlage. dass der Perimeterschutz in ein stimmiges Gesamtschutzkonzept eingebettet ist..B. Detektionssensorik. die von einem Botendienst o. um äußeren Gefährdungen entgegenzuwirken. Ist dies nicht der Fall oder ist die/ der Empfänger/in nicht erreichbar. Videoüberwachung. die ohne namentlich angeführten Empfänger/in an die Organisation adressiert sind und von einem Paket.ä.B. des Grundstückes können folgende Vorkehrungen sinnvoll sein: • • • Einfriedung des Grundstückes z. Schutzmauer Freiland Sicherungsmaßnahmen z. entsprechende Geländegestaltung. Pakete. Personen. Für größere Organisationseinheiten ist die Beschaffung von Geräten zum Durchleuchten von Postsendungen zu erwägen. in dem die Verhältnismäßigkeiten der einzelnen Schutzmaßnahmen aufeinander abgestimmt sind. geeignete Beleuchtung.

1 Einhaltung von Brandschutzvorschriften und Auflagen Die gesetzlichen Brandschutzvorschriften und die Auflagen der zuständigen Baubehörde sowie der örtlichen Feuerwehr sind unbedingt einzuhalten.9. (Adresse siehe Anhang D) 9. um das Risiko einer Brandentstehung zu minimieren. dass die Arbeitgeber/innen und Arbeitnehmer/ innen alle Maßnahmen zu ergreifen haben. Fußbodenbeläge. insbesondere • • Bundes-Bedienstetenschutzgesetz ArbeitnehmerInnenschutzgesetz und die dazu ergangenen Verordnungen.2 Raumbelegung unter Berücksichtigung von Brandlasten Eine Brandlast entsteht durch alle brennbaren Stoffe. In Anhang A sind eine Reihe von wichtigen Normen zum Thema Brandschutz angeführt. Ebenso ist es notwendig. Brandverhütungsstellen und/oder Brandschutzexpertinnen/Brandschutzexperten können und sollen bei der Brandschutzplanung hinzugezogen werden. Grundsätzlich ist davon auszugehen. Sie ist von der Menge und vom Heizwert der Stoffe abhängig. 9. Gardinen und dergleichen. Es ist empfehlenswert. wie sie zum Beispiel in den Publikationen des Verbands der Schadensversicherer (VdS) in Deutschland zu finden sind. die allgemeinen und speziellen Bestimmungen des Arbeitnehmerschutzes und die Arbeitsstättenverordnung bei der Errichtung und beim Betrieb zu beachten. weitere Hinweise zum Brandschutz zu beachten. IT-Geräte und Leitungen stellen ebenso eine Brandlast dar wie Möbel.2. 215 .2. die die Entstehung und Ausbreitung von Bränden verhindern und die Bekämpfung von Bränden gewährleisten.2 Brandschutz Brandschutz stellt die Gesamtheit aller Maßnahmen dar. die ins Gebäude eingebracht werden.

) sowie die Erstellung einer Brandschutzordnung. keine Verwendung von Heizstrahlern. • • • • Bestellung von Brandschutzbeauftragten Unterweisung der Arbeitnehmer/innen über die Verwendung der Feuerlöscheinrichtungen Ausarbeitung eines Evakuierungsplanes regelmäßige Brandschutzübungen 9. . Maßnahmen zur Brandbekämpfung und Evakuierung beinhalten u. Entsprechende Richtlinien und Normen (etwa ÖNORM B 3836 und B 3850 .B.2. Sie ist allen Bediensteten jährlich einmal nachweislich zur Kenntnis zu bringen. Um die Nachinstallation zu erleichtern.. Datenträgern etc. 216 . können geeignete Materialien verwendet werden. Decke zu schotten (wieder zu verschließen). siehe Anhang A ) sind dabei zu beachten. die die Möglichkeit einer Brandentstehung minimieren sollen. sollte eine vorherige Beachtung der vorhandenen Brandlasten im gleichen Raum und in den benachbarten Räumen erfolgen. Die Brandschutzordnung ist im Falle von erhöhtem Brandschutz zu erstellen und umfasst die zur Brandverhütung erforderlichen technischen und organisatorischen Vorkehrungen und Maßnahmen. Präventive Maßnahmen können sowohl technischer (z. dass Trassen durch Brandwände und Decken führen..Bei der Unterbringung von IT-Geräten.a. Ersatz leicht entzündlicher Arbeitsstoffe) als auch organisatorischer Natur sein.3 Organisation Brandschutz Brandschutz umfasst sowohl präventive Maßnahmen. Ausschalten von Kaffeemaschinen bei Dienstende. als auch Maßnahmen zur Brandbekämpfung und Evakuierung. Organisatorische Maßnahmen umfassen personenbezogene Unterweisungen (keine Zigaretten in den Papierkorb.2. 9.4 Brandabschottung von Trassen Bei Gebäuden mit mehreren Brandabschnitten lässt es sich kaum vermeiden. So sollte etwa das Datenträgerarchiv nicht in der Nähe von oder über einem Papierlager oder Räumen mit erhöhter Brandlast untergebracht sein. Die Durchbrüche sind nach Verlegung der Leitungen entsprechend dem Brandwiderstandswert der Wand bzw.

2. Die angeführten Themenbereiche finden u. bei Keller. in den jeweiligen Bauordnungen der Länder. bei Leitungs. Ansonsten sollten bei solchen Türen Feststellanlagen mit oder ohne eigene Branderkennung (Brandmelder) installiert werden.B.oder Kabeldurchführungen).Brandabschottungen sind bautechnische Maßnahmen. 217 . 9. den Arbeitnehmerschutzvorschriften und in den behördlichen Vorschreibungen und Genehmigungen ihren Niederschlag. Brandschutzkissen oder Spachtelmassen am Markt.B. Beleg. Es sind hier verschiedene Systeme wie z. Bei der Trassenplanung sollte die für den Brandschutz verantwortliche Person hinzugezogen werden. Wichtig ist neben einer Zulassung des Systems auch eine genaue Einhaltung der Verarbeitungsanleitungen. Wichtige ÖNORMEN dazu werden in Anhang A angeführt. die einen Durchbruch durch einen Brandabschnitt über eine bestimmte Zeitdauer gegen Durchtritt eines Brandes abdichten (z.B. wie z. um ein Aufkeilen zu verhindern.2.B.und Lieferanteneingängen). Brandschutztüren verzögern die Ausbreitung eines Brandes. Die Nichtabschottung von nachträglichen Verkabelungen ist ein immer wieder anzutreffender Schwachpunkt von baulichem Brandschutz. Brandschutzziegel. 9.1 Einhaltung von Brandschutzvorschriften und Auflagen) besonders bei schutzbedürftigen Räumen wie Serverraum. welche hinsichtlich ihrer Brandwiderstandsdauer der ÖNORM B 3850 entsprechen müssen. Stahlblechtüren. Im Regelfall ist bei der Bildung eines Brandabschnittes bezüglich der Tür eine geringere Brandwiderstandsklasse gefordert als bei der Brandwand (meistens F90 für Wände und T30 für Türen). Sicherheitstüren.oder Datenträgerarchiv vorzusehen.a. Brandschutztüren auf Verkehrswegen sind bei Vorhandensein einer Brandmeldeanlage an diese anzuschließen. bieten gegenüber normalen Bürotüren Vorteile: • • Sicherheitstüren (einbruchhemmende Türen) bieten auf Grund ihrer Stabilität einen höheren Schutz gegen Einbruch (z.5 Verwendung von Brandschutztüren und Sicherheitstüren Brandschutztüren sind Brandschutzabschlüsse. Der Einsatz von Sicherheitstüren ist über den von der Feuerwehr vorgeschriebenen Bereich hinaus (vgl.

Alternativ können Türen mit einem automatischen Schließmechanismus und Anschluss an die Brandmeldeanlage.2. ändert sich der Stromfluss. bzw. besonders gefährdeten Bereiches oder eines gesamten Gebäudes. 9. je nach Größe des Überwachungsbereiches. eingesetzt werden. Bei automatischen Brandmeldern unterscheidet man: Ionisationsrauchmelder Bei Ionisationsrauchmeldern erfolgt die Branderkennung durch die Änderung des Stromflusses in der Ionisationskammer. gelangen während der Überprüfungszeit eine oder mehrere weitere Meldungen zur Brandmeldeanlage. Wird diese Brandmeldung in der vorgesehenen Zeit nicht quittiert.und Rauchschutztüren auch tatsächlich geschlossen und nicht (unzulässigerweise) z. Dieser Stromfluss wird durch Ionisation der Luft in der Messkammer erzeugt. Derartige Brandmeldeanlagen können mit einer TUS-Leitung (Tonfrequentes Übertragungssystem) direkt mit der Feuerwehr verbunden sein oder intern auf einer kompetenten. Derartige Anlagen werden von der Behörde vorgeschrieben und sind nach der TRVB S 123 (Brandmeldeanlagen) und TRVB S 114 (Anschaltebedingungen von Brandmeldeanlagen an öffentliche Feuerwehren) zu errichten. der im Alarmfall aktiviert wird.Es ist dafür zu sorgen.2.7 Brandmelder Brandmelder dienen zur Früherkennung von Brandgefahren und werden in automatische und nichtautomatische Melder unterschieden. welche an einer Brandmeldeanlage hängen oder als Einzelmelder fungieren. in die Kammer ein. 218 . was bedeutet. werden diese sofort an die Feuerwehr weitergeleitet. Sie sind jährlich durch eine Wartungsfirma und alle 2 Jahre durch eine autorisierte Prüfstelle zu überprüfen. welche Träger der ionisierten Luftmoleküle sind. dass Brand. Bereits in Betrieb befindliche Brandmeldeanlagen mit einem TUS-Anschluss müssen. 9.6 Brandmeldeanlagen Brandmeldeanlagen (BMA) dienen zur Überwachung eines bestimmten. ständig besetzten Stelle auflaufen. dass nach dem ersten Brandalarm 3 bis 6 Minuten Zeit verbleiben um die Meldung zu überprüfen. durch Keile offen gehalten werden.B. Dringen nun Rauchpartikel. Entsprechend den Anschlussbedingungen müssen künftig alle neuen Brandmeldeanlagen über eine Interventionsschaltung verfügen. bis spätestens 2010 umgebaut werden und eine Interventionsschaltung aufweisen.

an die Feuerwehr weitergeleitet. Dabei ist die räumliche Nähe zu schützenswerten Bereichen und Räumen wie Serverraum.ohne Verzögerung . Besonders in Büros findet das Feuer reichlich Nahrung und kann sich sehr schnell ausbreiten. ein Temperaturanstieg herangezogen. Bei der Auswahl der Brandmelder sind folgende Kriterien zu beachten • • • • • • Art des Brandverlaufes Rauchentwicklung Rascher Temperaturanstieg Täuschungsanfälligkeit (z. Flammenmelder Bei Flammenmeldern erfolgt die Branderkennung durch die von Bränden ausgehende Strahlung. wenn entsprechende Handfeuerlöscher in der jeweils geeigneten Brandklasse ( ÖNORM EN 2:1993 02 01 ) in ausreichender Zahl und Größe im Gebäude zur Verfügung stehen. 219 .B. Sie können auch bei starken Luftbewegungen eingesetzt werden und haben eine große Überwachungsfläche.Aerosolbildung) Raumhöhen Überwachungsflächen 9. Diese Sofortbekämpfung ist nur möglich. Raum mit technischer Infrastruktur oder Belegarchiv anzustreben. Nichtautomatische Brandmelder: Druckknopfmelder Durch Drücken des Melders wird die Brandmeldung über die Brandmeldeanlage direkt .oder Differentialmelder) Als Kriterium wird entweder eine definierte Maximaltemperatur bzw.8 Handfeuerlöscher (Mittel der Ersten und Erweiterten Löschhilfe) Die meisten Brände entstehen aus kleinen. anfangs noch gut beherrschbaren Brandherden.Streulichtmelder Die Erkennungsgröße ist bei diesem Melder die Streuung eines definierten Lichtstrahles durch eindringenden Rauch. Wärmemelder (Maximal. Der Sofortbekämpfung von Bränden kommt also ein sehr hoher Stellenwert zu.2. Teeküchen .

Sprinkleranlagen Sprinkleranlagen sind automatisch wirkende Löschanlagen mit dem Löschmittel Wasser. Bei entsprechenden Brandschutzübungen sind die Mitarbeiter/innen in der Handhabung der Handfeuerlöscher zu unterweisen. (ehemals) Halonlöschanlagen 220 . Die Einleitung des CO2 darf erst nach ausreichender Verzögerung zum Zwecke des Verlassens des Bereiches erfolgen.9 Löschanlagen Löschanlagen der verschiedensten Ausführungen sind meistens mit einer Brandmeldeanlage gekoppelt und werden im Bedarfsfall von dieser selbständig ausgelöst. Die Beschäftigten haben sich über die Standorte der nächsten Feuerlöscher zu informieren. sollten Kohlendioxyd-Löscher (Brandklasse B) zur Verfügung stehen. Dabei ist zu beachten: • • • • Die Feuerlöscher müssen regelmäßig geprüft und gewartet werden. Diese werden meistens von der Behörde bei Vorlage einer erhöhten Brandgefährdung vorgeschrieben. um Entstehungsbrände effizient zu bekämpfen bzw. dass sie im Brandfall leicht erreichbar sind. für elektronisch gesteuerte Geräte. Die Feuerlöscher müssen so angebracht werden. z. Rechner.Pulverlöscher mit Eignung für Brandklasse E bis 1000 V sind für elektrisch betriebene Peripheriegeräte geeignet. eine Ausbreitung zu unterbinden. Die Auslösung des Löschmittels muss händisch unterbrechbar sein.B. Bei der Planung ist neben der brandschutztechnisch richtigen Auslegung die erstickende Wirkung des CO2 als wesentlicher Faktor zu berücksichtigen. Die Auslösung der Anlage erfolgt durch thermische Zerstörung der Sprinklerkopfabschlüsse (im Normalfall alkoholgefüllte Glasviolen).2. Wirkfläche und Löschwasserbevorratung) ist die Brandbelastung des jeweils betroffenen Bereiches zu berücksichtigen. CO2-Löschanlagen CO2-Löschanlagen sind Gaslöschanlagen mit dem Löschmittel CO2. 9. Dadurch wird der Austritt von Wasser durch den Sprinklerkopf freigegeben. Es muss daher nach Branderkennung eine sofortige Alarmierung der betroffenen Personen und eine Schließung des Flutungsbereiches erfolgen. Bei der Auslegung der Anlage (Löschwasserleistung.

dass im täglichen Betrieb die Vorschriften und Regelungen zum Brandschutz immer nachlässiger gehandhabt werden .2. 9. durch Möbel und Papiervorräte.Seit 2004 gilt in der EU ein Verbot von Halon betriebenen Löschgeräten (FCKW. Als Ersatz werden natürliche oder chemische Löschmittel sowie prinkleranlagen verwendet.10 Brandschutzbegehungen Die Erfahrungen zeigen.2.12 Rauchschutzvorkehrungen 221 . Dieses Rauchverbot dient gleicherweise dem vorbeugenden Brandschutz wie der Betriebssicherheit von IT mit mechanischen Funktionseinheiten. Brandabschnittstüren werden durch Keile offen gehalten. in denen Brände oder Verschmutzungen zu hohen Schäden führen können. Aus diesem Grund sollten ein.oft bis hin zur völligen Ignoranz. sollte ein Rauchverbot erlassen werden. aber auch Belegarchiv). Zulässige Brandlasten werden durch anwachsende Kabelmengen oder geänderte Nutzungen überschritten.erfolgen. Datenträgerarchiv. Die Einhaltung des Rauchverbotes ist zu kontrollieren.B.2. welches die Ozonschicht zerstört) . welche ähnlich wie Sprinkleranlagen funktionieren. Vorgefundene Missstände müssen dazu Anlass geben. Im Wiederholungsfall oder bei besonders eklatanten Verstößen gegen die Brandschutzvorschriften sind auch entsprechende Sanktionen vorzusehen.bis zweimal im Jahr Brandschutzbegehungen angekündigt oder unangekündigt . 9. Schaumlöschanlagen Schaumlöschanlagen sind Löschanlagen mit dem Löschmittel Schaum. Brandabschottungen werden bei Arbeiten beschädigt und nicht ordnungsgemäß wiederhergerichtet.11 Rauchverbot In Räumen mit IT oder Datenträgern (Serverraum. z. Einige Beispiele dazu: • • • • Fluchtwege werden blockiert. 9. die Zustände und deren Ursachen unverzüglich zu beheben.

222 . Es ist also unerlässlich. stimmen erfahrungsgemäß nach einiger Zeit nicht mehr mit den tatsächlichen Gegebenheiten überein. Andernfalls kann die Neuinstallation von Einspeisung.) die Elektroinstallation zu prüfen und ggf. für die eine Elektroinstallation ausgelegt wurde.3 Stromversorgung. Verteilern etc.2 Not-Aus-Schalter Bei Räumen. Leitungen. Klimaanlage. In diesem Sinne ist zu gewährleisten. Zumindest ist aber die Gefahr durch elektrische Spannungen beim Löschen des Feuers beseitigt.3. erforderlich werden. Maßnahmen gegen elektrische und elektromagnetische Risiken 9. die ggf. Beleuchtung etc.1 Angepasste Aufteilung der Stromkreise Die Raumbelegung und die Anschlusswerte.Im Brandfall geht von der damit verbundenen Rauchentwicklung sowohl für Mensch als auch für IT-Gerätschaften eine erhebliche Gefahr aus.3. durch hohe Gerätedichte oder durch Vorhandensein zusätzlicher Brandlasten ein erhöhtes Brandrisiko besteht.2 Brandschutz ) Rauchschutztüren verwendet werden. in denen elektrische Geräte in der Weise betrieben werden. bei Rauchentwicklung selbsttätig geschlossen werden und die Rauchausbreitung verhindern Lüftungsanlage eine Ablüftung von Rauch vornehmen kann Lüftungs. 9. 9. bei Änderungen der Raumnutzung und bei Änderungen und Ergänzungen der technischen Ausrüstung (IT. was bei kleinen Bränden zu deren Verlöschen führen kann. durch deren Abwärme. dass z. anzupassen. Ein umfassender Rauchschutz ist daher vorzusehen.B. dass • • • • rauchdichte Brandschutztüren verwendet werden (vgl.und Klimaanlage selbsttätig auf Rauchentwicklung reagieren 9. Das kann durch Umrangierung von Leitungen geschehen. Mit Betätigung des Not-AusSchalters wird dem Brand eine wesentliche Energiequelle genommen. ist die Installation eines Not-Aus-Schalters nach Möglichkeit vorzusehen.

• • • • wenn im Rechner umfangreiche Daten zwischengespeichert werden (z. kann die Notstromversorgung auch in Form einer zweiten Energieeinspeisung aus dem Netz eines zweiten Energieversorgungsunternehmens (EVU) realisiert werden. wenn die Stabilität der Stromversorgung nicht ausreichend gewährleistet ist. In einzelnen Fällen. Daher ist bei der Installation eines Not-Aus-Schalters zu beachten.3. Dabei ist allerdings zu bedenken. beim Stromausfall ein großes Datenvolumen verloren gehen würde und nachträglich nochmals erfasst werden müsste. 223 . mit Lagehinweis außen an der Tür) oder außerhalb des Raumes neben der Tür angebracht werden. Diese wird in der Regel als Diesel-Notstrom-Aggregat realisiert. Erst wenn dieses ausfällt. dass auch die USV abgeschaltet und nicht nur von der externen Stromversorgung getrennt wird (siehe auch 9. wo die Verfügbarkeitsanforderungen es zulassen.3.4 Lokale unterbrechungsfreie Stromversorgung).ist eine zentrale Notstromversorgung vorzusehen. dass ein geordnetes Herunterfahren angeschlossener Rechner möglich ist. schaltet sich die USV selbsttätig zu und übernimmt die Versorgung. 9.B.3 Zentrale Notstromversorgung In Bereichen. bevor sie auf nichtflüchtige Speicher ausgelagert werden. dass lokale unterbrechungsfreie Stromversorgungen (USV) nach Ausschalten der externen Stromversorgung die Stromversorgung selbsttätig übernehmen und die angeschlossenen Geräte unter Spannung bleiben.3.dies kann sowohl für die Versorgung von IT-Anlagen als auch der Infrastruktur gelten . 9. Der Not-Aus-Schalter sollte innerhalb des Raumes neben der Eingangstür (evtl.Zu beachten ist.4 Lokale unterbrechungsfreie Stromversorgung Mit einer unterbrechungsfreien Stromversorgung (USV) kann ein kurzzeitiger Stromausfall überbrückt werden oder die Stromversorgung solange aufrechterhalten werden. Zwei Arten der USV sind zu unterscheiden: Off-Line-USV: Hierbei werden die angeschlossenen Verbraucher im Normalfall direkt aus dem Stromversorgungsnetz gespeist. Dies ist insbesondere dann sinnvoll. in denen die Stromversorgung bei Ausfällen des öffentlichen Netzes über einen längeren Zeitraum aufrechtzuerhalten ist . dass dieser Not-Aus-Schalter auch unnotwendigerweise versehentlich oder absichtlich betätigt werden kann. Cache-Speicher im Netz-Server).

Die meisten modernen USV-Geräte bieten Rechnerschnittstellen an. Die gesamte Stromversorgung läuft immer über die USV.entsprechend den Angaben des Herstellers .5 Blitzschutzeinrichtungen (Äußerer Blitzschutz) Die direkten Auswirkungen eines Blitzeinschlages auf ein Gebäude (Beschädigung der Bausubstanz. Im Falle von Veränderungen ist zu überprüfen.3. Falls die Möglichkeit besteht. die Stromversorgung unterbrechungsfrei aus einer anderen Quelle zu beziehen (z.zu warten.3. Die Mehrzahl aller Stromausfälle ist innerhalb von 5 bis 10 Minuten behoben. Überspannungen zu glätten. entsprechend dem Zeitbedarf der IT und der Kapazität der USV. von einer üblichen Überbrückungszeit von ca. d. Dachstuhlbrand u.B. ein rechtzeitiges automatisches Herunterfahren (Shut-down) einleiten können. 10 bis 15 Minuten ausgehen. Beide USV-Arten können neben der Überbrückung von Totalausfällen der Stromversorgung und Unterspannungen auch dazu dienen. 9. ob die vorgehaltene Kapazität der USV noch ausreichend ist. ist eine regelmäßige Wartung der USV vorzusehen. sollte der Stromausfall länger andauern. um die angeschlossene IT geordnet herunterfahren zu können. die nach einer vorher festgelegten Zeit. TK-Anlagen) kann die erforderliche Überbrückungszeit auch mehrere Stunden betragen.B. so stellt dies eine Alternative zur lokalen USV dar.2 Not-Aus-Schalter zu beachten.• On-Line-USV: Hier ist die USV ständig zwischen Netz und Verbraucher geschaltet. 224 . In diesem Zusammenhang ist auch 9.ä. Für spezielle Anwendungsfälle (z. Um die Schutzwirkung aufrechtzuerhalten.) lassen sich durch die Installation einer Blitzschutzanlage verhindern. R. so dass nach Abwarten dieser Zeitspanne noch 5 Minuten übrig bleiben. durch Anschluss an eine zentrale USV). Weiters ist zu beachten: • • • Die USV ist regelmäßig . Bei der Dimensionierung einer USV kann man i. Die Wirksamkeit der USV ist regelmäßig zu testen.

Über diesen "Äußeren Blitzschutz" hinaus ist fast zwingend der "Innere Blitzschutz". können durch Induktion oder Blitzschlag Überspannungsspitzen im Stromversorgungsnetz entstehen. Der Überspannungsschutz wird in der Regel in drei voneinander abhängigen Stufen aufgebaut: • • • Grobschutz: Geräte für den Grobschutz vermindern Überspannungen. Potentialausgleich: Nur wenn alle Schutzeinrichtungen sich auf das gleiche Potential beziehen. Für die Auswahl des Grobschutzes ist es bedeutend. 9. Weiters ist zu beachten: • • Blitz. ist ein optimaler Schutz möglich.6 Überspannungsschutz (Innerer Blitzschutz) Je nach Qualität und Ausbau des Versorgungsnetzes des Energieversorgungsunternehmens und des eigenen Stromleitungsnetzes. ein recht hohes zerstörerisches Potential. dessen hohe Kosten dem Schutzgut gegenüber gerechtfertigt sein müssen). dass sie auch für empfindliche Bauteile mit Halbleiterbauelementen ungefährlich sind. Dies ist nur durch einen Überspannungsschutz möglich (siehe dazu 9.3.3.R. während Überspannungen anderer Ursachen geringer sind. ersetzt werden. abhängig vom Umfeld (andere Stromverbraucher) und von der geographischen Lage. Überspannungen durch Blitz haben i. 6000V. erforderlich. 1500 V und ist auf die Vorschaltung eines Grobschutzes angewiesen. dass der Potentialausgleich mitgeführt wird.und Überspannungsschutzeinrichtungen sollten periodisch und nach bekannten Ereignissen geprüft und ggf. wie sie durch direkten Blitzschlag entstehen. ob ein äußerer Blitzschutz vorhanden ist oder nicht.3. der Überspannungsschutz.6 Überspannungsschutz (Innerer Blitzschutz) .d. um Mikroelektronikgeräte zu stören oder zu zerstören. 9. Denn der äußere Blitzschutz schützt die elektrischen Betriebsmittel im Gebäude nicht. Feinschutz: Geräte für den Feinschutz senken Überspannungen so weit herab. und begrenzen sie auf ca. Bei Nachinstallationen ist darauf zu achten. aber trotzdem ausreichen können.7 Schutz gegen elektromagnetische Einstrahlung 225 . Mittelschutz: Der Mittelschutz begrenzt die verbleibende Überspannung auf ca.

ausgeschaltet werden. ist die Gefahr der kompromittierenden Abstrahlung gegeben. . Wasserleitungen. 9. Modems. LAN-Komponenten.Die Funktion informationstechnischer Geräte kann durch die elektromagnetische Strahlung benachbarter Einrichtungen beeinträchtigt werden. In der Nähe befindliche führende Leitungen (Heizkörper. Graphikkarten. Drucker. von denen elektromagnetische Störungen ausgehen können (Schweißgeräte. Maschinen. den Verlust der Vertraulichkeit von Daten durch kompromittierende Abstrahlung zu verhindern. Tastaturen.) können diese Abstrahlung beträchtlich verstärken. technisch und organisatorisch möglich.. so weit baulich. Als nachträgliche Maßnahmen bleiben etwa: • • die Verwendung von Schutzschränken mit speziellen Filtern und Türdichtungen oder die Abschirmung durch beschichtete Wände. sollten solche Störquellen bereits bei der Planung berücksichtigt bzw. Schutz gegen einen elektromagnetischen Puls (EMP) als Folge kriegerischer Handlungen gehen über den mittleren Schutzbedarf hinaus und sind daher nicht Gegenstand des vorliegenden Handbuches. verarbeitet oder dargestellt wird. wo Information elektronisch übertragen. Daher sollten. Richtfunkanlagen. usw.aufgefangen und analysiert werden können.. Bildschirme. Fax-Geräte und ähnliche Geräte geben elektromagnetische Wellen ab. Mobilfunk-.3. potentiell gefährdete 226 . sind etwa: • Auswahl des Standortes (innerhalb eines Gebäudes): Bereits eine geeignete Aufstellung von IT-Komponenten.8 Schutz gegen kompromittierende Abstrahlung Überall dort. die entsprechend vertrauliche Daten verarbeiten oder übertragen und bei denen die Gefahr einer kompromittierenden Abstrahlung besteht. So weit möglich. kann das potentielle Risiko durch kompromittierende Abstrahlung in erheblichem Maße verringern.bei Monitoren bis zu mehreren hundert Metern . die noch in einer Entfernung von mehreren Metern . Anmerkung: Diese Maßnahme behandelt den Schutz gegen Störstrahlung im täglichen Umfeld. Rundfunk.) oder atmosphärische Entladungen. Anlagen mit starken Elektromotoren.und Fernsehsender. Hochspannungsleitungen. Mögliche Ursachen für solche Störstrahlungen sind Radarstrahlung. Abwehrmaßnahmen Möglichkeiten.

"Transient Electromagnetic Pulse Emanation Surveillance Technology" oder "Transient Electromagnetic Pulse Emanations Standard". Dieses Feld erzeugt auf in unmittelbarer Umgebung des Leiters verlegten Kabeln Spannungen und Ströme. Dabei werden Wände. Weiters ist eine Aufstellung in der Nähe von führenden Leitungen (Heizungsrohre. sondern um einen Codenamen ohne besondere Bedeutung handelt. das mit einem transparenten Metallfilm beschichtet ist.DEMA ) zu berücksichtigen. aus denen das Signal des ursächlichen Leiters wiedergewonnen werden kann. wird am Markt angeboten. Schirmung von Geräten: Diese erfolgt durch die Verwendung spezieller Materialien.B. kryptographische Anwendungen. Wasserleitungen. "Temporary Emission and Spurious Transmission".DPA. ob es sich um eine analoge oder digitale Nachrichtenübertragung handelt. Auch das Überkoppeln auf Leitungen ist eine Auswirkung von kompromittierender elektromagnetischer Strahlung. Auch Spezialglas. Wird ein Signal leitungsgebunden übertragen.. Selbst bei der Verwendung von kleinsten Geräten wie beispielsweise Kryptomodulen oder Smart Cards ist auf deren kompromittierende Strahlung zu achten. . Heizkörper.) ist deren Schutzbedarf immens.auch ein Schutz auf Raum. Es wird auch die Meinung vertreten. Dabei spielt es keine Rolle. Böden und Decken entsprechend abgeschirmt. In beiden Fällen kann mit recht einfachen Maßnahmen das ursprüngliche Signal wiederaufbereitet werden. die möglichst weit entfernt von Straßenfronten und Gebäuden mit Fremdfirmen sind. Gerade bei sicherheitsrelevanten Anwendungen (Zugangssystemen. Demnach sind bereits bei der Anschaffung von Geräten jene mit entsprechenden Gegenmaßnahmen zu bevorzugen. z.. Überlagerung der kompromittierenden Abstrahlung: Durch Senden von Stördaten in einer bestimmten Frequenzbreite können die Emissionen der DV-Geräte überlagert werden. dass es sich nicht um ein Akronym.bei entsprechenden Gegebenheiten .] Schirmung von Räumen und Gebäuden: Anstelle eines Schutzes auf Geräteebene ist .• • • Komponenten in Räumen untergebracht werden.) zu vermeiden. da selbstverständlich Fenster in den Schutz mit einzubeziehen sind. Geeignete Schutzmaßnahmen sind: 227 . [Anmerkung:: Für die Bedeutung des Wortes TEMPEST werden verschiedene Erklärungen genannt. Eine Raumschirmung schützt im Allgemeinen auch gegen Störstrahlung von außen. In diesem Zusammenhang sind die Möglichkeiten von Side-Channel-Attacken (Differential Power Analysis . Solche abstrahlsichere Hardware-Komponenten werden in Anlehnung an den englischen Fachausdruck meist als "tempest-proof" oder "tempest-gehärtet" bezeichnet. so ist der elektrische Leiter mit einem elektromagnetischen Feld umgeben. etc.oder Gebäudeebene möglich. Differential Electro-Manetic Analysis .

etc. Wasser. Telefon. Gefahrenmeldung. eine relativ hohe Widerstandsfähigkeit gegen elektrostatische Aufladung gefordert. Solche Maßnahmen sind etwa: • • • • die Gewährleistung einer relativen Luftfeuchtigkeit von mindestens 50%. die Verwendung geeigneter Werkstoffe (Bodenbeläge.und Geflechtschirmung) Verlegung parallel geführter Kabel in ausreichendem Abstand zueinander Verringerung des Signal-Oberwellengehaltes durch elektrische Filterung (besonders bei digitalen Übertragungen) Vorzugsweise Verwendung von Lichtwellenleitern (Gefahr des Übersprechens deutlich geringer aber in Folge mechanischer Beschädigungen des Kabels ebenfalls möglich) 9. Zieht man allerdings in Betracht.1 Lagepläne der Versorgungsleitungen Es sind genaue Lagepläne aller Versorgungsleitungen (Strom.• • • • • Wahl geeigneter Kabeltypen wie beispielsweise Koaxial.3.4. 9. die in ungeschützter Umgebung eingesetzt werden. so zeigt sich die Notwendigkeit von Maßnahmen zur Vermeidung und Eliminierung elektrostatischer Aufladungen.9 Schutz gegen elektrostatische Aufladung Elektrostatische Aufladungen können Schäden an Bauteilen. . der Einsatz von Antistatikmitteln. Programmstörungen oder Datenverluste verursachen.. dass abhängig von Bodenbeschaffenheit .oder Twisted-PairKabeln Achten auf hochwertige Schirmung der Kabel (vorzugsweise ist doppelte Schirmung zu verwenden . Aus diesem Grund wird für Komponenten.. Gas.4 Leitungsführung 9.).Kombination aus Folien.und Schuhwerk die elektrostatische Aufladung von gehenden Personen 10 kV und mehr betragen kann.hier stellen insbesondere Teppichböden eine Gefahrenquelle dar .) im Gebäude und auf dem dazugehörenden Grundstück zu führen und alle die Leitungen betreffenden Sachverhalte aufzunehmen: 228 . Erdungsmaßnahmen.

die Störung schneller zu beheben.2 Materielle Sicherung von Leitungen und Verteilern In Räumen mit Publikumsverkehr oder in unübersichtlichen Bereichen eines Gebäudes und zugehöriger Bereiche ist es sinnvoll. Die Verantwortlichkeiten für Aktualisierung und Aufbewahrung der Pläne sind festzulegen.und Lagepläne). Verschluss von Verteilern und bei Bedarf zusätzlich elektrische Überwachung von Verteilern und Kanälen. auf ein Mindestmaß reduziert werden. Vgl. Nagetierschutz.5 Dokumentation und Kennzeichnung der Verkabelung und 9. Nur so kann das Risiko. sich anhand der Pläne einfach und schnell ein genaues Bild der Situation zu machen. Verlegung der Leitungen in mechanisch festen und abschließbaren Kanälen. so weit möglich und zweckmäßig). 229 .4. vorhandene Kennzeichnung.2. Es muss möglich sein. genaue technische Daten (Typ und Abmessung). 9. Nutzung der Leitungen (Nennung der daran angeschlossenen Netzteilnehmer. Verlegung der Leitungen in Stahl.• • • • • • genaue Führung der Leitungen (Einzeichnung in bemaßte Grundriss. der Zugriff darauf ist zu regeln. da sie schützenswerte Informationen beinhalten. Leitungen und Verteiler zu sichern.8 Schutz gegen kompromittierende Abstrahlung . Weiters ist zu beachten: • • • Alle Arbeiten an Leitungen sind rechtzeitig und vollständig zu dokumentieren. dass Leitungen bei Arbeiten versehentlich beschädigt werden. Die Pläne sind gesichert aufzubewahren.oder Kunststoffpanzerrohren. Gefahrenpunkte und vorhandene und zu prüfende Schutzmaßnahmen.3. evtl. dazu auch 10. etwa: • • • • • • Verlegung der Leitungen unter Putz. Eine Schadstelle ist schneller zu lokalisieren. Dies kann auf verschiedene Weise erreicht werden.

Ist dies auf Grund der damit verbundenen Beeinträchtigung des Dienstbetriebes (Öffnen von Decken. 9.8 Schutz gegen kompromittierende Abstrahlung .3 Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen Nicht mehr benötigte Leitungen sollten nach Möglichkeit entfernt werden.4. 230 . dass nicht mehr benötigte Leitungen bei ohnehin anstehenden Arbeiten im Netz entfernt werden. Weitere Angaben zur geeigneten Aufstellung und Aufbewahrung von IT-Systemen sind unter Kapitel 9. Abhilfe kann hier entweder die Verwendung mehrfach geschirmter Leitungen oder der Einsatz von Lichtwellenleitern bringen.4 Auswahl geeigneter Kabeltypen Bei der Auswahl von Kabeln ist neben der Berücksichtigung von übertragungstechnischen Anforderungen und Umfeldbedingungen auch die Frage nach den Sicherheitsanforderungen zu stellen. Vgl. dazu auch 9. Kurzschließen der freien Leitungen an beiden Kabelenden und in allen berührten Verteilern. Gewährleisten.5 Geeignete Aufstellung und Aufbewahrung zu finden.Bei Verschluss sind Regelungen zu treffen.3. Lichtwellenleiter sind unempfindlich gegen elektrische und elektromagnetische Störungen und bieten Schutz gegen (aktives und passives) Wiretapping auf der Leitung. Herkömmliche Kupferleitungen bieten ein potentielles Ziel für aktive und passive Angriffe. die die Zutrittsrechte. Auftrennen aller Rangierungen und Verbindungen der freien Leitungen in den Verteilern (so weit möglich). Auflegen der freien Leitungen auf Erde (Masse) an beiden Kabelenden und in allen berührten Verteilern. Ein potentielles Angriffsziel stellen aber die Schnittstellen (etwa Verstärker) dar. Fensterbank. 9. bei dadurch entstehenden Masse-Brumm-Schleifen ist nur einseitig zu erden. sind folgende Maßnahmen sinnvoll: • • • • • Kennzeichnen der nicht benötigten Leitungen in der Revisionsdokumentation und Löschen der Eintragungen in der im Verteiler befindlichen Dokumentation.4.und Fußbodenkanälen) nicht möglich. hier sind bei Bedarf entsprechende Schutzvorkehrungen zu treffen. die Verteilung der Schlüssel und die Zugriffsmodalitäten festlegen.

2. Bei gemeinsam mit Dritten genutzten Gebäuden ist darauf zu achten.und Kabelverlegung zu berücksichtigen. dass durch Trassen im Fahrbereich die zulässige Fahrzeughöhe nicht unterschritten wird.9. sie an den Bereichsgrenzen enden zu lassen. dass sie vor direkten Beschädigungen durch Personen. Der Standort von Geräten sollte so gewählt werden. ist dafür ein entsprechendes Kabel zu wählen. Ist dies nicht möglich und ist der Betriebserhalt aller auf der Trasse liegenden Kabel erforderlich.5 Schadensmindernde Kabelführung Bei der Planung von Kabeltrassen ist darauf zu achten.4.in der Regel in geringer Deckenhöhe verlaufenden Trassen erhalten. ist der entsprechende Trassenbereich mit Brandabschottung (s.4. Auch diese sind bei der Trassen.a. In Tiefgaragen ist darauf zu achten. die ausschließlich dem/der Benutzer/in zugänglich sind. Ist dies nicht zu vermeiden. Für den Schutz der Kabel gilt sinngemäß das Gleiche wie bei der Brandabschottung.6 Vermeidung von wasserführenden Leitungen 231 . Bei einzelnen Kabeln (ohne Rohr) ist der Einbau von Kabelabdeckungen sinnvoll. Besser ist es. dass Kabel nicht im Lauf.4 Brandabschottung von Trassen ) zu versehen. sind die Kabel den zu erwartenden Belastungen entsprechend durch geeignete Kanalsysteme zu schützen. Bereiche mit hoher Brandgefahr sind zu meiden. 9. dass Kabel nicht in Fußbodenkanälen durch deren Bereiche führen.oder Fahrbereich liegen. Ein übersichtlicher Aufbau der Trassen erleichtert die Kontrolle. 10 cm über der Trasse ein Warnband zu verlegen. und dass Fremdpersonen keinen unautorisierten Zugriff zu den . Fahrzeuge und Maschinen geschützt sind. Fußboden. Trassen und einzelne Kabel sollen immer so verlegt werden. 9.und Fensterbank-Kanalsysteme sind gegenüber den fremdgenutzten Bereichen mechanisch fest zu verschließen. Grundsätzlich sollen Trassen nur in den Bereichen verlegt werden. Bei Erdtrassen ist ca. Ist der Betriebserhalt nur für einzelne Kabel erforderlich. In Produktionsbetrieben ist mit hohen induktiven Lasten und daraus resultierenden Störfeldern zu rechnen. dass erkennbare Gefahrenquellen umgangen werden.

Telearbeitsplätze. .B. Kühlwasserleitungen.B. etc.. sind davon auch Telekommunikationsanlagen umfasst) Netzwerkkomponenten ( 9.1 Geeignete Aufstellung eines Arbeitsplatz-ITSystems : PCs. Dabei wird unterschieden zwischen: • • • Arbeitsplatz-IT-Systemen ( 9. Kommunikationsservern. erhöhen sollen. eine selbsttätige Entwässerung. Router. die die Sicherheit des Systems gewährleisten bzw... in denen sich IT-Geräte mit zentralen Funktionen (z. Löschwasserleitungen und Heizungsrohre sein.3 : z. dazu den Flur zu nutzen. wie sie für die mittlere Datenverarbeitung typisch sind. Modems. deren Ablauf außerhalb des Raumes führt.In Räumen oder Bereichen.5 Geeignete Aufstellung und Aufbewahrung Bei der Aufstellung eines IT-Systems sind verschiedene Voraussetzungen zu beachten. Die einzigen wasserführenden Leitungen sollten. Zuleitungen zu Heizkörpern sollten mit Absperrventilen. kann als Minimalschutz eine Wasserauffangwanne oder -rinne unter der Leitung angebracht werden. Außerhalb der Heizperiode sind diese Ventile zu schließen.2 Geeignete Aufstellung eines Servers : neben Datenbankservern. da so ein eventueller Leitungsschaden früher entdeckt wird. versehen werden. wenn unbedingt erforderlich. Sind Wasserleitungen unvermeidbar. sollen durch eine geeignete Aufstellung auch die Lebensdauer und Zuverlässigkeit der Technik sowie die Ergonomie des Systems verbessert werden.5.) Server ( 9. Günstig ist es. Optional können Wassermelder mit automatisch arbeitenden Magnetventilen eingebaut werden.5. Notebooks. Diese Magnetventile sind außerhalb des Raumes/Bereiches einzubauen und müssen stromlos geschlossen sein. Im Folgenden werden generelle Hinweise für die Aufstellung von IT-Systemen und Komponenten gegeben. 9. Über diese Sicherheitsaspekte (die naturgemäß den Schwerpunkt des vorliegenden Handbuches bilden) hinaus.) 232 .. Als zusätzliche oder alternative Maßnahme empfiehlt sich ggf. Verteilerschränke. möglichst außerhalb des Raumes/ Bereiches. sollten wasserführende Leitungen aller Art vermieden werden. Server) befinden.2.

Integrität und Verfügbarkeit im Betrieb von Servern sicherzustellen.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems Unter Arbeitsplatz-IT-Systemen sind etwa PCs. So kann ein Fax etwa als Standalone-Gerät betrachtet werden. wird auch hier nicht auf den Bereich des klassischen Rechenzentrums eingegangen. 9. ein Fax direkt vom PC zu versenden. Notebooks oder Terminals zu verstehen. diese in einer gesicherten Umgebung aufzustellen. 9. falls die Möglichkeit besteht.und herstellerspezifische Anforderungen bestehen und diese zudem über die Maßnahmen für den mittleren Schutzbedarf hinausgehen und damit den Rahmen der vorliegenden Arbeit sprengen würden. Diese kann realisiert werden als: • Serverraum (vgl.Wie für das gesamte Handbuch zutreffend und bereits in der Einleitung ausgeführt. die auf die Bedürfnisse des speziellen Falles abzubilden sind. Programm. aber auch kompromittierender Abstrahlung.und Kommunikationsserver. da hier im Allgemeinen sehr produkt. versperrbare Diskettenlaufwerke. das System sollte nicht in unmittelbarer Nähe der Heizung aufgestellt werden (Vermeidung von Überhitzung. dass eine generelle Klassifikation aller IT-Komponenten in eine der oben genannten Gruppen nicht möglich ist.).zusätzlich zu den von den Herstellern festgeschriebenen Vorgaben und Hinweisen sowie ergonomischen Gesichtspunkten .5.3. 9.unter anderem folgende Voraussetzungen beachtet werden: • • • der Standort in der Nähe eines Fensters oder einer Tür erhöht die Gefahr des Beobachtens von außerhalb..8 Schutz gegen kompromittierende Abstrahlung ). das System sollte so weit möglich und erforderlich.. Die unten angeführten Maßnahmen sind daher als allgemeine Hinweise zu verstehen.6 Serverräume): 233 . Es ist festzuhalten. ist es zwingend erforderlich. 9. vgl. physisch gesichert sein (Diebstahlschutz. Bei der Aufstellung eines Arbeitsplatz-IT-Systems sollten . .2 Geeignete Aufstellung eines Servers Unter Servern sind in diesem Zusammenhang etwa Datenbank-. oder aber als Teil eines Arbeitsplatz-IT-Systems. Um Vertraulichkeit. aber auch TK-Anlagen zu verstehen.5.5.

Router und Verteilerschränke zu verstehen. serverspezifischen Unterlagen. 234 .5..7 Beschaffung und Einsatz geeigneter Schutzschränke ): Serverschränke dienen zur Unterbringung von IT-Geräten und sollen den Inhalt sowohl gegen unbefugten Zugriff als auch gegen die Einwirkung von Feuer oder schädigenden Stoffen (Staub. durch Versperren des Raumes. Eine Vertretungsregelung muss sicherstellen. Serverschrank. Steht ein Modem direkt an einem Arbeitsplatz-IT-System zur Verfügung.1 Geeignete Aufstellung eines Arbeitsplatz-IT-Systems ). 9. dass nur Berechtigte physikalischen Zugriff darauf haben.5. durch die Kosten verursacht..7 Beschaffung und Einsatz geeigneter Schutzschränke . auch 9. und unautorisierte Zugriffe auch in Ausnahmesituationen nicht vorkommen können.• Raum zur Unterbringung von Servern. Wenn über ein Modem oder einen Modempool Zugänge zum internen Netz geschaffen werden. 9. so ist der physikalische Zugriff darauf abzusichern (z. Um den Missbrauch von Netzwerkkomponenten zu verhindern. Generell ist zu beachten: • • Der Zugang und Zugriff zu Servern darf ausschließlich autorisierten Personen möglich sein. . vgl. dass der Zugriff zum Server auch im Vertretungsfall geregelt möglich ist.5.) schützen.5.B. zum anderen das unbefugte Ändern oder Auslesen der Modem-Konfiguration. muss dieser auf der unsicheren Seite der Firewall aufgestellt werden. Sollen mit einem Modempool weitere externe Zugänge zu einem durch eine Firewall geschützten Netz geschaffen werden. Viren eingeschleppt oder Interna nach außen transferiert werden können. wodurch Sicherheitslücken entstehen können. er wird nur sporadisch und zu kurzfristigen Arbeiten betreten. muss sichergestellt werden.6 Serverräume und 9. Datenträgern in kleinem Umfang sowie weiterer Hardware (etwa Drucker oder Netzwerkkomponenten). So bedeutet etwa der Missbrauch eines Modems zum einem die Durchführung unbefugter Datenübertragungen. Gase. wenn kein separater Serverraum zur Verfügung steht (vgl. dass keine Umgehung einer bestehenden Firewall geschaffen wird. Details zu den technischen und organisatorischen Sicherheitsmaßnahmen bei Serverräumen und Serverschränken finden sich in 9.5. ist darauf zu achten.3 Geeignete Aufstellung von Netzwerkkomponenten Unter Netzwerkkomponenten sind beispielsweise Modems. Im Serverraum ist im Allgemeinen kein ständig besetzter Arbeitsplatz eingerichtet.

Handhelds und Personal Assistants. in denen das Gerät unbeaufsichtigt bleibt. Hierfür können nur einige Hinweise gegeben werden. so ist die Installation eines Zugriffsschutzes (über Passwort oder Chipkarte) sowie einer Festplatten. dass der Zugriff zu Netzwerkkomponenten auch im Vertretungsfall geregelt möglich ist und unautorisierte Zugriffe auch in Ausnahmesituationen nicht vorkommen können.5.2. vertrauliche.5. 235 . minimiert werden. So weit möglich.4 Nutzung und Aufbewahrung mobiler IT-Geräte Unter mobilen IT-Geräten sind alle für einen mobilen Einsatz geeigneten Geräte zu verstehen.6 Serverräume und 9. muss sie/er versuchen. So weit möglich sollten solche Informationen in schriftlicher Form .Netzwerkkomponenten sollten wie Server in einem gesicherten Serverraum oder einem Schutzschrank aufgestellt sein. Da die Umfeldbedingungen bei mobilem Einsatz meist außerhalb der direkten Einflussnahme der Benutzerin / des Benutzers liegen. Kapitel 2.5. so etwa Notebooks.etwa als Merkblätter an die Mitarbeiter/innen verteilt werden. mobile IT-Geräte auch außer Haus sicher aufzubewahren. Auch hier ist sicherzustellen: • • Der Zugang und Zugriff zu Netzwerkkomponenten darf ausschließlich autorisierten Personen möglich sein. werden in Ausnahmefällen unverschlüsselte Disketten oder Streamerbänder im mobilen Einsatz verwendet.7 Beschaffung und Einsatz geeigneter Schutzschränke sind zu beachten. Eine Vertretungsregelung muss sicherstellen. Nach Möglichkeit sollten die Zeiten. Palmtops. auch 7. Teil 1. geheime und/ oder streng geheime bzw. Dabei ist auch auf die besonderen Gegebenheiten in verschiedenen Zielgebieten und in speziellen Situationen (etwa bei einer besonders eingehenden Zollkontrolle) hinzuweisen. dass die Zulässigkeit von Verschlüsselungstechnologien in den einzelnen Staaten unterschiedlich geregelt ist.3.1 Herausgabe einer PC-Richtlinie ).1. Werden auf mobilen IT-Geräten eingeschränkte.4 dieses Handbuches [KIT S01] ) gespeichert und verarbeitet.oder Dateiverschlüsselung dringend zu empfehlen (vgl. die bei der mobilen Nutzung zu beachten sind: • • • • Die Benutzer/innen mobiler IT-Geräte sind über die potentiellen Gefahren bei Mitnahme und Nutzung eines solchen Gerätes außerhalb der geschützten Umgebung eingehend zu informieren und zu sensibilisieren. sollten auch Disketten und Streamerbänder ausschließlich chiffrierte Daten enthalten. so sollten diese keinesfalls unbeaufsichtigt (etwa im Hotel oder in einem Wagen) zurückgelassen werden. personenbezogene und/oder sensible Daten ( Definitionen s. Die entsprechenden Maßnahmen 9. 9. Dabei ist zu beachten.

In Hotelräumen sollte ein mobiles IT-Gerät nicht offen aufliegen. Das Abdecken des Gerätes oder das Einschließen in den Kofferraum bieten Abhilfe. Darüber hinaus können dort auch Datenträger (in kleinerem Umfang) sowie zusätzliche Hardware. so ist dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen. 9. so sollte das Gerät von außen nicht sichtbar sein. Die für den Transport oder für die Zustellung Verantwortlichen (z. Im Serverraum ist kein ständig besetzter Arbeitsplatz eingerichtet. Beschriebene Datenträger sollten bis zum Transport in entsprechenden Behältnissen (Schrank. er wird nur sporadisch und zu kurzfristigen Arbeiten betreten. 236 . Wird ein mobiles IT-Gerät in fremden Büroräumen vor Ort benutzt. Zu beachten ist jedoch. Poststelle) sind auf die sachgerechte und sichere Aufbewahrung und Handhabung von Datenträgern hinzuweisen. wie etwa Protokolldrucker oder Klimatechnik. sollte zusätzlich das Gerät ausgeschaltet werden.5. Der Diebstahl setzt dann den Einsatz von Werkzeug voraus.6 Serverräume Ein Serverraum dient zur Unterbringung eines oder mehrerer Server sowie serverspezifischer Unterlagen. um über das Bootpasswort die unerlaubte Nutzung zu verhindern.• • • • Werden mobile IT-Geräte in einem Kraftfahrzeug aufbewahrt. Das Verschließen des Gerätes in einem Schrank behindert Gelegenheitsdiebe.5. Einige neuere Geräte bieten zusätzlich die Möglichkeit zum Anketten des Gerätes. 9. Tresor) verschlossen aufbewahrt werden. Wird der Raum für längere Zeit verlassen.B. vorhanden sein. dass für den Zeitraum zwischen dem Speichern der Daten auf dem Datenträger und dem Transport ein ausreichender Zugriffsschutz besteht.5 Sichere Aufbewahrung der Datenträger vor und nach Versand Vor dem Versand eines Datenträgers ist zu gewährleisten. Weitere Maßnahmen dazu finden sich in Kapitel Betriebsmittel und Datenträger . dass im Serverraum auf Grund der Konzentration von IT-Geräten und Daten ein deutlich höherer Schaden eintreten kann als beispielsweise in einem Büroraum. Alternativ oder ergänzend kann auch eine verschlüsselte Speicherung der Daten vorgenommen werden.

5.6 Vermeidung von wasserführenden Leitung 9.3. D = Datenträger (z.7 Beschaffung und Einsatz geeigneter Schutzschränke Schutzschränke können ihren Inhalt gegen die Einwirkung von Feuer bzw.2.2 Not-Aus-Schalter 9.4 Zutrittskontrolle 9.2.7 Klimatisierung 8. 237 .6.4 Lokale unterbrechungsfreie Stromversorgung 9.4 Geschlossene Fenster und Türen 9. Je nach angestrebter Schutzwirkung sind bei der Auswahl geeigneter Schutzschränke folgende Hinweise zu beachten: • Schutz gegen Feuereinwirkung: Bei Schutzschränken unterscheidet man bezüglich Schutz gegen Feuereinwirkung die Güteklassen S60 und S120 nach ÖNORM EN 1047-1.8 Handfeuerlöscher 9. In diesen Güteklassen werden die Schutzschränke darauf geprüft. ob in ihnen bis zu einer Beflammungszeit von 60 bzw. Filme). Magnetbänder.3 Beaufsichtigung oder Begleitung von Fremdpersonen 9. 120 Minuten während eines normierten Testes für die geschützten Datenträger verträgliche Temperaturen erhalten bleiben. Durch Zusätze in der Klassifizierung werden die zu schützenden Datenträger bezeichnet.6 Fernanzeige von Störungen 9. gegen unbefugten Zugriff schützen.11 Rauchverbot 9.4.6.6. die im vorliegenden Kapitel 1 beschrieben werden.6 Überspannungsschutz (Innerer Blitzschutz) 9. Besondere Beachtung ist dabei folgenden Maßnahmen zu widmen: • • • • • • • • • • • • • 9.3.2 Raumbelegung unter Berücksichtigung von Brandlasten 9.Für den Schutz von Serverräumen sind die entsprechenden baulichen und infrastrukturellen Maßnahmen. zur Anwendung zu bringen.5 Alarmanlage 9. Die Kürzel bedeuten im Einzelnen: P = Papier aller Art.B.1.6.2.3.2.

V. die auf Grund ihrer geringen Größe relativ einfach weggetragen werden könnten. so können Datensicherungsschränke nach RAL-RG 626/9 verwendet werden. Schutzschränke. Die Innenausstattung des Schutzschrankes ist dieser Festlegung angemessen auszuwählen. Dazu sollte vor der Beschaffung eines Schutzschrankes festgelegt werden. welche Geräte bzw. die bei DIS-Schränken am höchsten ist. so dass Datenträger nicht zerstört werden. Sind Zugriffsschutz und Brandschutz in Kombination erforderlich. Die Unterschiede zwischen den Klassen liegen in der Isolationsleistung. (VDMA) und RALRG 627 für Wertschränke.und Anlagenbau e. jedoch ist davon auszugehen.V.• DIS = Disketten und Magnetbandkassetten einschließlich aller anderen Datenträger. Schutz gegen unbefugten Zugriff: Der Schutzwert gegen unbefugten Zugriff wird neben der mechanischen Festigkeit des Schutzschrankes entscheidend durch die Güte des Schlosses beeinflusst. da der Schutzwert des Schrankes und seine spezifische Zulassung beeinträchtigt werden können. welche Arten von Datenträgern in ihm aufbewahrt werden sollen. Die Schließung sollte lokal durch Rauchgasmelder und/oder extern durch ein Signal einer Brandmeldeanlage (soweit vorhanden) ausgelöst werden können. Hilfestellung bei der Bewertung des Widerstandswertes verschiedener Schutzschränke gibt das VDMA-Einheitsblatt 24990. Für den IT-Grundschutz sollten Wertschränke nach RAL-RG 627 [Anmerkung . Weitere relevante Normen und Informationen sind VDMA 24992 für Stahlschränke des Verbandes deutscher Maschinen. dass im Brandfall der Betrieb eines in einem Serverschrank untergebrachten Servers nicht aufrechterhalten werden kann. Serverschränke: 238 . in dem Sicherheitsmerkmale von Schutzschränken kurz beschrieben werden. Für den IT-Grundschutz sollten bei Schutz gegen Feuer Schutzschränke der Güteklasse S60 ausreichend sein. Bei Schutzschränken. Zu beachten bleibt. Bei der Auswahl von Schutzschränken ist auch die zulässige Deckenbelastung am Aufstellungsort zu berücksichtigen. Nach diesen Auswahlkriterien für den Schutzwert des Schutzschrankes ist als Nächstes die Ausstattung des Schrankes bedarfsgerecht festzulegen. Es sollte auch Raum für zukünftige Erweiterungen mit eingeplant werden. sollten in der Wand oder im Boden verankert werden. Nachrüstungen sind in der Regel schwierig. dass solche Schränke damit Schutz gegen Feuer für einen gewissen Zeitraum bieten. Bonn ] geeignet sein. sollte eine Vorrichtung zum automatischen Schließen der Türen im Brandfall vorgesehen werden. die zum Schutz vor Feuer und Rauch dienen.RAL: Deutsches Institut für Gütesicherung und Kennzeichnung e.

Bandlaufwerke vorgesehen werden. Werden Arbeiten. ist empfehlenswert. Andernfalls muss zumindest eine Lüftung vorhanden sein. in denen wichtige IT-Komponenten (also im Regelfall Server) untergebracht sind. so muss der Code für diese Schlösser geändert werden nach der Beschaffung. dass der Code einem Unbefugten bekannt wurde und mindestens einmal alle zwölf Monate. das im Brandfall die Stromzufuhr der Geräte unterbricht (auf der Eingangs. ggf. Die Protokollierung der Aktionen am Server dient auch zur Kontrolle der Administratoren. damit Administrationsarbeiten am Server ungehindert durchgeführt werden können. die ein Öffnen des Schutzschrankes erfordern. Verschluss von Schutzschränken: Generell sind Schutzschränke bei Nichtbenutzung zu verschließen. wenn der Verdacht besteht.B. nach Öffnung in Abwesenheit des Benutzers. Backup-Datenträger würden im Falle einer Beschädigung des Servers vermutlich ebenfalls beschädigt. • • • • • Werden Schutzschränke mit mechanischen oder elektronischen Codeschlössern verwendet. Der Code darf nicht aus leicht zu ermittelnden Zahlen (z. sogar als Einzigen.und der Ausgangsseite der USV. Je nach Nutzung des Schrankes können auch eine Klimatisierung und/oder eine USV-Versorgung erforderlich sein. Die Ausstattung des Schrankes mit einem lokal arbeitenden Brandfrüherkennungssystem. Die jeweils gültigen Codes von Codeschlössern sind aufzuzeichnen und gesichert zu hinterlegen. ihnen.Schutzschränke. persönliche Daten. Nicht im gleichen Schrank untergebracht werden sollten Backup-Datenträger und Protokolldrucker.B. dass Administratoren Arbeiten sitzend durchführen können. Es ist also nicht sinnvoll. 239 . bei Wechsel des Benutzers. In diesen sollte außer für den Server und eine Tastatur auch Platz für einen Bildschirm und weitere Peripheriegeräte wie z. werden auch als Serverschränke bezeichnet. unterbrochen. so ist auch bei kurzfristigem Verlassen des Raumes der Schutzschrank zu verschließen. Zugriff auf die Protokollausdrucke zu gewähren. sofern diese vorhanden ist). arithmetische Reihen) bestehen. dass eine Hinterlegung im zugehörigen Schutzschrank sinnlos ist. Die entsprechenden Geräte sollten dann im Schrank mit untergebracht werden. damit Administrationsarbeiten vor Ort durchgeführt werden können. Dazu ist zu beachten. dass die Ausstattung ergonomisch gewählt ist. der in einer Höhe angebracht wird. So ist zum Beispiel ein ausziehbarer Boden für die Tastatur wünschenswert. Zu beachten ist.

Wasser. bei deren Umbau.4 Zutrittskontrolle ). beim Einbau technischer Gebäudeausrüstungen (z. oder getrennt hinterlegt werden. Bei der Planung und Errichtung von Gebäuden. Diese Regelwerke tragen dazu bei. was im Notfall einen schnelleren Zugriff erlauben würde.B. Paletten etc. Die Zugriffsmöglichkeiten können durch unterschiedliche Schlüssel und entsprechende Schlüsselverwaltung geregelt werden (siehe dazu 9.B. dass • • • Verteiler nicht bei Malerarbeiten mit Farbe oder Tapeten so verklebt werden.2 Regelungen für Zutritt zu Verteilern Die Verteiler (z. Verteiler nicht mit Möbeln.Wenn der Schutzschrank neben einem Codeschloss ein weiteres Schloss besitzt. dass sie nur noch mit Werkzeug zu öffnen oder unauffindbar sind. Gas. 240 . z. wer welchen Verteiler öffnen darf. Verteiler sollten verschlossen sein und dürfen nur von den für die jeweilige Versorgungseinrichtung zuständigen Personen geöffnet werden. Datennetze. Telefon) sind nach Möglichkeit in Räumen für technische Infrastruktur unterzubringen. Telefon. so ist abzuwägen. ob Code und Schlüssel gemeinsam hinterlegt werden. so dass es für eine/n Angreifer/in schwieriger ist. Vorschriften.6 Weitere Schutzmaßnahmen 9. 9.6. Die dort geforderten Maßnahmen sind zu berücksichtigen. Geräten. 9.) im Gebäude muss möglich und geordnet sein.1 Einhaltung einschlägiger Normen und Vorschriften Für nahezu alle Bereiche der Technik gibt es Normen bzw. interne Versorgungsnetze wie Telefon. für verschlossene Verteiler die Schlüssel verfügbar sind und die Schlösser funktionieren.1. Der Zutritt zu den Verteilern aller Versorgungseinrichtungen (Strom. Mit geordnet ist gemeint. dass technische Einrichtungen ein ausreichendes Maß an Schutz für den/die Benutzer/in und Sicherheit für den Betrieb gewährleisten.oder Datennetze) und bei Beschaffung und Betrieb von Geräten sind entsprechende Normen und Vorschriften unbedingt zu beachten. der ÖNORM und des ÖVE. zugestellt werden. sich Zugriff zu verschaffen. Rohrpost etc.B. Mit möglich ist gemeint. für Energieversorgung. Gefahrenmeldung. In Anhang A werden einige dieser Normen beispielhaft angeführt. dass festgelegt ist.6.

Auch nach innen gehende Türen nicht besetzter Räume sollten im Allgemeinen abgeschlossen werden. Türschilder wie z.und Erdgeschoss und. 8. die für Fremde leicht von außen einsehbar sind (siehe auch 9. 241 . Serverraum. der zum Gebäude Zutritt hat. IT in Räumen oder Gebäudebereichen unterzubringen.2 Anordnung schützenswerter Gebäudeteile ).4 Geschlossene Fenster und Türen Fenster und nach außen gehende Türen (Balkone. "Rechenzentrum" oder "EDV-Archiv" geben einem potentiellen Angreifer. dass Unbefugte Zugriff auf darin befindliche Unterlagen und IT-Einrichtungen erlangen.B. Während normaler Arbeitszeiten und sichergestellter kurzer Abwesenheit der Mitarbeiterin/des Mitarbeiters kann von einer zwingenden Regelung für Büroräume abgesehen werden. nicht nur ein Fenster einer ganzen Etage mit einem Sichtschutz versehen wird. je nach Fassadengestaltung.1. dass die Nutzung nicht offenbar wird. in Großraumbüros.a.6. z. dass z. 9.9. Ersatzteillager.B. zu schließen.3 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile Schützenswerte Gebäudeteile sind z. in denen ein Raum nicht besetzt ist. Rechenzentrum. Im Keller. Hinweise.B.6. Bei laufendem Rechner kann auf das Abschließen der Türen verzichtet werden. Verteilungen der Stromversorgung. In manchen Fällen.1. um den Einblick zu verhindern oder so zu gestalten. Schrank und PC (Schloss für Diskettenlaufwerk. so sind geeignete Maßnahmen zu treffen.7 Clear Desk Policy ). um seine Aktivitäten gezielter und damit Erfolg versprechender vorbereiten zu können. Datenträgerarchiv. Schalträume. Klimazentrale. mit der die Nutzung des Rechners nur unter Eingabe eines Passwortes weitergeführt werden kann (passwortunterstützte Bildschirmschoner). Dadurch wird verhindert. Dabei ist darauf zu achten. ist der Verschluss des Büros nicht möglich. Terrassen) sind in Zeiten. auch in den höheren Etagen bieten sie einem/einer Einbrecher/in auch während der Betriebszeiten eine ideale Einstiegsmöglichkeit. Ist es unvermeidbar. In diesem Fall sollte alternativ jede/r Mitarbeiter/in vor ihrer/seiner Abwesenheit Unterlagen und den persönlichen Arbeitsbereich (Schreibtisch.B. wenn eine Sicherungsmaßnahme installiert ist. Telefon) verschließen (s. Tastaturschloss. Solche Bereiche sollten nach Möglichkeit keinen Hinweis auf ihre Nutzung tragen. der Bildschirm gelöscht wird und das Booten des Rechners die Eingabe eines Passwortes verlangt.

So lassen sich Gefährdungen wie Feuer. Telefonleitung) an anderer Stelle. ist eine regelmäßige Wartung und Funktionsprüfung der Alarmanlage vorzusehen. entdeckt werden.6. Diese arbeiten völlig selbstständig.6 Fernanzeige von Störungen IT-Geräte und Supportgeräte. Feuer. dass die Passworteingabe keinesfalls umgangen werden kann.) in die Überwachung durch diese Anlage mit eingebunden werden sollen. Es muss auf jeden Fall sichergestellt werden. 242 .und verschlossenen Räumen untergebracht (z. Besonders wirksam ist "Stiller Alarm mit Rückfrage". ist zu überlegen. ohne Anschluss an eine Zentrale. dass keine schutzbedürftigen Gegenstände wie Unterlagen oder Datenträger offen aufliegen. kommen als Minimallösung lokale Melder in Betracht. dies erfordert jedoch zusätzlichen organisatorischen Aufwand.6. Datenträgerarchive. ob zumindest die Kernbereiche der IT (Serverräume.ä. Die Alarmierung erfolgt vor Ort oder mittels einer einfachen Zweidrahtleitung (evtl. Serverraum). 9. Die zuständigen Personen sind über die im Alarmfall einzuleitenden Schritte zu unterrichten. meist durch ihre Auswirkungen auf die IT. Räume für technische Infrastruktur u. dass Störungen. werden oft in ge. geprüft werden. Diebstahl frühzeitig erkennen und Gegenmaßnahmen einleiten. Funktionsstörungen einer USV oder der Ausfall eines Klimagerätes seien als Beispiele für solche "schleichenden" Gefährdungen angeführt. die keine oder nur seltene Bedienung durch eine Person erfordern. Das führt dazu. wenn die Inbetriebnahme des Gerätes die Eingabe eines Passwortes verlangt und sichergestellt ist. Einbruch. Um die Schutzwirkung aufrechtzuerhalten. die sich in ihrem Frühstadium auf die IT noch nicht auswirken und einfach zu beheben sind.Bei ausgeschaltetem Rechner kann auf das Verschließen des Büros verzichtet werden. Weiters ist zu beachten: • • • Die Alarmanlage muss regelmäßig gewartet bzw. Ist keine Alarmanlage vorhanden oder lässt sich die vorhandene nicht nutzen. 9. erst zu spät.5 Alarmanlage Ist eine Alarmanlage für Einbruch oder Brand vorhanden und lässt sich diese mit vertretbarem Aufwand entsprechend erweitern.B.

Die technischen Möglichkeiten reichen dabei von einfachen Kontakten.und Wärmeaustausch eines Raumes manchmal nicht aus. in denen sich Wasser sammeln und stauen kann oder in denen fließendes oder stehendes Wasser nicht oder erst spät entdeckt wird und in denen das Wasser Schäden verursachen kann.6. a. insbesondere bei Umbauarbeiten in bestehenden Räumen und Gebäuden. solche Störungen früher zu erkennen. dass die Luftumwälzung durch eine Klimaanlage auch Emissionen aus der Umgebung in die Nähe von empfindlichen ITKomponenten bringen kann.6 Vermeidung von wasserführenden Leitungen ist zu beachten.8 Selbsttätige Entwässerung Alle Bereiche. Anstriche.und Entfeuchtung auch diese erfüllen.4. Zu diesen Bereichen gehören u.Durch eine Fernanzeige ist es möglich. Lufträume unter Doppelböden. dass Kleber.9 Videounterstützte Überwachung 243 . Zusätzlich ist zu beachten. Werden darüber hinaus Forderungen an die Luftfeuchtigkeit gestellt. mit Wassermeldern ausgestattet sein. jederzeit den aktuellen Betriebszustand der angeschlossenen Geräte festzustellen und so Ausfällen rechtzeitig begegnen zu können. etc. bis zu Rechnerschnittstellen mit dazugehörigem Softwarepaket für die gängigen Betriebssysteme. 9. darauf zu achten. ohne sie ständig prüfen oder beobachten zu können. sollten mit einer selbsttätigen Entwässerung und ggf. Um die Schutzwirkung aufrechtzuerhalten ist eine regelmäßige Wartung der Klimatisierungseinrichtung vorzusehen. Deren Aufgabe ist es.7 Klimatisierung Um den zulässigen Betriebstemperaturbereich von IT-Geräten zu gewährleisten. 9. kann ein Klimagerät durch Be. Viele Geräte. säurefrei sind. die Raumtemperatur durch Kühlung unter dem von der IT vorgegebenen Höchstwert zu halten. Lichtschächte und Heizungsanlagen. um eine Korrosion von IT-Bauteilen durch vorbeigeführte Luft aus der Klimaanlage zu vermeiden. über die eine Warnlampe eingeschaltet werden kann. reicht der normale Luft. haben heute einen Anschluss für Störungsfernanzeigen. auf die man sich verlassen muss. 9.6. 9. Dazu muss das Klimagerät allerdings an eine Wasserleitung angeschlossen werden. so dass der Einbau einer Klimatisierung erforderlich wird. Keller. So ist etwa bei baulichen Maßnahmen. Über die Schnittstellen ist es oft sogar möglich.6.

9.6.1.1. Aus diesem Katalog sollten folgende Punkte besonders beachtet werden: • • • • geeignete Standortwahl ( 9. Bei geeigneter Aufstellung ist auch die von Überwachungskameras ausgehende Abschreckung ein Vorteil derartiger Systeme. 9. Derartige Überwachungssysteme stellen eine sinnvolle Ergänzung der bestehenden Maßnahmen (vgl. Abschnitt 1. Die Wahl der Aufstellungsplätze der Kameras sollte unter Beiziehung der Betriebsrätin/des Betriebsrates und unter Berücksichtigung des Datenschutzes erfolgen.). In diesem Zuge sind auch alle im Umlauf befindlichen Kopien der Pläne durch aktualisierte Kopien zu ersetzen.Zur besseren Absicherung der Infrastruktur sollte bei Bedarf auf ein videounterstütztes Überwachungssystem zurückgegriffen werden.2 Strategie und Planung ) . Im Zuge der Konzeption und Installation müssen Personal sowie zusätzliche technische und infrastrukturelle Vorkehrungen zur Auswertung vorgesehen werden.6.5 Geeignete Aufstellung und Aufbewahrung ) Weiters ist zu beachten: • 244 Verfügbarkeitsanforderungen ( Abschnitt 7.1.ä.11 Vorgaben für ein Rechenzentrum Ein Rechenzentrum gilt als schützenswert und sollte daher im Sinne eines Sicherheitsbereiches konzipiert sein.3 Einbruchsschutz ) Zutrittskontrollen ( 9. Nach jedem Eingriff der eine Aktualisierung der Pläne erforderlich macht (bauliche Maßnahmen o.1 Geeignete Standortauswahl ) ausreichender Einbruchsschutz ( 9.4 Zutrittskontrolle ) Aufstellung und Anordnung von Geräten ( Abschnitt 9.10 Aktualität von Plänen Sämtliche Pläne sind aktuell zu halten und an geeigneten Stellen zu deponieren. sind diese umgehend auf den aktuellen Stand zu bringen. In diesem Zusammenhang sind die im Kapitel 1 „Bauliche und infrastrukturelle Maßnahmen“ getroffenen Maßnahmen von besonderer Bedeutung.6 ) dar.

Dabei handelt es sich um einen kontinuierlichen Prozess. ein umfassendes.1. Authentizität und Zuverlässigkeit von IT-Systemen gewährleisten soll. Festlegung der IT-Sicherheitsanforderungen. Ermittlung und Analyse von Bedrohungen und Risiken. Zu den Aufgaben des IT-Sicherheitsmanagements gehören: • • • • • Festlegung der IT-Sicherheitsziele.1 IT-Sicherheitsmanagement Informationssicherheitsmanagement steht für eine kontinuierliche Planungs.1 Methodisches Sicherheitsmanagement ist zur Gewährleistung umfassender und angemessener IT-Sicherheit unerlässlich. 10. -strategien und -politiken der Organisation. der die Vertraulichkeit. Integrität. 10. und in dem Zusammenhang auch [IKTB-170902-8] ). 245 . Überwachung der Implementierung und des laufenden Betriebes der ausgewählten Maßnahmen.2 Erarbeitung einer organisationsweiten ITSicherheitspolitik . angemessenes und konsistentes Informationssicherheitsniveau für die gesamte Organisation herzustellen und zu erhalten. Zurechenbarkeit.10 ff " Management der Kommunikation und des Betriebs ". über eine Durchführung auf der Ebene einzelner Organisationseinheiten ist im Einzelfall zu entscheiden. 10.10 Sicherheitsmanagement in Kommunikation und Betrieb Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 .und Lenkungsaufgabe zur Umsetzung eines wirksamen Prozesses mit dem Ziel. Dieser Prozess ist zumindest auf Ebene der Gesamtorganisation zu etablieren.1.1 Etablierung eines IT-Sicherheits-Management-Prozesses ISO Bezug: 27002 10. Der IT-Sicherheits-ManagementProzess ist daher ein integraler Bestandteil der organisationsweiten ITSicherheitspolitik (vgl. Verfügbarkeit. Festlegung geeigneter Sicherheitsmaßnahmen. Die Umsetzung der in diesem Kapitel angeführten Maßnahmen soll dies gewährleisten.

Abbildung 1: Aktivitäten im Rahmen des IT-Sicherheitsmanagements [eh SMG 1.1 Informationssicherheitsmanagement-Prozess werden die zur Etablierung eines umfassenden Informationssicherheits-Management-Prozesses erforderlichen Schritte detailliert beschrieben. Die folgende Graphik zeigt die wichtigsten Aktivitäten im Rahmen des Informationssicherheitsmanagements und die eventuell erforderlichen Rückkopplungen zwischen den einzelnen Stufen.1] 246 . In Kapitel 2.• • Förderung des Sicherheitsbewusstseins innerhalb der Organisation sowie Entdecken von und Reaktion auf sicherheitsrelevante Ereignisse.

Ressorts in der öffentlichen Verwaltung werden auf Basis des IKT-BoardBeschlusses [IKTB-170902-8] explizit zur Umsetzung einer Sicherheitspolitik angehalten.2] 10. Die organisationsweite Informationssicherheits-Politik soll allgemeine Festlegungen treffen.2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik ISO Bezug: 27001 4. akzeptables Restrisiko und Risikoakzeptanz Klassifikation von Daten Organisationsweite Richtlinien zu Sicherheitsmaßnahmen Disaster Recovery Planung Nachfolgeaktivitäten zur Überprüfung und Aufrechterhaltung der Sicherheit Details und Anleitungen zur Erstellung einer organisationsweiten ITSicherheitspolitik finden sich in Kapitel 5. [eh SMG 1.1. "Entwicklung einer organisationsweiten Informationssicherheits-Politik" des vorliegenden Handbuchs. Jede Organisation sollte eine in schriftlicher Form vorliegende IT-Sicherheitspolitik erarbeiten. Strategien. die als langfristig gültiges Dokument zu betrachten ist.1.10.und Verteidigungsdoktrin – Teilstrategie IKT-Sicherheit [OESVD-IT] hingewiesen. die unter Berücksichtigung gegebener Randbedingungen grundlegende Ziele.3 Erarbeitung von IT-Systemsicherheitspolitiken 247 . In diesem Zusammenhang sei auch auf die österreichische Sicherheits. die für alle Einsatzbereiche der Informationstechnologie innerhalb einer Organisation zur Anwendung kommen und folgende Inhalte umfassen: • • • • • • • Grundsätzliche Ziele und Strategien Organisation und Verantwortlichkeiten für IT-Sicherheit Risikoanalysestrategien. Verantwortlichkeiten und Methoden für die Gewährleistung der IT-Sicherheit festlegen.1 Als organisationsweite IT-Sicherheitspolitik bezeichnet man die Leitlinien und Vorgaben innerhalb einer Organisation.

1.3] 10. Bedrohungen und Schwachstellen lt. Beschreibung der wichtigsten Komponenten Definition der wichtigsten Ziele und Funktionalitäten des Systems Festlegung der IT-Sicherheitsziele des Systems Abhängigkeit der Organisation vom betrachteten IT-System Investitionen in das System Risikoanalysestrategie Werte. Risikoanalyse Sicherheitsrisiken Beschreibung der bestehenden und der noch zu realisierenden Sicherheitsmaßnahmen Gründe für die Auswahl der Maßnahmen Kostenschätzungen für die Realisierung und Wartung (Aufrechterhaltung) der Sicherheitsmaßnahmen Verantwortlichkeiten Details und Anleitungen zur Erstellung von IT-Systemsicherheitspolitiken finden sich in Kapitel 5.3 248 .1.ISO Bezug: 27001 4. "Entwicklung einer organisationsweiten Informationssicherheits-Politik" des vorliegenden Handbuchs. 10. Die IT-Systemsicherheitspolitik sollte Aussagen zu folgenden Bereichen treffen: Definition und Abgrenzung des Systems. Details über die ausgewählten Sicherheitsmaßnahmen beschreibt und die Gründe für die Auswahl der Sicherheitsmaßnahmen dargelegt.1.1 Für jedes IT-System sollte eine IT-Systemsicherheitspolitik erarbeitet werden.1. welche • • • • • • • • • • • • • • • die grundlegenden Vorgaben und Leitlinien zur Sicherheit in diesem System definiert. [eh SMG 1.4 Festlegung von Verantwortlichkeiten ISO Bezug: 27002 10.

Software. Zugangs. Datenschutz. Abnahme und Freigabe von Software. IT-Konfiguration. Weiters ist zu beachten: • Die Regelungen sind den betroffenen Mitarbeiterinnen/Mitarbeitern in geeigneter Weise bekannt zu geben.) Revision. 249 . Dokumentation von IT-Verfahren. Datenarchivierung.und Reparaturarbeiten.. Schutz gegen Software mit Schadensfunktion (Viren. Wartungs. Zutritts-.Um eine Berücksichtigung aller wichtigen Sicherheitsaspekte und eine effiziente Erledigung sämtlicher anfallender Aufgaben zu gewährleisten..2 Erarbeitung einer organisationsweiten Informationssicherheits-Politik und 5 Entwicklung einer organisationsweiten Informationssicherheits-Politik ).1. Kauf und Leasing von Hardware und Software. ist es erforderlich. 10. .und Zugriffsberechtigungen. Es empfiehlt sich. die Rollen aller in den IT-Sicherheitsprozess involvierten Personen klar zu definieren. Datenträger. Würmer. Notfallvorsorge und Vorgehensweise bei Verletzung der Sicherheitspolitik. Anwendungsentwicklung.und Betriebsmittelverwaltung. Diese Festlegung erfolgt zweckmäßig im Rahmen der organisationsweiten IT-Sicherheitspolitik (vgl. Datenübertragung. darüber hinaus detaillierte Regelungen zu folgenden Bereichen zu treffen: • • • • • • • • • • • • • • • Datensicherung. trojanische Pferde. Nähere Erläuterungen dazu finden sich in den nachfolgenden Maßnahmenbeschreibungen.

10.4] 10.6 Einrichtung von Standardarbeitsplätzen 250 .1. so ist dies in einer entsprechenden Dokumentation über die Funktionsverteilung besonders hervorzuheben. Vorgaben hierfür können aus den Aufgaben selbst oder aus gesetzlichen Bestimmungen resultieren.4 Im Rahmen der Zuordnung von Aufgaben und Verantwortlichkeiten ist auch festzulegen. [eh SMG 1. Netzadministration und Revision. um Missverständnisse. Die dabei getroffenen Festlegungen sind zu dokumentieren und bei Veränderungen im IT-Einsatz zu aktualisieren. Es empfiehlt sich. Sollte bei dieser Zuordnung eine Person miteinander unvereinbare Funktionen wahrnehmen müssen.1. ungeklärte Zuständigkeiten und Widersprüche zu verhindern.1.3.5 Funktionstrennung ISO Bezug: 27002 10. Nach der Festlegung der einzuhaltenden Funktionstrennung kann die Zuordnung der Funktionen zu Personen erfolgen. [eh SMG 1. Die getroffenen Regelungen sind regelmäßig zu aktualisieren. die Bekanntgabe zu dokumentieren. Revision und Zahlungsanordnungsbefugnis. welche Funktionen nicht miteinander vereinbar sind. Beispiele dafür sind: • • • • • Rechteverwaltung und Revision.1. Insbesondere wird deutlich. Programmierung und Test bei eigenerstellter Software.5] 10.• • • Sämtliche Regelungen sind in der aktuellen Form an einer Stelle vorzuhalten und bei berechtigtem Interesse zugänglich zu machen. dass meistens operative Funktionen nicht mit kontrollierenden Funktionen vereinbar sind. also auch nicht von einer Person gleichzeitig wahrgenommen werden dürfen ("Funktionstrennung"). Datenerfassung und Zahlungsanordnungsbefugnis.

Zuverlässigkeit. Dadurch soll das Vertrauen in das Grundsystem gestärkt werden. Sie wird durch fachkundiges Personal durchgeführt. das sie am Arbeitsplatz vorfinden. Geschwindigkeit und Wartbarkeit.2002 [IKTB-170902-7] wird die Verwendung und Umsetzung einer sicheren Initialkonfiguration bei der Auslieferung von Systemen im Bundesbereich empfohlen.1 Ein Standardarbeitsplatz ist gekennzeichnet durch einheitliche Hardware und Software sowie deren Konfiguration. Bei Fragen zu Hard. Die Einrichtung von Standardarbeitsplätzen ist in mehrfacher Hinsicht vorteilhaft: IT-Sicherheit: • • • • • Standardarbeitsplätze sind leichter in Sicherheitskonzepte einzubinden.09.ISO Bezug: 27002 10. Ergonomie. Die Planung und Einrichtung erfolgt üblicherweise unter den Aspekten der Aufgabenstellung. Der Aufwand für die Dokumentation des IT-Bestandes wird reduziert. IT-Nutzer/innen: • • Bei Gerätewechsel ist keine erneute Einweisung in die IT-Konfiguration erforderlich. Die einheitliche Arbeitsumgebung erleichtert Wartung und Support. Der Einsatz nicht zulässiger Software ist einfacher festzustellen. Durch gleiche IT-Ausstattung entfallen "Neidfaktoren" zwischen den einzelnen Benutzerinnen/Benutzern. In Anlehnung an den IKT-Board Beschluss vom 17.1. Ausfallzeiten werden somit minimiert.und Software können sich Anwender/innen gegenseitig helfen. IT-Management: Die Beschaffung größerer Stückzahlen gleicher Komponenten ermöglicht Preisvorteile. Schulung: Die Teilnehmer/innen werden in dem Umfeld geschult. 251 . Systemadministration bei Installation und Wartung: • • • Eine gewissenhaft geplante und getestete Installation kann fehlerfrei und mit geringem Arbeitsaufwand installiert werden.

vgl.3. Die Kriterien. Dabei ist insbesondere darauf zu achten. auch Kap.7 Akkreditierung von IT-Systemen ISO Bezug: 27002 10.2 Für jedes IT-System ist sicherzustellen. Erst nach erfolgter Akkreditierung kann das System . Techniken zur Akkreditierung sind: • • • Prüfung der Maßnahmen auf Übereinstimmung mit der IT-Sicherheitspolitik (Security Compliance Checking). 15 Security Compliance Checking und Monitoring Tests Evaluation und Zertifizierung von Systemen Änderungen der eingesetzten Sicherheitsmaßnahmen oder der Betriebsumgebung können eine neuerliche Akkreditierung des Systems erforderlich machen.[eh SMG 1. dass es den Anforderungen der ITSystemsicherheitspolitik genügt.in Echtbetrieb gehen.1. sollten in der ITSystemsicherheitspolitik festgelegt werden.1.5 252 .6] 10.8 Change Management ISO Bezug: 27002 10.1. wann eine Neuakkreditierung durchzuführen ist. unter bestimmten Einsatzbedingungen und für eine bestimmte vorgegebene Zeitspanne gewährleistet ist.oder gegebenenfalls eine spezifische Anwendung . 12.2. [eh SMG 1.7] 10. dass die Sicherheit des Systems • • • in einer bestimmten Betriebsumgebung.

. z. neue Hardware.1. die sich aus Änderungen am IT-System ergeben.3] 10. 10. Änderungen in der Bewertung der eingesetzten IT. räumliche Änderungen.). Änderungen in der Aufgabenstellung oder in der Wichtigkeit der Aufgabe für die Institution. Eine Änderung des IT-Systems oder seiner Einsatzbedingungen kann also • • Änderungen in der Umsetzung des Informationssicherheitsplans die Erstellung eines neuen Sicherheitskonzeptes 253 . Änderungen in der Benutzerstruktur (neue. Alle Änderungen und die dazugehörigen Entscheidungsgrundlagen sind schriftlich zu dokumentieren.1 Etablierung eines IT-Sicherheits-Management-Prozesses erforderlich werden. Integrität oder Verfügbarkeit und Änderungen bei Bedrohungen oder Schwachstellen. [eh T2 6. so sind die Auswirkungen auf die Gesamtsicherheit des Systems zu untersuchen. neue Sicherheitsanforderungen zu erkennen. Abhängig von der Bedeutung des Systems und dem Grad der Änderung kann eine neuerliche Durchführung vorangegangener Aktivitäten im Sicherheitsprozess (vgl. dass Änderungen an einem IT-System nicht zu einer Verringerung der Effizienz von einzelnen Sicherheitsmaßnahmen und damit einer Gefährdung der Gesamtsicherheit führen..1. etwa externe oder anonyme. nach einem Umzug. Sind signifikante Hardware.1.B. der notwendigen Vertraulichkeit. Dazu gehören zum Beispiel: • • • • • • Änderungen des IT-Systems (neue Applikationen. neue Netzwerkverbindungen.oder Softwareänderungen in einem IT-System geplant. Benutzergruppen).2 Es ist dafür Sorge zu tragen.Aufgabe des Change Managements ist es.8.1 Reaktion auf Änderungen am IT-System ISO Bezug: 27002 10. Im Rahmen des Konfigurationsmanagements ist sicherzustellen.. dass auf alle sicherheitsrelevanten Änderungen angemessen reagiert wird.

1. 10.1.1.2. 12. dass nur abgenommene und freigegebene Software installiert wird (vgl.2 Dokumentation Die im Folgenden angeführten Maßnahmen geben grobe Richtlinien zu den Anforderungen an die Dokumentation.8 Installation und Konfiguration von Software ) und Standardsoftware einer Lizenzverwaltung und Versionskontrolle unterliegt (vgl.und Änderungskonzeptes" (SWPÄ-Konzept. 12. • • • • Es ist sicherzustellen.8. 12.3.• • eine neue Risikoanalyse oder sogar die Überarbeitung der organisationsweiten Informationssicherheits-Politik erforderlich machen.5.1. 12.2 Software-Änderungskontrolle ISO Bezug: 27002 10. die freigegebene Software(version) nur unverändert installiert werden kann (vgl. In den genannten Dokumenten finden sich auch weitere Details.1 Dokumentation von Software ISO Bezug: 27002 10. 12.2.2 Software-Änderungskontrolle (Software Change Control) ist der Teil des Change Managements.7 Abnahme und Freigabe von Software ).1] 10.und -Änderungskonzept (SWPÄ-Konzept )).1.2] 10. 12.3. 12. [eh BET 3.7.1.5. Dabei wird insbesondere auf die sicherheitsspezifischen Fragen im Rahmen der Dokumentation eingegangen.1.4 254 . [eh BET 3. 10. den [IT-BVM] sowie den [Common Criteria] . Die Ausführungen orientieren sich an den [AVB-IT] . der sich auf die Gewährleistung der Integrität von Software bei Änderungen bezieht.1.9 Sicherstellen der Integrität von Software ).6 Software-Pflege. Installation und Konfiguration entsprechend den Installationsanweisungen erfolgen (vgl.2. 10.1. vgl.10 Lizenzverwaltung und Versionskontrolle von Standardsoftware ) Für komplexe Eigenentwicklungen empfiehlt sich die Erstellung eines "SoftwarePflege.

Aus sicherheitstechnischer Sicht soll die Benutzerdokumentation der/dem Endbenutzer/in helfen. Die Benutzerdokumentation hat alle für die laufende Arbeit notwendigen Abläufe so zu beschreiben. dass sie für eine eingeschulte Person verständlich sind. etwa [AVB-IT] ). Daneben hat die Dokumentation typische und vorhersehbare Fehlersituationen und deren Behebung zu beschreiben. • • die Sicherheitseigenschaften der Software sowie den Beitrag der/des Endbenutzerin/Endbenutzers zur Gewährleistung der Sicherheit bei der Verwendung der Software zu verstehen.Für jede Softwarekomponente ist die Verfügbarkeit der zu ihrer Nutzung erforderlichen und/oder zweckmäßigen Dokumentation sicherzustellen. die die/der Entwickler/in der/dem Benutzer/in zur Verwendung bereitstellt. Die Dokumentation muss zumindest beinhalten: • • • • Benutzerdokumentation Dokumentation für Installation und Administration Darüber hinaus können je nach Bedarf folgende Anforderungen bestehen: technische Dokumentation Entwicklungsdokumentation Benutzerdokumentation: Bei der Benutzerdokumentation (in den [IT-BVM] als "Anwendungshandbuch" bezeichnet) handelt es sich um Information über die Software. Dies kann und sollte auch vertraglich festgelegt werden (vgl. Die Benutzerdokumentation sollte in deutscher Sprache vorliegen. 255 . Dabei ist zu achten auf: • • die Vollständigkeit und Korrektheit der gelieferten Dokumentation und die laufende Aktualisierung der Dokumentation während der gesamten Nutzungsdauer der Software.

zur Durchführung und Überwachung des Betriebs und zur Unterbrechung und Beendigung des Betriebs. zu konfigurieren und zu bedienen. Die Dokumentation für die Installation und Administration (im Folgenden kurz als "Administratordokumentation". 256 . die Software in einer sicheren Art und Weise zu installieren. Diese soll die Möglichkeit einer weiteren Fehlerbehebung.1] 10. in den [IT-BVM] als "Betriebshandbuch" bezeichnet) hat alle für die Installation und die laufende Verwaltung des Systems notwendigen Abläufe so zu beschreiben. wie solche Eigenschaften zusammenwirken.2 Sourcecodehinterlegung ISO Bezug: 27002 10. Sie soll Administratoren helfen.insbesondere bei der Entwicklung von Individualsoftware .4. sollte nach Möglichkeit . bei der der Sourcecode nicht mitgeliefert wird.2.Sourcecodehinterlegung vereinbart werden.3 Im Falle einer Lieferung von Software. Daneben hat die Dokumentation typische und vorhersehbare Fehlersituationen und deren Behebung zu beschreiben.1. dass sie für eine/n mit ähnlichen Komponenten vertraute/n Expertin/Experten verständlich und verwertbar ist. Technische Dokumentation: Diese muss den zum Zeitpunkt der Installation der Software üblichen Standards entsprechen und so gestaltet sein.1. [eh ENT 2. Dokumentation für Installation und Administration: Bei dieser Dokumentation handelt es sich um Information über die erforderlichen Maßnahmen zur Aufnahme des Betriebs. Darüber hinaus muss sie Richtlinien zur konsistenten und wirksamen Nutzung der Sicherheitseigenschaften der Software enthalten und darlegen.Ebenso empfiehlt sich eine Vereinbarung über die Lieferung der Dokumentation zusätzlich in maschinenlesbarer Form. Aus sicherheitstechnischer Sicht muss die Administratordokumentation die sicherheitsspezifischen Funktionen darlegen. so dass diese an definierten Arbeitsplätzen während der Arbeit abgerufen werden kann. die für Administratoren von Bedeutung sind. 12. dass sie für eine eingeschulte Person verständlich sind. Änderung und Wartung von Software für den Fall der Handlungsunfähigkeit des Softwareherstellers und den Fall der Einstellung der Weiterentwicklung oder Wartung sicherstellen.

Fehlerbehebung.. Programm und Datenflusspläne.1 Sourcecodehinterlegung (Muster. Nach der Installation wird der Datenträger mit dem Quellencode samt der dazugehörigen Dokumentation (Inhalt und Aufbau des Datenträgers. Notar/in) hinterlegt.2] 10. Fehlerbehandlung usw. Testprogramme.1. Dabei ist zu beachten: • • • • Der Datenträger muss die Software in den ursprünglichen Programmiersprachen zum Zeitpunkt der Installation einschließlich aller seitherigen Änderungen enthalten. . Anhang B. . Ein Vorschlag zur Formulierung einer entsprechenden vertraglichen Vereinbarung findet sich in den [AVB-IT] (s.3 Dokumentation der Systemkonfiguration ISO Bezug: 27002 10. Es ist eine Aufstellung der versiegelt hinterlegten Gegenstände sowie eine Anweisung über die Handhabung des Datenträgers und die Installation der Software beizulegen.2. 10. die hinterlegten Datenträger zu entnehmen und entweder ein sachkundiges Unternehmen mit den erforderlichen weiteren Arbeiten (Wartung. der auf dem System der/des Auftraggeberin/Auftraggebers gelesen werden kann. Eröffnung eines Konkursverfahrens. aus AVB-IT) ).B.) von der/ dem Auftragnehmer/in versiegelt und bei der/dem Auftraggeber/in oder einer/einem vertrauenswürdigen Dritten (z. übersetzt sie in Maschinencode und nimmt die Installation auf dem System vor..1. [eh ENT 2. auf die Aktualität aller Komponenten sowie der Dokumentation ist zu achten.7.) zu beauftragen oder diese selbst durchzuführen. Der Datenträger muss die in maschinenlesbarer Form vorliegende Dokumentation enthalten.. Tritt beim Hersteller Handlungsunfähigkeit (etwa Liquidation. so ist die/der Auftraggeber/in berechtigt. Die Hinterlegung muss bei jeder Lieferung einer neuen Version wiederholt werden.Durchführung: Die/der Auftragnehmer/in (SW-Hersteller) stellt die Software auf einem Datenträger.. in der Quellensprache bereit.4 257 . Testverfahren.) ein oder stellt sie/er entgegen anders lautenden Vereinbarungen die Weiterentwicklung und/oder Wartung der Software ein.

10.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ) und der Stand der Datensicherung.5.Planung. Steuerung. Dazu gehören auch die Zugriffsrechte der einzelnen Benutzer/innen (siehe 11. Um das Vertrauen in Betriebssysteme zu sichern. In diesem Zusammenhang: siehe auch 11. 10.3] 10. Dies gilt insbesondere für Änderungen an Systemverzeichnissen und -dateien. ist generell eine so genannte Vertrauenseinstellung im Zuge der Neuinstallation/-konfiguration vorzunehmen.2. Deren Anwendung ist allerdings auch generell zu empfehlen.4 Dokumentation der Datensicherung ISO Bezug: 27002 10. Möglicherweise kann durch die Aktivierung neuer oder durch die Änderung bestehender Systemparameter das Verhalten des IT-Systems (insbesondere auch von Sicherheitsfunktionen) maßgeblich verändert werden. Eine entsprechend dokumentierte Initialkonfiguration wird im Rahmen des Online-Angebotes des Chief Information Office des Bundes zur Verfügung stehen. die für jedes IT-System zumindest folgendes umfassen soll: 258 . Kontrolle und Notfallvorsorge des IT-Einsatzes basieren auf einer aktuellen Dokumentation des vorhandenen IT-Systems. Die Unterlagen sind gesichert aufzubewahren.1 In einem Datensicherungskonzept muss festgelegt werden.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung .2.5.2. Dabei ist zu beachten: • • • • Die Dokumentation muss aktuell und verständlich sein. Bei einem Netzbetrieb sind sowohl die physikalische Netzstruktur (vgl. so dass ihre Verfügbarkeit im Bedarfsfall gewährleistet ist. [eh ENT 2. Kap. Zur Gewährleistung einer ordnungsgemäßen und funktionierenden Datensicherung ist eine Dokumentation erforderlich. damit auch ein/ e Vertreter/in die Administration jederzeit weiterführen kann.5 Dokumentation und Kennzeichnung der Verkabelung ) als auch die logische Netzkonfiguration zu dokumentieren. Speziell im Bundesbereich ist gemäß [IKTB-170902-7] eine definierte sichere Initialkonfiguration zu verwenden. wie die Dokumentation der Datensicherung zu erfolgen hat (vgl. Bei Installation neuer Betriebssysteme oder bei Updates sind die vorgenommenen Änderungen besonders sorgfältig zu dokumentieren.5 Datensicherung ). Nur eine aktuelle Dokumentation der Systemkonfiguration ermöglicht im Notfall einen geordneten Wiederanlauf des IT-Systems.

[eh ENT 2. In dieser Dokumentation (auch Bestandsplan genannt) sind alle das Netz betreffenden Sachverhalte aufzunehmen: • • • • • • • • genauer Kabeltyp.und Software (mit Versionsnummer) und die bei der Datensicherung gewählten Parameter (Art der Datensicherung usw. auf dem die Daten im operativen Betrieb gespeichert sind. Fehlersuche. 9.1. Trassendimensionierung und -belegung. Die Güte dieser Revisionsdokumentation ist abhängig von der Vollständigkeit.). Nutzung aller Leitungen.• • • • • • das Datum der Datensicherung. genaue Führung von Kabeln und Trassen in der Liegenschaft (Einzeichnung in bemaßte Grundriss. Instandsetzung und für erfolgreiche Überprüfung der Verkabelung ist eine gute Dokumentation und eindeutige Kennzeichnung aller Kabel erforderlich. die für die Datensicherung eingesetzte Hard. der Aktualität und der Lesbarkeit. Nennung der daran angeschlossenen Netzteilnehmer/ innen.2. Darüber hinaus bedarf es einer Beschreibung der Vorgehensweise.5 Dokumentation und Kennzeichnung der Verkabelung ISO Bezug: 27002 10. der Datenträger. der Datensicherungsumfang (welche Dateien/Verzeichnisse wurden gesichert). der benötigten Parameter und der Vorgehensweise. technische Daten von Anschlusspunkten. 259 .und Lagepläne). Standorte von Zentralen und Verteilern mit genauen Bezeichnungen. erstellt werden. der Datenträger. auf dem die Daten gesichert wurden. nutzungsorientierte Kabelkennzeichnung. nach der die Datenrekonstruktion zu erfolgen hat.2.3 Für Wartung. .1. Auch hier muss eine Beschreibung der erforderlichen Hard.und Software.6] 10. Belegungspläne aller Rangierungen und Verteiler. die einer/einem sachverständigen Dritten eine Wiederherstellung eines Datensicherungsbestandes erlaubt.

9. Nur bestehende und genutzte Verbindungen sind darin aufzuführen. Vollständigkeit und Korrektheit dieser Information zu achten. Da diese Dokumentation schutzwürdige Informationen beinhaltet.B. Um die Aktualität der Dokumentation zu gewährleisten. Verteiler-. Diese Dokumentation ist möglichst neutral zu halten. die Vergabe von Fremdaufträgen oder die Freigabe gesicherter Bereiche von der Mitzeichnung dieser Person abhängig zu machen. Tatsächliche Lageinformationen sind immer in maßstäbliche Pläne einzuzeichnen.3 In jedem Verteiler sollte sich eine Dokumentation befinden. Vgl.4] 10. und Raumnummern reichen in vielen Fällen aus. dass alle Arbeiten am Netz rechtzeitig und vollständig derjenigen/demjenigen bekannt werden.• • Gefahrenpunkte. soweit nicht ausdrücklich vorgeschrieben (z.1. alle Informationen in einem Plan unterzubringen.4. für Brandmeldeleitungen) keine Hinweise auf die Nutzungsart der Leitungen gegeben werden.B. Es muss möglich sein. Wichtig dabei ist eine eindeutige Zuordnung aller Angaben untereinander. Da es mit zunehmender Größe eines Netzes nicht möglich ist. die/der die Dokumentation führt. denkbar.5] 260 . dazu auch 9. vorhandene und zu prüfende Schutzmaßnahmen. andere Informationen können in Tabellenform geführt werden. sich anhand dieser Dokumentation einfach und schnell ein genaues Bild über die Verkabelung zu machen. ist sicherzustellen.1 Lagepläne der Versorgungsleitungen [eh ENT 2. ist sie sicher aufzubewahren und der Zugriff darauf zu regeln. Alle weitergehenden Informationen sind in einer Revisionsdokumentation aufzuführen. die Ausgabe von Material. [eh ENT 2. Es ist z. ist eine Aufteilung der Informationen sinnvoll.2. die den aktuellen Stand von Rangierungen und Leitungsbelegungen wiedergibt.6 Neutrale Dokumentation in den Verteilern ISO Bezug: 27002 10. Es ist auf Aktualität.2.1. Leitungs-. Es sollen.

Beim Application Hosting ist ebenfalls der Betrieb von Anwendungen an einen Dienstleister ausgelagert. Das Auslagern von Geschäfts. Typische Beispiele sind der Betrieb eines Rechenzentrums.und Produktionsprozessen ist ein etablierter Bestandteil heutiger Organisationsstrategien. die Erhöhung der Flexibilität sowie der Wettbewerbsfähigkeit einer Organisation sind nur einige Beispiele. der Zugriff auf spezialisierte Kenntnisse und Ressourcen.3 Dienstleistungen durch Dritte (Outsourcing) ISO Bezug: 27002 10. einer Webseite oder des Wachdienstes. wird im Folgenden nur noch der Oberbegriff Outsourcing verwendet. Werden Dienstleistungen mit Bezug zur IT-Sicherheit ausgelagert. Virenschutz oder der Betrieb eines Virtual Private Networks (VPN). Dabei ist es unerheblich.10. die Überwachung des Netzes. die Freisetzung interner Ressourcen für andere Aufgaben.und Produktionsprozesse. die Möglichkeit einer Kostenersparnis (z. einer Applikation. Durch die enge Verbindung zum Dienstleister und 261 . so dass Teile von internen Geschäftsprozessen unter Leitung und Kontrolle eines externen Dienstleisters ablaufen. Auftraggeber und Dienstleister sind dabei über das Internet oder ein VPN miteinander verbunden. wo der Auftraggeber den Outsourcing-Vertrag gekündigt hat und die ausgelagerten Geschäftsprozesse wieder in Eigenregie betreibt (Insourcing). keine Anschaffungsoder Betriebskosten für IT-Systeme). Beschaffung). Beim Auslagern von IT-gestützten Organisationsprozessen werden die IT-Systeme und Netze der auslagernden Organisation und ihres Outsourcing-Dienstleisters in der Regel eng miteinander verbunden. Die Gründe für Outsourcing sind vielfältig: die Konzentration einer Organisation auf ihre Kernkompetenzen. Beispiele sind die Auslagerung des Firewall-Betriebs. Outsourcing ist ein Oberbegriff. die Straffung der internen Verwaltung. die verbesserte Skalierbarkeit der Geschäfts. ob die Leistung in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters erbracht wird. und dieser scheint auch für die nächste Zukunft ungebrochen. Ebenso findet auf personeller Ebene ein intensiver Kontakt statt. aber auch Dienstleistungen betreffen. Archivierung. wird von Security Outsourcing oder Managed Security Services gesprochen. Outsourcing kann sowohl Nutzung und Betrieb von Hardware und Software.2 Beim Outsourcing werden Arbeits. jedoch gehören im Gegensatz zum ASP-Modell die Anwendungen noch dem jeweiligen Kunden. Unter Application Service Provider (ASP) versteht man einen Dienstleister. B. der auf seinen eigenen Systemen einzelne Anwendungen oder Software für seine Kunden betreibt (E-Mail. Da die Grenzen zwischen klassischem Outsourcing und reinem ASP in der Praxis zunehmend verschwimmen. SAP-Anwendungen. Web-Shops. der oftmals durch weitere Begriffe ergänzt wird: Tasksourcing bezeichnet das Auslagern von Teilbereichen.oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert. Speziell in den letzten beiden Jahrzehnten hat sich der Trend zum Outsourcing enorm verstärkt. Es gibt aber inzwischen auch publizierte Beispiele für gescheiterte OutsourcingProjekte.

ist zunächst kostenintensiv und mit Risiken verbunden. Abhängigkeiten. Nach ersten strategischen Überlegungen muss zunächst geklärt werden.2. Dabei müssen neben den wirtschaftlichen.2 Gefährdungen beim Outsorcing 10. Eine gute Planung des Outsourcing-Vorhabens ist daher wichtig. In der Regel bleibt der Auftraggeber weiterhin gegenüber seinen Kunden oder staatlichen Stellen voll verantwortlich für Dienstleistungen oder Produkte. technischen und organisatorischen Randbedingungen auch die sicherheitsrelevanten Aspekte bedacht werden. (Beispielsweise könnten sensitive Organisationsinformationen gewollt oder ungewollt nach außen preisgegeben werden. Den Schwerpunkt dieses Bausteins bilden daher Maßnahmen. durch die im schlimmsten Fall sogar die Geschäftsgrundlage des Unternehmens oder der Behörde vital gefährdet werden können. zukünftige Planungen). Dazu zählen ebenfalls geeignete Maßnahmen zur Kontrolle der vertraglich vereinbarten Ziele und Leistungen sowie der IT-Sicherheitsmaßnahmen. ob einzelne Aufgabenbereiche ausgelagert wurden. die sich mit ITSicherheitsaspekten des Outsourcing beschäftigen. betriebswirtschaftliche Aspekte mit Kosten-Nutzen-Abschätzung. Folgende Gesichtspunkte sollten betrachtet werden: • • • Unternehmensstrategie (Flexibilität. welche Aufgaben oder IT-Anwendungen generell für Outsourcing in Frage kommen. Gesetze könnten beispielsweise das Auslagern bestimmter Kernaufgaben einer Institution generell verbieten oder zumindest weitreichende Auflagen enthalten und die Beteiligung von Aufsichtsbehörden vorschreiben. Machbarkeitsstudie mit Zusammenstellung der Rahmenbedingungen.die entstehende Abhängigkeit von der Dienstleistungsqualität ergeben sich Risiken für den Auftraggeber. unabhängig davon. Dabei darf die Bedeutung der rechtlichen Rahmenbedingungen nicht unterschätzt werden. 262 .1 Festlegung einer Outsourcing-Strategie ISO Bezug: 27002 10. Die Gefährdungslage eines Outsourcing-Vorhabens ist ausgesprochen vielschichtig. siehe dazu Kapitel 6.2 Die Bindung an einen Outsourcing-Dienstleister erfolgt auf lange Sicht.3.) Der Betrachtung von Sicherheitsaspekten und der Gestaltung vertraglicher Regelungen zwischen Auftraggeber und Outsourcing-Dienstleister kommt im Rahmen eines Outsourcing-Vorhabens somit eine zentrale Rolle zu.

ist beim Outsourcing leider oft das Gegenteil zu beobachten. Im Rahmen eines Outsourcing-Vorhabens müssen neue Prozesse und Arbeitsabläufe entworfen. Für die technische Umsetzung des Outsourcing-Vorhabens ist es notwendig.als selbstverständlich erachtet. die er . dass höchstens die Dienstleistungen in der Zukunft erbracht werden. Bei dieser Rechnung stellt sich vielleicht heraus. zu welchen Kosten ein Dienstleister die vereinbarte Leistung erbringen muss. der über Outsourcing nachdenkt. dass Mitarbeiter oder Subunternehmer des Outsourcing-Dienstleisters (und damit Betriebsfremde) zeitweise in den Räumlichkeiten des Auftraggebers arbeiten müssen. weil der Auftraggeber Leistungen erwartet. Flexibilität und kundenfreundliches Verhalten. seine IT-Kosten signifikant senken zu können. Der Dienstleister hat Zugriff auf Daten und IT-Ressourcen des Auftraggebers.Die IT-Sicherheit wird leider häufig zu Beginn der Planung vernachlässigt. dass zwischen Auftraggeber und Dienstleister Daten übertragen werden. Dies gilt sowohl für technische als auch organisatorische Sicherheitsaspekte. Dadurch ergibt sich automatisch ein erhöhtes Gefahrenpotenzial. eingeführt und durchgeführt werden. Für jeden Outsourcing-Dienstleister besteht ein nicht zu unterschätzender Interessenskonflikt: Einerseits muss er die Dienstleistung möglichst kostengünstig erbringen. dass eine seriöse Leistungserbringung zu den versprochenen niedrigen Kosten höchst unwahrscheinlich ist. 263 . Die Praxis lehrt jedoch. sind Nachbesserungen in der Regel ohne hohe zusätzliche Kosten nicht zu erwarten. damit Auftraggeber und Auftragnehmer beide von dem Vertragsverhältnis profitieren. Jeder IT-Manager. denen im Outsourcing-Szenario eine entscheidende Rolle zukommt. obwohl ihr eine zentrale Bedeutung zukommt. Die Bindung an den Dienstleister erfolgt unter Umständen sehr langfristig. andererseits erwartet der Auftraggeber hohe Dienstleistungsqualität. Der Outsourcing-Auftraggeber verliert dadurch die alleinige und vollständige Kontrolle über Daten und Ressourcen. Generell ist nämlich zu bedenken: • • • • • • Die Entscheidung zum Outsourcing ist in der Regel nicht einfach zu revidieren. Dieser Punkt ist erfahrungsgemäß der am häufigsten unterschätzte. Während IT-ManagerInnen in der Regel sehr kritisch und kostenbewusst sind und Versprechungen von Herstellern und Beratern mit großer Skepsis begegnen. Auch dadurch ergibt sich ein erhöhtes Gefahrenpotenzial. Stellt sich heraus. um seinen Gewinn zu maximieren. sollte sich die Mühe machen nachzurechnen. die von Anfang an vertraglich fixiert worden sind. In der Regel ist es erforderlich.im Gegensatz zum OutsourcingDienstleister . Je nach Outsourcing-Vorhaben betrifft dies dann auch Daten mit hohem Schutzbedarf. Die Folgen der notwendigen Umstellungen müssen geklärt und abgeschätzt werden. dass die Dienstleistungsqualität unzureichend ist. Allzu leicht verfällt hier der Auftraggeber den Werbeaussagen der Dienstleister in der frohen Erwartung.

regelmäßig die Flut an Sicherheitshinweisen. sicherheitskritische Anwendungen betrieben werden können. Die nachfolgenden Hinweise beleuchten Vor. In dieser frühen Projektphase wird das Sicherheitskonzept naturgemäß nur Rahmenbedingungen beschreiben und keine detaillierten Maßnahmen enthalten. ihre Relevanz zu erkennen und bei Bedarf rasch die richtigen Schritte einzuleiten. Die Auswirkungen eines Outsourcing-Vorhabens auf die Aufgabenerfüllung. dass die Fähigkeit. Sind die sicherheitsrelevanten Gefährdungen analysiert worden. 264 . neue Dienstleistungen (z. • • • Vorteil: Es besteht die Möglichkeit. so dass dadurch auch neue. In der Folge muss das festgelegte Sicherheitsniveau jedoch auch für das ausgeweitete Angebot sichergestellt werden.Um die Outsourcing-Strategie festzulegen. Anforderungen an die IT selbst zu bestimmen und zu kontrollieren in ausreichendem Maße erhalten werden.oder Produktportfolio müssen ebenfalls berücksichtigt werden.und Nachteile von Outsourcing mit Bezug zur IT-Sicherheit. kann festgelegt werden. das Geschäftsmodell und das Dienstleistungs. Vorteil: Es besteht mehr Flexibilität. Das Management darf bei der Entwicklung einer erfolgversprechenden. Insbesondere an die Weiterentwicklung und Pflege selbstentwickelter IT-Systeme und Anwendungen sollte gedacht werden. Ressourcen oder der Personalbedarf schneller angepasst bzw. Updatemeldungen und Bug-Reports auszuwerten. erweitert werden. durch Diversifikation oder Ausweitung der Produktpalette) zu etablieren. Schlussendlich wird dennoch ein gewisses Restrisiko durch den Outsourcing-Auftraggeber zu tragen sein. Sollen Standardabläufe oder Kerngeschäftsprozesse ausgelagert werden? Wichtig ist in diesem Zusammenhang. Nur so kann letztendlich festgestellt werden. Vorteil: Im Idealfall kann durch das Outsourcing-Vorhaben ein besseres ITSicherheitsniveau erreicht werden. ob und wie diesen begegnet werden soll. B. Security-Bulletins. wie bestehende IT-Systeme abgegrenzt und getrennt werden können. beispielsweise können Systeme. Fixe Kosten können so in variable umgewandelt werden. von ITSystemen) auch neue Sicherheitsprobleme ergeben. In Folge können sich jedoch durch die Erweiterungen (z. Die Ergebnisse der Sicherheitsanalyse gehen unmittelbar in die Kosten-Nutzen-Abschätzung ein. Gerade in der IT-Sicherheit ist es sehr zeitaufwändig und benötigt viel technisches Wissen. damit Teile davon ausgelagert werden können. langfristigen Outsourcing-Strategie den Blick nicht nur auf die Einsparung von Kosten richten. da der Dienstleister Spezialisten beschäftigt. da dies vom Outsourcing-Dienstleister unter Umständen auch kurzfristig eingekauft werden kann. B. muss daher immer eine individuelle Sicherheitsanalyse durchgeführt werden.

so können dadurch gravierende ITSicherheitslücken entstehen. immer wieder die richtige Balance zwischen Sicherheit und "mehr Funktionalität" zu finden. um das Sicherheitsniveau beim Outsourcing-Dienstleister zu kontrollieren.und Softwarelösungen. Nachteil: Wenn das Know-how der vom Outsourcing-Dienstleister eingesetzten SpezialistInnen nicht angemessen ist. Sollten hierbei Defizite festgestellt werden. Eine umfassende Kosten-Nutzen-Analyse jedes Outsourcing-Vorhabens ist essentiell für den strategischen und wirtschaftlichen Erfolg. weil es keinen gleichwertigen Vertreter gibt. werden Sicherheitslücken womöglich nicht einmal entdeckt. Der dann entstehende Kostendruck führt oftmals zu Einsparungen bei der IT-Sicherheit. Dienstleister hingegen können in der Regel auf mehrere gleich qualifizierte ExpertInnen zurückgreifen.• • • • • Zunehmende Komplexität der angebotenen Hard. können sich gravierende Sicherheitsprobleme ergeben. können sich Sicherheitslücken ergeben. eine Neugestaltung ihrer IT-Systeme und Anwendungen gegen interne Widerstände durchzusetzen. Der Outsourcing-Dienstleister muss immer an der Diskussion beteiligt werden. die sich gegenseitig vertreten können. können diese schwierig und zeitaufwendig zu beheben sein. Im Zuge des Outsourcings soll eine heterogene Systemlandschaft aufgeräumt und standardisiert werden. Es ist daher wichtig. Der strategische Wert der folgenden Ressourcen muss unter den Rahmenbedingungen des Outsourcing-Vorhabens eingeschätzt werden: • • Know-how MitarbeiterInnen 265 . Stehen sie einmal nicht zur Verfügung (Krankheit. Vorteil: Von einigen Institutionen wird Outsourcing häufig als vielleicht einzige Möglichkeit gesehen. Urlaub) oder verlassen die Institution. Vorteil: Gerade in Unternehmen oder Behörden mit kleiner IT-Abteilung haben einzelne MitarbeiterInnen oft einen hohen Stellenwert. immer kürzere Produktzyklen. alle Parameter zu kennen und auch richtig einzuschätzen. Dienstleister kompensieren nicht selten günstige Konditionen bei Vertragsabschluss durch hohe Forderungen bei späteren Sonderwünschen oder neuen Anforderungen des Auftraggebers. Wenn Fragen der IT-Sicherheit dann nicht zeitnah gelöst werden. vor allem wenn es zu Meinungsverschiedenheiten zwischen Auftraggeber und Dienstleister kommt. Nachteil: Eine Ausweitung des Dienstleistungsangebots oder die Erweiterung von IT-Systemen ist nicht mehr allein eine Entscheidung des eigenen Managements. steigende Vernetzung und steigende Anforderungen der Nutzer machen es zudem außerordentlich schwierig. Ist zusätzlich intern nicht mehr das Fachwissen vorhanden. Nachteil: Der Aufwand für die Kontrolle der Dienstleistungsqualität darf nicht unterschätzt werden.

3. Es sollte dabei auch auf Fehlentscheidungen und daraus abgeleitete Empfehlungen für die Zukunft hingewiesen werden. aber auch an die eigene Organisation zu stellen. Es empfiehlt sich unter diesem Gesichtspunkt außerdem. 10.5 Erstellung eines IT-Sicherheitskonzepts für das OutsourcingVorhabenbeschrieben. die im Rahmen eines laufenden Outsourcing-Vorhabens gemachten Erfahrungen in die Dokumentation der Outsourcing-Strategie zu integrieren.2 Wenn eine Outsourcing-Strategie festgelegt wurde. Abschließend ist die Outsourcing-Strategie zu dokumentieren. Danach wird in der Angebotsphase abgeglichen. dass das Festlegen von IT-Sicherheitsanforderungen ein iterativer Prozess ist: • • Zunächst werden die gewünschten IT-Sicherheitsanforderungen durch den Auftraggeber spezifiziert. wie und ob die gewünschten IT-Sicherheitsanforderungen durch die anbietenden Dienstleister geleistet werden können (siehe auch 10. wird in 10. die benutzte Technik (inklusive Kommunikationswege und -dienste). das auf den hier formulierten Anforderungen aufbaut und nach Auswahl des Dienstleisters ausgearbeitet wird.3. 266 .3 Wahl eines geeigneten OutsourcingDienstleisters). Es ist zu bedenken. Chancen und Risiken des Outsourcing-Vorhabens sollten eindeutig beschrieben werden.3. müssen die ITSicherheitsanforderungen so konkret ausgearbeitet werden. Die Ziele.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben ISO Bezug: 27002 10. Dabei sind Sicherheitsanforderungen an den Outsourcing-Dienstleister selbst.• IT-Systeme und Anwendungen Bei der Kosten-Nutzen-Analyse können Studien und Erfahrungsberichte anderer Institutionen wertvolle Informationen liefern. dass auf ihrer Basis der geeignete Dienstleister ausgesucht werden kann. Die Erstellung eines detaillierten Sicherheitskonzeptes.

B. so muss mit diesem die weitere Verfeinerung der IT-Sicherheitsanforderungen (z.1 Festlegung einer OutsourcingStrategie). Dies hängt entscheidend von der Sicherheitsstrategie und bereits vorhandenen Systemen und Anwendungen ab. 267 . Integrität und Verfügbarkeit erfolgen (siehe auch 10.3. Organisation. Zutrittsrechte.1 Festlegung einer Outsourcing-Strategie) erfolgen. basierend auf den eingesetzten Betriebssystemen oder Sicherheitsmechanismen) erarbeitet werden. • Generell ergeben sich für Outsourcing-Szenarien folgende Mindestsicherheitsanforderungen: • • • • Die Umsetzung der Anforderungen des Sicherheitshandbuchs ist eine Minimalforderung an beide Outsourcing-Parteien. Es muss eine Ist-Strukturanalyse von IT-Systemen und Anwendungen (siehe auch 10. Personal und Technik müssen beschrieben werden. Sollten darüber hinausgehende Anforderungen bestehen.3. müssen diese detailliert beschrieben werden. Es muss eine Schutzbedarfsfeststellung (z. die relevanten IT-Verbünde genau abzugrenzen (z. nach Fachaufgabe. Beispielsweise könnten folgende Punkte in Abhängigkeit vom Outsourcing-Vorhaben detailliert werden: • Anforderungen an sicherheitskritische organisatorische Prozesse (z. Zeitrestriktionen für den Alarmierungsplan) können spezifiziert werden. das diesem Sicherheitshandbuch entspricht. von Anwendungen. B. so dass alle Schnittstellen identifiziert werden können. Es genügt hier oftmals die Verpflichtung auf ein Sicherheitsniveau. B. An die Schnittstellen können dann entsprechende technische Sicherheitsanforderungen gestellt werden. In der Endphase dieses Abstimmungsprozesses müssen dann auch die Sicherheitsanforderungen für die konkrete Umsetzung definiert werden. aufwendig sein. IT-Systemen). welche Rechte (z. B. Kommunikationsverbindungen. Es ist wichtig. Natürlich sind auch relevante Gesetze und Vorschriften zu beachten. Systemen. Räumen) bezüglich Vertraulichkeit. Geschäftsprozess. Dies kann besonders in Fällen. Zusätzlich müssen sowohl Outsourcing-Dienstleister als auch der Auftraggeber selbst ein ITSicherheitskonzept besitzen und dieses umgesetzt haben. in denen Auftraggeber oder Dienstleister länderübergreifend oder weltweit operieren. Zugriffsrechte auf Daten und Systeme) dem Outsourcing-Dienstleister vom Auftraggeber eingeräumt werden.• Ist ein Dienstleister ausgewählt. Im Rahmen der IT-Sicherheitsanforderungen ist festzulegen. B. Die Anforderungen an Infrastruktur.

Gewünschte Verfahren oder Mechanismen für die Kontrolle und Überwachung. B. Beispielsweise kann festgelegt werden. Spezielle ITSicherheitsanforderungen müssen jedoch eventuell an das von Dienstleistern umsetzbare IT-Sicherheitsniveau angepasst werden.und Signaturverfahren können fest vorgegeben werden. z.• • • • • • • • Spezielle Anforderungen an bestimmte Rollen können festgelegt werden. Host-Kenntnissen) beim Outsourcing-Dienstleister benannt werden muss Der Einsatz zertifizierter Produkte (z. B. Audits (unter Umständen durch unabhängige Dritte) können spezifiziert werden. dass keine IT-Systeme des Auftraggebers in Räumen untergebracht werden dürfen. Zeitintervalle. dass ein IT-Sicherheitsbeauftragter / eine IT-Sicherheitsbeauftragte mit speziellen Kenntnissen (z. B.und Software können formuliert werden.3 Wahl eines geeigneten Outsourcing-Dienstleisters ISO Bezug: 27002 10. Qualität oder auch Abläufen und organisatorischen Regelungen können festgelegt werden. auf die sich auch geeignete Dienstleister bewerben. in denen bereits Systeme anderer Mandanten des Dienstleisters stehen. Zuständigkeiten. Es kann beispielsweise gefordert werden. Generell bilden die festgelegten IT-Sicherheitsanforderungen eine der Grundlagen für die Wahl eines geeigneten Outsourcing-Dienstleisters. wie unangekündigte Kontrollen vor Ort. Vorgaben an die Mandantenfähigkeit sowie die diesbezügliche Trennung von Hard. für Web-Server mit Kundenzugriff bei sehr vielen Kunden) vorgegeben werden. Anforderungen an die Protokollierung und Auswertung von Protokolldateien können festgelegt werden. Anforderungen an die Verfügbarkeit von Diensten und IT-Systemen können gestellt werden. B. 10. Spezielle Verfahren zur Absicherung der Kommunikation zwischen Dienstleister und Auftraggeber wie Einsatz von Verschlüsselungs.3. Nur so kann eine bedarfsgerechte Ausschreibung erfolgen.2 Bei der Wahl eines geeigneten Outsourcing-Dienstleisters sind ein möglichst detailliertes Anforderungsprofil und ein darauf basierendes Pflichtenheft entscheidende Erfolgsfaktoren. Beispielsweise kann in diesem Zusammenhang der Grad und die Methode der Lastverteilung (z. Allgemeine Anforderungen bezüglich Kontrolle und Messung von Sicherheit. gemäß Common Criteria) beim Outsourcing-Dienstleister kann gefordert werden. Die Ausschreibung sollte die 268 .

Bei großen Unternehmen ist zu bedenken. Die Eigentümerstruktur sollte recherchiert werden. z. In Einzelfällen kann es notwendig sein. Zulieferer. Als wichtige grundsätzliche Bewertungskriterien für Dienstleister und dessen Personal können gelten • • • • • • Bei ausländischen Dienstleistern müssen besondere Aspekte bedacht werden. Dazu gehören beispielsweise: fremde Gesetzgebung. ist eine sinnvolle Forderung. Die Größe des Dienstleisters kann bei der Auswahl ein Argument sein. andere Sicherheitskultur. um mögliche Einflussfaktoren im Vorfeld abzuklären. 269 . Spionagerisiko. nach ISO/IEC 27001 oder ISO 9000. Weiterhin müssen den potenziellen Dienstleistern auch möglichst detailliert • • die IT-Sicherheitsanforderungen und die Kriterien zur Messung von Servicequalität und Sicherheit mitgeteilt werden (siehe 10. B. die Haftungsgrenzen beeinflussen kann. im Partnerunternehmen bzw. B. da sich daraus Hinweise auf existierende oder geplante Sicherheitsmechanismen ableiten lassen. B. Die Kundenstruktur sollte beachtet werden. Bei kleinen Unternehmen könnte das Insolvenzrisiko höher sein.• • Beschreibung des Outsourcing-Vorhabens (Aufgabenbeschreibung und Aufgabenteilung) sowie Beschreibungen zum geforderten Qualitätsniveau.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben). eine Zertifizierung. da dies darauf hinweist. die Konkurrenten des Auftraggebers sind) zu achten. da dies z. enthalten. Die Organisationsform eines Dienstleisters kann in Betracht gezogen werden.3. welches nicht zwangsläufig dem Niveau des Auftraggebers entsprechen muss. Dabei ist auf Interessenskonflikte durch Geschäftsbeziehungen zu Konkurrenten des Auftraggebers und auf die Unabhängigkeit von bestimmten Herstellern (z. Das Anforderungsprofil hängt stark von der Art des Outsourcing-Vorhabens ab. in welchem Wirtschaftssektor der Anbieter seine Stärken hat. durch die landesspezifische Gesetzgebung zugelassene und verwendbare Sicherheitsmechanismen. die Detailanforderungen bezüglich Sicherheit nur gegen eine Vertraulichkeitsvereinbarung (Non-Disclosure-Agreement) an Dienstleister herauszugeben. Ein Qualitätsnachweis bzw. andere Haftungsregelungen. dass diese sehr viele Auftraggeber und Projekte haben. so dass ein einzelner Auftraggeber nur einer unter vielen ist und keine bevorzugte Stellung einnimmt. Der Dienstleister sollte Referenzen für ähnliche OutsourcingVorhaben aufweisen können.

2 Nachdem ein Outsourcing-Dienstleister ausgewählt wurde. • • • • Die Qualifikation der MitarbeiterInnen muss in die Bewertung der Angebote einfließen. dass der Outsourcing-Dienstleister sich verpflichtet. sich zu blamieren.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben). Die Aspekte.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister ISO Bezug: 27002 10.3. Entsprechend dem erforderlichen Sicherheitsniveau für das OutsourcingVorhaben sollte in die Bewertung der Angebote mit aufgenommen werden. Hierbei sollte auch hinterfragt werden.2 Regelungen für den Einsatz von Fremdpersonal). dass die im Angebot genannten MitarbeiterInnen auch später tatsächlich eingesetzt werden. Auch an die MitarbeiterInnen eines Dienstleisters sind diverse Anforderungen zu stellen (siehe auch 8. Umfang und Detaillierungsgrad der vertraglichen Regelungen hängen immer vom speziellen Outsourcing-Projekt ab. 270 . Der Dienstleister sollte auf Einhaltung des Sicherheitshandbuchs und auf die vom Auftraggeber vorgegebenen Sicherheitsanforderungen verpflichtet werden (siehe 10. Bei der Wahl ausländischer Partner muss eine gemeinsame Sprache für die Kommunikation zwischen den eigenen MitarbeiterInnen und denen des Dienstleisters festgelegt werden. eine solche durchgeführt werden kann. die im Folgenden beschrieben werden. lieber zu wichtigen Fragen schweigen. ob eine Sicherheitsüberprüfung der MitarbeiterInnen vorliegt bzw. Es ist nach der Projektvergabe darauf zu achten. Art. Die Erfahrungen zeigen. Dazu gehört natürlich. 10. wenn sie ihre Sprachfähigkeiten als nicht perfekt einschätzen. ein IT-Sicherheitskonzept inklusive eines Notfallvorsorgekonzepts zu erstellen und Sicherheitsmaßnahmen sowie Systeme und Anwendungen zu dokumentieren. ob die vorhandenen Sprachkenntnisse für die Klärung von Detailproblemen ausreichen. dass viele Personen aus Angst. desto sorgfältiger und detaillierter muss der Vertrag zwischen Auftraggeber und Dienstleister ausgehandelt werden. Dabei sollten auch die Vertretungsregelungen und die Arbeitszeiten hinterfragt werden.• Auskünfte über die aktuelle wirtschaftliche Lage sowie Erwartungen an die zukünftige Geschäftsentwicklung der Dienstleister sollten eingeholt werden. Die Anzahl der verfügbaren MitarbeiterInnen muss bewertet werden. Je höher der Schutzbedarf der ausgelagerten IT-Systeme und Anwendungen ist. sind als Hilfsmittel und Checkliste bei der Vertragsgestaltung zu sehen.3. müssen alle Aspekte des Outsourcing-Vorhabens vertraglich in sogenannten Service Level Agreements (SLAs) festgehalten und geregelt werden.

Zusätzlich zur allgemeinen Leistungsbeschreibung empfiehlt es sich jedoch immer. Insbesondere ist zu klären... auch eine genaue quantitative Leistungsbeschreibung vertraglich zu fixieren. alle vereinbarten Leistungen so genau und eindeutig wie möglich vertraglich festzuhalten. B. die aufgrund unterschiedlicher Interpretationen der beschriebenen Leistungen notwendig werden. Dadurch lassen sich später Streitigkeiten zwischen den Parteien vermeiden. Auch die Erstellung des IT-Sicherheitskonzeptes selbst sollte Vertragsbestandteil sein. Supportzeiten.und Zugriffsberechtigungen für Mitarbeiterinnen des Auftraggebers zu den Räumlichkeiten und IT-Systemen des Dienstleisters 271 .und Zugriffsberechtigungen für MitarbeiterInnen des Dienstleisters zu den Räumlichkeiten und IT-Systemen des Auftraggebers Zutritts. Brandschutz. Rechenleistung. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages. Anzahl der MitarbeiterInnen. es empfiehlt sich jedoch immer. Im Folgenden findet sich eine Themenliste von Aspekten. die aus Sicherheitssicht geregelt werden sollten: Infrastruktur • Absicherung der Infrastruktur des Dienstleisters (z. wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen. B. Zutrittskontrolle. zur Verfügung stehendem Speicherplatz. sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden. zu Verfügbarkeitsanforderungen. . z. Benennung von AnsprechpartnerInnen mit den nötigen Befugnissen regelmäßige Abstimmungsrunden Archivierung und Löschung von Datenbeständen (insbesondere bei Beendigung des Vertragsverhältnisses) Zugriffsmöglichkeiten des Dienstleisters auf IT-Ressourcen des Auftraggebers: Wer greift wie auf welches System zu? Wie sind die Zuständigkeiten und Rechte? Zutritts. Generell wäre eine allgemeine Verpflichtung auf die Einhaltung des Sicherheitshandbuchs zwar zufriedenstellend.) Organisatorische Regelungen/ Prozesse • • Festlegung von Kommunikationswegen und Ansprechpartnern Festlegung von Prozessen. Arbeitsabläufen und Zuständigkeiten • • • • • • Verfahren zur Behebung von Problemen. Reaktionszeiten.

Subunternehmer und Unterauftragnehmer des Dienstleisters ist zu regeln.Personal • • • • • • • • • • • Gestaltung der Arbeitsplätze von externen MitarbeiterInnen (Einhalten von Computerarbeitsplatzrichtlinien) Festlegung und Abstimmung von Vertretungsregelungen Verpflichtung zu Fortbildungsmaßnahmen Notfallvorsorge Kategorien zur Einteilung von Fehlern und Störfällen nach Art. juristische Rahmenbedingungen • • • Eine Verpflichtung auf die Einhaltung von geltenden Normen und Gesetzen sowie der vereinbarten Sicherheitsmaßnahmen und sonstigen Rahmenbedingungen ist vertraglich zu regeln. Die Einbindung Dritter. Ebenso sind Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) vertraglich zu fixieren. wie bei einem Streik des Personals des Dienstleisters die Verfügbarkeit von Daten und Systemen sichergestellt werden kann.) übernimmt.und Urheberrechte an Systemen. Die Eigentums. sondern sinnvolle Regelungen festzulegen. In der Regel empfiehlt es sich nicht. diese grundsätzlich auszuschließen. 272 . Software und Schnittstellen sind festzulegen. ob der Dienstleister bereits bestehende Verträge mit Dritten (Hardwareausstattung. Serviceverträge. kann der Auftraggeber von derartigen Vorkommnissen gänzlich überrascht werden. Es sollte beispielsweise geklärt sein. Es ist auch zu klären. Haftung. ob bzw. Besonders wenn Dienstleister und Auftraggeber unterschiedlichen Branchen angehören oder ihren Sitz in verschiedenen Ländern haben. Softwarelizenzen etc. Schwere und Dringlichkeit erforderliche Handlungen beim Eintreten eines Störfalls Reaktionszeiten und Eskalationsstufen Mitwirkungspflicht des Auftraggebers bei der Behebung von Notfällen Art und zeitliche Abfolge von regelmäßigen und adäquaten Notfallübungen Art und Umfang der Datensicherung Vereinbarung. welche Systeme redundant ausgelegt sein müssen Von besonderer Bedeutung können Regelungen im Fall höherer Gewalt sein.

für einen Wechsel oder bei Insolvenz des Dienstleisters. Alle vorhandenen Daten inklusive Datensicherungen sind ebenfalls zurückzugeben oder (je nach Vereinbarung) zu vernichten. Batchprogramme ist für den Fall der Beendigung des Dienstleistungsverhältnisses zu regeln. Skripte. die nur zufällig nicht zu einem größeren Schaden geführt haben? • Insolvenz des Dienstleisters Das Recht auf Schadensersatzzahlungen ist wertlos. die dem Auftraggeber gehören. zurückzugeben. B. Haftungsfragen im Schadensfall sind zu klären.• • • • • • Die Weiterverwendung der vom Dienstleister eingesetzten Tools. Nachweis von Spionage oder Manipulationen)? Es ist immer zu bedenken. • • Wie wird beispielsweise ein Imageschaden gemessen? Mandantenfähigkeit • Die notwendige Trennung von IT-Systemen und Anwendungen verschiedener Kunden muss vereinbart werden. B. Der Auftragnehmer ist zu verpflichten. Auf ein ausreichend flexibles Kündigungsrecht ist zu achten. Sanktionen oder Schadensersatz bei Nichteinhaltung der Dienstleistungsqualität müssen festgelegt werden. wenn gravierende Pflichtverletzungen aufgedeckt werden. können spezifiziert werden. wenn diese die Zahlungsfähigkeit des Dienstleisters übersteigen und dieser Insolvenz anmeldet. Prozeduren. Sicherheit lässt sich nicht mit juristischen Mitteln erzielen. Die Bedeutung von Schadensersatzzahlungen und juristischen Konsequenzen sollte dabei nicht überschätzt werden. wenn der Auftraggeber durch das Ausmaß des Schadensereignisses seiner Geschäftsgrundlage beraubt wird und im schlimmsten Fall durch die Schadensfolgen die Zahlungsunfähigkeit eintritt. dass aus Kostengründen andere Sicherheitsmaßnahmen vernachlässigt werden. dass Schadensersatzzahlungen nur das allerletzte Mittel sind und nicht dazu führen dürfen. Zu bedenken sind nämlich die folgenden Punkte • Quantifizierbarkeit des Schadens Wie ist es zu bewerten. z. • Kann ein Schaden nachgewiesen bzw. Regelungen für das Ende des Outsourcing-Vorhabens. • Katastrophale Schäden Eine Konventionalstrafe kommt zu spät. 273 . Die Aufteilung von Risiken zwischen Auftraggeber und Dienstleister muss bedacht werden. Nachfolgend fallen dann mindestens Kosten für den Umzug zu einem neuen Dienstleister an. der Verursacher überführt werden (z. nach Beendigung des Auftrags alle Hardund Software inklusive gespeicherter Daten.

diese auf Verschwiegenheit zu verpflichten. h. Es kann auch sinnvoll sein.• • Es ist sicherzustellen. Falls notwendig. dezidierte Hardware) vereinbart werden. dass der Auftraggeber immer in der Lage ist. der damit die Fähigkeit verliert. wenn beispielsweise gesetzliche Vorgaben geändert wurden. gestiegene Anforderungen oder knapp werdende Ressourcen reagiert wird. B. Falls notwendig. Mitarbeit oder Hilfestellung des Auftraggebers. In diesem Zusammenhang ist auch die Betreuung und Weiterentwicklung bereits vorhandener Systeme zu regeln. Es ist festzulegen. Testverfahren für neue Soft. muss vereinbart werden. wie auf Systemerweiterungen. diese in seinem Sinne weiterzuentwickeln. Dabei sind folgende Punkte einzubeziehen: • • • • • Regelungen für Updates und Systemanpassungen Trennung von Test. die es ermöglichen. muss die physikalische Trennung (d. dass Daten des Auftraggebers unter keinen Umständen anderen Kunden des Outsourcing-Dienstleisters zugänglich werden.und Produktionssystemen Zuständigkeiten bei der Erstellung von Testkonzepten Festlegen von zu benutzenden Testmodellen Zuständigkeiten bei Auftraggeber und Dienstleister bei der Durchführung von Tests (z. • Änderungsmanagement und Testverfahren • • • • • Es müssen Regelungen gefunden werden. Abnahmeund Freigabeprozeduren) 274 .und Hardware sind zu vereinbaren. dass die vom Dienstleister eingesetzten Mitarbeiter nicht für andere Auftraggeber eingesetzt werden. Eine kontinuierliche Verbesserung der Dienstleistungsqualität und des ITSicherheitsniveaus sollte bereits in den SLAs festgeschrieben werden. Der Zeitrahmen für die Behebung von Fehlern ist festzulegen. Der Evolutionspfad von Systemen muss daher geregelt werden. • Es ist sicherzustellen. sich neuen Anforderungen anzupassen. Nicht selten übernimmt der Dienstleister selbstentwickelte Systeme oder Software vom Auftraggeber. Dies gilt insbesondere. dass Probleme bei anderen Kunden nicht die Abläufe und Systeme des Auftraggebers beeinrächtigen. so dass die eingesetzten MitarbeiterInnen nicht mit anderen MitarbeiterInnen des Dienstleisters auftraggeberbezogene Informationen austauschen dürfen.

Dieses kann unter anderem auf Grundlage dieses Sicherheitshandbuchs erstellt sein.3. Zutrittsrechte. muss dies bereits im Vertrag geregelt sein. ohne dass der Auftraggeber sich vorbereiten konnte. Outsourcing-Projekte sind dadurch gekennzeichnet. B. Zutrittsund Zugangsrechte besitzen. Es ergeben sich jedoch folgende Besonderheiten. das nach Beauftragung eines Dienstleisters erarbeitet wird. Wenn unabhängige Dritte Audits oder BenchmarkTests durchführen sollen. dass sich viele technische und organisatorische Details erst im Laufe der Planung und bei Migration der Systeme ergeben. 10. wird daher in den wenigsten Fällen gleich vollständig und endgültig sein und muss während der Migrationsphase von allen Beteiligten stetig weiterentwickelt und konkretisiert werden.5 Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben ISO Bezug: 27002 10. B.2 Für jedes Outsourcing-Vorhaben muss ein IT-Sicherheitskonzept existieren.) Genehmigungsverfahren für die Durchführung von Tests Festlegung zumutbarer Qualitätseinbußen während der Testphase (z. Einsichts-. Dateneinsicht) eingeräumt werden. Generell unterscheiden sich IT-Sicherheitskonzepte für Outsourcing-Vorhaben nur wenig von IT-Sicherheitskonzepten für selbstbetriebene IT-Systeme. Durch unerwartete Fehler dabei werden wichtige Anwendungen gestört. Der Auftraggeber muss die dazu notwendigen Auskunfts-. Aufsichtsbehörden) müssen auch beim Outsourcing-Dienstleister die entsprechenden Kontrollmöglichkeiten (z. die beim Auftraggeber Prüfungen durchführen müssen (z. die berücksichtigt werden müssen: • Am Outsourcing-Vorhaben sind aus technischer Sicht in der Regel drei Parteien beteiligt: • • Outsourcing-Auftraggeber Outsourcing-Dienstleister 275 . Allen Institutionen. Verfügbarkeit) Kontrollen • • Dienstleistungsqualität und IT-Sicherheit müssen regelmäßig kontrolliert werden. B. Das IT-Sicherheitskonzept.• • • Informationspflicht und Absprache vor wichtigen Eingriffen ins System (Negativbeispiel: Der Dienstleister spielt ein neues Betriebssystem auf dem Server ein.

Zusätzlich ist darauf zu achten. sollte aber in einem Audit prüfen. Nur so kann sichergestellt werden. 276 . dass auf beiden Seiten Verantwortlichkeiten auch auf hohen Ebenen definiert werden.3. Dieses kann auch durch externe ExpertInnen verstärkt werden. Damit sind ITSicherheitskonzepte erforderlich: • • • • • • für den Einflussbereich des Outsourcing-Dienstleisters. für den Einflussbereich des Auftraggebers sowie für die Schnittstellen und die Kommunikation zwischen diesen Bereichen. Für das Audit kann der Auftraggeber dabei auch auf externe Dritte zurückgreifen. in der verstärkt mit Sicherheitsvorfällen zu rechnen ist. Die Verantwortlichkeiten und Hierarchien für die Migrationsphase sind festzulegen. Für die Migrationsphase muss eine IT-Sicherheitskonzeption erstellt werden. Die in 10. ob es vorhanden und ausreichend ist. Aufbauend auf den dort beschriebenen grundlegenden Anforderungen muss im ITSicherheitskonzept die detaillierte Ausgestaltung erfolgen. welches die Sicherheit im Zusammenspiel der Einzelsysteme betrachtet.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister genannten Sicherheitsanforderungen bilden dabei die Basis für das IT-Sicherheitskonzept. Erfahrungsgemäß ist der Übergang (Migration) von Aufgaben und IT-Systemen vom Auftraggeber zum Outsourcing-Dienstleister eine Projektphase. Dabei ist es wichtig.3. Aus diesem Grund müssen im Sicherheitskonzept Regelungen und Maßnahmen zur Migration behandelt werden: • • • Es ist ein gemischtes Team aus MitarbeiterInnen des Auftraggebers und des Outsourcing-Dienstleisters zu bilden. Die verschiedenen Teil-Konzepte müssen zwischen Auftraggeber und Dienstleistern abgestimmt werden. Die Zuständigkeit für die Netzanbindung fällt dabei in der Regel dem Outsourcing-Dienstleister zu. wobei beispielsweise die Maßnahmen konkretisiert und Ansprechpartner namentlich festgelegt werden.• Netzprovider. der Netzprovider stellt die Anbindung zwischen den Outsourcing-Parteien bereit. welches auch das spezielle Outsourcing-Vorhaben umfasst. dass im Zweifelsfall mit entsprechendem Nachdruck gehandelt werden kann. Jeder Beteiligte muss ein eigenes IT-Sicherheitskonzept erstellen und umsetzen.2 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhabenund 10. Dabei ist der Auftraggeber am ITSicherheitskonzept des Outsourcing-Dienstleisters nicht direkt beteiligt. Zusätzlich zu den Einzelkonzepten ist ein IT-Sicherheitskonzept für das Gesamtsystem zu erstellen. um spezielles Know-how verfügbar zu machen. dass klare Führungsstrukturen geschaffen und auf beiden Seiten eindeutige AnsprechpartnerInnen definiert werden.

Dies birgt die Gefahr des Social Engineering (z. Dies bedeutet insbesondere: • • Alle Sicherheitsmaßnahmen müssen konkretisiert werden. Abnahmeprozeduren erarbeitet und die Produktionseinführung geplant werden. eventuell erforderliche Zuordnungsbegriffe wie Kundennummern) dokumentiert. Die MitarbeiterInnen des Auftraggebers sind zum Verhalten während und nach der Migrationsphase zu schulen. sind verstärkt MitarbeiterInnen zu Bereitschaftsdiensten zu verpflichten. die der Dienstleister übernehmen soll. Zusätzlich müssen Störungen durch notwendige Tests einkalkuliert werden. Nach Abschluss der Migration muss sichergestellt werden. AnsprechpartnerInnen und Zuständigkeiten werden mit Namen und notwendigen Kontaktdaten (Telefon. Der Dienstleister muss die relevanten Abläufe. Die Dokumentation neuer Systeme oder Teilsysteme muss dabei ebenfalls sichergestellt sein. Zeiten der Erreichbarkeit. Dazu ist im Vorfeld zu überprüfen. dass das ITSicherheitskonzept aktualisiert wird. Der störungsfreie Betrieb ist durch genaue Ressourcenplanung und Tests sicherzustellen. B. Die produktiven Systeme dürfen dabei nicht vernachlässigt werden. Die Prüfung der Dokumentation auf Vollständigkeit muss dabei ebenso bedacht werden wie das Anpassen der vorhandenen Dokumentation auf die veränderten Randbedingungen durch das Outsourcing-Vorhaben. Bis sich bei allen Beteiligten die notwendige Routine. In der Einführungsphase des Outsourcing-Vorhabens und der ersten Zeit des Betriebs muss dem Notfallkonzept besondere Aufmerksamkeit geschenkt werden. ob die SLAs oder die vorgesehenen IT-Sicherheitsmaßnahmen angepasst werden müssen.• • • • • • • Die erforderlichen Tests müssen geplant und durchgeführt werden. ob die vorgesehenen MitarbeiteInnenr zur Verfügung stehen. Während der Migration muss ständig überprüft werden. Vertraglich kann sich ein Auftraggeber natürlich auch ein Mitspracherecht bei der Personalauswahl des OutsourcingDienstleisters einräumen lassen. 277 . da sich erfahrungsgemäß während der Migrationsphase immer Änderungen ergeben. Einführungsphase und den späteren Betrieb auszuwählen. beispielsweise in der Behandlung von Fehlfunktionen und sicherheitsrelevanten Vorkommnissen eingestellt hat. Anwendungen und IT-Systeme. Applikationen und IT-Systeme des Auftraggebers genau kennen lernen und dahingehend eingewiesen werden. müssen ausreichend dokumentiert sein. Anruf eines vermeintlichen Mitglieds des Sicherheitsteams des Dienstleisters). Es sind geeignete interne MitarbeiterInnen für die Test-. In der Regel sind die MitarbeiterInnen dabei mit neuen und unbekannten AnsprechpartnerInnen konfrontiert.

insbesondere Regelungen zum Anfertigen von Kopien und Löschen/Vernichten Festlegung von Aktionen. Neben einem Überblick über die Gefährdungslage. um Angriffe möglichst zu erschweren Einsatz von Intrusion-Detection-Systemen (IDS). Da die Details eines IT-Sicherheitskonzeptes direkt vom Outsourcing-Vorhaben abhängen. die während der Migrationsphase notwendig waren.und Timeservern.• • Die Systemkonfigurationen ist zu dokumentieren. B. wie z. und den organisatorischen. um Angriffe frühzeitig zu erkennen Einsatz von Datei-Integrität-Prüfungssystemen. dass alle Ausnahmeregelungen. um Veränderungen z. zu erkennen Einsatz von Syslog. erweiterte Zugriffsrechte. Verbot von Gruppen-IDs für Personal des Dienstleisters 278 . die im ITSicherheitskonzept im Detail beschrieben werden sollten. für die das "Vier-Augen-Prinzip" anzuwenden ist Hard-/Software Einsatz gehärteter Betriebssysteme. wobei auch die eingestellten sicherheitsrelevanten Parameter zu erfassen sind. nach erfolgreichen Angriffen. Als letzte Aufgabe muss das Outsourcing-Vorhaben nach der Migrationsphase in den sicheren Regelbetrieb überführt werden. die der Motivation der Sicherheitsmaßnahmen dient. Dabei ist vor allem darauf zu achten. B. ist die Liste als Anregung zu verstehen und erhebt keinen Anspruch auf Vollständigkeit. Im Folgenden sind einige Aspekte und Themen aufgelistet. aufgehoben werden. infrastrukturellen und personellen Sicherheitsmaßnahmen können Maßnahmen aus folgenden Bereichen sinnvoll sein: Organisation • • • • • • • • Umgang mit Daten und schützenswerten Betriebsmitteln wie Druckerpapier und Speichermedien. um eine möglichst umfassende Protokollierung zu ermöglichen Einsatz kaskadierter Firewallsysteme zur Erhöhung des Perimeterschutzes auf Seiten des Dienstleisters sorgfältige Vergabe von Benutzer-Kennungen. Das Personal ist durch Schulungsmaßnahmen auf den Regelbetrieb vorzubereiten.

dass auch die Notfallvorsorge auf unterschiedliche Parteien aufgeteilt ist und durch die Verteilung der IT-Komponenten auch zusätzliche Komponenten neu hinzukommen. Zuständigkeiten. Netzverbindung. Router. Dienstqualität. um sensitive Daten zu schützen Authentisierungsmechanismen Detailregelungen für weitere Netzanbindungen (siehe 10. AnsprechpartnerInnen und Abläufe müssen klar geregelt und vollständig dokumentiert werden.6 Notfallvorsorge beim Outsourcing ISO Bezug: 27002 10.3.Kommunikation • • • • Absicherung der Kommunikation (z. B. welche Aspekte bereits im Service Level Agreement geregelt werden sollten. Zeitintervalle.3.3. B. 10. unangekündigte Kontrollen vor Ort. Die Besonderheiten beim Outsourcing-Betrieb ergeben sich dadurch.6 Notfallvorsorge beim Outsourcing beschrieben. durch Verschlüsselung. Im Notfallvorsorgekonzept müssen diese Vorgaben genau spezifiziert und im Detail beschrieben werden: • Zuständigkeiten.2 Für die Notfallvorsorge beim Outsourcing gelten grundsätzlich die gleichen Anforderungen wie beim nicht ausgelagerten Betrieb von IT-Systemen. Generell müssen Notfallvorsorgekonzepte für die Systeme beim Auftraggeber. Telekommunikationsprovider) existieren. elektronische Signatur) zwischen Dienstleister und Auftraggeber. 279 . B. Detailgrad) für Kontrollen und Messung von Sicherheit.8. Abläufen und organisatorische Regelungen Notfallvorsorge • Das Notfallvorsorgekonzept ist in 10.4 Vertragsgestaltung mit dem Outsourcing-Dienstleister sind einige Hinweise gegeben.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet)) Detailregelungen für den Datenaustausch (siehe 10.9.1 Richtlinien beim Datenaustausch mit Dritten) Kontrollen und QS • Detailregelungen (z. In 10. beim Outsourcing-Dienstleister sowie für die Schnittstellen zwischen Auftraggeber und Dienstleister (z.

die auf den IT-Systemen betrieben werden. Oftmals werden die Systeme des Auftraggebers von Personal des Dienstleisters betrieben. die regelmäßig durchgeführt werden müssen. B. dem Dienstleister Informationen bezüglich des Schutzbedarfs der betroffenen Daten und Systeme zur Verfügung zu stellen. Programmfehler. das keine Detailkenntnisse über die Anwendungen besitzt. benötigt der Outsourcing-Dienstleister detaillierte und umfangreiche Anweisungen sowie Listen mit Ansprechpartnern auf Seiten des Auftraggebers. muss der Outsourcing-Dienstleister unter Umständen eine Fehlerbehebung herbeiführen. damit er richtig reagieren kann. getrennte Backup-Medien für jeden Klienten. Es kann dabei auch sinnvoll sein. um ungewünschte Seiteneffekte auf Applikationsebene zu verhindern. Besonders bei Problemen mit komplizierten Anwendungen oder bei umfangreichen Batch-Prozessen sind häufig Kenntnisse erforderlich. B. Die IT-Sicherheit hängt in Notfällen entscheidend von der Qualität der Arbeitsanweisungen für das Personal des Outsourcing-Dienstleisters ab. Verfügbarkeit. Ein Konzept für Notfallübungen. Reboot einer Maschine). ohne umfangreiche Kenntnisse über das System zu besitzen. Detaillierte Arbeitsanweisungen mit konkreten Anordnungen für bestimmte Fehlersituationen sind zu erstellen. falsche Parametereinstellung). Aktionen zu definieren. Die Verantwortung für die Anwendung liegt dennoch ausschließlich beim Auftraggeber.• • • • Detailregelungen für die Datensicherung sind zu erstellen (z. Tritt ein Fehler in der Anwendung auf. Meist ist aber dennoch eine Kooperation mit dem Auftraggeber notwendig. Ein Fehlverhalten einer Anwendung kann technische Ursachen haben (z. die explizit verboten sind (z. Vertretungsregelungen. Bei technischen Fehlern ohne Auswirkungen auf andere Anwendungen wird der Outsourcing-Dienstleister den Fehler zwar selbst beheben können. wie er dabei vorgehen darf. damit mit angemessener Umsicht gehandelt werden kann. B. Liegen anwendungsspezifische Probleme vor. Verarbeitung eines falschen Datensatzes. Virenschutz). Netzprobleme) oder anwendungsspezifische (z. muss erarbeitet werden. 280 . Wichtig ist in diesem Fall auch. Datenträger voll. die nur beim Auftraggeber vorhanden sind. B. Durch das Notfallvorsorgekonzept müssen dem Outsourcing-Dienstleister daher genaue Anweisungen zur Verfügung gestellt werden. Eskalationsstrategien.

unabhängig von der eigentlichen Schadensfunktion . Trojanische Pferde anwendbar. ohne Selbstreproduktion.4 Schutz vor Schadprogrammen und Schadfunktionen ISO Bezug: 27002 10. die verdeckte Funktionen enthalten und damit durch Löschen. Zu den Programmen mit Schadensfunktionen gehören: Viren: Nicht-selbständige. die sich in einem System (vor allem in Netzen) ausbreiten.schon durch ihr massenhaftes Auftreten und ihre rasante Verbreitung großes Aufsehen erregen und zu hohen Schäden führen. Computer auszuspionieren. Die angeführten Maßnahmen sind großteils auch gegen andere Arten von Software mit Schadensfunktion. die zur Vereinfachung im Folgenden generell als "Viren" bezeichnet werden. Überschreiben oder sonstige Veränderungen unkontrollierbare Schäden an Programmen und Daten bewirken können. deren Schadensfunktion von einer logischen Bedingung gesteuert wird. die sich selbst reproduzieren und dadurch von dem/der Anwender/in nicht kontrollierbare Manipulationen in Systembereichen. Bei den meisten über E-Mail verbreiteten "Viren" handelt es sich eigentlich um Würmer. Verbreitung: Während früher Viren meist durch den Austausch verseuchter Datenträger verbreitet wurden. Würmer: Selbständige. Damit verursachen sie zusätzliche Arbeit und Kosten und haben einen negativen Einfluss auf die Vertraulichkeit. E-Mail zum Problem. Integrität und/oder Verfügbarkeit von Daten oder Programmen. Dies sind Programme. Trojanische Pferde dienen vor allem dazu.B. dazu auch [NSA-EEC1] ) Das nachfolgende Kapitel beschäftigt sich vorwiegend mit dem Schutz gegen Viren und Würmer. 281 . Trojanische Pferde: Selbständige Programme mit verdeckter Schadensfunktion.10. wird heute zunehmend die Verbreitung über Internet bzw. in andere Programme oder Dateien eingebettete Programmroutinen. die . (vgl. selbstreproduzierende Programme. Logische Bomben: Programme. wie z. an anderen Programmen oder deren Umgebung vornehmen.4 Computer-Viren (im Rahmen dieses Handbuchs der Einfachheit halber als Viren bezeichnet) gehören zu den "Programmen mit Schadensfunktionen" ("maliziöse Software"). beispielsweise dem Datum oder einer bestimmten Eingabe.

5.4. ist ein mehrstufiges Schutzkonzept erforderlich.1. 10.4. sondern auch die Abstimmung dieser Maßnahmen aufeinander.1 ). je exakter die Empfehlungen umgesetzt werden.10. Je mehr bzw. 11.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall ISO Bezug: 27002 10. Für die Effizienz des Virenschutzkonzeptes sind dabei nicht nur die ausgewählten Maßnahmen selbst von Bedeutung. bzw. Die nachfolgend angeführten Maßnahmen dienen einer Vorbeugung gegen Virenbefall bzw. einer Verringerung des Schadens im Falle eines Befalls. Sichere Aufbewahrung der Sicherheitskopien von Datenträgern (vgl.5 ). Schutzmaßnahmen sind zu treffen: • • • auf Ebene der Firewall auf Server-Ebene auf Client-Ebene Neben den technischen Schutzmaßnahmen sind auch organisatorische und personelle Maßnahmen erforderlich.7 Um für ein komplexes IT-System oder eine gesamte Organisation einen effektiven Virenschutz zu erreichen.1] 10. Allerdings können ggf bestimmte (auch notwendige / vorgesehene) Funktionen nicht mehr oder zumindest weniger produktiv durchgeführt werden. 10. um einem Virenbefall soweit wie möglich vorzubeugen. Die nachfolgenden Maßnahmen geben eine Reihe von generellen Empfehlungen zum Virenschutz. im Falle eines Virenbefalls den Schaden möglichst zu begrenzen. Die anzuwendenden Maßnahmen sind daher vor dem Hintergrund des Gesamtsystems und der jeweils gültigen Policy vorzuschreiben.1 Erstellung eines Virenschutzkonzepts ISO Bezug: 27002 10. [eh SYS 4. • • 282 Regelmäßige Durchführung einer Datensicherung (vgl.4. desto geringer wird das allgemeine Risiko.4. bei dem in jeder Stufe angemessene und aufeinander abgestimmte Schutzmaßnahmen realisiert werden. die an die Erfordernisse der betroffenen Institution anzupassen sind.5. .

und ausgehenden Dateien über externe Netzwerke (EMails. die auch über entsprechende Sicherheitsfunktionen verfügen. Gateways bieten meist auch Möglichkeiten ohne teure Zusatzprodukte Maßnahmen zu setzen. Überprüfung aller vorinstallierten Neugeräte und gewarteten Geräte.EXE). *. Überprüfung aller ein. die der Verbreitung von Schadprogrammen entgegenwirken. Für Probleme sollte ein zentraler Ansprechpartner (E-Mail-Adresse. Überprüfung aller ein.• • • • • • • Setzen eines Schreibschutzes bzw.WSH. auch 10. die Programme beinhalten) und bei allen ausgehenden Datenträgern.und ausgehenden Datenträger (vgl.7.3 Datenträgeraustausch ).) ganz zu unterbinden.u. Übermittlung von vertraulichen Informationen aus dem geschützten Netz) benötigen definierte Verbindungswege in das Internet (Ports.4. Als vorbeugende Maßnahme gegen Virenbefall empfiehlt es sich. Daher ist durch eine restriktive Politik bei den Filterregeln der Firewalls eine wesentliche Erhöhung der Sicherheit erreichbar. gleich zentral abgeblockt werden. die im täglichen Arbeitsablauf nicht als Anhänge von E-Mails vorkommen. *.3 Empfohlene Virenschutzmaßnahmen auf Firewall-Ebene ISO Bezug: 27002 10. etc.VBS. Telefon. in der BootReihenfolge die System-Festplatte an erster Stelle einzustellen bzw.1 Viele Schadfunktionen (Nachladen von Code aus dem Internet. um die Sicherheit des Gesamtsystems nicht zu gefährden. auf die nicht geschrieben werden muss (gilt insbesondere für Datenträger. Die Unterteilung der Festplatte in mehrere Partitionen kann die Rekonstruktion von Daten nach einem Virus-Schaden erleichtern (Anmerkung: Dies gilt auch bei einem Headcrash). *.B.).2] 10. um ihre Wirkung entfalten zu können. Adressen). Nutzung von nur einmal beschreibbaren Medien bei allen Datenträgern. 283 . USB-Stick. DVD.und Fax-Nummer) benannt werden. Dies gilt in besonderem Maße für E-Mail-Programme.BAT. *. Es sollten nur vertrauenswürdige Programme zugelassen sein.4. "Private" Insel-Lösungen auf einzelnen Arbeitsplatz-Rechnern sollten nicht zugelassen werden. Dabei können Dateitypen (z. • [eh SYS 4. Internet) (s. das Booten von externen Datenträgern (CD.

7. (Auch wenn am Mail-Server bereits ein Virenschutzprogramm zum Einsatz kommt.4. [eh SYS 4.3] 10. Mailprogramm. dass seine/ihre Mail nicht zugestellt werden konnte.1.4. Sollten Informationen geblockt werden.2. 11. [eh SYS 4. durch unbedachte oder gewollte Handlungen den Rechner zu gefährden.sogar vor dem Vorliegen der neuen Virensignaturen .1 Auf E-Mail-Servern und allen Servern die zum Datenausgetausch genutzt werden sollten Virenschutzprogramme zur zentralen Überprüfung des E-Mail-Verkehrs und der ausgetauschten Dateien installiert werden (vgl. Einsatz eines aktuellen Virenschutzprogrammes mit aktuellen Signatur-Dateien. um beispielsweise auch Schutz bei verschlüsselter Kommunikation zu erreichen. Dabei ist auf eine regelmäßige Aktualisierung der eingesetzten Programme zu achten.4] 10. ist in Form einer erweiterten Gatewayfunktionalität oder der Einbindung über eigene Protokolle (z. empfiehlt es sich. die den Verkehr auf Viren und auch den Content der Mails scannen können. dazu auch 10. .4 Empfohlene Virenschutzmaßnahmen auf Server-Ebene ISO Bezug: 27002 10. Bildschirmschoner mit Passwort. das im Hintergrund läuft (resident) und bei bekannten Viren Alarm schlägt.durch das Filtern entsprechender Textbegriffe die Ausbreitung neuer Schadsoftware gestoppt werden.2 • • • 284 Aktivierung aller vorhandenen Sicherheitsfunktionen des Rechners (PasswortSchutz. Content Vectoring Protocol) möglich.).4. dem/der Absender/in einer solchen E-Mail eine automatisierte Nachricht zukommen zu lassen.5 Empfohlene Virenschutzmaßnahmen auf Client-Ebene und Einzelplatzrechnern ISO Bezug: 27002 10.Der Einsatz spezieller Rechner.B.) Aktivierung der Anzeige aller Dateitypen im Browser bzw.4. damit während der Abwesenheit der berechtigten Benutzerin bzw. Dabei kann Mail mittels Virenscanner verschiedener Hersteller überprüft werden und . 10. des berechtigten Benutzers Unbefugte keine Möglichkeit haben. empfiehlt sich die Installation dezentraler Virenschutzprogramme.4.8 Auswahl und Einsatz von Virenschutzprogrammen ).4. etc.

4.• • • • • Aktivierung des Makro-Virenschutzes von Anwendungsprogrammen (MS Word.2 Die Sensibilisierung der Endanwender/innen für die Virenproblematik stellt eine wichtige Komponente beim Schutz gegen Viren dar.1. Dadurch wird die zentrale Firewall.). kann der Schadsoftware ebenfalls gezielt entgegen gewirkt werden. *. Durch den Einsatz eines Firewall-Produkts auf den Einzelplatzrechnern (Personal Firewalls).4. Erkennung von Viren durch den Benutzer ISO Bezug: 27002 10. Auch laufende Informationen zu diesem Thema. etc.) und ob die Anlage (Attachment) auch erwartet wurde. Keine Nutzung von Applikationsverknüpfungen für Anwendungen mit potentiell aktivem Code (MS-Office) im Browser.6 Vermeidung bzw. etc. Kein "Doppelklick" bei ausführbaren Programmen (*.COM. welche Programme auf das Internet zugreifen dürfen. 10. die regeln. [eh SYS 4. Java. Sofern möglich: Wahl der höchsten Stufen in den Sicherheitseinstellungen von Internet-Browsern (Deaktivieren von aktiven Inhalten (ActiveX.5] 10. Die Ausführung von aktiven Inhalten in E-Mail-Programmen immer unterbinden (entsprechende Optionen setzen). 285 . VBS) aus unbekannten Quellen etc. vertrauenswürdigen Absenderinnen bzw. (sofern sie nicht bereits auf Firewall-Ebene gefiltert wurden). Erkennen potentieller Gefahren bei eingehender E-Mail und Abwehrmaßnahmen: • • • Bei E-Mail auch von vermeintlich bekannten bzw.EXE) oder ScriptSprachen (*. 10. die Möglichkeiten zu ihrer Erkennung und Vermeidung sowie die notwendigen Handlungsanweisungen im Falle eines (vermuteten) Virenbefalls hingewiesen werden.15 ).4. deutschem Partner. zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc. keine Aktivierung von Anwendungen über Internet. Powerpoint. die keine Informationen über die aufrufenden Programme hat.) und Beachtung von Warnmeldungen. ob der Text der Nachricht auch zum/ zur Absender/in passt (englischer Text von deutscher Partnerin bzw. Excel. *. Visual Basic Script.B. etwa über das Intranet oder in Form interner Publikationen.BAT. wirkungsvoll ergänzt (vgl. Daher sollte in Schulungen regelmäßig auf die Gefahr von Viren. Vorsicht bei mehreren E-Mails mit gleichlautendem Betreff.VBS. JavaScript) und Skript-Sprachen (z.). sind empfehlenswert.6. Absendern prüfen.

wie sie diese Spezialistinnen/Spezialisten erreichen oder Mails an solche Bereiche weiterleiten können. in denen die Mails von Spezialistinnen bzw. • • • Vermeidung aktiver Inhalte in E-Mails. 286 . etc. Dazu sind sog. Im Privatbereich und ev. auch in Teilen des kommerziellen Bereiches wird ein sofortiges Löschen von offensichtlich unsinnigen oder sonst wie verdächtigen Mails empfehlenswert sein. "Quarantänebereiche" einzurichten. MS Word) oder Scripts eingesetzt werden. einen Computer-Virus enthalten können. ist dafür zu sorgen. sondern direkt nur an den IT-Sicherheitsbeauftragten senden. In Bereichen. Spezialisten untersucht und weiterbehandelt werden können. Maßnahmen bei ausgehender E-Mail: Durch Beachtung der nachfolgenden Maßnahmen kann die Gefahr reduziert werden. Außerdem sollten als E-Mail-Editor keine Programme mit der Funktionalität von Makro-Sprachen (z. Es handelt sich nämlich meist um irritierende und belästigende Mails mit Falschmeldungen (Hoax oder "elektronische Ente". Bekannte oder Kolleginnen/Kollegen folgen. wo dies entweder aufgrund gesetzlicher Vorschriften oder kommerzieller Überlegungen nicht möglich ist. dass verdächtige E-Mails in entsprechend sicherer Umgebung geöffnet und analysiert werden können.• • • • Vorsicht auch bei Dateien von Anwendungsprogrammen (Office. Mails oder Anhängen an Freundinnen bzw. dass die Art des DateiAnhangs (Attachment) bei Sabotageangriffen oft getarnt ist und über ein Icon nicht sicher erkannt werden kann.) sowie Bildschirmschonern (*. dass ein/e Endanwender/in unabsichtlich Viren verteilt. dass Attachments nicht automatisch geöffnet werden. Empfohlene Verhaltensregeln im Verdachtsfall: Verdächtige E-Mails bzw. da diese evtl. Keine unnötigen E-Mails mit Scherz-Programmen und ähnlichem versenden. deren Attachments sollten auf keinen Fall von dem/der Endanwender/in geöffnet werden.B. B.SCR). Keinen Aufforderungen zur Weiterleitung von Warnungen. Bei der Verwendung des HTML-Formates ist ebenfalls Vorsicht geboten. Nur vertrauenswürdige E-Mail-Attachments öffnen (z. in letzter Konsequenz sogar nach telefonischer Absprache). Die Konfiguration der E-Mail-Clients sollte so eingestellt sein. Benutzer/innen müssen wissen. Es ist zu beachten. um der Gefahr einer Vireninfektion zu begegnen. Auch eine E-Mail im HTML-Format kann aktive Inhalte mit Schadensfunktion enthalten. Freunde. Kettenbrief).

dass unzulässige Veränderungen.1. dass zu entpackende Dateien nicht automatisch gestartet werden. etc. Je nach vorliegendem Schadprogramm sind Verfahren zur differenzierten EMail-Filterung (z. weiterzuleiten. Tabellen. Es muss darauf hingewiesen werden.3 • • Die Informationswege für Notfälle sind zu planen. Bei Abweichungen von der vorgegebenen Größe oder Prüfsumme ist zu vermuten. Installierte Entpackungsprogramme sollten so konfiguriert sein. um Benutzerdaten auszuspähen. sowie einer evtl. Ausweichwege für die Kommunikation und Vertretungsregeln festzulegen.und Präsentations-Dateien. ob E-Mails im Ausgangs-Postkorb stehen. 287 . Die Angabe der Größe von Dateien. zu verändern oder zu löschen. die nicht von dem/der Benutzer/in selbst verfasst wurden. Da EMail mittlerweile das zentrale Informationsmedium geworden ist. die aus dem Internet abgerufen werden.6] 10.6. Mit einem aktuellen Virenschutzprogramm sollten vor der Installation die Dateien immer überprüft werden. also insbesondere von den Originalseiten der Ersteller/innen. PDF. Größenbeschränkung. • • • • Programme sollten nur von vertrauenswürdigen Seiten geladen werden. stellen einen Hauptverbreitungsweg für Viren und Trojanische Pferde dar.7 Erstellung von Notfallplänen im Fall von Vireninfektionen ISO Bezug: 12. dürfen diese Systeme allenfalls kurzzeitig deaktiviert werden. dass auch Dateien von Office. Private Homepages.und anderen Anwendungsprogrammen (Text-.) Makro-Viren bzw. Daher sollten solche Dateien sofort gelöscht werden.B. Filterung von bestimmten Betreffs) vorzubereiten und auch zu testen. 14. 13. Scripts mit Schadensfunktion enthalten können. meist durch Viren. damit nach wie vor Warnungen möglich sind. die zuständigen Funktionen oder Personen zu definieren. keine Attachments. nur Post-Eingang.4.• Gelegentlich prüfen. [eh SYS 4. sollte nach einem Download immer überprüft werden. stellen hierbei eine besondere Gefahr dar. Verhalten bei Downloads aus dem Internet: Daten und Programme. auch angegebenen Prüfsumme. die bei anonymen Webspace-Providern eingerichtet werden. vorgenommen worden sind. Gepackte (komprimierte) Dateien sollten erst entpackt und auf Viren überprüft werden.

notfalls auch durch Fax. dass bei Vorliegen eines neuen Virus die Updates der Virenschutzprogramme möglichst rasch auf Servern. dass man durch das Virenschutzprogramm eine genauere Information über den jeweils entdeckten Virus erhält. welche Rechner in welcher Reihenfolge in betriebsbereiten Zustand zu bringen sind. so dass man weiß. Die entsprechenden Verteilwege und Maßnahmen sind vorzubereiten und selbstverständlich auch regelmäßig zu testen. Die bekannten Viren sind durch Spezialistinnen bzw. [eh SYS 4. Spezialisten analysiert worden. Gateways und Clients eingestellt werden. haben sich in der Vergangenheit als effektivstes und wirksamstes Mittel in der Viren-Bekämpfung erwiesen. sondern sie auch möglichst exakt identifizieren. sollten mit der Entfernung Spezialistinnen bzw. Daher ist eine regelmäßige Aktualisierung des Virenschutzprogramms erforderlich. Lautsprecherdurchsagen). Wenn immer möglich. Zahlreiche Programme bieten auch die Möglichkeit einer Entfernung gefundener Viren an. dass neu erhaltene Software oder Datenträger schon vor dem ersten Einsatz geprüft werden können. wenn auch eingeschränkte. SMS. Zu beachten ist. Ebenso wie andere Programme können sie durch Aufruf (transient) oder im Hintergrund (resident) genutzt werden. Funktionsfähigkeit hergestellt werden kann. da sie nur die zu ihrem Erstellungszeitpunkt bekannten Viren berücksichtigen.4. Ein weiterer Vorteil ist. Für den Notfall sind Backup.8 Auswahl und Einsatz von Virenschutzprogrammen ISO Bezug: 27002 10. Programme.4. dass Virenschutzprogramme mit der Zeit ihre Wirksamkeit verlieren.• • • Es muss sichergestellt sein. die Speichermedien nach bekannten Viren durchsuchen . die festlegen. Ein gutes Virenschutzprogramm muss daher nicht nur in der Lage sein. damit in kürzester Zeit eine. B. 288 .und Restore-Strategien zu erarbeiten.7] 10.1 Zum Schutz vor Viren können unterschiedliche Wirkprinzipien genutzt werden. viele Viren zu finden. Sollten durch einen neuen Virus die üblichen Informationswege nicht verfügbar sein. Hierbei ist zu beachten. ob und welche Schadensfunktionen vorhanden sind. Man kann daher eine Infektion mit bekannten Viren grundsätzlich vermeiden. sind alternative Verfahren zur zeitnahen Warnung vorzusehen (z. Von Vorteil ist. dass die Qualität dieser Entfernungsroutinen sehr unterschiedlich ist. neu hinzugekommene jedoch meist nicht erkennen können. Die Betriebsart des Virenschutzprogramms hat entscheidenden Einfluss auf die Akzeptanz bei den Anwenderinnen/Anwendern und damit auf die tatsächlich erreichte Schutzfunktion. Spezialisten betraut werden.

Eine ständige Aktualisierung bezüglich neuer Viren muss vom Hersteller sichergestellt sein. z. Im Wesentlichen sollte ein Virenschutzprogramm folgende Eigenschaften erfüllen: • • • • • • • • Der Umfang der erkannten Viren sollte möglichst groß sein und dem aktuell bekannten Bestand entsprechen. Das Programm muss seine eigene Virenfreiheit feststellen. ausführen. Sinnvoll ist eine Funktionalität. Meist löst der/die Anwender/in den Aufruf aus. insbesondere müssen alle sehr stark verbreiteten Viren erkannt werden. Es verrichtet seine Tätigkeit. Das Programm sollte über eine Protokollierungsfunktion verfügen. durchsucht die eingestellten Teile des Computers.B.und Partition-Sektor) Prüfsummen berechnet. Beim residenten Betrieb wird das Virenschutzprogramm beim Start des Rechners in den Speicher geladen und verbleibt dort aktiv bis zum Ausschalten. Das Programm sollte Viren auch in komprimierter Form finden. 289 .B. die folgende Daten festhält: • • • • • Versionsstand des Programms. die nicht geprüft werden konnten.Beim transienten Betrieb wird das Programm aufgerufen. er/sie kann inzwischen seine/ihre eigentliche Arbeit. Angabe aller benutzten Parameter. ohne dass der/die Anwender/in dabei mitwirkt. sondern auch andere unberechtigte Veränderungen an Dateien. bevor die Suchfunktion ausgeführt wird. Datum und Uhrzeit der Überprüfung. beendet seine Arbeit danach und macht den Speicher wieder frei. Anzahl und Identifikation der Dateien und Objekte. die regelmäßig kontrolliert werden. Eine weitere präventive Maßnahme ist der Einsatz von ChecksummenPrüfprogrammen . Hierbei werden zum Schutz vor Veränderung von den zu prüfenden Dateien oder Systembereichen (z. die es erlaubt. erkannte Viren zu entfernen. Gefundene Viren müssen mit einer vollständigen Pfad-Angabe angezeigt werden. Nach Möglichkeit muss das Produkt als residentes Programm eine permanente Virenkontrolle ermöglichen. wobei gängige Komprimierungsfunktionen wie PKZIP unterstützt werden sollten. Prüfergebnis mit Prüfumfang. Auf diese Weise können nicht nur Verseuchungen mit bisher unbekannten Viren erkannt werden. Boot. das Schreiben von Texten. ohne weitere Schäden an Programmen oder Daten zu verursachen.

ob tatsächlich ein Virus aufgetreten ist und um welchen Virus es sich ggf. Es sollte versucht werden.4. sollten folgende Schritte durchgeführt werden: • • • • • • • • Beenden der laufenden Programme und Abschalten des Rechners.1. Erneute Überprüfung der Festplatte mit dem Viren-Suchprogramm. Wechselplatten. Ist die Quelle auf Original-Datenträger zurückzuführen. Liegt die Quelle in Dateien oder E-Mail. dann sollte der Hersteller informiert werden. Falls dies nicht möglich ist. so ist der/die Ersteller/in der Datei zu unterrichten. vorher Boot-Reihenfolge im BIOS-Setup ändern. 13 teilw.2 Generelle Maßnahmen zur Vorbeugung gegen Virenbefall ). die Quelle der Vireninfektion festzustellen. Das Programm sollte eine Liste der erkennbaren Viren und ihre Beschreibung beinhalten.) auf Virenbefall und Entfernung eventuell vorhandener Viren. veränderte Dateiinhalte. Grundregel: Falls möglich.9 Verhaltensregeln bei Auftreten eines Virus ISO Bezug: 27002 10. Helpdesk) zu Hilfe geholt werden. dass es offensichtlich nicht aktualisiert wurde.• • Das Programm sollte eine Warnung ausgeben. [eh SYS 4. Entfernen des Virus abhängig vom jeweiligen Virustyp. Warnung an andere IT-Benutzer/innen. etc. 290 . ohne dass etwas abgespeichert wurde). Gibt es Anzeichen. unerklärliches Systemverhalten. siehe 10. Überprüfen des Rechners mit einem aktuellen Virenschutzprogramm um festzustellen.4. dass ein Rechner von einem Virus befallen ist (z.B. Bereichs-IT-Sicherheitsverantwortliche/r. wenn es feststellt. ständige Verringerung des freien Speicherplatzes.4. Booten des Rechners von einer einwandfreien. sollten fachkundige Betreuer/innen (Administrator. geprüften Notfall-CD (evtl. handelt. Untersuchung aller anderen Datenträger (USB-Sticks. Programmdateien werden länger. so sind zur Feststellung des Virus und zur anschließenden Beseitigung folgende Schritte durchzuführen. Darüber hinaus sind jeweils Beschreibungen von Sofortmaßnahmen und Maßnahmen zum Entfernen des Virus anzugeben.8] 10. nicht auffindbare Dateien. wenn ein Datenaustausch vom infizierten Rechner erfolgte.

Sollte der Virus Daten gelöscht oder verändert haben. Derzeit existieren noch keine brauchbaren Programme.und Kommunikationstechnologien betrieben. die Daten aus den Datensicherungen und die Programme aus den Sicherungskopien der Programme (vgl.4.5. mit einem Warnsystem für Computerviren und sonstigen schädigenden Inhalten eine Informationsbasis und ein Verteilsystem für derartige Informationen geschaffen. 291 . [eh SYS 4. Bereits bei der Beschaffung von Virenschutzprogrammen ist daher für die Aktualisierbarkeit und die Versorgung von entsprechenden Updates durch den Hersteller Sorge zu tragen.2 Eines der größten Probleme bei der Konzeption eines Sicherheitsgateways (Firewall) ist die Behandlung der Probleme. sowie Informationen über empfohlene aktive und passive Gegenmaßnahmen. [eh SYS 4. 10. Dieses wird in Kooperation mit CERT.11 Schutz vor aktiven Inhalten ISO Bezug: 27002 10.at zur Behandlung beziehungsweise Verhinderung von Sicherheitsvorfällen im Bereich der Informations.4. Dabei wird u. so muss versucht werden.AT) eingerichtet. Neben der Aktualisierung der eingesetzten Software ist auch die Information über neue Computerviren.a. welches den geeigneten Stellen der öffentlichen Verwaltung und der Wirtschaft zur Verfügung steht. Im Bereich der öffentlichen Verwaltung wurde ein eigenes Government Computer Emergency Response Team (GovCERT.9] 10. besonders wichtig.10 Warnsystem für Computerviren – Aktualisierung von Virenschutzprogrammen Im Zusammenhang mit Computerviren ist die permanente Aktualität des verwendeten Virenschutzprogrammes von größter Wichtigkeit.6 Sicherungskopie der eingesetzten Software ) zu rekonstruieren. Darüber hinaus sind die Verantwortlichkeiten für die regelmäßig durchzuführenden Aktualisierungen innerhalb der Organisation zu definieren.10] 10. Java-Applets oder Scripting-Programmen ermöglichen. Anschließend ist das wiederhergestellte System noch einmal auf Schadsoftware zu überprüfen. die eine ähnlich wirksame Erkennung von Schadfunktionen in ActiveX-Controls.4. wie sie im Bereich der Computer-Viren möglich ist. Dabei genügt es oft nicht. sich nur auf die periodischen Updates des Virenschutzprogramm-Herstellers zu verlassen. die durch die Übertragung aktiver Inhalte zu den Rechnern im zu schützenden Netz entstehen.

so dass keine potenziell schädlichen Programme mehr auf den Client-Rechnern eintreffen. die Ausführung bestimmter Typen aktiver Inhalte getrennt für einzelne Server oder Domains freigeben oder verbieten zu können. lässt sich anhand des folgenden Beispiels darstellen: Ein Java-Applet bzw. Das Problem besteht dabei darin. B. Aktive Inhalte werden über spezielle Tags innerhalb einer HTML-Seite eingebunden. Um diese Eigenschaft trotz der Verwendung eines Paketfilters vollständig unterstützen zu können. Dezentrale Abwehr auf den angeschlossenen Clients Die Ausführung aktiver Inhalte sollte normalerweise durch entsprechende Einstellungen im Browser unterbunden werden. Ist das der Fall. können JavaApplets verwendet werden. .Die Größe der Gefährdung. der dem Anwender einen Hinweis über die Tatsache der Filterung gibt. Weiterhin ist problematisch. dass ein JavaFilter auch alle von den verwendeten Browsern unterstützten Dateiendungen für Java-Dateien kennen muss. Stattdessen können auch komprimierte Dateien eingesetzt werden. In der Regel werden aktive Inhalte anhand der entsprechenden Tags aus einer HTML-Seite erkannt und gelöscht. dass es auf Grund von Schwachstellen in den Browsern Angreifern möglich sein kann. Idealerweise sollte ein Browser die Möglichkeit bieten. Ähnliche Probleme existieren im Zusammenhang mit Flash-Objekten.NET Assemblies und anderen aktiven Inhalten. Die Umsetzung einer WhitelistStrategie für aktive Inhalte wird von verschiedenen Browsern in unterschiedlicher Weise und mehr oder weniger gut unterstützt (Beispiele: Zonenmodell des Microsoft Internet Explorers. JavaScript aus Java heraus auszuführen. beispielsweise in HTML-E-Mails. um kaum zu kontrollierende IP-Verbindungen aufbauen zu können. dass auch aktive Inhalte außerhalb von Webseiten gefiltert werden müssen.class verschickt werden müssen. die von aktiven Inhalten für die Rechner im zu schützenden Netz ausgeht. die Endung . die z. Die Kontrolle aktiver Inhalte kann auf verschiedene Weise geschehen: • • Zentrale Filterung der aktiven Inhalte auf der Firewall Sämtliche als schädlich eingestuften Inhalte werden von einer Komponente der Firewall gefiltert. Diese zur Zeit noch recht wenig benutzte Möglichkeit ist eine zentrale Voraussetzung. Browser-Profile bei Mozilla Firefox). Das bedeutet. oder sie werden durch einen Textbaustein ersetzt. Zusätzliches Schadenspotenzial resultiert auch aus der Möglichkeit. müssen sehr viel mehr Ports freigeschaltet werden oder es muss ein dynamischer Paketfilter eingesetzt werden. dass wegen der komplexen Möglichkeiten der aktuellen HTMLSpezifikation oft nicht alle zu löschenden Tags von den Sicherheitsproxies erkannt werden. der Browser darf gemäß der Java-Spezifikationen eine Netzverbindung zu dem Server aufbauen. von dem es geladen worden ist. die auch ohne spezielle Initiierung durch den/die AnwenderIn Programme vom Server laden müssen.jar (Java-Archive) haben. wenn Netz-Computer (NC) oder ähnliches eingesetzt werden sollen. dass beispielsweise Java-Applets nicht notwendigerweise als Datei mit der Endung . Es sollte unbedingt beachtet werden. Dabei ist allerdings zu beachten. entsprechende 292 .

die durch aktive Inhalte automatisch heruntergeladen wurden. sollten nachvollziehbar dokumentiert werden. Sie bieten einen guten Schutz vor bereits bekannten Schadprogrammen. die dafür ausschlaggebend waren. die in Zusammenarbeit mit dem Anbieter der aktiven Inhalte die Signatur erstellt. Java-Applets. Makroviren und Trojanischen Pferden schützen. Allerdings muss berücksichtigt werden. so dass der intendierte Schutz tatsächlich nicht oder nicht in vollem Umfang existiert. Die Signatur dient dazu. Die Entscheidung. Aufgrund der Vielzahl von Software-Schwachstellen in den Browsern können die Sicherheitseinstellungen umgangen werden. Werden ausschließlich signierte aktive Inhalte zugelassen. die versuchen eine Netz-Verbindung aufzubauen. die auf dem Client-Rechner installiert werden und dort meist mehrere Funktionen wahrnehmen. so bietet dies eine erhöhte Sicherheit vor Schadfunktionen. wie mit aktiven Inhalten in Webseiten umgegangen wird. Acitve-X Objekte und mit Einschränkungen auch Javascript können mit einer digitalen Signatur versehen werden. angewiesen ist. Personal Firewalls bieten zusammen mit Anti-VirenProgrammen einen recht guten Schutz vor bösartigen aktiven Inhalten. und dass Personal Firewalls selbst Sicherheitslücken aufweisen können. Beispielsweise bieten einige Personal Firewalls die Möglichkeit einer Überwachung anderer Programme. Diese Sicherheit ist jedoch nur indirekt. die die Ausführung aktiver Inhalte kontrollieren und auf unbedenkliche Operationen beschränken können. da der Nutzer auf die Vertrauenswürdigkeit der Signaturstelle. hängt in erster Linie vom Schutzbedarf der betreffenden Clients ab. die das System gefährden. Die Entscheidung für eine bestimmte Vorgehensweise und die Gründe. In einigen Fällen bieten sie auch sogenannte "Sandboxen". Installation von Anti-Viren-Software und Personal Firewalls auf den Clients Anti-Viren-Produkte können vor Viren. die Integrität und Authentizität des jeweiligen aktiven Inhalts zu schützen. 293 . dass die Einstellungen auf den Clients bei allen unter Punkt 2 und 3 genannten Schutzvorkehrungen nicht versehentlich oder absichtlich vom Benutzer deaktiviert oder umgangen werden können. dass die richtige Konfiguration dieser Programme zusätzlichen Administrationsaufwand erfordert. Bei allen drei Optionen ist eine Sensibilisierung der Benutzer zusätzlich notwendig. Solche Verbindungsaufnahmen können dann meist entweder automatisch anhand festgelegter Regeln oder im Einzelfall vom Benutzer selbst erlaubt oder verboten werden. Selbst die vollständige Deaktivierung der Ausführung aktiver Inhalte bietet aber nur einen begrenzten Schutz vor bösartigen aktiven Inhalten. Zudem muss sichergestellt werden.• Einschränkungen zu umgehen. Sie bieten meist neben der Funktion eines lokalen Paketfilters weitere Funktionen an. Personal Firewalls sind Programme.

für welche Websites aktive Inhalte freigeschaltet werden. Anwendungen aktive Inhalte zwingend nötig sind. Die möglichen Schäden. sind dafür zu gravierend. sollte kritisch hinterfragt werden. Virenscanner auf dem Client Eine Filterung aktiver Inhalte auf dem Sicherheitsgateway mit Freischaltung für vertrauenswürdige Websites (Whitelist) Epfehlungen für hohen Schutzbedarf: • • • • • • Deaktivierung aktiver Inhalte im Browser und Freischaltung nur für vertrauenswürdige Websites. Epfehlungen für normalen Schutzbedarf: • • • Allgemein: Deaktivierung aktiver Inhalte im Browser und Freischaltung nur für vertrauenswürdige Websites. Falls für bestimmte. Eine ergänzende Sicherheitsanalyse wird empfohlen. die aktive Inhalte im Browser benötigt.Eine zu "liberale" Einstellung oder gar eine generelle Freigabe aktiver Inhalte ist auch bei normalem Schutzbedarf nicht zu empfehlen. Bei Neuentwicklungen browserbasierter Anwendungen oder bei einer Weiterentwicklung einer bestehenden Anwendung. die durch bösartige aktive Inhalte in Verbindung mit Schwachstellen in Webbrowsern oder im unterliegenden Betriebssystem entstehen können. Virenscanner auf dem Client Eine Filterung aktiver Inhalte auf dem Sicherheitsgateway mit Freischaltung für vertrauenswürdige Websites (Whitelist) Zusätzlich Filterung von Cookies (Whitelist) Die Kriterien. dass ein angemessenes Sicherheitsniveau erreicht wurde [eh SYS 8. sollten sie nur für die betreffenden Server freigegeben werden.4 294 .12 Sicherer Aufruf ausführbarer Dateien ISO Bezug: 27002 10. um sicher zu stellen.4.5] 10. sollten deutlich restriktiver sein als bei normalem Schutzbedarf. ob die Verwendung der aktiven Inhalte wirklich notwendig ist. Oft lassen sich aktive Inhalte bei gleichwertiger Funktionalität durch serverseitig dynamisch erzeugte Webseiten ersetzen.

. . muss nachgedacht werden. Dies betrifft vor allem sehr komplexe Anwendungen wie zum Beispiel Webserver. Nur so kann verhindert werden. nicht mit Administrator-Rechten gestartet werden. der die Datei ausführt. Schon beim Start von Anwendungen muss sichergestellt werden. wie Textdateien. dass nur die gewünschte. dürfen nur in separaten Bereichen verwendet werden.bat. (Siehe auch 12. dass er die Privilegien des Benutzers erhält. dürfen als Angabe in der PATH- 295 .exe. auf das er Schreibrechte hat. die das jeweils aktuelle Arbeitsverzeichnis enthalten. Diese Dienste dürfen. B. Unter Windows sind ausführbare Dateien an ihrer Dateiendung (beispielsweise . dass diese Applikationen Schaden anrichten. Auch bereits getestete Software kann die Sicherheit beeinträchtigen. Dasselbe gilt für neue Software. Ein Schreibzugriff darf nur Administratoren gestattet werden Ausführbare Dateien für die Schreibrechte benötigt werden. Im Gegensatz hierzu können Anwendungsdaten. weil sie sich in der Entwicklung befinden.cmd) und unter Unix oder Linux durch Dateirechte (x-Flag) erkennbar. . Um dies zu verhindern. dass jeder Prozess nur so viele Rechte erhält wie unbedingt notwendig sind. Hierfür eignen sich ebenfalls Benutzerkonten mit eingeschränkten Privilegien. z. freigegebene Version ausgeführt werden kann. Relative Verzeichnisangaben.1. in denen nach den ausführbaren Dateien gesucht werden soll. in der entsprechenden Reihenfolge in der PATH-Variable eingetragen.7 Abnahme und Freigabe von Software) Ein Angreifer könnte eine ausführbare Datei soweit verändern.Ausführbare Dateien können direkt gestartet werden. dass nur freigegebene Versionen ausführbarer Dateien und keine eventuell eingebrachten modifizierten Versionen (insbesondere Trojanische Pferde) aufgerufen werden. Hierfür können beispielsweise separate Testsysteme eingesetzt werden oder spezielle Benutzerkonten ohne weitere Privilegien. dürfen ausführbare Dateien nur lesbar sein. die für einen späteren Einsatz auf einem Produktivsystem getestet werden soll. könnte die modifizierte statt die gewünschte Datei ausgeführt werden Bei vielen Betriebssystemen werden die Verzeichnisse. Es muss sichergestellt werden. Die Anzahl der angegebenen Verzeichnisse sollte gering und überschaubar gehalten werden.vbs. die den eintretenden Schaden begrenzen können. Im Weiteren muss sichergestellt werden. nur über ein entsprechendes Programm angesehen werden. So kann bei einem erfolgreichen Angriff der eintretende Schaden begrenzt werden. Über klare Trennungen von Rechten. unter Unix oder Linux beispielsweise durch chroot-Umgebungen.com. Ein Angreifer könnte sonst eine modifizierte Datei mit dem selben Namen in ein Verzeichnis kopieren. Wird beim Aufruf in den Verzeichnissen nach der Datei gesucht. wenn möglich. .

Dies führt allerdings erfahrungsgemäß zu großen Akzeptanzproblemen seitens der Kunden und der MitarbeiterInnen. Für den Umgang mit Dateiformaten. ein Attachment anzuhängen. dass alle Betroffenen sich der Problematik bewusst sind und entsprechend vorsichtig mit diesen Dateiformaten umgehen. diese am E-Mail-Gateway herauszufiltern. einerseits die MitarbeiterInnen für die Problematik zu sensibilisieren und zum Mitdenken anzuregen und sie andererseits technisch zu unterstützen. ob es wirklich nötig ist.13 Vermeidung gefährlicher Dateiformate ISO Bezug: 27002 10. die eventuell in den Dateien enthaltenen Programmcode. dass Dateien zunächst nur in Viewern oder anderen Darstellungsprogrammen angezeigt werden. Besser ist es im allgemeinen. Die restriktivste Form ist es. Wenn sich die Versendung von Dateien in "gefährlichen" Formaten nicht vermeiden lässt. die ausführbaren Code enthalten und damit ungeahnte Nebeneffekte auslösen können. indem die Gefährdungspotenziale durch entsprechende Konfiguration und Sicherheitswerkzeuge minimiert werden. Der E-Mail-Client sollte so eingestellt sein. Gefährlich wird es erst. dass Anhänge nicht versehentlich gestartet werden können. Die größere Gefahr sind aber Anhänge. ob die Datei geöffnet werden soll. der E-Mail-Client sollte außerdem so eingerichtet sein. Das Betriebssystem bzw. Dies muss regelmäßig überprüft werden.. wie Makros oder Skripte. In den in einer PATH-Variable enthaltenen Verzeichnissen darf nur der jeweilige Eigentümer Schreibrechte erhalten. nicht ausführen. Prinzipiell können E-Mails Anhänge in beliebiger Art und Menge beigefügt werden. Wichtig ist aber auf jeden Fall.4. sollte überlegt werden. sondern das Programm vor der Ausführung warnt bzw.Variable nicht enthalten sein. 296 . oder ob die Informationen nicht genauso gut als Text in die E-Mail direkt eingefügt werden kann. das Öffnen aller als problematisch eingestuften Dateiformate zu verbieten bzw. dass als nächstes eine EMail mit solchen Attachments zu erwarten ist. die als potentiell problematisch eingeschätzt werden. Durch ein Zuviel an Anhängen kann die Verfügbarkeit eines EMail-Clients oder des E-Mail-Servers beeinträchtigt werden. Vor dem Absenden einer E-Mail sollte sich jeder überlegen. Ausführbare Dateien sollen nur in dafür vorgesehenen Verzeichnissen gespeichert sein. können verschiedene Regelungen getroffen werden. 10. Ansonsten sollten Dateien in möglichst "ungefährlichen" Formaten weitergegeben werden.4 E-Mail ist einer der wichtigsten Übertragungswege für Computer-Viren und Würmer. zumindest nachfragt. Eine rein textbasierte E-Mail ohne Anhänge ist dabei ungefährlich. den Empfänger mit einer kurzen E-Mail darauf hinzuweisen. wenn E-Mail-Anhänge ausgeführt werden oder die E-Mail HTML-basiert ist (siehe unten).

mit der diese zwar geöffnet werden. B. Als möglicherweise gefährlich sollten die folgenden Dateiformate behandelt werden: alle Dateiformate von Office-Paketen wie Microsoft Office. PDF (dabei ist darauf zu achten.XLS.oder VisualBasic-Skript-Code enthalten können. Powerpoint (.SCR). dass die enthaltenen Dateien problematisch sein können). Andererseits kann dies aber auch dazu führen.Im Folgenden werden einige Einschätzungen verschiedener Dateiformate gegeben.). Besonders kritisch sind alle ausführbaren Programme (wie . . Dadurch wird die Datei zunächst in einem Editor dargestellt und nicht der Registrierungsdatenbank hinzugefügt. Diese können sich allerdings jederzeit ändern. Außerdem sollte die Möglichkeit überprüft werden. 297 . nicht makrofähigen Texteditor geöffnet werden. innerhalb deren aber eventuelle ComputerViren keinen Schaden auslösen können.oder Shellskripte unter Unix).COM. . wenn sie aktiviert wird Mit Zusatzmaßnahmen als vertretbar angesehen werden können: HTML. . . SDW.PIF) oder Skript-Sprachen (. Excel. dass bei Registrierungsdateien (. beispielsweise an der Firewall. Windows-Betriebssysteme sollten außerdem so konfiguriert sein. • Immer mehr E-Mails sind heutzutage auch HTML-formatiert. weil nicht alle E-Mail-Clients dieses Format anzeigen können. GIF-. in eingehenden E-Mails enthaltene aktive Inhalte herauszufiltern. Word. z.REG) als Standardvorgang Bearbeiten statt Zusammenführen eingestellt ist. da HTML-Mails eingebetteten JavaScript. JPEG-formatierte Dateien. Vorsichtshalber sollte für alle diese Dateitypen eine "ungefährliche" Standardapplikation festgelegt werden.JS oder *. ein Hersteller seinem Produkt neue Features hinzufügt. B. dass bereits bei der Anzeige solcher E-Mails auf dem Client ungewollte Aktionen ausgelöst werden. wenn z.BAT unter Windows. ebenso wie Perl.REG) sowie Bildschirmschoner (.BAT grundsätzlich mit einem einfachen. Dies ist einerseits oft lästig. ZIP (hier sollten die Benutzer allerdings gewarnt werden. Durch Kombination verschiedener Sicherheitslücken in E-Mail-Clients und Browsern ist es in der Vergangenheit immer wieder zu Sicherheitsproblemen mit HTMLformatierten E-Mails gekommen Generell sollten möglichst keine HTML-formatierten E-Mails oder solche mit aktiven Inhalten zu versenden.DOC. wenn ein JavaScript-Filter oder andere Sicherheitsvorkehrungen eingesetzt werden.VBS.PPT. *. bei denen HTML-formatierte EMails als solche zu erkennen sind. • • Als weitgehend harmlos gelten bisher ASCII-. dass der PDF-Reader auf dem Endgerät als Standard installiert ist und nicht Adobe Acrobat). Registrierungsdateien (. damit der Benutzer diese nicht unbewusst öffnet. Star Office oder Open Office mit integrierter Makrosprache.VBS. Beispielsweise sollten Dateitypen wie *. . SXW usw. Weiterhin sollten E-Mail-Clients gewählt werden. bzw. die ungeplante Nebenwirkungen haben.EXE. RTF (mit COM-Object-Filter). ein Tüftler solche Nebenwirkungen herausfindet.JS. .

die bei der regelmäßigen Datensicherung berücksichtigt werden.1 Zur Vermeidung von Datenverlusten müssen regelmäßige Datensicherungen durchgeführt werden.1 Regelmäßige Datensicherung ISO Bezug: 27002 10.: Sicherung der selbsterstellten Dateien und der individuellen Konfigurationsdateien. Beim Empfang von HTML-formatierten E-Mails sollte festgelegt werden. Grundsätzlich sollten alle Benutzer für diese Problematik sensibilisiert sein. welche Daten von wem wann gesichert werden.5. nicht direkt an die Benutzer weitergeleitet werden.Generell sollte eine Vorgabe innerhalb einer Organisation zum Umgang mit HTMLformatierten E-Mails erstellt werden. ob diese • • • unverändert an die Benutzer weitergeleitet und die Benutzer für den verantwortungsvollen und vorsichtigen Umgang mit solchen E-Mails geschult und sensibilisiert werden. Empfehlenswert ist die Erstellung eines Datensicherungskonzeptes (vgl. Eine geeignete Differenzierung kann die Übersichtlichkeit vergrößern sowie Aufwand und Kosten sparen helfen. 10. 10. Z.2 Entwicklung eines Datensicherungskonzeptes ).5.5. wo sie mit besonderen Sicherheitsvorkehrungen vom Empfänger eingesehen werden können (je nach E-Mail-Aufkommen kann dies allerdings einen nicht akzeptablen Aufwand mit sich bringen). monatlich .5 Datensicherung Unabdingbare Voraussetzung für jeden Business Continuity Plan ist die Planung und Durchführung einer ordnungsgemäßen Datensicherung. täglich. Es sind Regelungen zu treffen. sondern an einen besonderen Arbeitsplatz. Zeitintervall: z. wöchentlich. In den meisten Rechnersystemen können diese weitgehend automatisiert erfolgen. Verzeichnisse festzulegen.B.B. Abhängig von der Menge und Wichtigkeit der laufend neu gespeicherten Daten und vom möglichen Schaden bei Verlust dieser Daten ist Folgendes festzulegen: • • 298 Umfang der zu sichernden Daten: Am einfachsten ist es. Partitionen bzw. mit Hilfe von serverseitigen Tools in ein reines Textformat umgewandelt und danach mit einem entsprechenden Hinweis an die Benutzer weitergeleitet werden (dabei können allerdings Informationen verloren gehen). 10.

verbleibender Platz auf den Speichermedien) Dokumentation der erstellten Sicherungen (Datum. dass die zu sichernden Daten regelmäßig von den Benutzerinnen und Benutzern oder automatisch dorthin überspielt werden. Benutzer/in) Zuständigkeit für die Überwachung der Sicherung. können auch jeweils nur die seit der letzten inkrementellen Sicherung neu erstellten Daten gesichert werden. Werden zum Beispiel bei wöchentlicher Komplettsicherung nur zwei Generationen aufbewahrt. Falls bei vernetzten Rechnern nur die Server-Platten gesichert werden. nachts. Wiederaufbereitung der Datenträger (Löschung vor Wiederverwendung) Zuständigkeit für die Durchführung (Systemadministration. DVDs. Die Vereinbarkeit mit dem laufenden Betrieb ist sicherzustellen. außerdem die Freitagabend-Sicherungen der letzten zwei Monate. wie lange die Daten wiedereinspielbar sind. ist sicherzustellen. Wechselplatten. insbesondere bei automatischer Durchführung (Fehlermeldungen. auf Unzulänglichkeiten (zum Beispiel zu geringes Zeitintervall für ihren Bedarf) hinweisen oder individuelle Ergänzungen vornehmen zu können (zum Beispiel zwischenzeitliche Spiegelung wichtiger Daten auf der eigenen Platte).• • • • • • • Zeitpunkt: z. Für eingesetzte Software ist in der Regel die Aufbewahrung der Originaldatenträger und deren Sicherungskopien ausreichend. Sie braucht dann von der regelmäßigen Datensicherung nicht erfasst zu werden. zum Beispiel sofort nach Erstellung wichtiger Dateien oder mehrmals täglich. Eine inkrementelle Sicherung kann häufiger erfolgen. Beschriftung der Datenträger) Wegen des großen Aufwands können Komplettsicherungen in der Regel höchstens einmal täglich durchgeführt werden. Art der Durchführung der Sicherung. Alle Benutzer/innen sollten über die Regelungen zur Datensicherung informiert sein. freitags abends Anzahl der aufzubewahrenden Generationen: z. um die Wiedereinspielung vorzunehmen. Bänder. das heißt. nur die seit der letzten Komplettsicherung neu erstellten Daten werden gesichert. Die seit der letzten Sicherung erstellten Daten können nicht wiedereingespielt werden. gewählte Parameter. Daher und zur Senkung der Kosten sollen zwischen den Komplettsicherungen regelmäßig inkrementelle Sicherungen durchgeführt werden.B. Bei täglicher Komplettsicherung werden die letzten sieben Sicherungen aufbewahrt. 299 . etc.B. bleiben in Abhängigkeit vom Zeitpunkt des Verlustes nur zwei bis drei Wochen Zeit. ist wichtig.B. um ggf. Werden zwischen zwei Komplettsicherungen mehrere inkrementelle Sicherungen durchgeführt. Auch die Information der Benutzer/innen darüber. Speichermedien (abhängig von der Datenmenge): z.

2 Entwicklung eines Datensicherungskonzeptes ISO Bezug: 27002 10.[eh BCP 1. welche Minimalforderungen zur Datensicherung eingehalten werden müssen. Weiterhin ist damit eine Grundlage gegeben. das Datenvolumen. ist einmalig mittels einer Vollsicherung zu sichern.5. eine Lösung zu finden. Für die Gewährleistung einer funktionierenden Datensicherung müssen praktische Übungen zur Datenrestaurierbarkeit verpflichtend vorgesehen sein (siehe 14. dass alle betroffenen ITSysteme im Datensicherungskonzept berücksichtigt werden und das Konzept stets den aktuellen Anforderungen entspricht. 300 . Diese Lösung muss auch jederzeit aktualisierbar und erweiterbar sein. die diese Faktoren berücksichtigt und gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist. Damit können viele Fälle. für die noch kein Datensicherungskonzept erarbeitet wurde.5.2 Übungen zur Datenrekonstruktion ). Im Datensicherungskonzept gilt es. also sowohl Eigenentwicklungen als auch Standardsoftware.3 Festlegung des Minimaldatensicherungskonzeptes ISO Bezug: 27002 10. pauschal behandelt werden. Ein möglicher Aufbau eines Datensicherungskonzeptes ist in Anhang B angeführt. Das IT-System.5. Ein Beispiel soll dies erläutern. [eh BCP 1. die generell für alle IT-Systeme gültig ist und damit auch für neue ITSysteme. Minimaldatensicherungskonzept (Beispiel): • Software: Sämtliche Software. Weiters ist dafür Sorge zu tragen.2.1 Die Verfahrensweise der Datensicherung wird von einer großen Zahl von Einflussfaktoren bestimmt.1 Für eine Organisation ist festzulegen. in denen eingehende Untersuchungen und die Erstellung eines Datensicherungskonzeptes zu aufwendig sind. Einzelne Punkte eines Datensicherungskonzeptes werden in den nachfolgenden Maßnahmen näher ausgeführt. die Änderungsfrequenz der Daten und die Verfügbarkeitsanforderungen sind einige dieser Faktoren.1] 10.5.2] 10.

zur Kommunikationsverschlüsselung.3] 10.5. USB-Stick (dient vor allem zur Schlüsselverteilung bzw. ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. Anwendungsdaten: Alle Anwendungsdaten sind mindestens einmal monatlich mittels einer Vollsicherung im Drei-Generationen-Prinzip zu sichern. muss auch überlegt werden.6.B. Hierbei ist grundsätzlich zu beachten: 301 . kryptographische Schlüssel zu speichern. Daneben ist es auch zweckmäßig.5. also z.7 Key-Management ). Datensicherung der Schlüssel Es muss sehr genau überlegt werden. die Speicherung in IT-Komponenten. Protokolldaten: Sämtliche Protokolldaten sind mindestens einmal monatlich mittels einer Vollsicherung im Drei-Generationen-Prinzip zu sichern. 12. Trotzdem kann es aus verschiedenen Gründen notwendig sein.1. [eh BCP 1. z. die Schlüsselhinterlegung als Vorbeugung gegen Schlüsselverlust oder im Rahmen von Vertretungsregelungen.4 Datensicherung bei Einsatz kryptographischer Verfahren ISO Bezug: 27002 10. Neben der Frage.2 Beim Einsatz kryptographischer Verfahren darf die Frage der Datensicherung nicht vernachlässigt werden. da jede Schlüsselkopie eine potentielle Schwachstelle ist. ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. wie sinnvollerweise eine Datensicherung der verschlüsselten Daten erfolgen sollte.B. Chipkarte.3. die Konfigurationsdaten der eingesetzten Kryptoprodukte zu sichern.• • • Systemdaten: Systemdaten sind mindestens einmal monatlich mit einer Generation zu sichern. siehe 12. Es gibt unterschiedliche Methoden der Schlüsselspeicherung: • • • die Speicherung zu Transportzwecken auf einem transportablen Datenträger. die dauerhaft auf kryptographische Schlüssel zugreifen müssen. zum Schlüsselaustausch.

ist das Risiko des Schlüsselverlustes (etwa durch Bitfehler oder Festplattendefekt) erhöht. Hierbei ist zu bedenken. Falls sie in Software gespeichert werden. also die Speicherung eines Schlüssels in Schlüsselhälften oder Schlüsselteilen. dies im Allgemeinen mit leicht zu brechenden Verfahren tun. beim Einsatz von Verschlüsselung während der Datenspeicherung notwendig. die die Schlüssel bei Angriffen automatisch löscht. Hierbei muss nicht nur sichergestellt werden. bei denen Schlüssel oder Passwörter in der Anwendung gespeichert werden. dass die verwendeten kryptographischen Algorithmen und die Schlüssellänge noch dem Stand der Technik entsprechen. in Tresoren. da die Erfahrung zeigt. sind nicht nur einige Datensätze. Die Langzeitspeicherung von verschlüsselten oder signierten Daten bringt viele zusätzliche Probleme mit sich.B. dass die meisten Standardanwendungen. d. Von langlebigen Schlüsseln. aufbewahrt werden.ä. als bei jedem Schlüsselverlust alle Kommunikationspartner zu informieren. dass die Datenträger regelmäßig aufgefrischt werden und jederzeit noch die technischen Komponenten zum Verarbeiten dieser zur Verfügung stehen. Treten hierbei Fehler auf. Als weitere Variante kann auch das Vier-Augen-Prinzip bei der Schlüsselspeicherung benutzt werden. die nicht im Archiv gelagert waren. sondern auch.• • • Kryptographische Schlüssel sollten so gespeichert bzw. also z. wenn keine Chipkarte o. Die verwendeten Kryptomodule sollten vorsichtshalber immer archiviert werden. diese unverschlüsselt zu speichern und dafür entsprechend sicher zu lagern. eine ausreichend gesicherte Möglichkeit der Schlüsselhinterlegung zu schaffen.B. sondern meist alle Daten unbrauchbar. Datensicherung der verschlüsselten Daten Besondere Sorgfalt ist bei der Datensicherung von verschlüsselten Daten bzw. zur Archivierung von Daten oder zur Generierung von Kommunikationsschlüsseln eingesetzt werden. Damit eine unautorisierte Nutzung ausgeschlossen ist. sollten sie auf jeden Fall in verschlüsselter Form gespeichert werden. verwendet wird. Beispielsweise könnten Schlüssel in spezieller Sicherheitshardware gespeichert werden. Bei der langfristigen Archivierung von Daten kann es daher sinnvoller sein.h. Von Kommunikationsschlüsseln und anderen kurzlebigen Schlüsseln sollten keine Kopien erstellt werden. 302 . sollten auf jeden Fall Sicherungskopien angefertigt werden. Falls jedoch für die Schlüsselspeicherung eine reine Softwarelösung gewählt wurde. dass auch noch nach Jahren Daten auftauchen. die z. In diesem Fall ist es unter Umständen weniger aufwendig. dass Unbefugte sie nicht unbemerkt auslesen können. sollten auch von privaten Signaturschlüsseln im Allgemeinen keine Kopien existieren.

5.4] 10. Die gewählte Konfiguration sollte dokumentiert sein.auf jeden Fall in einem anderen Brandabschnitt. Zu beachten sind auch die Anforderungen aus 10.5] 10. [eh BCP 1.2 Datenträgerverwaltung . Je nach Anforderungen und geforderte Ausfallsicherheit (Katastrophenvorsorge – vgl.1 ) kann es notwendig sein das Datenarchiv an einem gänzlich anderen Ort zu halten. 14.7.ä. o. damit sie nach einem Systemversagen oder einer Neuinstallation schnell wieder eingerichtet werden kann. wenn möglich disloziert .5 Geeignete Aufbewahrung der Backup-Datenträger ISO Bezug: 27002 10.1 303 . [eh BCP 1.6 Sicherungskopie der eingesetzten Software ISO Bezug: 27002 10. dass der Datenbestand eines derartigen Notfallarchivs nicht aufgrund der gleichen Schadensursache zerstört wird.aufbewahrt werden. deren Konfigurationsdaten zu sichern. so dass eine Entwendung ausgeschlossen werden kann. Damit wird sichergestellt.5.5. Für den Katastrophenfall müssen die Backup-Datenträger räumlich getrennt vom Rechner . und dass im Falle der Unzugänglichkeit der Infrastruktur (beispielsweise aufgrund von Verschüttungen.1 Backup-Datenträger unterliegen besonderen Anforderungen hinsichtlich ihrer Aufbewahrung: • • • Der Zugriff auf diese Datenträger darf nur befugten Personen möglich sein.1.5.Datensicherung der Konfigurationsdaten der eingesetzten Produkte Bei komplexeren Kryptoprodukten sollte nicht vergessen werden.) der Datensicherungsbestand zur Verfügung steht. Ein ausreichend schneller Zugriff im Bedarfsfall muss gewährleistet sein.

Von den Originaldatenträgern von Standardsoftware bzw. von der Originalsoftware bei Eigenentwicklungen ist sofern möglich eine Sicherungskopie zu erstellen, von der bei Bedarf die Software wieder eingespielt werden kann. Die Originaldatenträger und die Sicherungskopien sind getrennt voneinander aufzubewahren. Es ist darauf zu achten, dass der physikalische Schreibschutz des Datenträgers ein versehentliches Löschen oder Überschreiben der Daten verhindert Ein unerlaubter Zugriff, z.B. zur Erstellung einer Raubkopie, muss ausgeschlossen sein. [eh BCP 1.6]

10.5.7 Beschaffung eines geeigneten Datensicherungssystems
ISO Bezug: 27002 10.5.1 Ein Großteil der Fehler, die beim Erstellen oder Restaurieren einer Datensicherung auftreten, sind Fehlbedienungen. Daher sollte bei der Beschaffung eines Datensicherungssystems nicht allein auf dessen Leistungsfähigkeit geachtet werden, sondern auch auf seine Bedienbarkeit und insbesondere auf seine Toleranz gegenüber Benutzerfehlern. Bei der Auswahl von Sicherungssoftware sollte darauf geachtet werden, dass sie die folgenden Anforderungen erfüllt:

• • • •

Die Datensicherungssoftware sollte ein falsches Medium ebenso wie ein beschädigtes Medium im Sicherungslaufwerk erkennen können. Sie sollte mit der vorhandenen Hardware problemlos zusammenarbeiten. Es sollte möglich sein, Sicherungen automatisch zu vorwählbaren Zeiten bzw. in einstellbaren Intervallen durchführen zu lassen, ohne dass hierzu manuelle Eingriffe (außer dem eventuell notwendigen Bereitstellen von Sicherungsdatenträgern) erforderlich wären. Es sollte möglich sein, einen oder mehrere ausgewählte Benutzerinnen oder Benutzer automatisch über das Sicherungsergebnis und eventuelle Fehlermeldungen per E-Mail oder ähnliche Mechanismen zu informieren. Die Durchführung von Datensicherungen inklusive des Sicherungsergebnisses und möglicher Fehlermeldungen sollten in einer Protokolldatei abgespeichert werden. Die Sicherungssoftware sollte die Sicherung des Backup-Mediums durch ein Passwort oder, je nach Vertraulichkeitsanforderungen, durch Verschlüsselung unterstützen. Weiters sollte sie in der Lage sein, die gesicherten Daten in komprimierter Form abzuspeichern.

304

• • • •

Durch Vorgabe geeigneter Include- und Exclude-Listen bei der Datei- und Verzeichnisauswahl sollte genau spezifiziert werden können, welche Daten zu sichern sind und welche nicht. Es sollte möglich sein, diese Listen zu Sicherungsprofilen zusammenzufassen, abzuspeichern und für spätere Sicherungsläufe wieder zu benutzen. Es sollte möglich sein, die zu sichernden Daten in Abhängigkeit vom Datum ihrer Erstellung bzw. ihrer letzten Modifikation auszuwählen. Die Sicherungssoftware sollte die Erzeugung logischer und physischer Vollkopien sowie inkrementeller Kopien (Änderungssicherungen) unterstützen. Die zu sichernden Daten sollten auch auf Festplatten und Netzlaufwerken abgespeichert werden können. Die Sicherungssoftware sollte in der Lage sein, nach der Sicherung einen automatischen Vergleich der gesicherten Daten mit dem Original durchzuführen und nach der Wiederherstellung von Daten einen entsprechenden Vergleich zwischen den rekonstruierten Daten und dem Inhalt des Sicherungsdatenträgers durchzuführen. Bei der Wiederherstellung von Dateien sollte es möglich sein auszuwählen, ob die Dateien am ursprünglichen Ort oder auf einer anderen Platte bzw. in einem anderen Verzeichnis wiederhergestellt werden. Ebenso sollte es möglich sein, das Verhalten der Software für den Fall zu steuern, dass am Zielort schon eine Datei gleichen Namens vorhanden ist. Dabei sollte man wählen können, ob diese Datei immer, nie oder nur in dem Fall, dass sie älter als die zu rekonstruierende Datei ist, überschrieben wird, oder dass in diesem Fall eine explizite Anfrage erfolgt.

Falls mit dem eingesetzten Programm die Datensicherung durch ein Passwort geschützt werden kann, sollte diese Option genutzt werden. [eh BCP 1.7]

10.5.8 Datensicherung bei mobiler Nutzung eines IT-Systems
ISO Bezug: 27002 9.2.5, 10.5.1, 10.7.1, 10.8.1 teilw, 11.7.1 IT-Systeme im mobilen Einsatz (z.B. Laptops, Notebooks) sind in aller Regel nicht permanent in ein Netz eingebunden. Der Datenaustausch mit anderen IT-Systemen erfolgt üblicherweise über Datenträger oder über temporäre Netzanbindungen. Letztere können beispielsweise durch Remote Access oder direkten Anschluss an ein LAN nach Rückkehr zum Arbeitsplatz realisiert sein. Anders als bei stationären Clients ist es daher bei mobilen IT-Systemen meist unvermeidbar, dass Daten zumindest zeitweise lokal anstatt auf einem zentralen Server gespeichert werden. Dem Verlust dieser Daten muss durch geeignete Datensicherungsmaßnahmen vorgebeugt werden. Generell bieten sich folgende Verfahren zur Datensicherung an: 305

Datensicherung auf externen Datenträgern:
Der Vorteil dieses Verfahrens ist, dass die Datensicherung an nahezu jedem Ort und zu jeder Zeit erfolgen kann. Nachteilig ist, dass ein geeignetes Laufwerk und genügend Datenträger mitgeführt werden müssen und dass für den/die Benutzer/ in zusätzlicher Aufwand für die ordnungsgemäße Handhabung der Datenträger entsteht. Die Datenträger sollten eine ausreichende Speicherkapazität besitzen, so dass der/ die Benutzer/in nicht mehrere Datenträger pro Sicherungsvorgang in das Laufwerk einlegen muss. Bei unverschlüsselter Datenhaltung ergibt sich außerdem die Gefahr, dass Datenträger abhanden kommen und dadurch sensitive Daten kompromittiert werden können. Die Datenträger und das mobile IT-System sollten möglichst getrennt voneinander aufbewahrt werden, damit bei Verlust oder Diebstahl des ITSystems die Datenträger nicht ebenfalls abhanden kommen. Nach Rückkehr zum Arbeitsplatz müssen die Datensicherungen auf den Datenträgern in das Backup-System oder in das Produktivsystem bzw. die zentrale Datenhaltung der Organisation eingebracht werden.

Datensicherung über temporäre Netzverbindungen
Wenn die Möglichkeit besteht, das IT-System regelmäßig an ein Netz anzuschließen, beispielsweise über Remote Access, kann die Sicherung der lokalen Daten auch über die Netzanbindung erfolgen. Vorteilhaft ist hier, dass der/die Benutzer/in keine Datenträger verwalten und auch kein entsprechendes Laufwerk mitführen muss. Weiterhin lässt sich das Verfahren weitgehend automatisieren, beispielsweise kann die Datensicherung beim Einsatz von Remote Access nach jedem Einwahlvorgang automatisch gestartet werden. Entscheidend bei der Datensicherung über eine temporäre Netzverbindung ist, dass deren Bandbreite für das Volumen der zu sichernden Daten ausreichen muss. Die Datenübertragung darf nicht zu lange dauern und nicht zu übermäßigen Verzögerungen führen, wenn der/die Benutzer/in gleichzeitig auf entfernte Ressourcen zugreifen muss. Bei manchen Zugangstechnologien (z.B. Modem, Mobiltelefon) bedeutet dies, dass nur geringe Datenmengen pro Sicherungsvorgang transportiert werden können. Einige Datensicherungsprogramme bieten daher die Möglichkeit an, lediglich Informationen über die Änderungen des Datenbestands seit der letzten Datensicherung über die Netzverbindung zu übertragen. In vielen Fällen kann hierdurch das zu transportierende Datenvolumen stark reduziert werden. Eine wichtige Anforderung an die zur Datensicherung verwendete Software ist, dass unerwartete Verbindungsabbrüche erkannt und ordnungsgemäß behandelt werden. Die Konsistenz der gesicherten Daten darf durch Verbindungsabbrüche nicht beeinträchtigt werden. 306

Bei beiden Verfahren zur Datensicherung ist es wünschenswert, das Volumen der zu sichernden Daten zu minimieren. Neben dem Einsatz verlustfreier Kompressionsverfahren, die in viele Datensicherungsprogrammen integriert sind, können auch inkrementelle oder differentielle Sicherungsverfahren zum Einsatz kommen Hierdurch erhöht sich jedoch u.U. der Aufwand für die Wiederherstellung einer Datensicherung. [eh BCP 1.8]

10.5.9 Verpflichtung der Mitarbeiter/innen zur Datensicherung
ISO Bezug: 27002 8.2.2, 10.5.1 Da die Datensicherung eine wichtige IT-Sicherheitsmaßnahme darstellt, sollten die betroffenen Mitarbeiter/innen - vorzugsweise in schriftlicher Form - zur Einhaltung des Datensicherungskonzeptes bzw. des Minimaldatensicherungskonzeptes verpflichtet werden. Eine regelmäßige Motivation zur Datensicherung und Kontrolle auf Einhaltung ist empfehlenswert. [eh BCP 1.9]

10.6 Netzsicherheit
Zur Unterstützung der System-/Netzwerkadministration ist der Einsatz von entsprechenden Tools (z.B. CAD-Programmen, speziellen Tools für Netzpläne, Kabelmanagementtools im Zusammenhang mit Systemmanagementtools o.ä.) empfehlenswert. Eine konsequente Aktualisierung aller Informationen bei Umbauten oder Erweiterungen ist ebenso zu gewährleisten wie eine eindeutige und nachvollziehbare Dokumentation (vgl. auch 9.4.1 Lagepläne der Versorgungsleitungen). Gerade im Zusammenhang mit dem Absichern von Netzwerken gibt es eine Reihe weiterführender Literatur. Exemplarisch sei an dieser Stelle „The 60 Minute Network Security Guide“ der NSA [NSA-SD7] genannt.

10.6.1 Sicherstellung einer konsistenten Systemverwaltung
ISO Bezug: 27002 6.1.2, 10.10.1,10.10.2, 10.10.4, 11.1.1, 11.5.2, 12.4.1 In vielen komplexen IT-Systemen gibt es eine Administratorrolle, die keinerlei Beschränkungen unterliegt. Durch fehlende Beschränkungen ist die Gefahr von Fehlern oder Missbrauch besonders hoch.

307

Um Fehler zu vermeiden, soll unter dem Super-User-Login nur gearbeitet werden, wenn es notwendig ist. Andere Arbeiten soll auch der Administrator nicht unter der Administrator-Kennung erledigen. Insbesondere dürfen keine Programme anderer Benutzer/innen unter der Administrator-Kennung aufgerufen werden. Ferner sollte die routinemäßige Systemverwaltung (z.B. Backup, Einrichten einer/eines neuen Benutzerin/Benutzers) nur menügesteuert durchgeführt werden können. Für alle Administratoren sind zusätzliche Benutzerkennungen einzurichten, die nur über die eingeschränkten Rechte verfügen, die die Administratoren zur Aufgabenerfüllung außerhalb der Administration benötigen. Für Arbeiten, die nicht der Administration dienen, sollen die Administratoren ausschließlich diese zusätzlichen Benutzerkennungen verwenden. Falls das Betriebssystem erlaubt, sollte der Administrator grundsätzlich nicht als Superuser, sondern unter seiner persönlichen Benutzerkennung einsteigen und erst dann in die Superuser-Rolle wechseln. Bekannte Kennungen, wie etwa root, guest oder administrator, sind zu löschen, stillzulegen oder nach Bedarf zu modifizieren. Bekannte Passwörter (Firmenkennungen und Firmen-Passwörter) sind zu löschen bzw. zu ändern, insbesondere bei Netzwerkkomponenten (Router, Switches, ...). Alle durchgeführten Änderungen sollten dokumentiert werden, um diese nachvollziehbar zu machen und die Aufgabenteilung zu erleichtern. [eh SYS 6.1]

10.6.2 Ist-Aufnahme der aktuellen Netzsituation
ISO Bezug: 27002 6.2.1, 7.1.1, 10.6.2, 11.4 Die Bestandsaufnahme der aktuellen Netzsituation ist Voraussetzung für

• •

eine gezielte Sicherheitsanalyse des bestehenden Netzes sowie für die Erweiterung eines bestehenden Netzes.

Hierzu ist eine Ist-Aufnahme mit einhergehender Dokumentation der folgenden Aspekte, die z.T. aufeinander aufbauen, notwendig:

• • •
308

Netztopographie, Netztopologie, verwendete Netzprotokolle,

• •

Kommunikationsübergänge im LAN und zum WAN sowie Netzperformance und Verkehrsfluss.

Unter der Topographie eines Netzes wird die rein physikalische Struktur eines Netzes in Form der Kabelführung verstanden. Im Gegensatz dazu handelt es sich bei der Netztopologie um die logische Struktur eines Netzes. Die Topographie und Topologie eines Netzes sind nicht notwendig identisch. [eh SYS 6.3]

10.6.3 Analyse der aktuellen Netzsituation
ISO Bezug: 27002 7.1.1, 10.6.2, 11.4, 11.4.7, 12.6.1 Diese Maßnahme baut auf den Ergebnissen der Ist-Aufnahme nach 10.6.2 IstAufnahme der aktuellen Netzsituation auf und erfordert spezielle Kenntnisse im Bereich der Netztopologie, der Netztopographie und von netzspezifischen Schwachstellen. Darüber hinaus ist Erfahrung bei der Beurteilung der eingesetzten individuellen IT-Anwendungen hinsichtlich Vertraulichkeit, Integrität bzw. Verfügbarkeit notwendig. Eine Analyse der aktuellen Netzsituation besteht im Wesentlichen aus einer Strukturanalyse, einer Schutzbedarfsfeststellung und einer Schwachstellenanalyse.

Strukturanalyse
Diese besteht aus einer Analyse der nach 10.6.2 Ist-Aufnahme der aktuellen Netzsituation angelegten Dokumentationen. Die Strukturanalyse muss von einem Analyseteam durchgeführt werden, das in der Lage ist, alle möglichen Kommunikationsbeziehungen nachzuvollziehen oder auch herleiten zu können. Als Ergebnis muss das Analyseteam die Funktionsweise des Netzes verstanden haben und über die prinzipiellen Kommunikationsmöglichkeiten informiert sein. Häufig lassen sich bei der Strukturanalyse bereits konzeptionelle Schwächen des Netzes identifizieren.

Detaillierte Schutzbedarfsfeststellung
Bei besonders schutzwürdigen Applikationen sind in einer detaillierten Schutzbedarfsfeststellung zusätzlich die Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität in einzelnen Netzbereichen bzw. Segmenten zu berücksichtigen.

309

Hierzu ist es notwendig festzustellen, welche Anforderungen auf Grund der verschiedenen IT-Verfahren bestehen und wie diese auf die gegebene Netzsegmentierung Einfluss nehmen. Als Ergebnis muss erkenntlich sein, in welchen Netzsegmenten besondere Sicherheitsanforderungen bestehen.

Analyse von Schwachstellen im Netz
Basierend auf den bisher vorliegenden Ergebnissen erfolgt eine Analyse der Schwachpunkte des Netzes. Hierzu gehört insbesondere bei entsprechenden Verfügbarkeitsanforderungen die Identifizierung von nicht redundant ausgelegten Netzkomponenten (SinglePoint-of-Failures). Weiterhin müssen die Bereiche benannt werden, in denen die Anforderungen an Verfügbarkeit, Vertraulichkeit oder Integrität nicht eingehalten werden können bzw. besonderer Aufmerksamkeit bedürfen. Zudem ist festzustellen, ob die gewählte Segmentierung hinsichtlich Bandbreite und Performance geeignet ist. Es ist zu beachten, dass diese Maßnahme insbesondere in der Designphase für ein neues Netz oder einen neuen Netzteil sinnvoll ist, Änderungen in bestehenden Netzen können aus wirtschaftlichen Aspekten oft sehr schwierig sein. [eh SYS 6.4]

10.6.4 Entwicklung eines Netzkonzeptes
ISO Bezug: 27002 10.6.1, 11.4 Um den Anforderungen bezüglich Verfügbarkeit (auch Bandbreite und Performance), Vertraulichkeit und Integrität zu genügen, muss der Aufbau, die Änderung bzw. die Erweiterung eines Netzes sorgfältig geplant werden. Hierzu dient die Erstellung eines Netzkonzeptes. Die Entwicklung eines Netzkonzeptes unterteilt sich in einen analytischen und einen konzeptionellen Teil:

Analyse
Zunächst ist zu unterscheiden, ob ein bestehendes Netz zu erweitern bzw. zu verändern ist oder ob das Netz vollständig neu aufgebaut werden soll.

310

Im ersten Fall sind vorab die Maßnahmen 10.6.2 Ist-Aufnahme der aktuellen Netzsituation und 10.6.3 Analyse der aktuellen Netzsituation zu bearbeiten. Im zweiten Fall entfallen diese Maßnahmen. Stattdessen sind die Anforderungen an die Netzkommunikation zu ermitteln sowie eine Schutzbedarfsfeststellung des zukünftigen Netzes durchzuführen. Zur Ermittlung der Kommunikationsanforderungen ist der zukünftig zu erwartende Daten- und Verkehrsfluss zwischen logischen oder organisatorischen Einheiten festzustellen, da die zu erwartende Last die Segmentierung des zukünftigen Netzes beeinflussen muss. Die notwendigen logischen bzw. physikalischen Kommunikationsbeziehungen (dienste-, anwender-, gruppenbezogen) sind ebenfalls zu eruieren und die Kommunikationsübergänge zur LAN/LAN-Kopplung oder über ein WAN zu ermitteln. Die Schutzbedarfsanforderungen des Netzes werden aus denen der geplanten oder bereits bestehenden IT-Verfahren abgeleitet. Daraus werden physikalische und logische Segmentstrukturen gefolgert, so dass diesen Anforderungen (z.B. hinsichtlich Vertraulichkeit) durch eine Realisierung des Netzes Rechnung getragen werden kann. Zum Beispiel bestimmt der Schutzbedarf einer IT-Anwendung die zukünftige Segmentierung des Netzes. Schließlich muss versucht werden, die abgeleiteten Kommunikationsbeziehungen mit den Schutzbedarfsanforderungen zu harmonisieren. Unter Umständen sind hierzu Kommunikationsbeziehungen einzuschränken, um dem festgestellten Schutzbedarf gerecht zu werden. Abschließend sind die verfügbaren Ressourcen zu ermitteln. Hierzu gehören sowohl Personalressourcen, die erforderlich sind, um ein Konzept zu erstellen und umzusetzen bzw. um das Netz zu betreiben, als auch die hierfür notwendigen finanziellen Ressourcen. Die Ergebnisse sind entsprechend zu dokumentieren.

Konzeption
Im nächsten Schritt sind die Netzstruktur und die zu beachtenden Randbedingungen zu entwickeln. Dabei sind neben den oben genannten Gesichtspunkten auch die künftig zu erwartenden Anforderungen (z.B. hinsichtlich Bandbreite) sowie die örtlichen Gegebenheiten zu berücksichtigen. Die Erstellung eines Netzkonzeptes erfolgt analog 10.6.2 Ist-Aufnahme der aktuellen Netzsituation und besteht danach prinzipiell aus den folgenden Schritten, wobei diese Schritte nicht in jedem Fall streng aufeinander folgend ausgeführt werden können. In einigen Teilen beeinflussen sich die Ergebnisse der Schritte gegenseitig, so dass eine regelmäßige Überprüfung und Konsolidierung der Teilergebnisse vorgenommen werden muss. 311

• • •

Konzeption der Netztopographie und der Netztopologie, der physikalischen und logischen Segmentierung Konzeption der verwendeten Netzprotokolle Konzeption von Kommunikationsübergängen im LAN und WAN

[eh SYS 6.5]

10.6.5 Entwicklung eines Netzmanagementkonzeptes
ISO Bezug: 27002 10.6.1, 10.10 Netzmanagement umfasst die Gesamtheit der Vorkehrungen und Aktivitäten zur Sicherstellung des effektiven Einsatzes eines Netzes. Hierzu gehört beispielsweise die Überwachung der Netzkomponenten auf ihre korrekte Funktion, das Monitoring der Netzperformance und die zentrale Konfiguration der Netzkomponenten. Netzmanagement ist in erster Linie eine organisatorische Problemstellung, deren Lösung mit technischen Mitteln - einem Netzmanagementsystem lediglich unterstützt werden kann. Abzugrenzen vom Netzmanagement ist das Systemmanagement, welches sich in erster Linie mit dem Management verteilter Systeme befasst. Hierzu gehören beispielsweise eine zentrale Verwaltung der Benutzer/innen, Softwareverteilung, Management der Anwendungen usw. In einigen Bereichen, wie z.B. dem Konfigurationsmanagement (dem Überwachen und Konsolidieren von Konfigurationen eines Systems oder einer Netzkomponente) sind Netz- und Systemmanagement nicht klar zu trennen. In der ISO/IEC-Norm 7498-4 bzw. als X.700 der ITU-T [ITU-T] ist ein Netz- und Systemmanagement-Framework definiert. Vor der Beschaffung und dem Betrieb eines solchen Netzmanagementsystems ist im ersten Schritt ein Konzept zu erstellen, in dem alle Sicherheitsanforderungen an das Netzmanagement formuliert und angemessene Maßnahmen für den Fehleroder Alarmfall vorgeschlagen werden. Dabei sind insbesondere die folgenden Bestandteile eines Netzmanagementkonzeptes bei der Erstellung zu berücksichtigen und in einem Gesamtzusammenhang darzustellen:

• • • • •
312

Performancemessungen zur Netzanalyse (siehe 10.6.3 Analyse der aktuellen Netzsituation ), Reaktionen auf Fehlermeldungen der überwachten Netzkomponenten, Fernwartung / Remote-Control, insbesondere der aktiven Netzkomponenten, Generierung von Trouble-Tickets und Eskalation bei Netzproblemen, Protokollierung und Audit (Online und/oder Offline),

• • •

Einbindung eventuell vorhandener proprietärer Systeme bzw. von Systemen mit unterschiedlichen Managementprotokollen (z.B. im Telekommunikationsbereich), Konfigurationsmanagement aller im Einsatz befindlichen IT-Systeme, Verteilter Zugriff auf die Netzmanagementfunktionalitäten. (Für die Administration oder für das Audit kann ein Remotezugriff auf die Netzmanagementfunktionalitäten notwendig sein. Hier ist insbesondere eine sorgfältige Definition und Vergabe der Zugriffsrechte notwendig.)

[eh SYS 6.6]

10.6.6 Sicherer Betrieb eines Netzmanagementsystems
ISO Bezug: 27002 10.6.1, 10.6.2 Für den sicheren Betrieb eines Netzmanagementtools oder eines komplexen Netzmanagementsystems, welches beispielsweise aus mehreren verschiedenen Netzmanagementtools zusammengesetzt sein kann, ist die sichere Konfiguration aller beteiligten Komponenten zu überprüfen und sicherzustellen. Hierzu gehören die Betriebssysteme, auf denen das oder die Netzmanagementsysteme betrieben werden, die zumeist notwendigen externen Datenbanken für ein Netzmanagementsystem, das verwendete Protokoll und die aktiven Netzkomponenten selbst. Vor dem Betrieb eines Netzmanagementsystems muss die Ermittlung der Anforderungen an den Betrieb und die Erstellung eines Netzmanagementkonzeptes stehen (siehe 10.6.5 Entwicklung eines Netzmanagementkonzeptes ). Für den sicheren Betrieb eines Netzmanagementsystems sind folgende Daten relevant:

• • • •

Konfigurationsdaten des Netzmanagementsystems, die sich in entsprechend geschützten Verzeichnissen befinden müssen. Konfigurationsdaten der Netzkomponenten (Metakonfigurationsdateien), die sich ebenfalls in entsprechend geschützten Verzeichnissen befinden müssen. Passwortdateien für das Netzmanagementsystem. Hierbei ist beispielsweise auf die Güte des Passwortes und die Möglichkeit einer verschlüsselten Speicherung des Passwortes zu achten. Eine Administration der aktiven Netzkomponenten über das Netz sollte dann eingeschränkt werden und eine Administration über die lokalen Schnittstellen erfolgen, wenn die Erfüllung der Anforderungen an Vertraulichkeit und Integrität der Netzmanagementinformationen nicht gewährleistet werden kann. In diesem Fall ist auf ein zentrales Netzmanagement zu verzichten.

[eh SYS 6.7]

313

10.6.7 Sichere Konfiguration der aktiven Netzkomponenten
ISO Bezug: 27002 10.6.1, 11.4.4, 11.7.2 Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig konfiguriert werden. Denn während durch eine fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer/innen betroffen sind, die die entsprechenden Dienste dieses Systems nutzen, können bei einer Fehlkonfiguration eines Routers größere Teilnetze bzw. sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert werden. Im Rahmen des Netzkonzeptes (siehe 10.6.4 Entwicklung eines Netzkonzeptes ) sollte auch die sichere Konfiguration der aktiven Netzkomponenten festgelegt werden. Dabei gilt es insbesondere Folgendes zu beachten:

• • •

Für Router und Layer-3-Switching muss ausgewählt werden, welche Protokolle weitergeleitet und welche nicht durchgelassen werden. Dies kann durch die Implementation geeigneter Filterregeln geschehen. Es muss festgelegt werden, welche IT-Systeme in welcher Richtung über die Router kommunizieren. Auch dies kann durch Filterregeln realisiert werden. Sofern dies von den aktiven Netzkomponenten unterstützt wird, sollte festgelegt werden, welche IT-Systeme Zugriff auf die Ports der Switches und Hubs des lokalen Netzes haben. Hierzu wird die MAC-Adresse des zugreifenden ITSystems ausgewertet und auf ihre Berechtigung hin überprüft.

Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der Routing-Updates erforderlich. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich, um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen. Dabei kann man zwei verschiedene Sicherheitsmechanismen unterscheiden:

Passwörter Die Verwendung von Passwörtern schützt die so konfigurierten Router vor der Annahme von Routing-Updates durch Router, die nicht über das entsprechende Passwort verfügen. Hierdurch können also Router davor geschützt werden, falsche oder ungültige Routing-Updates anzunehmen. Der Vorteil von Passwörtern gegenüber den anderen Schutzmechanismen ist ihr geringer Overhead, der nur wenig Bandbreite und Rechenzeit benötigt. Kryptographische Prüfsummen

314

Prüfsummen dienen zur Wahrung der Integrität von gültigen Routing-Updates, bzw. Message Authentication Codes schützen vor deren unbemerkten Veränderungen. Dies wird in der Regel bereits durch das Routing Protokoll gewährleistet. Vgl. auch den NSA „Router Security Configuration Guide“ [NSA-CIS2] . [eh SYS 6.8]

10.6.8 Festlegung einer Sicherheitsstrategie für ein ClientServer-Netz
ISO Bezug: 27002 6.2.3, 8.2.2, 8.3.3, 10.1, 10.6, 10.9, 10.10, 11.1, 11.2, 11.4.1, 11.5, 11.7.1 Nachfolgend wird eine methodische Vorgehensweise aufgezeigt, mittels derer eine umfassende Sicherheitsstrategie für ein Client-Server-Netz entwickelt werden kann. Abhängig vom verwendeten Betriebssystem und den eingesetzten Konfigurationen ist für die jeweilige Ausprägung individuell zu entscheiden, welche der beschriebenen Schritte anzuwenden sind. In der Sicherheitsstrategie muss aufgezeigt werden, wie ein Client-Server-Netz für die jeweilige Organisation sicher aufgebaut, administriert und betrieben wird. Nachfolgend werden die einzelnen Entwicklungsschritte einer solchen Strategie vorgestellt:

Definition der Client-Server-Netzstruktur Im ersten Schritt sind die logische Struktur des Client-Server-Netzes, insbesondere die Zuordnung der Server und der Netz-Domänen festzulegen. Nach Möglichkeit sollte auf die Verwendung von Peer-to-Peer-Funktionalitäten verzichtet werden, da diese die Sicherheit des Client-Server-Netzes beeinträchtigen können. Sofern sich dies jedoch nicht vermeiden lässt, sind verbindliche Regelungen für die Nutzung von Peer-to-Peer-Funktionalitäten zu treffen. Regelung der Verantwortlichkeiten Ein Client-Server-Netz sollte von geschulten Netzadministratoren nebst Stellvertreterinnen/Stellvertretern sicher betrieben werden. Diese allein dürfen Sicherheitsparameter im Netz verändern. Sie sind z.B. dafür zuständig, auf den Servern den entsprechenden Verantwortlichen Administrationsrechte und -werkzeuge zur Verfügung zu stellen, damit diese die Vergabe von Dateiund Verzeichnisberechtigungen, die Freigabe der von anderen benötigten Verzeichnisse bzw. Anwendungen, den Aufbau von Benutzergruppen und -accounts sowie die Einstellung der Systemrichtlinien für Benutzer/innen, Zugriffskontrolle und Überwachung vornehmen können. Die Verantwortlichkeiten der einzelnen Benutzer/innen im Client-Server-Netz sind unter Schritt 11 dargestellt. 315

Festlegung von Namenskonventionen Um die Verwaltung des Client-Server-Netzes zu erleichtern, sollten eindeutige Namen für die Rechner, Benutzergruppen und die Benutzer/innen verwendet werden. Zusätzlich sollten Namenskonventionen für die Freigabenamen von Verzeichnissen oder Druckern eingeführt werden. Sollen keine Rückschlüsse auf den Inhalt eines freigegebenen Verzeichnisses möglich sein, sind entsprechende Pseudonyme zu verwenden. Festlegung der Regeln für Benutzeraccounts Vor der Einrichtung von Benutzeraccounts sollten die Restriktionen, die für alle bzw. für bestimmte dieser Accounts gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf fehlerhafte Login-Vorgänge. Einrichtung von Gruppen Zur Vereinfachung der Administration sollten Benutzeraccounts, für die die gleichen Anforderungen gelten, zu Gruppen zusammengefasst werden. Benutzerrechte sowie Datei-, Verzeichnis- und Freigabeberechtigungen und ggf. weitere vordefinierte Funktionen werden dann den Gruppen und nicht einzelnen Benutzeraccounts zugeordnet. Die Benutzeraccounts erben die Rechte und Berechtigungen der Gruppen, denen sie angehören. So ist es z.B. denkbar, alle Mitarbeiter/innen einer Abteilung in einer Gruppe zusammenzufassen. Eine Zuweisung von Benutzerrechten und -berechtigungen an einzelne Benutzer/ innen sollte nur erfolgen, wenn dies ausnahmsweise unumgänglich ist. Festlegung von Benutzerrechten Rechte gestatten einem/einer Benutzer/in die Ausführung bestimmter Aktionen auf dem System. Sie beziehen sich auf das gesamte System, sind keinem speziellen Objekt zugeordnet und können die Berechtigungen für ein Objekt außer Kraft setzen, da ein Recht Vorrang vor allen Datei- und Verzeichnisberechtigungen haben kann. Festlegung der Vorgaben für Protokollierung Bei der Konfiguration der Protokollierung ist zu beachten, dass ein Mehr an Protokollierung nicht unbedingt auch die Sicherheit des überwachten Systems erhöht. Protokolldateien, die nicht ausgewertet werden oder die auf Grund ihres Umfangs nur mit großem Aufwand auswertbar sind, führen nicht zu einer besseren Kontrolle der Systemabläufe, sondern sind letztlich nutzlos. Aus diesen Gründen sollte die Protokollierung so eingestellt werden, dass sie im Normalfall nur die wirklich bedeutsamen Ereignisse aufzeichnet. Dabei sind selbstverständlich die gesetzlichen Vorgaben, insbesondere die Anforderungen aus dem Datenschutzgesetz, vorrangig zu beachten (vgl. dazu auch Kapitel 10.10 Protokollierung und Monitoring ). Regelungen zur Datenspeicherung

316

Eine Datenspeicherung auf der lokalen Festplatte ist bei diesem Modell nicht erlaubt.• • • Es ist festzulegen. unter denen dann die Dateien und Verzeichnisse der Projekte bzw. Verantwortlichkeiten für Administratoren und Benutzer/innen im ClientServer-Netz Neben der Wahrnehmung der Netzmanagementaufgaben (siehe Pkt. bestimmte Benutzerdaten nur auf der lokalen Festplatte abzulegen. die Vergabe von Zugriffsrechten. • Auch die Endbenutzer/innen müssen in einem Client-Server-Netz bestimmte Verantwortlichkeiten übernehmen. Möglich ist aber auch. Benutzer/innen in jeweils eigenen Unterverzeichnissen abgelegt werden. sofern diese explizit festgelegt und nicht von Voreinstellungen des übergeordneten Verzeichnisses übernommen werden. So können beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer angelegt werden. Erst nach ausreichender Schulung kann der Echtbetrieb aufgenommen werden. wo Benutzerdaten gespeichert werden. das Hinterlegen und den Wechsel von Passwörtern und die Durchführung von Datensicherungen. welche Dateien für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind. welche Benutzer/innen zu welchen Punkten geschult werden müssen. 317 . So ist denkbar. mit der eine projekt. welche Verantwortung die einzelnen Administratoren im Client-Server-Netz übernehmen müssen. Es ist festzulegen. sofern ihnen Rechte zur Ausführung administrativer Funktionen gegeben werden. Einrichtung von Projektverzeichnissen Um eine saubere Trennung von benutzer. sollte eine geeignete Verzeichnisstruktur festgelegt werden. In der Regel beschränken sich diese Verantwortlichkeiten jedoch auf die Vergabe von Zugriffsrechten auf die eigenen Dateien. Nach welcher Strategie verfahren werden soll. Dies gilt analog für die Freigabe von Druckern. Dies können zum Beispiel Verantwortlichkeiten sein für • • • • die Auswertung der Protokolldateien auf den einzelnen Servern oder Clients. dass Benutzerdaten nur auf einem Server abgelegt werden. welche Verzeichnisse und ev.und benutzerbezogene Dateiablage unterstützt wird. Schulung Abschließend muss festgelegt werden. 2) müssen weitere Verantwortlichkeiten festgelegt werden. Eine generelle Empfehlung ist hier nicht möglich.und projektspezifischen Daten untereinander sowie von den Programmen und Daten des Betriebssystems durchzusetzen. Vergabe der Zugriffsrechte Es ist festzulegen. muss jeweils im konkreten Einzelfall festgelegt werden. Insbesondere die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit des Systems gründlich zu schulen.

wenn es um die Installation und Konfiguration eines WLANs geht: • • • • Geeignete Positionierung und Ausrichtung der Zugriffspunkte und Antennen: Die Ausstrahlung soll über die Organisationsgrenzen hinweg weitgehend verhindert werden.) unterstreicht die Forderung nach einem WLAN. Somit soll die Option des Sendens der SSID deaktiviert werden.9 Wireless LAN (WLAN) ISO Bezug: 27002 10.). ist zu verhindern. Geeignete Verschlüsselungsoptionen aktivieren: Verschlüsselungsoptionen wie WiFi Protected Access (WPA). h. um nicht durch die Einführung von WLANs die Sicherheit des gesamten lokalen Netzwerkes zu kompromittieren. Bei unerwünschten Reichweiten müssen entsprechende Gegenmaßnahmen ergriffen werden. Folgende Maßnahmen sind zu beachten. Der Einsatz von Richtantennen hilft dabei die unbeabsichtigte räumliche Ausstrahlung zu unterbinden. Die steigende Zahl von portablen Computern (Notebooks. Zum einen bieten sie Flexibilität bei der Arbeitsplatzgestaltung und zum anderen sind für deren Aufbau keine aufwendigen Verkabelungsarbeiten notwendig. Bei WEP wird nur ein einziger. in jeder WLAN-Komponente in einem Netz muss derselbe WEP-Schlüssel eingetragen sein. [eh SYS 6. die diese eindeutige SSID nicht kennen. Dessen Bekanntgabe an Knoten. sollte WEP nicht mehr eingesetzt werden. Deaktivieren des Sendens der Service Set ID: Die Service Set ID (SSID) ist ein Name des WLANs. Sicherheitstechnisch entstehen neue Gefährdungen und es sind einige Maßnahmen zu beachten. PDAs. so dass die Schlüssel manuell administriert werden müssen. Bei der Schlüssellänge ist es sinnvoll den Schlüssel mit der größten Länge zu wählen. Da WEP-Schlüssel in kürzester Zeit kompromittiert werden können. Smartphones etc. über den Knoten an das Netz verbinden. Weiterhin sieht WEP kein dynamisches Schlüsselmanagement vor. bieten Schutz vor Zugriffen durch Dritte.10] 10.2 (teilw. 11.6. so genannte Wireless LAN (WLAN) – Lösungen ergänzen zunehmend LAN Netzwerke.4 Drahtlose Netzwerke bzw.Die so entwickelte Sicherheitsstrategie ist zu dokumentieren und im erforderlichen Umfang den Benutzerinnen/Benutzern des Client-Server-Netzes mitzuteilen. Testen des Umkreises: Der mögliche Empfang im Umkreis der Organisation muss überprüft werden. Weiters ist sie laufend etwaigen Veränderungen im Einsatzumfeld anzupassen. statischer Schlüssel verwendet. d.6. sofern die 318 .

Netzelement und einem Authentisierungssystem. Diese Schnittstelle basiert auf dem Extensible Authentication Protocol (EAP) und einer Adaptierung dieses Protokolls für die Übertragung auf Layer 2 in LAN (als EAP over LAN. Bei WPA wird TKIP eingesetzt. WPA2 möglich. Dictionary-Attacken. Dieser Schlüssel wird als Pairwise Master Key (PMK) bezeichnet. Hand in Hand geht damit die Festlegung einer Funktion zur Schlüsselverwaltung und -verteilung. Damit so etwas überhaupt funktioniert. Dynamische Schlüssel: Eine höhere Sicherheit bietet ein Mechanismus zur dynamischen Schlüsselverwaltung und -verteilung. alle Kommunikationspartner müssen daher einen gemeinsamen Schlüssel konfiguriert haben.11i auf einen anderen Standard zurück und zwar auf IEEE 802.1X ist.1X. Es besteht meist die Möglichkeit den gemeinsamen geheimen Schlüssel auch über Passwörter festzulegen. EAPOL bezeichnet). Daher sollten diese Passwörter eine hohe Komplexität und eine Länge von mindestens 20 Stellen besitzen.bzw. Grundsätzliche Idee in IEEE 802. Der Pairwise Master Key (PMK) kann über zwei verschiedene Wege auf die beteiligten WLANKomponenten gelangen: • • Statische Schlüssel: Der PMK kann (analog zu WEP) manuell als ein statischer Schlüssel. das die Nutzung dynamischer kryptographischer Schlüssel statt ausschließlich statischer bei WEP erlaubt. wenn der Nutzer sich erfolgreich dem Netz gegenüber authentisiert hat. dass die Freischaltung eines Netzports erst dann erfolgt. ist er anfällig gegenüber Wörterbuch. Bei IEEE 802. ist zu empfehlen. Hat ein solcher PSK eine zu geringe Komplexität (im Sinne der Länge des Schlüssels und der Zufälligkeit der Zeichen). Für diese Schlüsselverwaltung und -verteilung greift IEEE 802. Ab einer gewissen Größe eines WLANs ist das Ausrollen eines neuen Schlüssels mit erheblichen Problemen verbunden. Die Authentisierung erfolgt also auf Schicht 2. TKIP und CCMP sind symmetrische Verfahren. 319 . Die verwendbaren Schlüssellängen sollten demnach bei der Anschaffung der WLAN-Komponenten bereits berücksichtigt werden. der dafür sorgt.11i (WPA2) kommt CCMP als kryptographisches Verfahren zur Integritätssicherung und zur Verschlüsselung der Nutzdaten hinzu. Diese Passwörter werden über Hash-Funktionen in den PMK umgerechnet. die Schlüssel zum Schutz der Kommunikation oder zur Authentisierung mindestens alle drei bis sechs Monate zu wechseln. als Pre-Shared Key (PSK) bezeichnet.1X eine Schnittstelle zwischen Client. Dieser Standard ist zur portbasierten Netzzugangskontrolle in kabelbasierten Netzen entworfen worden. WPA2-PSK verwendet werden.verwendeten Endgeräte dies zulassen. dass regelmäßig und insbesondere nach einer erfolgreichen Authentifizierung des WLAN-Clients am Access Point ein neuer Schlüssel (PMK) bereitgestellt wird. Die Nutzung der PSK ist in der Kombination mit WPA bzw. auf Access Points und Clients konfiguriert werden. spezifiziert IEEE 802. Sollte WPA-PSK bzw.

Darüber hinaus sind zusätzliche Maßnahmen sinnvoll (z. SNMP Community String.B. Diese Erweiterung berücksichtigt aktuelle Weiterentwicklungen und Marktveränderungen im Bereich WLAN. Authentifikation der Knoten: Möglichkeiten der Authentifikation der Knoten sind zu aktivieren.• • • • • • • Generell sollten in regelmäßigen Abständen. Weiterführende Informationen.6. Nutzung eines Virtual Private Networks (VPN): Im WLAN sollte möglichst ein VPN etabliert werden. um dadurch eventuell auftretende Schwierigkeiten zu erkennen. Angreifern durchaus bekannt sind (vgl.1 Regelungen des Passwortgebrauches ). da die Standardpasswörter Angreiferinnen bzw. Einsatz einer zusätzlichen Firewall: Eine Firewall zwischen dem Zugriffspunkt und dem eigentlichen Netzwerk kann die Sicherheit erhöhen. 11.siehe weiter unten). etwa nach IEEE 802. In Ergänzung zu diesen allgemeine Informationen zu WLANs in der Verwaltung wurde von der Stabsstelle IKT-Strategie des Bundes (CIO) die so genannte „Checkliste WLAN“ [IKT-CLWLAN] veröffentlicht. mindestens jedoch vierteljährlich. Für den Bereich der Öffentlichen Verwaltung sind entsprechende Vorgaben und WLAN-Policies der Stabsstelle IKT-Strategie des Bundes (CIO) zu beachten (z.: [IKT-WLAN] [IKT-CLWLAN] ). Dies sollte nach Möglichkeit genutzt werden.3.ä. Bei größeren Installationen sollte hierfür eine geeignete Funktion in der zentralen WLAN-Management-Lösung enthalten sein. Direkten Zugriff auf das Intranet über das WLAN sperren: Ist der Zugang über WLAN nicht durch starke Methoden der Authentifikation der Knoten und Verschlüsselung gesichert. um den Arbeitsaufwand gering zu halten. Administrator-Passwort – sind werksseitig voreingestellt und müssen sofort geändert werden.1X. Dies bietet über WEP/ WEP+/WPA/o. Die darin enthaltene Checkliste ermöglicht ein einfaches und pragmatisches Anwenden der Empfehlungen. 320 . Kapitel 10. VPN .10 ). Ändern von Standardeinstellungen (Passwörtern): Standardeinstellungen der Zugriffspunkte – etwa Service Set ID (SSID). sind den von der Stabsstelle IKT-Strategie des Bundes (CIO) herausgegebenen Empfehlungen zur Verwendung von WLANs zu entnehmen [IKT-WLAN] . speziell aber nicht nur für die Organisationen der öffentlichen Verwaltung.B. die Schlüsselinformationen bei allen WLAN-Komponenten ausgetauscht werden. Der Wechsel der Schlüsselinformationen an allen WLAN-Komponenten sollte bereits während der Planungsphase genau getestet werden. hinausgehend eine Ende-zu-Ende Verschlüsselung. ist er als RAS anzusehen (vgl. wodurch die vertraulichen Inhalte mittels IPSEC oder SSL/TLS geschützt werden. MAC-Adressfilterung am Zugriffspunkt: Der Zugang zu Zugriffspunkten kann bei vielen Geräten auch über die MACAdresse kontrolliert werden.

[eh SYS 6. 321 .6.4. die Integrität und die Verfügbarkeit der lokalen Rechner und dadurch indirekt auch die Vertraulichkeit der lokalen Daten. nicht anschließbare und bedingt anschließbare Teile segmentiert werden muss. Die Vernetzung vorhandener Teilnetze mit globalen Netzen wie dem Internet führt zu einem neuen Informationsangebot.14] 10.7. für Telearbeit einzelner Mitarbeiter/innen).10 Remote Access (VPN) . inwieweit das zu schützende Netz in anschließbare. öffentliches Netz gemeint. von einem entfernten Rechner aus (z. Generell lassen sich für den Einsatz von entfernten Zugängen im Wesentlichen folgende Szenarien unterscheiden: • • • • das Anbinden einzelner stationärer Arbeitsplatzrechner (z. Darüber hinaus gefährdet die Möglichkeit remote.h. das Anbinden von ganzen LANs (z. als ob eine direkte LAN-Koppelung bestehen würde. Befehle auf Rechnern im lokalen Netz ausführen zu lassen.Geräten) über ein unsicheres resp. lässt aber auch neue Gefährdungen entstehen.B. Dies wird meist mittels einer VPN-Verbindung zwischen einzelnen IT-Systemen.2. wenn dies unbedingt erforderlich ist.B.2 Im Folgenden ist mit Remote Access generell jede Art von Fernzugriff auf Geschäftsinformationen (mit zB auch Mobile-Computing. sich mit einem lokalen Rechner an ein entferntes Rechnernetz zu verbinden und dessen Ressourcen zu nutzen. Durch Remote Access wird es einem/einer Benutzer/in ermöglicht. verschiedenen Standorten einer Institution oder auch zu Kunden erreicht. Dies gilt insbesondere für Anschlüsse an das Internet. das Anbinden mobiler Rechner (z. zur Unterstützung von Mitarbeiterinnen/ Mitarbeitern im Außendienst oder auf Dienstreise).2. d. zur Fernwartung). da prinzipiell nicht nur ein Informationsfluss von außen in das zu schützende Netz stattfinden kann.Konzeption ISO Bezug: 10. 11.B. Dabei ist auch zu prüfen.6.B. der Managementzugriff auf entfernte Rechner (z. aus dem Internet). zur Anbindung von lokalen Netzen von Außenstellen oder Filialen).B. Ein zu schützendes Teilnetz sollte daher nur dann an ein anderes Netz angeschlossen werden. 11. sondern auch in die andere Richtung.

da zur Abwicklung der Kommunikation verschiedene Kommunikationsmedien in Frage kommen. Ihre Identität muss jeweils durch einen Authentisierungsmechanismus bei jedem Verbindungsaufbau zum lokalen Netz sichergestellt werden. um den Systemzugang für entfernte Benutzer/innen reglementieren zu können (z. Verfügbarkeit: Wird der entfernte Zugang im produktiven Betrieb genutzt. die über VPN.oder Bandbreitengarantien gegeben werden. Im Rahmen des Systemzugangs müssen weitere Kontrollmechanismen angewandt werden. Generell sollen auch für Daten. die für lokale Netzressourcen durch befugte Administratoren festgelegt wurden. RAS)Zugängen kann diese Gefahr bis zu einem gewissen Grad verringert werden. Zugriffskontrolle: Sind die entfernten Benutzer/innen authentisiert. so ist die Verfügbarkeit des Zugangs von besonderer Bedeutung. Der reibungslose Ablauf von Geschäftsprozessen kann bei Totalausfall oder bei Verbindungen mit nicht ausreichender Bandbreite unter Umständen beeinträchtigt werden. zeitliche Beschränkungen oder Einschränkung auf erlaubte entfernte Verbindungspunkte). RAS-System eindeutig zu identifizieren sein. Durch die Nutzung von alternativen oder redundanten VPN-(bzw. so muss das System in der Lage sein. die das Internet als Kommunikationsmedium nutzen. auch für entfernte Benutzer/innen durchgesetzt werden.bzw. Der Absicherung der VPN. Integrität. Kommunikationssicherheit: Bei einem Remote-Zugriff auf lokale Ressourcen sollen im Allgemeinen auch über die aufgebaute VPN. da hier in der Regel keine Verbindungs. Dies gilt insbesondere für entfernte Zugänge. RAS-Verbindung Nutzdaten übertragen werden.B. die in der Regel nicht dem Hoheitsbereich des Betreibers des lokalen Netzes zuzurechnen sind. ihre Remote-Zugriffe auch zu kontrollieren. Dazu müssen die Berechtigungen und Einschränkungen. Unter dem Gesichtspunkt der Sicherheit sind für entfernte Zugänge folgende Sicherheitsziele zu unterscheiden: • • • • Zugangssicherheit: Entfernte Benutzer/innen müssen durch das VPN.bzw. 322 .oder RAS-Verbindungen übertragen werden. die im lokalen Netz geltenden Sicherheitsanforderungen bezüglich Kommunikationsabsicherung (Vertraulichkeit. Authentizität) durchsetzbar sein. Alternative Möglichkeiten die heute nur mehr wenig genutzt werden sind RAS-Zugänge über Standleitungen oder Modem-Einwahl. RAS-Kommunikation kommt jedoch eine besondere Bedeutung zu.Für diese Szenarien bieten VPN-Technolgien eine einfache Lösung: entfernte Benutzer/innen verbinden sich über das Internet mit Hilfe von VPN-Clients mit dem Firmennetz.bzw.

und End-to-Site-VPNs).4 Bevor eine VPN. welche Arten von BenutzerInnen mit welchen Berechtigungen und welchen Vorkenntnissen das VPN nutzen sollen (z. wie die Durchführung von Fernwartungstätigkeiten. betrachtet werden. Ziel der Anforderungsanalyse ist es einerseits. Im Rahmen der Anforderungsanalyse sind u. Daher muss geklärt werden. Aus den Ergebnissen müssen die benötigten Anforderungen ermittelt und gemäß ihrer Bedeutung für das Unternehmen oder die Behörde priorisiert werden. Dabei ist auch zu klären.1 Durchführung einer VPN-Anforderungsanalyse ISO Bezug: 27002 10.Ein VPN (RAS)-System besteht aus mehreren Komponenten. [eh Teil 2 5. das sich in das bestehende Sicherheitskonzept eingliedert: das VPN (RAS)System muss einerseits bestehende Sicherheitsforderungen umsetzen und erfordert andererseits das Aufstellen neuer. AußendienstmitarbeiterInnen. Neben den Geschäftsprozessen müssen auch die Anwendungen. für welche Geschäftsprozesse das Virtuelle Private Netz (VPN) genutzt und welche Informationen darüber kommuniziert werden sollen. 323 .7] 10.10..6. sollte eine Anforderungsanalyse durchgeführt werden. die zunächst als Einzelkomponenten abgesichert werden sollten. B. folgende Fragen zu klären: • • • Festlegung der Geschäftsprozesse: Als erstes muss geklärt werden. alle im konkreten Fall in Frage kommenden Einsatzszenarien zu bestimmen und andererseits daraus Anforderungen an die benötigten Hardwareund Software-Komponenten abzuleiten.a. verschiedenen Standorten einer Institution oder auch zu Kunden eingerichtet wird. 11.2. MitarbeiterInnen einer Zweigstelle). End-to-End. wie diese sicher identifiziert und authentisiert werden sollen. Durch das Aufstellen und Durchspielen von Nutzungsszenarien können spezielle Anforderungen an die VPN-Architektur oder die VPN-Komponenten aufgedeckt werden. Festlegung der Anwendungszwecke: Es gibt viele unterschiedliche Nutzungsszenarien für VPNs. welche Einsatzzwecke unterstützt werden sollen und welche VPN-Typen dafür eingesetzt werden (z. MitarbeiterInnen auf Dienstreise. Zusätzlich zu der Absicherung der Systemkomponenten muss jedoch auch ein VPN (RAS)-Sicherheitskonzept erstellt werden. die Anbindung einzelner Mitarbeiter oder ganzer Standorte. B. Festlegung der BenutzerInnen: Es ist zu klären. welche der betroffenen Anwendungen zeitkritisch oder bandbreitenintensiv sind. die die jeweiligen Prozesse unterstützen.(oder RAS-)Verbindung zwischen einzelnen IT-Systemen. Hierbei muss auch erfasst werden. VPN (RAS)-spezifischer Sicherheitsregeln. Site-toSite-.6.

Je nach Konfiguration können dadurch alle IT-Systeme eines Netzes auf alle IT-Systeme oder nur auf bestimmte IT-Systeme der anderen Netze zugreifen. wenn das VPN ausfällt oder wenn Anzeichen für einen Sicherheitsvorfall entdeckt werden. In vielen Fällen existieren hierzu übergeordnete Regelungen oder Richtlinien. Es sollte daher festgelegt werden. gemäß den Common Criteria zertifizierte VPN-Komponenten einzusetzen. 324 . Bei der Durchführung einer VPN-Anforderungsanalyse sollte daher festgelegt werden. Bei der VPN-Anforderungsanalyse sollte entschieden werden. Besitzen die betroffenen Anwendungen einen höheren Schutzbedarf bezüglich der Verfügbarkeit. empfiehlt es sich. Beschränkung der Netze: Mit VPNs können verschiedene Netze durch Nutzung einer sicheren Verbindung zu einem logischen Netz zusammengefasst werden. Vertraulichkeit und Integrität: Je nach Schutzbedarf bezüglich der Vertraulichkeit und Integrität werden häufig besondere Anforderungen an das VPN gestellt. wer für die Administration und den Betrieb des VPNs zuständig ist . Auswahl der genutzten Applikationen und -protokolle: Über ein VPN können unterschiedliche Arten von Informationen versendet und empfangen werden. Erhöhte Anforderungen an die Verfügbarkeit lassen sich bei VPNs nicht immer durch technische Sicherheitsmaßnahmen abdecken. die im Allgemeinen durch zusätzliche Sicherheitsmaßnahmen abgedeckt werden können. Es muss nicht nur entschieden werden. sondern auch die Protokolle. da VPNs oft über Netze aufgebaut werden. Beispielsweise kann festgelegt werden.• • • • • Regelung von Zuständigkeiten: Auch VPN-Komponenten müssen durch fachkundiges Personal administriert und gewartet werden. welche Applikationen eingesetzt werden dürfen. dass Netzfreigaben nur über SMB statt NFS eingebunden werden dürfen. das über entsprechendes Wissen verfügt. Beispielsweise können E-Mails übertragen.und zwar auf beiden Seiten des VPNs. die bei der Beschaffung und beim Betrieb von VPN-Komponenten berücksichtigt werden müssen. Im Weiteren muss geklärt werden. mit denen die Informationen übertragen werden können. Hierfür muss Fachpersonal vorhanden sein. Dateien kopiert oder auf einen Webserver zugegriffen werden. wer zu benachrichtigen ist. die nicht unter der eigenen Kontrolle stehen und somit nicht beeinflusst werden können. dass zu jeder Zeit ausreichend schnell Informationen über das VPN ausgetauscht werden können. Um Informationen mit hohem Schutzbedarf bezüglich Vertraulichkeit und/oder Integrität zu übertragen. von wo über das jeweilige VPN auf welches Netz und auf welche IT-Systeme zugegriffen werden darf. Neben diesen klassischen Diensten kann auch auf einem Terminalserver gearbeitet oder über VoIP telefoniert werden. sollte dies bei der Anforderungsanalyse berücksichtigt werden. welche Applikationen über ein VPN genutzt werden dürfen und welche nicht. Verfügbarkeit: Besonders bei einer Standortvernetzung wird häufig gewünscht.

Wenn dies aber nicht gewünscht wird. Für die VPN-Anforderungsanalyse sollten die benötigten Bandbreiten. Verfügbarkeit. dass sich mobile Mitarbeiter von beliebigen Orten unterwegs ins Institutions-LAN einwählen können. Da VPN-Verbindungen oft über ein WAN aufgebaut werden.6.6. sollte festgelegt werden. Beispielsweise könnte nur der IP-Adressbereich eines oder weniger Provider zugelassen werden. Dies betrifft beispielsweise Zugriffe auf Terminalserver oder die Telefonie über VoIP. An kleine Vertriebsbüros werden beispielsweise meist andere Anforderungen bezüglich Verfügbarkeit gestellt als an Unternehmenszentralen. Als Lösungsansatz könnten die verschiedenen Anwendungszwecke zum Beispiel bezüglich ihrer Anforderungen an Bandbreite.2 Entwicklung eines VPN-Konzeptes ISO Bezug: 27002 10. müssen für zeitkritische Anwendungen spezielle Voraussetzungen berücksichtigt werden. die zulässige Verzögerung sowie gegebenenfalls weitere Qualitätsmerkmale des Netzes berücksichtigt werden. [eh SYS 7. dass diese technischen Zugriffsbeschränkungen nicht absolut zuverlässig sind. Diese Punkte müssen nicht zwangsläufig pauschal für die gesamte Institution betrachtet.1] 10. 11.2.10. Vertraulichkeit. Geographische Beschränkungen: Ein VPN kann dazu dienen. Integrität und Dienstgüte (Quality of Service oder kurz QoS) klassifiziert werden. Die Anforderungen für die geplanten Szenarien sind zu dokumentieren und mit den Netzadministratoren und dem technischen Personal abzustimmen. sondern können auch differenziert auf einzelne Standorte oder Anwendungszwecke angewendet werden. Zusätzlich müssen also den Benutzern entsprechende organisatorische Vorgaben gemacht werden. auf Applikationen in einem entfernten Netz zuzugreifen. Zu beachten ist jedoch.4 Ein VPN-Konzept kann grob in drei Teilbereiche unterteilt werden: • • • Organisatorisches Konzept Technisches Konzept Sicherheitskonzept 325 . Dies kann auch technisch unterstützt werden. Ebenso bestehen an End-to-End-VPNs andere Anforderungen als an Site-to-Site-VPNs. von wo auf das LAN zugegriffen werden darf.• • Bandbreite und Verzögerung: Ein VPN ermöglicht es. besonders im Hinblick auf die verfügbare Bandbreite und Verzögerungen bei der Übertragung. Besonders bei der Vernetzung von mehreren Standorten kommt häufig nicht jeder Liegenschaft die gleiche Priorität zu. Bei einer Wählverbindung könnte anhand der Ländervorwahl gefiltert werden.

ist dafür geeignet. die im Rahmen der Teilkonzepte beantwortet werden müssen. Mögliche Voraussetzungen sind der Einsatzzweck (z. Die Gruppenzugehörigkeit von einzelnen BenutzerInnen sollte durch ein entsprechendes Anforderungsprofil geregelt werden. Dazu können z. die dann adaptiert werden können. B. Das organisatorische Konzept sollte folgende Punkte beinhalten bzw. damit von dort VPN-Verbindungen in das LAN der Institution erlaubt werden können. Gegenüber stationären Clients kommen bei mobilen Clients weitere Gefährdungen hinzu. Die Betriebsorte von VPN-Clients unterliegen häufig nicht der Kontrolle des LAN-Betreibers und besitzen daher auch ein besonderes Gefährdungspotenzial. wie und von wem die Benutzerkonten und die Zugriffsberechtigungen verwaltet und administriert werden (Berechtigungskonzept). an dem die technischen Voraussetzungen zum VPN-Verbindungsaufbau vorhanden sind.Im Folgenden werden jeweils die wesentlichen Fragestellungen aufgezeigt. Nachweis bestimmter Kenntnisse (z. Überwachung).und Zugriffsberechtigungen müssen dokumentiert und bei Änderungen fortgeschrieben werden. welchen Ansprüchen (z. welche Voraussetzungen für die Mitgliedschaft in einer Gruppe erfüllt werden müssen. Für feste entfernte Standorte (wie Telearbeitsplätze) müssen Anforderungen festgelegt werden. muss jeweils innerhalb der Institution entschieden werden. Daher müssen Regelungen getroffen werden. für die Erlaubnis zur Nutzung von Internet-Zugängen. Je nach geplantem Einsatzszenario kann es zweckmäßiger sein. Nicht jeder Ort. Je nach organisatorischer Struktur müssen die Verantwortlichkeiten existierender Rollen erweitert oder neue Rollen geschaffen werden Es muss festgelegt werden. Überprüfung. Außendienst-Tätigkeiten. Telearbeit. B. eine Negativliste von besonders ungeeigneten Standorten zu führen. Die erteilten Zugangs. in Bezug auf Sicherheit und technischer Ausstattung) der entfernte Arbeitsplatz genügen muss. Teilnahme an Schulungen) und eine Zustimmung durch Vorgesetzte. das festlegt. z. B. Hotel-Foyers. Wartungsarbeiten). B. Wie die Erlaubnis zum entfernten Zugriff reglementiert werden soll. die beschreiben. Je nach konkreter Situation ergibt sich naturgemäß ein speziell auf die jeweiligen organisatorischen und technischen Gegebenheiten zugeschnittener zusätzlicher Abstimmungsbedarf. Oft existieren schon ähnliche Regelungen. Ein per Extranet angebundener Lieferant muss beispielsweise andere Zugriffrechte als eine angebundene Zweigstelle haben. B. Hotel-Business-Center oder öffentliche Verkehrsmittel gehören. Das Konzept kann eine anfängliche sowie eine periodisch wiederkehrende Überprüfung der Räumlichkeiten und dortigen Technik vorsehen und regeln. wie und durch wen diese erfolgt. 326 . Es empfiehlt sich. Verwaltung. von welchen Standorten aus VPN-Verbindungen zum Ziel-LAN aufgebaut werden dürfen. für den VPN-Zugang unterschiedliche Benutzergruppen mit verschiedenen Berechtigungen zu definieren. regeln: • • • Es sollten die Verantwortlichkeiten für das jeweilige VPN festgelegt werden (Installation.

Aus den Sicherheitszonen heraus dürfen nur die Zugriffe erlaubt werden. ob starke Kryptographie an allen beteiligten Standorten rechtlich eingesetzt werden darf. müssen in der VPN-Sicherheitsrichtlinie die Rechte und Pflichten von VPN-BenutzerInnen festgelegt werden. ob eine Eigenrealisierung bzw. Ebenso müssen auch die Administratoren sowohl für die eingesetzten Produkte gründlich ausgebildet als auch über VPNSicherheitsrisiken und Sicherheitsmaßnahmen aufgeklärt werden. Überprüfung der geplanten Konfiguration. Allerdings ist es nicht immer vorteilhaft oder erwünscht. Der Schutzbedarf für das VPN muss ermittelt werden.3. Haben externe Zulieferer oder Kunden eine Anbindung an das VPN. Hierbei muss hinterfragt werden. sondern auch für die Suche nach Informationen über aktuelle VPN-Sicherheitslücken. Ein weiterer wichtiger Punkt bei der Konzeption ist die grundsätzliche Frage. Authentisierung und Integritätssicherung) müssen definiert werden. B. Den Administratoren muss nicht nur für den Betrieb des VPNs ausreichend Zeit zur Verfügung stehen. Einrichtung und den Betrieb von VPNs. Bei Fremdbetrieb eines VPNs müssen die Anforderungen aus 10. 327 . Im Rahmen dieser Schulung sollen die BenutzerInnen einerseits für die spezifischen VPNGefährdungen sensibilisiert und andererseits im Umgang mit den technischen Geräten und der Software unterrichtet werden. die Sicherheitsregelungen einzuhalten. Falls Authentisierungstoken zum Einsatz kommen sollen. sollte jede/ rjede VPN-Benutzer/in eine besondere Schulung erhalten. den kompletten Betrieb eines VPNs aus der Hand zu geben. wie sich eine Nichtverfügbarkeit des Systems auswirkt und welche Ausfallzeiten hingenommen werden können. In diesem Zusammenhang muss auch ermittelt werden. wie Änderungen an der VPN-Konfiguration durchzuführen sind (Beispiel: Beantragung. so müssen unterschiedliche Sicherheitszonen definiert werden. -betrieb zurückgegriffen wird. Da beim entfernten Zugriff auf ein LAN besondere Sicherheitsrisiken durch die meist ungesicherte Umgebung eines VPN-Clients bestehen. Diese müssen entsprechend verbindlich verpflichtet werden.• • • • • • • Wird die Sicherheit von VPN-Zugängen verletzt. Durchführung. die tatsächlich für die Benutzer erforderlich sind. Outsourcing beachtet werden. Überprüfung der durchgeführten Veränderung). die beschreiben. Eigenbetrieb des VPNs notwendig ist oder ob auf Fremdrealisierung bzw. Für die VPNAdministration sollten deshalb Verfahren festgelegt werden. müssen die Benutzer über deren ordnungsgemäße Handhabung informiert werden. Dieser leitet sich aus dem Schutzbedarf der darüber übertragenen Informationen sowie der damit verbundenen IT-Komponenten ab. die Konzeption von Maßnahmen zur Steigerung der Informationssicherheit beim VPN-Betrieb und die Einarbeitung in neue Komponenten. Um einem Missbrauch vorzubeugen. Die Anforderungen an die VPN-Sicherheitsmechanismen (z. kann dies unter Umständen die Kompromittierung des gesamten LANs nach sich ziehen. Viele Dienstleister verfügen über hohe Kompetenz und Erfahrung in Bezug auf die Planung.

sowie die darüber zugreifbaren Ressourcen sind zu dokumentieren. Paketfilter bzw. Es sollte überlegt werden. welche Teilnetze bei Nutzung eines VPN-Zugangs erreichbar sind. Es müssen geeignete Verschlüsselungsverfahren zum Schutz der Daten festgelegt werden. jedoch in unterschiedlicher Zahl und Ausprägung zur Verfügung.und SoftwareKomponenten technisch realisiert ist. die standardmäßig TLS/SSL-gesicherte Kommunikation unterstützen. die über den VPN-Zugang zugelassen werden. MPLS (Multi Protocol Label Switching) oder dedizierte Leitungen benötigt. Die herkömmlichen VPNs stellen solche Verfahren standardmäßig. Für einen zeitkritischen Datenverkehr werden eventuell QoS (Quality of Service). wie diese Zugangspunkte an das LAN angeschlossen werden. Die Auswahl ist davon abhängig. wie das VPN durch Hardware. 328 . Zu beachten ist jedoch. da die Verschlüsselung transparent erfolgt und die Endsysteme nicht belastet werden. aus denen nur kontrolliert (über Router.und Software Alle Dienste und Protokolle. interne Firewall) in das produktive Netz zugegriffen werden kann. Modems) erwogen werden. Das Sicherheitskonzept muss aufbauend auf der aktuellen Netzstruktur analysieren. und die dafür verwendeten Zugangsprotokolle sind zu beschreiben. Dazu muss ein geeignetes Verfahren ausgewählt werden. wenn von der Verschlüsselung auf niedriger Protokollebene aus bestimmten Gründen kein Gebrauch gemacht werden kann. TLS/SSL-Verschlüsselung: Zur Verschlüsselung kann auch TLS/ SSL eingesetzt werden. welche Applikationen eingesetzt werden sollen. dedizierte Zugangsnetze (Access Networks) zu bilden. Verschlüsselung durch Netzkoppelelemente: Neben der Absicherung der Kommunikation durch Software kann auch der Einsatz von verschlüsselnden Netzkoppelelementen (Router. Dies gilt besonders für Zugriffe auf Webserver oder E-Mail-Server über Browser. Die Bildung von Zugangsnetzen erfordert dabei die Anschaffung und Wartung zusätzlicher Hard. Im Rahmen der Sicherheitskonzeption sind alle VPN-Zugangspunkte zum lokalen Netz zu erfassen und es ist zu beschreiben. regeln: • • • • • Es sollte beschrieben sein. Im Rahmen einer nachgeschalteten Analyse vorhandener Systemkomponenten und am Markt beschaffbarer neuer Komponenten können die Elemente des Konzeptes tatsächlichen Geräten und Software-Produkten zugeordnet werden Alle potentiellen VPN-Endpunkte. die die Einwahl in das LAN ermöglichen. Die Komponenten werden lediglich durch ihre Funktion definiert. Relevant sind hier unter anderem: • • • Tunneling: Die Kommunikation kann auf niedriger Protokollebene verschlüsselt werden (so genanntes Tunneling).Das technische Konzept sollte folgende Punkte beinhalten bzw. Diese sind besonders für den stationären Einsatz und zur Anbindung mehrerer Rechner sinnvoll.

konfigurieren und benutzen darf. B. Alle VPN-BenutzerInnen sollten darauf hingewiesen werden. sollten geeignete Monitoring-Systeme eingeplant werden. Dazu sind auch eine Vielzahl von Randbedingungen festzulegen wie z. Diese Entscheidung hat in der Regel erheblichen Einfluss auf die Kosten. ob die Verbindung über dedizierte CarrierLeitungen realisiert werden muss. welcher VPN-Typ realisiert werden soll. End-to-End. damit dieser weitere Schritte unternehmen kann Administratoren. dass bei einem Verdacht auf Sicherheitsprobleme ein Sicherheitsverantwortlicher hierüber informiert werden muss. • • • welche Informationen über VPNs übertragen werden dürfen. wer in der Institution VPN-Komponenten installieren. geschult werden. regeln: • • Für den Einsatz von VPN-Komponenten in Behörden und Unternehmen müssen geeignete Sicherheitsrichtlinien aufgestellt werden. Es gibt verschiedene Arten von VPNs (Site-to-Site. anhand der Anforderungen muss entschieden werden. Sie müssen regelmäßig auf Aktualität überprüft und gegebenenfalls angepasst werden. Die aus den Monitoring-Systemen gewonnenen Erkenntnisse tragen wesentlich zur Feinabstimmung des VPN-Betriebs bei Das VPN-Sicherheitskonzept sollte folgende Punkte beinhalten bzw. • • • • auf welche anderen internen oder externen Netze oder IT-Systeme über ein VPN zugegriffen werden darf. Es muss entschieden werden. Für alle VPN-Komponenten sollten Sicherheitsmaßnahmen und eine StandardKonfiguration festgelegt werden. Auch bei direkten Einwahlverfahren beispielsweise über analoge Telefonnetze oder ISDN ist eine Verschlüsselung zum Schutz der Daten erforderlich. wo die VPN-Komponenten benutzt werden dürfen. Die VPN-spezifischen Vorgaben können in den vorhandenen Richtlinien ergänzt oder in einer eigenen Richtlinie zusammengefasst werden. Diese VPN-spezifischen Sicherheitsrichtlinien müssen konform zum generellen Sicherheitskonzept und den allgemeinen Sicherheitsrichtlinien der Institution sein. aber auch BenutzerInnen von VPN-Komponenten sollten über VPN-Gefährdungen und die zu beachtenden Sicherheitsmaßnahmen informiert bzw. 329 .• • • dass die Netzkoppelelemente sorgfältig konfiguriert und gewartet werden müssen. Die korrekte Umsetzung der in der VPN-Sicherheitsrichtlinie beschriebenen Sicherheitsmaßnahmen sollte regelmäßig kontrolliert werden. Es sollte beschrieben sein. End-to-Site). Um einen stabilen Betrieb und eine kontinuierliche Verbesserung gewährleisten zu können.

welche Schnittstellen es zwischen den am Betrieb beteiligten Administratoren gibt. Außerdem sollte die BenutzerInnenrichtlinie Angaben dazu enthalten. eine vorhandene Personal Firewall nicht abgeschaltet werden darf • • die Konfiguration der VPN-Clients nicht von den BenutzerInnen verändert werden darf. wie z. Hotel-Business-Center oder öffentliche Verkehrsmittel sein. und wann welche Informationen zwischen den Zuständigen fließen müssen. vor allem. kann es sinnvoll sein. • welche Schritte bei (vermuteter) Kompromittierung des VPN-Clients zu unternehmen sind. Ungeeignete Standorte können je nach Einsatzzweck z. dass klar beschrieben wird. und • alle Freigaben von Verzeichnissen oder Diensten deaktiviert oder zumindest durch gute Passwörter geschützt sind. wer für die Administration der unterschiedlichen VPN-Komponenten zuständig ist. es sei denn mit von dafür freigegebenen Passwort-Speicher-Tools stets ein Virenscanner aktiviert sein muss. In einer solchen BenutzerInnenrichtlinie sollten dann kurz die Besonderheiten bei der VPN-Nutzung beschrieben werden. beispielsweise Verschlusssachen. dass VPNs nur von geeigneten Standorten und mit von der Institution dafür zugelassenen ITKomponenten aufgebaut werden dürfen. So ist es durchaus üblich. die auch als Grundlage für die Schulung der Administratoren dienen kann. wer zu benachrichtigen ist. Darin sollte festgelegt sein. B. BenutzerInnen sollten für VPN-Gefährdungen sowie für Inhalte und Auswirkungen der VPN-Richtlinie sensibilisiert werden. Dazu gehört beispielsweise. Daneben sollte eine VPN-spezifische Richtlinie für Administratoren erstellt werden. an welche anderen internen und externen Netze oder IT-Systeme der VPNClient gekoppelt werden darf. B. wie mit Client-seitigen Sicherheitslösungen umzugehen ist. • unter welchen Rahmenbedingungen sie sich an einem internen oder externen VPN anmelden dürfen. in Form eines Merkblattes. eine eigene VPN-BenutzerInnenrichtlinie zu erstellen. B. dass für den Betrieb der serverseitigen Komponenten eine andere 330 . Hierzu gehört vor allem der Umgang mit klassifizierten Informationen. Wichtig ist auch. dass • • • • • • • keine sicherheitsrelevanten Konfigurationen verändert werden dürfen. welche Daten im VPN genutzt und übertragen werden dürfen und welche nicht. BenutzerInnen sollten darauf hingewiesen werden. Hotel-Foyers. fremd-administrierte IT-Systeme können ebenso ungeeignet sein. Passwörter nicht auf dem Client gespeichert werden dürfen.• Um BenutzerInnen nicht mit zu vielen Details zu belasten. nur durch die hierfür benannten Administratoren. z.

11.6.4 Unternehmen und Behörden haben vielfältige Anforderungen an Netze. B.2. geeignete Verwaltung aller VPN-Komponenten. Dementsprechend unterscheiden sich die Anforderungen der Institutionen und müssen bei der Auswahl von VPN-Produkten berücksichtigt werden. Alle Entscheidungen müssen nachvollziehbar dokumentiert werden. sollten mit ihrer Unterschrift bestätigen. wie beispielsweise die Vernetzung unterschiedlicher Standorte und die Anbindung mobiler Mitarbeiter oder Telearbeitern an das interne Netz. Typische VPN-Nutzungsszenarien: Nachfolgend werden einige Einsatzszenarien. Ohne diese schriftliche Bestätigung sollte niemand VPNs nutzen dürfen. [eh SYS 7. egal ob BenutzerInnen oder Administratoren. beispielsweise in der Personalakte.3 Auswahl einer geeigneten VPN-Systemarchitektur ISO Bezug: 27002 10. beschrieben.10. dass sie den Inhalt der VPN-Sicherheitsrichtlinie gelesen haben und die darin definierten Anweisungen auch einhalten. Die VPN-Richtlinie für Administratoren sollte weiterhin die wesentlichen Kernaspekte zum Betrieb einer VPN-Infrastruktur umfassen. Regelmäßige Auswertung von Protokolldateien.6. in denen VPNs üblicherweise eingesetzt werden. Die unterschriebenen Erklärungen sind an einem geeigneten Ort. • Mobile MitarbeiterInnen: 331 . • • • • • • • Festlegung einer sicheren VPN-Konfiguration und Definition von sicheren Standard-Konfigurationen. Maßnahmen bei Kompromittierung des VPNs.2] 10.und Berechtigungsmanagement. Auswahl und Einrichtung von Kryptoverfahren inklusive Schlüsselmanagement. zumindest auf den Servern.Organisationseinheit zuständig ist als für die Betreuung der VPN-Clients oder für das Identitäts. wie z. Die VPN-Planung muss der Leitungsebene zur Entscheidung vorgelegt werden. Inbetriebnahme von Ersatzsystemen. Alle VPN-AnwenderInnen. aufzubewahren.

• Aus dem vertrauenswürdigen Netz heraus. abgerufen werden können. Hierbei werden die vertrauenswürdigen LANs. Support und Betrieb) interner Systeme kann durch eigene oder fremde MitarbeiterInnen durchgeführt werden. B. Die Endgeräte der Mitarbeiter sind typischerweise Laptops oder PDAs. Fernwartung: Bei der Durchführung von Fernwartungstätigkeiten sind privilegierte Administratorzugänge auf interne Systeme erforderlich. Die IT-Systeme des Telearbeitsplatzes sollten zentral administriert werden. Die Kommunikation zwischen Telearbeitsrechner und LAN erfolgt normalerweise über unsichere. h. Zusätzlich müssen die Netze und die Client-Systeme der Standorte mittels Sicherheitsgateways gegen Angriffe aus dem Internet gesichert werden. muss gewährleistet werden. so dass diese aus einem nur eingeschränkt vertrauenswürdigen Netz. h. Kunden. auf die Kunden oder Partner zugreifen können. dass sich die MitarbeiterInnen von beliebigen Arbeitsorten. In beiden Fällen bestehen • • 332 . öffentliche Netze. Folgende Szenarien sind typisch Es sollen bestimmte interne Informationen bereitgestellt werden. Je nach Aufgabengebiet kann es sein. z. Standortvernetzung:: Bei der Standortvernetzung werden Teilnetze an unterschiedlichen Standorten einer Institution miteinander verbunden.• • • Mobile MitarbeiterInnen arbeiten an wechselnden Arbeitsplätzen in unterschiedlichen Umgebungen und benötigen dabei unter Umständen einen Fernzugriff auf Daten im LAN innerhalb der Institution. • Auf internen Systemen soll durch externe Firmen Software entwickelt werden. Die Fernwartung (Wartung. d. Telearbeitsplatz: Bei der Anbindung eines Telearbeitsplatzes greift ein Client-System von einem festen Arbeitsort außerhalb der Büroumgebung auf das interne Netz einer Institution zu. In diesem Szenario ist besonders der Transportkanal abzusichern. die unter eigener Kontrolle stehen. einem Hotel oder Flughafen. z. in einem separaten Netz betrieben werden. von "innen". dass nur auf die freigegebenen Ressourcen zugegriffen werden kann.und Partner-Anbindung:: Häufig sollen Kunden oder Partner an das interne Netz einer Institution angebunden werden. Da die IT-Systeme der Kunden oder der Partner nicht unter der Kontrolle der Institution stehen. B. d. häufig über ein unsicheres öffentliches Transportnetz verbunden. sollen externe Datenbanken abgefragt werden. von "außen". ins interne Netz einwählen möchten. um Waren aussuchen und bestellen zu können. Neben der Absicherung solcher Verbindungen muss auch die Sicherheit des Endgeräts sowie dessen Einsatzumgebung beachtet werden. dass mit einem Sicherheitsgateway (Firewall) vom LAN der Institution getrennt ist. Beispielsweise könnten alle IT-Systeme.

um die Kommunikation einzelner Protokolle und Anwendungen zu schützen. VPNs werden häufig auch verwendet. Unterstützen beispielsweise die vorhandenen WLAN-Komponenten selbst keine sichere Verschlüsselung. um entfernte physische Netze zu einem logischen zusammenzufassen oder um einzelne Endgeräte. Derjenige Endpunkt. Der Transportkanal wird durch VPN-Gateways in den angeschlossenen Netzen gesichert. beispielsweise eines RADIUS-Servers. nutzen zu können. Der initiierende Endpunkt wird als VPN-Client bezeichnet. die IT-Systeme zu warten. damit nur Berechtigte sich über das VPN einwählen können. Typische Verwendungen für End-to-End-VPNs sind: 333 . Die Signalisierung und der Medientransport einer VoIPVerbindung könnten ebenfalls in einem VPN-Tunnel gebündelt und verschlüsselt werden. VPN-Endpunkte lassen sich entweder per Software oder per Hardware realisieren. fungiert als VPN-Server. je nach Anwendungsgebiet. Die parallele Installation mehrerer unterschiedlicher VPN-Clients auf einem Endgerät sollte daher vermieden werden. zu dem die Verbindung aufgebaut wird. Bei den VPN-Endpunkten muss für eine sichere Authentisierung gesorgt werden. wird zwischen Site-to-Site-. Hierbei ist. welche Systeme den Endpunkt der VPN-Verbindung darstellen. End-to-End. müssen die Empfehlungen aus10.hohe Anforderungen an die Authentisierung des entfernten Benutzers. End-to-End-VPN End-to-End-VPNs werden meist für die Nutzung einzelner Anwendungen verwendet. die sich in unsicheren Netzen befinden. Die Verbindungen lassen sich auf spezielle Systeme und Dienste beschränken. VPN-Endpunkte Bei den VPN-Endpunkten wird grundsätzlich zwischen VPN-Server und VPNClient unterschieden. Werden fremde MitarbeiterInnen beauftragt. Es werden netzübergreifende Zugriffe benötigt.und End-to-Site-VPNs unterschieden. über einen geschützten Kanal an ein zentrales LAN anzubinden. Outsourcing berücksichtigt werden. könnte die gesamte WLAN-Kommunikation mit einem VPN. um gemeinsame Anwendungen betreiben bzw. verschlüsselt übertragen werden. • • Site-to-Site-VPN Mit Site-to-Site-VPNs werden Netze gekoppelt. Bei MitarbeiterInnenn im Außendienst besteht der VPN-Client in der Regel aus einer Software-Applikation auf einem mobilen IT-System. Je nachdem. Ein derartiger VPNClient greift oft sehr stark in das installierte Betriebssystem ein. das unabhängig vom WLAN ist. auch der Einsatz eines Authentisierungsservers. Die Vernetzung der einzelnen VPN-Endpunkte untereinander muss anhand der Ergebnisse der Anforderungsanalyse durchgeführt werden. denkbar. VPN-Typen VPNs können eingesetzt werden.3. die Datenflusskontrolle und die Verfügbarkeit der Anbindung. Eine typische Verwendung für Verbindungen zwischen LANs ist die Anbindung von Außenstellen oder Filialen an das institutionsinterne Netz.

wie beispielsweise spezielle Funktionen des genutzten Transportprotokolls. VPN-Varianten werden häufig auch nach dem eingesetzten VPN-Protokoll benannt. Die Bildung des VPNs erfolgt durch logische Abschottung des VPN-Datenverkehrs vom übrigen Datenverkehr (z. wenn die VPN-Verbindung zwischen verschiedenen Standorte durch vertrauenswürdige externe VPN-Dienstleister gewährleistet wird. Dadurch wird Zugriff auf das gesamte Netz benötigt.• Fernwartung dedizierter Systeme. Outsourcing berücksichtigt werden. MPLS). VPNs werden als Trusted-VPN bezeichnet. ein Trusted-VPN zur Verfügung zu stellen. • Zugriffe über Terminalserver. B. wie beispielsweise TLS/SSL-VPN oder IPSec-VPN. • Zugriffe auf einzelne Anwendungen oder Datenbanken. Systemebene häufig nicht erforderlich. End-to-Site-VPN (Remote-Access-VPN) End-to-Site-VPNs werden auch als Remote-Access-VPN (RAS-VPN) bezeichnet.bzw. TelearbeiterInnen und mobile BenutzerInnen werden in der Regel mit End-to-Site-VPNs in das LAN integriert. Zusätzlich werden zwei grundlegende VPN-Varianten unterschieden: Trusted-VPN und SecureVPN. Berechtigungen auf Administrator.bzw. Systemebene auf dem Terminalserver sind dafür normalerweise nicht erforderlich. bei der Zugriffe auf Administratorebene erforderlich sind. mittels Multiprotocol Label Switching. Zur Absicherung des Transportkanals können jedoch auch andere Methoden eingesetzt werden. die nur über spezielle Einwahl-Knoten erreicht werden können. die auf unterschiedlichen IT-Systemen im LAN einer Institution liegen. Solche VPNs werden für Zugriffe eines Clients auf mehrere Anwendungen verwendet. 334 . Dabei werden die Daten aus dem vertrauenswürdigen Netz in der Regel unverschlüsselt über einen dedizierten Kommunikationskanal zu einem Gateway-Router des Anbieters geleitet. so dass meist VPN-Software auf dem Client-System und ein VPN-Gateway im LAN den Transportkanal sichern. Hierbei sind Berechtigungen auf Administrator. Für mobile NutzerInnen stellen Dienstleister zudem VPNs über Gateway-Router bereit. die vor unberechtigtem Zugriff geschützt sind. Wird ein externer Dienstleister beauftragt. • Integration von Geschäftspartnern oder Kunden in Teilbereiche des zentralen Datennetzes einer Institution. sollte zusätzlich Kapitel 10. Durch Fernzugriff auf ein entferntes System können viele dort installierte Anwendungen genutzt werden. • VPN-Varianten Der Begriff VPN wird oft als Synonym für verschlüsselte Verbindungen verwendet.3.

ein Kombi-Gerät oder eine softwarebasierte VPN-Lösung auf Standard-IT-Systemen (z. So bietet ein Trusted-VPN zum Beispiel keinen Schutz gegen Innentäter des Anbieters. ob das gewählte VPN-Produkt ein dediziertes VPN-Gerät. B. Manche Kombi-Geräte bieten die Möglichkeit. VPN-Geräte Grundsätzlich muss eine Entscheidung darüber getroffen werden. Auch in diesem Fall müssen vertrauliche Daten vor der Übertragung durch Verschlüsselung geschützt werden. VPNs auf Basis von Standard-IT-Systemen: VPN-Geräte können mit frei verfügbaren oder kommerziellen SoftwareKomponenten selbst zusammengestellt werden. ALGs) darstellen. die im eigenen Verantwortungsbereich des VPN-Nutzers liegt. Diese Komponenten können oft auf handelsüblicher Hardware mit Standardbetriebssystemen installiert werden. nachträglich spezielle HardwareVerschlüsselungsmodule zur Steigerung der Performance einzubauen. Application Level Gateways. die im eigenen Verantwortungsbereich des VPN-Nutzers liegt. Die Verschlüsselung kann an den VPN-Endpunkten auf Transportebene (Secure-VPN) oder auf Anwendungsebene erfolgen. da beispielsweise das Betriebssystem bereits gehärtet ist.Für vertrauliche Daten sind Trusted-VPNs ohne zusätzliche Verschlüsselung auf der Anwendungsschicht nicht geeignet. wenn die Kommunikation an den Endpunkten der Verbindung durch Verschlüsselung geschützt wird. Kombi-Geräte: Integrierte VPN-Geräte können beispielsweise Router und andere Komponenten von Sicherheitsgateways (z. Werden für die Realisierung des VPNs dedizierte Carrier-Leitungen eingesetzt. dass die unterschiedlichen Funktionalitäten gemeinsam an einer Stelle administriert werden können. die über eine VPN-Funktionalität verfügen oder entsprechend erweitert werden können. dass sie für den VPN-Einsatz optimiert sind und die sichere Konfiguration vereinfacht wird. Die Kombination verschiedener Funktionalitäten auf einem Gerät kann jedoch zu Lasten der Performance gehen. wie beispielsweise Inhaltsfilterung auf Anwendungsebene. Für die vertrauliche Datenkommunikation empfiehlt sich daher ein Secure-VPN. da die Sicherheit solcher Verbindungen ausschließlich in Händen des VPN-Dienstleisters liegt. Diese Lösung wird auch als Secure-VPN bezeichnet. Kombi-Geräte haben neben den finanziellen Aspekten oft den Vorteil. handelt es sich um eine Sonderform eines Trusted-VPNs. Zusammengestellte VPN-Geräte bieten eine hohe Flexibilität und 335 . Bei einer intensiven VPN-Nutzung ist daher zu prüfen. B. VPN-Appliances haben den Vorteil. ob aus Gründen der Verfügbarkeit oder des Durchsatzes eigenständige VPN-Komponenten vorzuziehen sind. Die Abhängigkeit von Dritten in Bezug auf Vertraulichkeit kann vermieden werden. Linux mit IPSec) sein soll: • • • Dedizierte VPN-Gateways (Appliances): Diese VPN-Produkte dienen ausschließlich der Realisierung von VPNVerbindungen und bieten keine darüber hinausgehenden Funktionalitäten.

Wichtig ist dabei. Folgende Sicherheitsgrundfunktionen müssen bei der Auswahl von VPN-Produkten erfüllt werden: • • • • Identifikation. Die ausgewählten Produkte sollten dabei möglichst flexibel sein und eine nahtlose Integration verschiedenster Techniken ermöglichen. Es muss außerdem möglich sein. die festgelegten Zugriffsrechte auf den VPN-Komponenten abbilden zu können. Ein weiterer Nachteil ist. Authentisierung und Autorisierung: Hierunter fallen die Identifikation und Authentisierung von Systemen untereinander. verschiedene Benutzerkennungen mit unterschiedlichen Rechteprofilen einzurichten. VPN-Software) kontaktiert werden müssen.sind für viele Anwendungsfälle gut geeignet. um geheime und öffentliche Schlüssel für die kryptographischen Mechanismen verwalten. von Systemen gegenüber BenutzerInnen und von BenutzerInnen gegenüber Systemen. Die Installation und Integration der benötigten Komponenten kann jedoch fehlerträchtig sein. die dem Stand der Technik entsprechend. Es muss möglich sein. Daraus können sich Sicherheitsrisiken beim Einsatz eines zusammengestellten VPNGerätes ergeben. Übertragungssicherung: Zur Übertragungssicherung kommen Funktionen zum Einsatz. QoS): Im Zusammenhang mit Netzübergängen ist der Begriff Dienstgüte als Überwachung und Steuerung der Kommunikation zu verstehen. dass das Produkt sichere kryptographische Mechanismen bietet. B. 336 . Dienstgüte (Quality of Service. Außerdem muss die Authentizität der Kommunikationspartner gewährleistet werden. die über ein Sicherheitsgateway erfolgen darf. Bei der Planung und Realisierung des VPNs muss außerdem die Integration der VPN-Endpunkte in ein Sicherheitsgateway berücksichtigt werden. Schlüsselmanagement: Zum Schlüsselmanagement müssen geeignete Funktionen vorhanden sein. dass bei Support-Anfragen meist unterschiedliche Ansprechpartner für die einzelnen Komponenten des VPNGerätes (z. Betriebssystem. verteilen und eventuell auch erzeugen zu können. Ein geeignetes Produkt muss die bei der VPNKonzeption ermittelten Anforderungen erfüllen können und eine Priorisierung von geschäftskritischen Applikationen ermöglichen. Remote-Zugriffe sollten durch eine starke Authentisierung abgesichert werden. Es sollten ausreichend starke anerkannte Authentisierungsverfahren vorhanden sein. Hardware. welche die Vertraulichkeit und Integrität der Daten sichern.

durch modularen Systemaufbau. die aus den geplanten konkreten Einsatzszenarien resultieren. Neben den hier aufgeführten Kriterien müssen weitere spezifische Anforderungen erarbeitet werden. detaillierte Fehlermeldungen)? Ist die Nutzung des VPN-Clients so konfigurierbar. ohne Abstriche in der Sicherheit in Kauf nehmen zu müssen (z. B. Online-Dokumentation. dass die BenutzerInnen möglichst wenig mit technischen Details belastet werden? Ist die Sicherheit dabei trotzdem immer gewährleistet? 337 . gemeinsame Benutzerverwaltung für alle VPN-Zugänge)? Wartbarkeit • • • Kann das Produkt den Ansprüchen an die Performance gerecht werden? Bietet das Produkt Funktionen zur Lastverteilung? • Können im Rahmen der Wartungsverträge maximale Reaktionszeiten für die Problembehebung festgelegt werden? • Bietet der Hersteller einen kompetenten technischen Kundendienst (CallCenter. einfaches Einbinden neuer VPN-Server. B. bei Problemen sofort zu helfen? Zuverlässigkeit/Ausfallsicherheit • • • • Ist das Produkt einfach wartbar? Bietet der Hersteller regelmäßige Software-Updates an? Wird für das Produkt ein Wartungsvertrag angeboten? • • • • • • • Wie zuverlässig und ausfallsicher ist das Produkt? Bietet der Hersteller auch Hochverfügbarkeitslösungen an? Ist das Produkt im Dauerbetrieb einsetzbar? Benutzerfreundlichkeit Lässt sich das Produkt einfach installieren. erhebt jedoch keinen Anspruch auf Vollständigkeit und kann um weitere allgemeine Anforderungen erweitert werden. der in der Lage ist. dass auch ungeübte BenutzerInnen damit arbeiten können. • • Allgemeine Kriterien Performance und Skalierbarkeit • Können die Produkte die zu übertragenen Informationen komprimieren und dekomprimieren? • Kann das Produkt einem zukünftigen Wachstumsbedarf gerecht werden (z. Hotline) an.Die nun folgende Liste gibt einen Überblick über mögliche allgemeine Bewertungskriterien. konfigurieren und nutzen? Genügt das Produkt den geltenden Ergonomievorschriften? Ist insbesondere für den VPN-Client die Benutzerführung so gestaltet. durch kontextsensitive Hilfen.

protokollorientiert. eingestellt werden. wie sich das System nach einem kritischen Fehler verhalten soll? Kann z. Treiber)? Ist das VPN mit gängigen Systemmanagementsystemen kompatibel? Verhalten im Fehlerfall Bleibt die Sicherheit des VPN-Zugangs auch nach einem kritischen Fehler gewährleistet? • Kann konfiguriert werden.und Software zusammen (Betriebssysteme. B. benutzerorientiert. die sich intuitiv bedienen lässt? Ist die administrative Schnittstelle so gestaltet. verbindungsorientiert. dass auf fehlerhafte. dienstorientiert)? 338 . wie detailliert die Protokollierung erfolgt und welche Arten von Ereignissen aufgezeichnet werden? Werden durch die Protokollierung alle relevanten Daten erfasst? Ist die Protokollierung in der Weise möglich. unsichere oder inkonsistente Konfigurationen hingewiesen wird oder diese verhindert werden? • Wird neben der graphischen Administrationsoberfläche auch eine kommandozeilenbasierte Schnittstelle angeboten? • Sind die administrativen Funktionen durch eine adäquate Zugriffskontrolle geschützt? Protokollierung • • • • • • Bietet das Produkt geeignete Funktionen zur Protokollierung an? Ist konfigurierbar. dass nach einem kritischen Fehler automatisch ein Neustart durchgeführt oder der Administrator benachrichtigt wird? Administration Enthält die mitgelieferte Produktdokumentation eine genaue Darstellung aller technischen und administrativen Details? • Kann die Administration über eine graphische Benutzeroberfläche erfolgen. Einsteckkarten . B.• • Funktion Installation und Inbetriebnahme • • • • • • • Kann die Installation der VPN-Client-Software automatisiert mit vorgegebenen Konfigurationsparametern erfolgen? Ist die Installation der VPN-Client-Software auch für weniger versierte MitarbeiterInnen durchführbar? Können wichtige Konfigurationsparameter vor Veränderungen durch BenutzerInnen geschützt werden? Arbeitet das Produkt mit gängiger Hard. dass die Daten nach unterschiedlichen Kategorien erfasst werden können (z.

SLIP)? • Unterstützt das VPN-Produkt die gängigen Dienstprotokolle für den entfernten Zugriff (z. B. technologieabhängige Mechanismen (z. SSL) unterstützt? • Bietet das VPN-Produkt je nach verwendeter Zugangstechnologie zusätzliche. ATM)? • Unterstützt das VPN-Produkt WAN-seitig alle geplanten Zugangstechnologien (z. TCP/IP)? • Werden für den Internet-basierten Zugriff die gängigen Tunnel-Protokolle (z. Authentisierung und Zugriff • • Sind die Protokolldaten mit einem Zugriffsschutz versehen? • • • • Bietet das Produkt geeignete Funktionen zur gesicherten Datenübertragung an? Erfolgt die Absicherung der Kommunikation durch standardisierte Mechanismen? 339 . L2F. analoge Telefonleitung. PPTP. ISDN. die für und in der Institution gelten. B. ein Benutzerkonto zu sperren. Mobiltelefon. PPP. so dass auch Fremdsysteme zur Protokollierung benutzt werden können (z. IPSec. B. • Kann die Protokollierung an die spezifischen Bestimmungen des Datenschutzes. B. B. ausreichend? • Unterstützt das VPN-Produkt die gängigen Protokolle für den entfernten Zugang über Telekommunikationsnetze (z.• Können die Protokolldaten nicht nur lokal gespeichert werden. insbesondere hinsichtlich Übertragungsformat und Übertragungsprotokoll? • Bietet das Produkt die Möglichkeit an. Rückruf des VPN-Clients durch den VPN-Server) an? Sicherheit: Kommunikation. die sich gleichzeitig in den VPN-Server einwählen können. beim Auftreten bestimmter Ereignisse den Administrator zu informieren oder auch geeignete Schutzmaßnahmen automatisch durchzuführen? Beispielsweise ist es oft sinnvoll. Kanalbündelung für ISDN. syslog)? Können die Protokolldaten abgesichert übertragen werden? • Bietet das Produkt leicht bedienbare Funktionen zur Auswertung der Protokolldaten an? • Kann die Protokollierung mit dem eingesetzten Systemmanagementsystem zusammenarbeiten.25)? • Ist die Anzahl der VPN-Clients. X. sondern auch auf entfernten Rechnern (zentrales Protokoll)? Werden für die entfernte Speicherung gängige Verfahren angeboten. angepasst werden? Kommunikation und Datenübertragung Unterstützt das VPN-Produkt LAN-seitig alle relevanten Netzwerktechnologien (z. B. wenn mehrere fehlgeschlagene Authentisierungsversuche in Folge für das jeweilige Benutzerkonto festgestellt werden. B. Ethernet.

340 . MOA-ID) einzubinden? Sind alle Anforderungen an das zu beschaffende Produkt dokumentiert. so müssen die am Markt erhältlichen Produkte dahingehend untersucht werden. bevor ihnen Zugang zu lokalen Ressourcen gewährt wird? Können mehrere Authentisierungsmechanismen miteinander verknüpft werden? Ist die Systemarchitektur so aufgebaut. inwieweit sie diese Anforderungen erfüllen. voranstehende Maßnahmen)). TACACS+.6.3] 10. RADIUS? Ist es möglich. Es ist zu erwarten. dass nicht jedes Produkt alle Anforderungen gleichzeitig oder gleich gut erfüllt. z. SecureID.6. ob die ausgewählten Produkte tatsächlich die Anforderungen ausreichend erfüllen und kompatibel mit den vorgesehenen Technologien sind. Grundvoraussetzung für den sicheren VPN-Betrieb ist. dass die Installation und Konfiguration aller Komponenten gewissenhaft erfolgt und sich mit den gewählten VPN-Produkten auch tatsächlich die geforderten Sicherheitsfunktionen umsetzen lassen. B. dass neue Authentisierungsmechanismen nachträglich integriert werden können? Erlaubt das VPN die Nutzung eines oder mehrerer gängiger externer Authentisierungsdienste. 11.• • • • • • • Sind alle verwendeten kryptographischen Verfahren etabliert. Vor der Installation muss überprüft werden. sobald die erforderlichen Komponenten dafür beschafft worden sind (vgl.B.4 Mit dem Aufbau eines VPNs kann begonnen werden. Auf der Grundlage der durchgeführten Produktbewertung kann dann eine fundierte Kaufentscheidung getroffen werden.2. Die Auswahl der VPN-Geräte stellt einen wesentlichen Aspekt für den reibungslosen Betrieb eines VPNs dar.11 Remote Access (VPN) . zusätzliche externe Authentisierungsdienste (z. da spätere Änderungen oft mit hohen Kosten oder auch mit Sicherheitseinbußen verbunden sind. Daher sollten die einzelnen Anforderungen entsprechend ihrer Relevanz für die Institution gewichtet werden. Die Entscheidung muss daher gut überlegt sein. Analog kann auch der Erfüllungsgrad einer Anforderung durch das jeweilige Produkt in mehrere Stufen eingeteilt werden. und entsprechen sie dem Stand der Technik? Erlaubt die Produktarchitektur eine nachträgliche Installation neuer Sicherheitsmechanismen? Bietet das Produkt geeignete Funktionen zur Authentisierung der BenutzerInnen.Implementierung ISO Bezug: 27002 10. [eh SYS 7.

dürfen nur von qualifiziertem IT-Personal installiert werden.Zusätzlich muss die Sicherheit der IT-Systeme gewährleistet werden. Beispielsweise muss geklärt werden. die für die IT-Komponenten zu beachten sind. 11. Dies betrifft besonders IT-Systeme. Abweichungen von der festgelegten Systemarchitektur (beispielsweise zusätzliche Verbindungen) müssen hierbei begründet und dokumentiert werden.2. ob die nötigen Personalressourcen für eine VPN-Installation auch in anderen Ländern zur Verfügung stehen.6. Andererseits muss beim Einsatz von Appliances den Vorgaben des Herstellers vertraut werden. beispielsweise Laptops von AußendienstmitarbeiterInnenn. auf denen die VPN-Komponenten eingesetzt werden. B.1 Sichere Installation des VPN-Systems ISO Bezug: 27002 10. dass die Installation mit den Planungsvorgaben übereinstimmt. Die Installation und Konfiguration der VPN-Komponenten ist zu dokumentieren.10. Die Qualität der Dokumentation spielt im Hinblick auf die kontinuierliche Verbesserung des VPNs eine wesentliche Rolle. wenn die zu vernetzenden Standorte geografisch weit voneinander entfernt sind. durch Funktionsprüfungen bzw. auf denen ein Standard-Betriebssystem installiert ist und das als VPN-Endpunkt betrieben wird (Beispiel: Linux-System mit VPN-Unterstützung). Dies kann vor allem dann schwierig sein. B. Es gibt auch VPN-Komponenten.4 Zusätzlich zu den generellen Sicherheitsmaßnahmen. Firmware-Updates eingespielt werden. dass die Installation aller VPN-Komponenten durch qualifiziertes Personal durchgeführt wird. 341 . Bei den eingesetzten Produkten müssen vor der Inbetriebnahme alle aktuellen sicherheitsrelevanten Patches bzw. Es dürfen in dieser Phase also keine Verbindungen zu anderen Netzen vorhanden sein. Es muss sichergestellt werden. Selbsttests oder Lasttests). z. wie sie in den jeweiligen Bausteinen der IT-Grundschutz-Kataloge beschrieben werden.11. für die Konfiguration des Betriebssystems. Auch VPN-Endpunkte auf mobilen IT-Systemen.6. 10. Dies kann entweder durch eine separate Installationsdokumentation erfolgen oder aber durch eine Bestätigung. bei denen die Konfiguration der Plattform vom Hersteller vorgegeben ist und nicht geändert werden kann (VPNAppliances). 10. Die korrekte Funktion jeder einzelnen Komponente muss überprüft werden (z. Der Einsatz solcher VPN-Geräte spart einerseits Zeit und es wird im Gegensatz zu einer individuellen Lösung weniger fachkundiges IT-Personal benötigt. Daher sind zunächst die generellen Sicherheitsmaßnahmen für jedes dieser Betriebssysteme umzusetzen. sollten im Rahmen der Installation einesVPN-Systems folgende Punkte Beachtung finden: • • • • • Während der Installationsphase sollten weder BenutzerInnen noch Dritte auf das VPN oder Teile davon zugreifen dürfen.

da es durch eine ungeeignete Konfiguration von VPN-Komponenten zu einem Verlust der Verfügbarkeit des Netzes oder Teilen davon kommen kann. Beispielsweise sollten die Verschlüsselung der Verbindung sowie die eingesetzten Authentisierungsfunktionen mittels eines Netzanalyse-Tools überprüft werden Bevor das System in den Produktiveinsatz genommen wird. bereits in der Testumgebung Performance-Messungen und einen Testlauf der Schlüsselverteilung durchzuführen. ergibt sich eine erhöhte Komplexität der Gesamtkonfiguration. dass es genau eine sichere (und statische) Konfiguration gibt. Diese muss das System in einen sicheren Betriebszustand überführen. durch Personaländerungen. Unabhängig davon. Systemerweiterungen). neue Nutzungsszenarien. die einmal eingestellt und nie wieder verändert wird. Der Verlust der Vertraulichkeit von Informationen oder der Datenintegrität ist ebenfalls denkbar. 11.6. Da ein VPN aus mehreren Komponenten und deren Konfiguration besteht. Fehlfunktionen und/oder Ausfällen führen. Ist die grundlegende Installation erfolgt. kann nicht davon ausgegangen werden. dass jeweils nur 342 . Nach Abschluss der Installation ist die korrekte Funktion des Gesamtsystems zu überprüfen (Abnahme und Freigabe der Installation). muss es in einer vom Produktivnetz getrennten Umgebung aufgebaut und entsprechend getestet werden.2.4 Alle VPN-Komponenten müssen sorgfältig konfiguriert werden. Da die Konfiguration eines VPN-Systems in der Regel Veränderungen unterworfen ist (z. Die dabei gewonnenen Erkenntnisse und Korrekturmaßnahmen müssen angemessen dokumentiert und in das Feinkonzept eingearbeitet werden.11.• • Für jede sicherheitsrelevante Einstellung muss ein Funktionstest der Sicherheitsmechanismen durchgeführt werden. Das Ändern eines Konfigurationsparameters bei einer Komponente kann im Zusammenspiel mit den anderen Komponenten zu Sicherheitslücken. Für den reibungslosen Betrieb des VPNs sind die in 10.2 Sichere Konfiguration des VPN-Systems ISO Bezug: 27002 10. damit anschließend der laufende Betrieb aufgenommen werden kann. Vielmehr wird die Konfiguration üblicherweise fortlaufend geändert. spielt daher die korrekte Konfiguration der beteiligten Komponenten eine wesentliche Rolle. B.6. Es ist Aufgabe der für das VPN zuständigen Administratoren.4] 10.6. ob es sich bei VPN-Komponenten um dedizierte Hardware (Appliances) oder softwarebasierte Systeme handelt. Ebenfalls ist es empfehlenswert. so kann mit der in der Folge beschriebenen sicheren Konfiguration des VPNs begonnen werden.12 Sicherer Betrieb des VPN-Systems erwähnten Handlungsweisen essenziell. dass nur die zum Test befugten Personen Zugriff auf das VPN erhalten. Bei allen durchgeführten Tests ist darauf zu achten. [eh SYS 7.

sichere Versionen der Systemkonfiguration definiert werden und das System von einer sicheren Konfiguration in die nachfolgende sichere Konfiguration überführt wird. Schließlich sollten sichere Notfallkonfigurationen im Rahmen der Notfallplanung definiert und dokumentiert werden. eine erste Betriebskonfiguration einzustellen. ob neu bekannt gewordene Sicherheitslücken Anpassungen erfordern.5] 10. 11..6.11. ausreichend komplexe Passwörter ersetzt werden Nach der Installation und vor der Inbetriebnahme muss . 11.ausgehend von der Default-Konfiguration . den Zugang zum VPNSystem zu sperren. Sie dienen dazu. 11. [eh SYS 7. Es empfiehlt sich.6. um z. Zusätzlich müssen alle organisatorischen Abläufe definiert 343 . für jede der definierten Situationen eine adäquate Notfallkonfiguration festzulegen. sind nicht unbedingt auf Sicherheit. so dass nur die berechtigten Administratoren Veränderungen vornehmen können. In der Regel werden durch die Notfallplanung mehrere Notfallsituationen definiert. Hier sollten möglichst restriktive Einstellungen gelten. Die Grundeinstellungen.und Softwarekomponenten.6. Alle Änderungen und die jeweils aktuelle Einstellungen müssen nachvollziehbar dokumentiert sein.eine sichere Anfangskonfiguration durch die Administratoren eingestellt werden. 12. Die sicheren Betriebskonfigurationen ergeben sich aus den jeweiligen Konfigurationen im laufenden Betrieb. die das geplante Sicherheitskonzept umsetzt.6.2 Sichere Konfiguration des VPN-Systems) der beteiligten Hard.10.4.11.6.5.B. auch bei eingeschränkter Betriebsfähigkeit die Sicherheit aufrechtzuerhalten. die Grundeinstellungen zu überprüfen und entsprechend den Vorgaben der Sicherheitsrichtlinie anzupassen. Voraussetzungen hierfür sind die sichere Installation (vgl. 11. Im einfachsten Fall besteht die Notfallkonfiguration darin.12 Sicherer Betrieb des VPN-Systems ISO Bezug: 27002 10.3 VPNs sind aufgrund der übertragenen Daten attraktive Ziele für Angreifer und müssen daher sicher betrieben werden. die vom Hersteller oder Distributor einer VPN-Komponente vorgenommen werden. Generell kann zwischen den folgenden Konfigurationskategorien unterschieden werden: • • • • Die Default-Konfiguration ergibt sich durch die vom Hersteller voreingestellten Werte für die Konfigurationsparameter. Der erste Schritt bei der Grundkonfiguration muss daher sein. sondern auf eine einfache Installation und Inbetriebnahme optimiert.2. Standardpasswörter müssen durch eigene.1 Sichere Installation des VPN-Systems) und Konfiguration (vgl. 10.7. Hier muss auch regelmäßig überprüft werden.

Insbesondere mobile Clients sind hier einer besonderen Gefahr ausgesetzt. Damit eine geregelte Benutzer-Authentisierung beim VPN-Zugriff möglich ist. Die Rollen Administrator und Revisor dürfen nicht der gleichen Person zugeordnet werden. Die im Rahmen der Überwachung gesammelten Informationen sollten regelmäßig durch geschulte Administratoren kontrolliert werden. Sie sollten dabei nach Möglichkeit durch eine Software zur Auswertung von Protokollierungsdaten unterstützt werden. müssen für diesen Fall spezielle Mechanismen. Revision: Das VPN-System sollte in regelmäßigen Abständen einer Revision unterzogen werden. so sind sofort die vorher festgelegten Maßnahmen zu ergreifen. da diese physikalisch besonders leicht anzugreifen sind (Diebstahl. Werden Sicherheitsvorfälle festgestellt. Ist ein Client kompromittiert. dass die angestrebte Systemsicherheit nur gewährleistet werden kann. Die Bestimmungen des Datenschutzes sind zu beachten. B. Meldewege und Zuständigkeiten). die den Schutz des Clients gewährleisten können. Da VPN-Clients in der Regel in nicht vollständig kontrollierten Umgebungen betrieben werden.und Management-Werkzeugen einer ständigen Überwachung unterliegen. damit die übertragenen Daten geschützt sind. Für jede Verbindung sollte die Absicherung der Kommunikation durch eines der im VPN-Sicherheitskonzept erlaubten Verfahren erzwungen werden. Dies kann durch zentrale Verwaltung der Daten (Authentisierungsserver) oder durch periodischen Abgleich geschehen. Im Umfeld des Servers sind folgende Empfehlungen für den sicheren Betrieb zu berücksichtigen: • • • • • • • Der VPN-Zugang sollte durch den Einsatz von Protokollierungs. Vandalismus). Für jede Verbindungsaufnahme ist immer die Benutzer-Authentisierung über den gewählten Mechanismus durchzuführen. dass dadurch auch die Sicherheit des LANs beeinträchtigt wird.und umgesetzt worden sein (z. 344 . muss die Konsistenz der Authentisierungsdaten sichergestellt sein. so besteht die Gefahr. Verfahren und Maßnahmen zum Einsatz kommen. Die Sicherheit eines VPN-Systems lässt sich grob in drei Bereiche aufteilen: • • • die Sicherheit des VPN-Servers. die Sicherheit der VPN-Clients und die Sicherheit der Datenübertragung. wenn auch die physikalische Sicherheit der beteiligten Hardware-Komponenten sichergestellt ist. Weiterhin ist zu beachten.

Anwendungsprogramme) auf geregeltem Weg eingespielt werden. Der Nachteil bei einer dynamischen Vergabe der Netzadressen besteht darin. welcher VPN-Client eine bestimmte Aktion ausgeführt hat. sollten sie durch zusätzliche Maßnahmen gesichert werden. Anderenfalls ist es meist nicht möglich festzustellen. Hierzu wird bei jedem Zugriff. Da mobile VPN-Clients größeren Risiken ausgesetzt sind als stationäre. so dass die Rechner regelmäßig auf (unzulässige) Konfigurationsveränderungen untersucht werden müssen. Hierzu bietet sich eine Festplattenverschlüsselung an. Entfernte Rechner stellen jedoch erhöhte Anforderungen an das Systemmanagement. auf den VPN-Clients so genannte PC-Firewalls einzusetzen und so vor unberechtigten Zugriffen aus dem Internet durch Dritte zu schützen. Insbesondere beim Zugriff über Internetverbindungen ist die Installation von Viren-Schutzprogrammen auf allen VPN-Clients notwendig. um eine neue Regel zu definieren. dass von abhanden gekommenen Geräten weder Daten ausgelesen noch unbefugt eine VPNVerbindung aufgebaut werden kann. Falls TCP/IP als Protokoll verwendet wird. soweit dies möglich ist. dass die Daten nicht nur über das Telekommunikationsnetz eines Anbieters 345 . Es sollte überlegt werden. Da es für den/die Benutzer/in jedoch in vielen Fällen schwierig ist. ablehnen. für VPNClients feste IP-Adressen zu benutzen und diese nicht dynamisch zu vergeben. erlaubt jedoch eine eindeutige Zuordnung von Netzadresse und Rechner.Für den sicheren Betrieb von VPN-Clients sind daher folgende Aspekte zu berücksichtigen: • • Die Grundsicherheit des IT-Systems muss gewährleistet sein.13 ff ) filtern PC-Firewalls die Pakete der Netzkommunikationsprotokolle. bedingte Verarbeitung) angeboten. Die Filterregeln können jedoch meist dynamisch durch den/die Benutzer/in erzeugt werden.6. da diese nicht permanent mit dem Netz verbunden sind. Die dabei benutzten Netzkomponenten unterliegen meist nicht der Kontrolle durch den Betreiber des LANs. welchem VPNClient zu welchem Zeitpunkt eine bestimmte Netzadresse zugewiesen wurde. mit dem die Verbindung aufgebaut werden soll. Andererseits können so einfach Software-Updates (Viren-Datenbanken. Es muss weiter davon ausgegangen werden.B. • • • • Die Kommunikationsverbindung zwischen VPN-Client und VPN-Server wird in der Regel über Netze von Dritten aufgebaut. dass protokolliert werden muss. um sicherzustellen. Dieses Vorgehen bedeutet zwar einen höheren administrativen Aufwand (Wartung der Zuordnungstabellen). sollte der Regelsatz durch einen Administrator vorinstalliert werden. Dies erlaubt einerseits die Überwachung der Clients im Rahmen der Aufrechterhaltung des laufenden Betriebes. für den noch keine Regel vorliegt. eine Auswahl an möglichen Reaktionen (z. Ähnlich wie herkömmliche Firewalls (siehe Kapitel 10. sollte überlegt werden. Auch VPN-Clients sollten in das Systemmanagement einbezogen werden. erlauben. zwischen erlaubten und unberechtigten Zugriffen zu unterscheiden.

Zu beachten ist jedoch.4.2.2 Einsatz geeigneter Tunnel-Protokolle für die VPN-Kommunikation ). Verschlüsselung durch Netzkoppelelemente Neben der Absicherung der Kommunikation durch Software kann auch der Einsatz von verschlüsselnden Netzkoppelelementen (Router.übertragen werden. IPsec) standardmäßig. müssen Sicherheitsmaßnahmen getroffen werden.6. siehe auch 11.4. die z. Um diesen Anforderungen an den Schutz der Daten gerecht zu werden. wenn von der Verschlüsselung auf niedriger Protokollebene aus bestimmten Gründen kein Gebrauch gemacht werden kann. Dies gilt insbesondere beim Zugriff auf ein LAN aus dem Ausland.B.13 Entwicklung eines Firewallkonzeptes ISO Bezug: 27002 10. die Vertraulichkeit der Daten sicherstellen. sondern dass auch die Netze von Kooperationspartnern des Telekommunikationsanbieters benutzt werden. Dazu muss ein geeignetes Verfahren ausgewählt werden.6. Relevant sind hier unter anderem: • • • • Tunneling: Die Kommunikation kann auf niedriger Protokollebene verschlüsselt werden (so genanntes Tunneling. SSL/TLS-Verschlüsselung: Zur Verschlüsselung kann auch SSL/TLS eingesetzt werden. 11. Die herkömmlichen VPN-Systeme stellen solche Verfahren (z. Modems) erwogen werden. Diese sind besonders für den stationären Einsatz und zur Anbindung mehrerer Rechner sinnvoll. Dies gilt besonders für Zugriffe auf WWWServer oder E-Mail-Server über WWW-Browser. da die Verschlüsselung transparent erfolgt und die Clients und Server nicht belastet werden. dass die Geräte sorgfältig konfiguriert und gewartet werden müssen. die standardmäßig SSLgesicherte Kommunikation unterstützen. E-Mail-Verschlüsselung: Für den Austausch von E-Mails über unsichere Kanäle kann die Nutzung von EMail-Verschlüsselung sinnvoll sein [eh SYS 7. Daher gilt für die Datenübertragung: • • Die Nutzung der Datenverschlüsselung für alle übertragenen Daten ist für den sicheren Betrieb zwingend erforderlich.B. j edoch in unterschiedlicher Zahl und Ausprägung zur Verfügung. Um dem Schutzbedarf der so übertragenen Daten gerecht zu werden.5 346 .6] 10. können verschiedene Sicherungsmechanismen für VPN-Verbindungen benutzt werden. Es sollten Signaturmechanismen eingesetzt werden. um die Authentizität und Integrität der Daten sicherzustellen.

Diese Sicherheitseinrichtungen.1 Erstellung einer Internet-Sicherheitspolitik ). korrekt installiert und korrekt administriert werden. B. über eine gesicherte Konsole.9. Ein administrativer Zugang zur Firewall darf nur über einen gesicherten Weg möglich sein. Eine Konsole sollte in einem Serverraum aufgestellt sein 347 . Die Firewall muss • • • • auf einer umfassenden Sicherheitspolitik aufsetzen (vgl. Damit eine Firewall einen wirkungsvollen Schutz eines Netzes gegen Angriffe von außen bietet. Der Anschluss an ein Fremdnetz darf erst dann erfolgen. müssen folgende grundlegende Bedingungen erfüllt sein. müssen einige grundlegende Voraussetzungen erfüllt sein: • • • Jede Kommunikation zwischen den beiden Netzen muss ausnahmslos über die Firewall geführt werden. muss eine geeignete Firewall eingesetzt werden. Dafür muss sichergestellt sein. angeboten werden angeboten werden. dass die Firewall die einzige Schnittstelle zwischen den beiden Netzen darstellt. daher dürfen auf einer Firewall nur die dafür erforderlichen Dienste verfügbar sein und keine weiteren Dienste wie wie z.IT-Systeme. Eine Firewall darf ausschließlich als schützender Übergang zum internen Netz eingesetzt werden. werden als “Firewalls” bezeichnet. Die Aufgaben und Anforderungen an die Firewall müssen in der InternetSicherheitspolitik festgelegt werden. Es müssen Regelungen getroffen werden..B. dass mit dem gewählten Firewallkonzept sowie den personellen und organisatorischen Randbedingungen alle Risiken beherrscht werden können. eine verschlüsselte Verbindung oder ein separates Netz. in der IT-Sicherheitspolitik und dem IT-Sicherheitskonzept der Organisation eingebettet sein. Damit eine Firewall effektiven Schutz bieten kann. dürfen nur unter Verwendung ausreichender Sicherheitseinrichtungen mit Fremdnetzen verbunden werden. die zeitweise oder dauernd an Produktionsnetze angeschlossen sind.oder mehrstufigen System bestehen. dass keine weiteren externen Verbindungen unter Umgehung der Firewall geschaffen werden dürfen. ein Webserver. 10. die im Allgemeinen aus einem zwei. Um die Sicherheit des zu schützenden Netzes zu gewährleisten. also z. wenn überprüft worden ist.

). Dienst. da zu viele WWW-Server auch als Proxies nutzbar sind.4 Zutrittskontrolle und 9. 9. Ein Firewall-Administrator muss fundierte Kenntnisse über die eingesetzten IT-Komponenten besitzen und auch entsprechend geschult werden. Sobald Benutzer/innen eine Kommunikation über eine Firewall herstellen dürfen. In diesem Zusammenhang ist auch der Raum. Es ist zu entscheiden..1. Jede Sicherheitspolitik muss konzeptionell auf bestmögliche Reduktion des eventuellen Schadensfalles ausgelegt sein (Betrieb von Teilnetzen. Für die Konzeption und den Betrieb einer Firewall muss geeignetes Personal zur Verfügung stehen. kann aber keine Aussagen zum eigentlichen Inhalt der E-Mail machen. . Eine Protokollprüfung bestätigt beispielsweise. Das Firewallkonzept muss sich permanent an Betriebserfahrungen der Firewall sowie aktuellen Entwicklungen orientieren und bei Bedarf unverzüglich angepasst werden. zusammen mit den Netzwerkeinrichtungen wie Routern einer besonderen Zugangskontrolle zu unterwerfen (vgl. nicht die Inhalte..6 Serverräume ). Eine Firewall kann das interne Netz vor vielen Gefahren beim Anschluss an das Internet schützen. Zeit. Damit könnte ein/e Innentäter/in jemandem Externen den Zugriff auf interne Rechner ermöglichen. können sie über das verwendete Kommunikationsprotokoll beliebige andere Protokolle tunneln.• • • • • • Eine Firewall baut auf einer für das zu schützende Netz definierten Sicherheitspolitik auf und gestattet nur die dort festgelegten Verbindungen. Richtung und Benutzer getrennt) festgelegt werden können. Eine Einschränkung der Internetzugriffe auf festgelegte Webserver ist in der Realität unmöglich. aber nicht vor allen. Der zeitliche Aufwand für den Betrieb einer Firewall darf nicht unterschätzt werden. Alleine die Auswertung der angefallenen Protokolldaten nimmt erfahrungsgemäß viel Zeit in Anspruch. dass eine E-Mail mit ordnungsgemäßen Befehlen zugestellt wurde. ob besonders sensible Daten im Netz besser und kostengünstiger durch organisatorische als durch technische Maßnahmen geschützt werden sollen. Diese Verbindungen müssen gegebenenfalls sehr detailliert (bis hin zu einer individuellen Angabe von IP-Adresse. in dem die Firewall betrieben wird.5. 348 . so dass eine Sperrung bestimmter IP-Adressen leicht umgangen werden kann. Beim Aufbau einer Firewall und der Erarbeitung einer Firewall-Sicherheitspolitik sollte man sich daher die Grenzen einer Firewall verdeutlichen: • • • • Es werden Protokolle überprüft. frühzeitiger Einsatz von Routern. Die Filterung von aktiven Inhalten ist unter Umständen nur teilweise erfolgreich. Die Benutzer/innen des lokalen Netzes sollten durch den Einsatz einer Firewall möglichst wenig Einschränkungen hinnehmen müssen.

Im Extremfall kann die Software der Firewall selbst Hintertüren enthalten. ob eine E-Mail vom Empfänger erwünscht ist oder nicht. Die korrekte Konfiguration der Komponenten der Firewall ist oft sehr anspruchsvoll. Firewalls schützen nicht vor allen Denial-of-Service-Attacken.• • • • • • • • • • • • • • • Die Filtersoftware ist häufig noch unausgereift. Eine Firewall schützt nicht vor Social Engineering. Wird beispielsweise der Rechner. Fehler in der Konfiguration können zu Sicherheitslücken oder Ausfällen führen. Außerdem gibt es immer wieder Implementationsfehler von Protokollen auf Endgeräten. Wenn die Komponenten desrFirewall falsch dimensioniert sind. Leider ermöglichen viele Firewalls es nicht. Eine Firewall kann zwar einen Netzübergang sichern. kann auch die beste Firewall nicht helfen. Spam-Mails dürften erst dann verschwinden. zu langsamer Prozessor). Zudem können URL-Filter durch Nutzung von "Anonymizern" umgangen werden. die eine Firewall nicht abfangen kann. Es kann nicht verhindert werden. Eine Firewall schützt nicht vor dem Missbrauch freigegebener Kommunikation durch Innentäter ("Insider-Angriffe"). sie hat aber keinen Einfluss auf die Sicherheit der Kommunikation innerhalb dieser Netze! Auch die speziell unter Sicherheitsaspekten entwickelten Komponenten von Firewalls können trotz großer Sorgfalt Programmierfehler enthalten. Keine Firewall kann zweifelsfrei feststellen. die Anbindung zum Provider lahm legt. zur Bildung von abgesicherten Teilnetzen. durch Hintereinanderschaltung von verschiedenen Firewalls eine erhöhte Sicherheit zu erlangen. 349 . Eingebaute Hintertüren in der verwendeten Software können eventuell auch durch eine Firewall hindurch ausgenutzt werden. Ist die Dokumentation der technischen Ausstattung der Firewall durch den Hersteller mangelhaft.B. wenn innerhalb der Firma auch Firewalls eingesetzt werden. dass nicht alle Arten der Adressierung erfasst werden. so kann dies die Geschwindigkeit des Internetzugriffes stark beeinträchtigen. Firewalls können nur begrenzt gegen eine absichtliche oder versehentliche Fehlkonfiguration der zu schützenden Clients und Server schützen. dass Angreifer die Komponenten der Firewall mit Hilfe von Schwachstellenscannern analysieren. kann die Verfügbarkeit beeinträchtigt werden.B. z. Beispielsweise ist es möglich. auf dem ein HTTP-Sicherheitsproxy läuft. wenn die Absender zweifelsfrei nachweisbar sind. # Eine Firewall kann nicht gegen die bewusste oder unbewusste Missachtung von Sicherheitsrichtlinien und -konzepten durch die Anwender schützen. Gerade in größeren Firmen ist dies problematisch. zu schwach dimensioniert (zu wenig Arbeitsspeicher. Die Filterung von Spam-Mails ist noch nicht ausgereift. so begünstigt dies Fehler bei Konfiguration und Administration. Dies ist aber mit dem herkömmlichen Protokoll SMTP alleine nicht realisierbar. Wenn ein/e Angreifer/in z.

Würmer.. 11. die von Mitarbeitern auch extern benutzt werden.6. vgl.15 Sicherer Betrieb einer Firewall ) sowie Weitermeldung der erhobenen Fakten an die/den Vorgesetzte/n 350 .14 Installation einer Firewall ISO Bezug: 27002 10. Eine Firewall schützt auch nicht davor. Überprüfung der Installation durch Querlesen der Definitionen und Funktionskontrolle Dokumentation der Installation zum Zweck der Nachvollziehbarkeit.1. [eh SYS 8. Vorschriften und Regelungen ) Bestimmung der Sicherheitsverantwortlichen (Datenschutz-/ITSicherheitsbeauftragte/r (soweit nicht bereits nominiert) und Bereichs-ITSicherheitsbeauftragte/r ("Internet-Sicherheitsbeauftragte/r") Definition der angebotenen und anzufordernden Dienste Analyse der Hard. B. an das interne Netz angeschlossen. CD-ROM.1 Bei der Installation einer Firewall sind folgende Schritte in der angegebenen Reihenfolge zu setzen (vgl.2] 10. Diskette. dass Schadprogramme auf Austauschmedien.6.1 Verpflichtung der Mitarbeiter/innen auf Einhaltung einschlägiger Gesetze.2.• • # Werden mobile Endgeräte (Laptop. 10. [KIT S04] ): • • • • • • • • • • Festlegen der Sicherheitspolitik sowie der Benutzerordnung durch organisatorisch und technisch Verantwortliche in Zusammenarbeit mit Benutzervertretern/Benutzervertreterinnen (vgl.3. 12. Trojanische Pferde) in das vertrauenswürdige Netz eingeschleppt werden.2. 10. 11. so kann auf diese Weise Schadsoftware (Viren. 10.6. auch 8. PDA etc.und Softwarevoraussetzungen im internen Netz Auswahl geeigneter Produkte Installation und Konfiguration der Firewall Der administrative Zugang zur Sicherheitseinrichtung darf nur über einen gesicherten Weg möglich sein. z. USB-Stick in das vertrauenswürdige Netz eingeschleppt werden.).6.4. der Wartung und der Validierung Laufende Beobachtung und Wartung Periodische Sicherheitsüberprüfung durch befugte Externe zu nicht angekündigten Zeitpunkten mindestens einmal im Quartal ("Screening".

5. Filtern etc. Im Bereich der öffentlichen Verwaltung sollten diese Projekterfahrungen an die IKT Koordinierungsstelle weitergegeben werden.B. Administration Die Administration einer Firewall umfasst die nachfolgend angeführten Aufgaben: • • • • • • • Anlegen und Entfernen von Benutzerinnen/Benutzern. Insbesondere müssen die für den Betrieb der Firewall getroffenen organisatorischen Regelungen regelmäßig oder zumindest sporadisch auf ihre Einhaltung überprüft werden. 15.und Weiterbildung des administrierenden Personals [eh SYS 8.1. 351 .6.1. 13.1. Funktionen etc. durch Lesen der entsprechenden Newsletter) sowie entsprechende Weiterbildung Durch eine angemessene Stellvertreterregelung (und eine entsprechende Schulung der Stellvertreter/innen) ist eine kontinuierliche Administration zu gewährleisten. 14.2. Profilen. 11. Alle Sicherheitskontrollen sollten zumindest teilweise auch durch Externe vorgenommen werden. Es sollte in zyklischen Abständen kontrolliert werden. 15.4.4. ob neue Zugänge unter Umgehung der Firewall geschaffen wurden.6. 11.15 Sicherer Betrieb einer Firewall ISO Bezug: 27002 10.3] 10.2.• • • Revision der Behebung der bei den Sicherheitstests erhobenen Mängel Sammlung der relevanten Projekterfahrungen als Grundlage für eine Weiterentwicklung der Internet-Sicherheitspolitik und des Firewallkonzeptes.1.1. 13.6. Aus. Ändern von Berechtigungen. Kontrolle und Auswertung der Logfiles Einschränken und Beenden des Internetzugangs Weiterleitung sicherheitsrelevanter Beobachtungen an die in der Sicherheitspolitik definierten Instanzen Benachrichtigung der zuständigen Instanzen bei Entdecken von Angriffen aus dem Internet Verfolgen der aktuellen Entwicklungen im Bereich Sicherheit (z.2 Für einen sicheren Betrieb einer Firewall sind eine fachgemäße Administration sowie eine regelmäßige Überprüfung auf die korrekte Einhaltung der umgesetzten Sicherheitsmaßnahmen (Screening) erforderlich. 12.

ein/e Benutzer/in. So darf z. Um ein Mitlesen oder Verändern der Authentisierungsinformationen zu verhindern. eine Firewall regelmäßig (etwa einmal pro Quartal) durch eine geeignete Instanz kontrollieren zu lassen. blockiert werden. Security Compliance Checking. dass nur die Dienste zugelassen werden.Regelmäßige Überprüfung Zusätzlich zu den regelmäßigen Wartungsaktivitäten ist es erforderlich. ist verboten" realisiert sein. Im Fehlerfall ist die Firewall abzuschalten. Es müssen in regelmäßigen Abständen Integritätstests der eingesetzten Software durchgeführt werden. dass alle Verbindungen. Dies könnte z. Dies muss auch bei einem völligen Ausfall der FirewallKomponenten gelten. die in der Sicherheitspolitik vorgesehen sind.) Eine derartige Prüfung ist wie folgt durchzuführen: • • • • • • • • • • Überprüfung der Installation von außen interne Überprüfung der Internet-Sicherheitspolitik interne Überprüfung der Konfiguration interne Durchführung eventuell notwendiger Korrekturen erneute Prüfung von außen Dabei sind die folgenden Punkte zu beachten: Alle Filterregeln müssen korrekt umgesetzt sein. die neutralen Beobachtern mit hoher Wahrscheinlichkeit auffallen. (Vgl. keine Möglichkeit haben Dienste des Internets zu benutzen. Diese Kontrollen sollten vorzugsweise durch eine vertrauenswürdige externe Instanz erfolgen. da die Gefahr besteht. 352 . Es muss die Regel "Alles. die nicht explizit erlaubt sind. dass Firewall-Administratoren durch Gewöhnungseffekte und Routinearbeit bestimmte Sicherheitslücken übersehen könnten. dürfen sich Administrator und Revisor nur über einen vertrauenswürdigen Pfad authentisieren. die/der keinen Eintrag in einer Access-Liste hat. Sicherheitsrelevante Änderungen erfordern zusätzlich "ad hoc"-Kontrollen.B. Dabei ist zu testen. auch Screening. Die Defaulteinstellung der Filterregeln und die Anordnung der Komponenten müssen sicherstellen. direkt über die Konsole. was nicht ausdrücklich erlaubt ist.B. eine verschlüsselte Verbindung oder ein separates Netz erfolgen.

damit keine alten oder fehlerhaften Access-Listen bei einem Neustart benutzt werden.11 Schutz vor aktiven Inhalten [eh SYS 8. 10. die durch die Übertragung aktiver Inhalte zu den Rechnern im zu schützenden Netz entstehen. dass für den sicheren Betrieb der Firewall relevante Dateien wie Access-Listen. Diese sollten auch aus dem Betriebssystem-Kern entfernt werden.4. [eh SYS 8.10. Hierunter fällt nicht nur die Erkennung und Beseitigung von Viren. müssen diese streng kontrolliert und insbesondere auf Seiteneffekte überprüft werden. entfernt werden. vorhanden sein.4. Die Access-Listen sind die wesentlichen Daten für den Betrieb der Firewall und müssen besonders gesichert werden. Der Einsatz dieser Programme muss ausführlich dokumentiert und begründet werden. und die AccessListen müssen auf einem schreibgeschützten Medium speicherbar sein. Auf den eingesetzten Komponenten dürfen nur Programme. Beispielsweise sollten die Software für die graphische Benutzeroberfläche sowie alle Treiber. Die Kontrolle aktiver Inhalte kann auf verschiedene Weise geschehen.6. der durch eine/n Angreifer/in provoziert wird.5] 353 . Java-Applets oder Scripting-Programmen mit einer Schadfunktion.6. 10. Siehe dazu: 10. Falls nachträgliche Änderungen der Sicherheitspolitik erforderlich sind.6.• • • • Die Firewall muss auf ihr Verhalten bei einem Systemabsturz getestet werden.4] 10.7 Eines der größten Probleme bei der Konzeption einer Firewall ist die Behandlung der Probleme. Eine der Möglichkeiten ist die Filterung durch eine Firewall. Beim Wiedereinspielen von gesicherten Datenbeständen muss darauf geachtet werden. 11. die nicht benötigt werden.2. Bei einem Ausfall der Firewall muss sichergestellt sein. Das Verbleiben von Software muss dokumentiert und begründet werden. Passwortdateien oder Filterregeln auf dem aktuellsten Stand sind. 11.16 Firewalls und aktive Inhalte ISO Bezug: 27002 10. dass in dieser Zeit keine Netzverbindungen aus dem zu schützenden Netz heraus oder zu diesem aufgebaut werden können. Insbesondere darf kein automatischer Neustart möglich sein. die für die Funktionsfähigkeit der Firewall nötig sind. die verhältnismäßig einfach auch auf den Rechnern der Anwender/innen durchgeführt werden kann. sondern auch das weit schwieriger zu lösende Problem der Erkennung von ActiveX-Controls.

11. Dafür sollten alle Verbindungen von und zu diesen Partnern verschlüsselt werden.17 Firewalls und Verschlüsselung ISO Bezug: 27002 10. Dies ist insbesondere dann sinnvoll.10. Zum Aufbau von verschlüsselten Verbindungen können eine Vielzahl von Hard. Zunächst sollte aber unterschieden werden zwischen • • Verschlüsselung auf der Firewall bzw.3 Da im Internet die Daten über nicht vorhersagbare Wege und Knotenpunkte verschickt werden. auf Netzkoppelelementen. Zudem kann ein/e Angreifer/in. sind insbesondere Hardwarelösungen basierend auf symmetrischen kryptographischen Verfahren eine einfache und sichere Lösung. Entschlüsselung kann auf verschiedenen Geräten erfolgen.B. wenn entsprechende Mechanismen schon in den unteren Schichten des Protokolls vorgesehen würden.6. damit Unbefugte keinen Zugriff darauf nehmen können. die verschlüsselte Kommunikation nicht belauschen.4.6. wenn keine unverschlüsselte Kommunikation über dieses Gerät gehen soll. Sollen hierbei nur wenige Liegenschaften miteinander verbunden werden. und Verschlüsselung auf den Endgeräten. der/die einen externen Informationsserver unter seine/ihre Kontrolle gebracht hat. sollten die versandten Daten möglichst nur verschlüsselt übertragen werden. Verschlüsselung auf der Firewall: Um mit externen Kommunikationspartnern Daten über ein offenes Netz auszutauschen und /oder diesen Zugriff auf das eigene Netz zu geben.7.2. die zum Aufbau sicherer Teilnetze eingesetzt werden.4. Die Integration der Verschlüsselung auf dem Application Gateway hat dagegen den Vorteil einer leichteren Benutzerverwaltung. 11. 10.2. Hierbei wäre es sinnvoll. 12.4. So könnte eine Hardwarelösung im Paketfilter als Schlüsselgerät arbeiten. 354 .bzw. die z.6. von Benutzerinnen/Benutzern bedarfsabhängig eingesetzt wird. kann der Aufbau von virtuellen privaten Netzen (VPNs) sinnvoll sein.und Softwarelösungen eingesetzt werden. Die Ver.

Auch die Protokollierungsmöglichkeiten werden durch eine Verschlüsselung stark eingeschränkt.3 355 . insbesondere bei der Versendung von E-Mails.B. Für eine vertrauenswürdige Datenübertragung mit ausgewählten Partnern im Internet sollten telnet und ftp Programme eingesetzt werden. 12. in Hinblick auf Viren oder andere Schadprogramme zu kontrollieren. Eine temporäre Entschlüsselung auf einer Filterkomponente zu Analysezwecken ist weder praktikabel noch wünschenswert. bietet sich auch der Gebrauch von Mechanismen an. dies hängt von den Anforderungen im Einzelfall ab.18 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation ISO Bezug: 27002 10. Eine generelle Empfehlung für oder gegen den Einsatz von Verschlüsselung über oder an der Firewall kann nicht gegeben werden.B. u. Hierfür wird zum Beispiel häufig das frei verfügbare Programmpaket PGP (Pretty Good Privacy) eingesetzt. SSL oder PGP. z. nur zu ausgewählten Zielsystemen. Die Verschlüsselung von Daten stellt andererseits aber auch ein großes Problem für den wirksamen Einsatz von Firewalls dar.3.B. die Nutzdaten z. d.Verschlüsselung auf den Endgeräten: Zum Schutz der Vertraulichkeit bestimmter Daten. wenn ein/e Angreifer/in das Application Gateway unter seine/ihre Kontrolle gebracht hat.h.B.U.6. Andererseits sind die Daten selbst dann geschützt. [eh SYS 8.7.2. 10.6.2. die eine Ende-zu-Ende-Verschlüsselung ermöglichen. 10. die eine Verschlüsselung der übertragenen Daten (z.1. sind Filter auf der Anwendungsschicht nicht mehr in der Lage. SSL/ TLS).6. mittels SSH oderSSL/TLS) unterstützen. durch den Einsatz von S/MIME. Wenn die Übertragung verschlüsselter Daten über die Firewall zugelassen wird (z. Eine erste ad-hoc-Lösung könnte darin bestehen. den Filtern. Die Verschlüsselung auf den Endsystemen wird auf absehbare Zeit noch applikationsgebunden sein. von bestimmten internen Rechnern den Aufbau von SSL/TLS-Verbindungen zu erlauben.6] 10.

Kommunikationsnetze transportieren Daten zwischen IT-Systemen. Dabei werden die Daten selten über eine dedizierte Kommunikationsleitung zwischen den an der Kommunikation beteiligten Partnern übertragen. Vielmehr werden die Daten über viele Zwischenstationen geleitet. Je nach Kommunikationsmedium und verwendeter Technik können die Daten von den Zwischenstationen unberechtigt abgehört werden, oder auch von im jeweiligen Vermittlungsnetz angesiedelten Dritten (z.B. bei der Verwendung des Ethernetprotokolls ohne Punkt-zu-PunktVernetzung). Da die zu übertragenden Daten nicht von unberechtigten Dritten abgehört, verändert oder zur späteren Wiedereinspeisung in das Netz (ReplayAttacke) benutzt werden sollen, muss ein geeigneter Mechanismus eingesetzt werden, der dies verhindert. Verschlüsselung der Daten mit - wenn nötig gegenseitiger Authentifizierung der Kommunikationspartner kann diese Gefahr (je nach Stärke des gewählten Verschlüsselungsverfahrens sowie der Sicherheit der verwendeten Schlüssel) reduzieren. In der Regel kommunizieren Anwendungen miteinander, um anwendungsbezogene Informationen auszutauschen. Die Verschlüsselung der Daten kann nun auf mehreren Ebenen erfolgen:

• • •

Auf Applikationsebene: Die kommunizierenden Applikationen müssen dabei jeweils über die entsprechenden Ver- und Entschlüsselungsmechanismen verfügen. Auf Betriebssystemebene: Die Verschlüsselung wird vom lokalen Betriebssystem durchgeführt. Jegliche Kommunikation über das Netz wird automatisch oder auf Anforderung verschlüsselt. Auf Netzkoppelelementebene: Die Verschlüsselung findet zwischen den Netzkoppelelementen (z.B. Router) statt.

Die einzelnen Mechanismen besitzen spezifische Vor- und Nachteile. Die Verschlüsselung auf Applikationsebene hat den Vorteil, dass die Verschlüsselung vollständig der Kontrolle der jeweiligen Applikation unterliegt. Ein Nachteil ist, dass zur verschlüsselten Kommunikation nur eine mit demselben Verschlüsselungsmechanismus ausgestattete Partnerapplikation in Frage kommt. Weiterhin können entsprechende Authentifizierungsmechanismen zwischen den beiden Partnerapplikationen zur Anwendung kommen. Im Gegensatz dazu findet die Verschlüsselung im Fall der Verschlüsselung auf Betriebssystemebene transparent für jede Applikation statt. Jede Applikation kann mit jeder anderen Applikation verschlüsselt kommunizieren, sofern das Betriebssystem, unter dem die Partnerapplikation abläuft, über den Verschlüsselungsmechanismus verfügt. Nachteilig wirkt sich hier aus, dass bei einer Authentifizierung lediglich die Rechner gegenseitig authentifiziert werden können, und nicht die jeweiligen Partnerapplikationen. 356

Der Einsatz von verschlüsselnden Netzkoppelelementen besitzt den Vorteil, dass applikations- und rechnerseitig keine Verschlüsselungsmechanismen vorhanden sein müssen. Die Verschlüsselung ist auch hier transparent für die Kommunikationspartner, allerdings findet die Kommunikation auf der Strecke bis zum ersten verschlüsselnden Netzkoppelelement unverschlüsselt statt und birgt damit ein Restrisiko. Authentifizierung ist hier nur zwischen den Koppelelementen möglich. Die eigentlichen Kommunikationspartner werden hier nicht authentifiziert. Werden sensitive Daten über ein Netz (auch innerhalb des Intranets) übertragen, empfiehlt sich der Einsatz von Verschlüsselungsmechanismen. Bieten die eingesetzten Applikationen keinen eigenen Verschlüsselungsmechanismus an oder wird das angebotene Verfahren als zu schwach eingestuft, so sollte von der Möglichkeit der betriebssystemseitigen Verschlüsselung Gebrauch gemacht werden. Hier bieten sich z.B. Verfahren wie SSL/TLS an, die zur transparenten Verschlüsselung auf Betriebssystemebene entworfen wurden. Je nach Sicherheitspolitik können auch verschlüsselnde Netzkoppelelemente eingesetzt werden, etwa um ein virtuelles privates Netz (VPN) mit einem Kommunikationspartner über das Internet zu realisieren. Entsprechende Softwaremechanismen sind in der Regel auch in Firewall-Systemen verfügbar. Erfolgt der Zugang auf sensible Daten über einen externen Zugang, so sind kryptographische Einmalverfahren mit einer Besitzkomponente einzusetzen. Wegen der einheitlichen Administrierbarkeit wird empfohlen für den Zugang die Bürgerkarte/ Dienstkarte und MOA-ID zu verwenden [IKTB-140605-01] . Beim Einsatz von verschlüsselter Kommunikation und gegenseitiger Authentifizierung sind umfangreiche Planungen im Rahmen der Sicherheitspolitik eines Unternehmens bzw. einer Behörde nötig. Im Rahmen der hier angesprochenen Kommunikationsverschlüsselungen sind insbesondere folgende Punkte zu beachten:

• • • • • •

Welche Verfahren sollen zur Verschlüsselung benutzt werden bzw. werden angeboten (z.B. in Routern)? Unterstützen/Nutzen die eingesetzten Verschlüsselungsmechanismen existierende oder geplante Standards (IPSec, IPv6, IKE; SSL, TLS); vergleiche dazu auch 10.8.6 Geeignete Auswahl eines E-Mail-Clients/Server zu Zugang zu E-Mail. Sind gemäß der Sicherheitspolitik ausreichend starke Verfahren und entsprechend lange Schlüssel gewählt worden? Werden die Schlüssel sicher aufbewahrt? Werden die Schlüssel in einer sicheren Umgebung erzeugt, und gelangen sie auf sicherem Weg zum notwendigen Einsatzpunkt (Rechner, Softwarekomponente)? Sind Schlüssel-Recovery-Mechanismen nötig?

357

Ähnliche Fragestellungen sind bei der Nutzung von Zertifikaten zur Authentifizierung von Kommunikationspartnern zu beachten. Im Bereich der öffentlichen Verwaltung sind außerdem bezüglich der Verschlüsselung des E-Mail-Verkehrs entsprechende Vorgaben, wie etwa die Vorgabe der Eigenschaften von Verschlüsselungszertifikaten gemäß des IKT-BoardBeschlusses [IKTB-181202-1] zu beachten. [eh SYS 8.17]

10.7 Betriebsmittel und Datenträger
In diesem Kapitel werden generelle Richtlinien zum Umgang mit Betriebsmitteln und Datenträgern gegeben. Der Umgang mit Datenträgern und den darauf gespeicherten Informationen ist in der "InformationssicherheitsPolitik" einer Organisation festzulegen (vgl. dazu 5.2.5 Klassifizierung von Informationen ). Diese Klassifikation und die damit verbundene Festlegung der Verantwortlichkeiten und Vorgehensweisen stellen eine wesentliche Grundlage für die IT-Sicherheit einer Organisation dar. Insbesondere sei darauf hingewiesen, dass einerseits die Klassifizierung der Daten national durch das Datenschutzgesetz 2000 (DSG 2000) sowie durch das Informationssicherheitsgesetz (InfoSiG) geregelt wird. International bzw. im EURaum ist der "Beschluss des Rates vom 19. März 2001 über die Annahme der Sicherheitsvorschriften des Rates" (2001/264/EG) einzuhalten, der die Verbindung zwischen den nationalen Klassifizierungen und Richtlinien darstellt. Dies ist gegebenenfalls in der Informationssicherheits-Politik zu berücksichtigen.

10.7.1 Betriebsmittelverwaltung
ISO Bezug: 27002 7.1, 10.7.2 Betriebsmittel für den IT-Einsatz sind alle erforderlichen Mittel wie Hardwarekomponenten (Rechner, Tastatur, Drucker, ...), Software (Systemsoftware, Individualprogramme, Standardsoftware u.ä.), Verbrauchsmaterial (Papier, Toner, Druckerpatronen), Datenträger (Magnetbänder, Disketten, Streamertapes, Festplatten, Wechselplatten, CD-ROMs u.ä.). Die Betriebsmittelverwaltung umfasst folgende Aufgaben:

• •
358

Beschaffung, Prüfung vor Einsatz,

• • •

Kennzeichnung, Bestandsführung und Außerbetriebnahme.

Beschaffung:
Neben reinen Wirtschaftlichkeitsaspekten kann durch ein geregeltes Beschaffungsverfahren auch die Neu- und Weiterentwicklung im Bereich der Informationstechnik stärker berücksichtigt werden. Eine zentrale Beschaffung sichert auch die Einführung und Einhaltung eines "Hausstandards" und vereinfacht damit die Schulung der Mitarbeiter/innen und die Wartung.

Prüfverfahren vor Einsatz:
Mit einem geregelten Prüfverfahren vor Einsatz der Betriebsmittel lassen sich unterschiedliche Gefährdungen abwenden. Beispiele dafür sind:

• • • •

Überprüfung der Vollständigkeit von Lieferungen (z.B. Handbücher), um die Verfügbarkeit aller Lieferteile zu gewährleisten, Test neuer PC-Software sowie neuer vorformatierter Datenträger mit einem Virensuchprogramm, Testläufe neuer Software auf speziellen Testsystemen, Überprüfung der Kompatibilität neuer Hardware- und Softwarekomponenten mit den vorhandenen.

Bestandsführung:
Alle wesentlichen Betriebsmittel sollten mit eindeutigen Identifizierungsmerkmalen gekennzeichnet werden. Zusätzlich sollten die Seriennummern vorhandener Geräte wie Bildschirm, Drucker, Festplatten etc. dokumentiert werden, damit sie nach einem Diebstahl identifiziert werden können. Für die Bestandsführung müssen die Betriebsmittel in Bestandsverzeichnissen aufgelistet werden. Ein solches Bestandsverzeichnis muss Auskunft geben können über Identifizierungsmerkmale, Beschaffungsquellen, Lieferzeiten, Verbleib der Betriebsmittel, Lagerhaltung, Aushändigungsvorschriften, Wartungsverträge und Wartungsintervalle.

359

Eine ordnungsgemäße Bestandsführung erleichtert nicht nur die Verbrauchsermittlung und Veranlassung von Nachbestellungen, sondern ermöglicht auch Vollständigkeitskontrollen, die Überprüfung des Einsatzes von nicht genehmigter Software oder die Feststellung der Entwendung von Betriebsmitteln. Im Bundesbereich gibt es Vorschriften über die Bestandsführung, die "Richtlinien für die Inventar- und Materialverwaltung (RIM)". Die dort vorgesehenen Aufzeichnungen reichen für einen sicheren EDV-Betrieb nicht aus. Die für den sicheren Betrieb zuständige Organisationseinheit muss daher eigene, entsprechend erweiterte Aufzeichnungen führen. [eh SYS 2.1]

10.7.2 Datenträgerverwaltung
ISO Bezug: 27002 10.7.1 Die Datenträgerverwaltung stellt einen Teil der Betriebsmittelverwaltung dar. Ihre Aufgabe ist es, den Zugriff auf Datenträger im erforderlichen Umfang und in angemessener Zeit zu gewährleisten. Neben den in 10.7.1 Betriebsmittelverwaltung angeführten Maßnahmen ist für die Verwaltung von Datenträgern zusätzlich zu beachten:

• • •

Die äußerliche Kennzeichnung von Datenträgern soll deren schnelle Identifizierung ermöglichen, jedoch für Unbefugte keine Rückschlüsse auf den Inhalt erlauben (z.B. die Kennzeichnung eines Datenträgers mit dem Stichwort "Gehaltsdaten"), um einen Missbrauch zu erschweren. Eine festgelegte Struktur von Kennzeichnungsmerkmalen (z.B. Datum, Ablagestruktur, lfd. Nummer) erleichtert die Zuordnung in Bestandsverzeichnissen. Für eine sachgerechte Behandlung von Datenträgern sind die Herstellerangaben zu beachten. Hinsichtlich der Aufbewahrung von Datenträgern sind einerseits Maßnahmen zur Lagerung (magnetfeld-/staubgeschützt, klimagerecht) und andererseits Maßnahmen zur Verhinderung des unbefugten Zugriffs (geeignete Behältnisse, Schränke, Räume) zu treffen. Versand und Transport: Die Verpackung des Datenträgers ist an seiner Schutzbedürftigkeit auszurichten. Hier sind die in der InformationssicherheitsPolitik festzulegenden Regeln umzusetzen (etwa Versand nur in verschlossenen/versiegelten Behältnissen, durch Kurierdienst, in chiffrierter Form, etc.). Der Datenträger darf über die zu versendenden Daten hinaus keine "Restdaten" enthalten. Dies kann durch physikalisches Löschen erreicht werden (s. auch unten "Wiederaufbereitung").

360

• •

Vor Versand oder Weitergabe wichtiger Datenträger sollte eine Sicherungskopie erstellt werden. Das Anfertigen von Kopien ist zu dokumentieren und die Kopien sind als solche zu kennzeichnen. Wiederaufbereitung: Eine geregelte Vorgehensweise für die Löschung bzw. Wiederaufbereitung von Datenträgern verhindert den Missbrauch der gespeicherten Daten. Vor der Wiederverwendung von Datenträgern, die schutzwürdige Daten enthalten haben, müssen diese Daten in irreversibler Form gelöscht werden. Außerbetriebnahme, Reparaturtausch: Datenträger, die schutzwürdige Daten enthalten und außer Betrieb genommen oder im Zuge einer Reparatur ausgetauscht werden sollen, sind mechanisch zu zerstören (vgl. dazu auch ÖNORM S 2109 Akten- und Datenvernichtung sowie 12.7 Wartung ).

Für den Fall, dass von Dritten erhaltene Datenträger eingesetzt werden, sind Regelungen über deren Behandlung vor dem Einsatz zu treffen. Werden zum Beispiel Daten für PCs übermittelt, sollte generell ein Viren-Check des Datenträgers erfolgen. Dies gilt entsprechend auch vor dem erstmaligen Einsatz neuer Datenträger. Es ist empfehlenswert, nicht nur beim Empfang, sondern auch vor dem Versenden von Datenträgern diese auf Viren zu überprüfen. Vgl. dazu auch Kap. 10.4 Virenschutz . [eh SYS 2.2]

10.7.3 Datenträgeraustausch
ISO Bezug: 27002 10.7.3, 10.8.2, 10.8.3

Kennzeichnung der Datenträger beim Versand
Neben den in 10.7.2 Datenträgerverwaltung dargestellten Umsetzungshinweisen ist bei einer ausreichenden Kennzeichnung von auszutauschenden Datenträgern darauf zu achten, dass Absender/in und (alle) Empfänger/innen unmittelbar zu identifizieren sind. Die Kennzeichnung muss den Inhalt des Datenträgers eindeutig für den/die Empfänger/in erkennbar machen. Es ist jedoch bei schützenswerten Informationen wichtig, dass diese Kennzeichnung für Unbefugte nicht interpretierbar ist. Darüber hinaus sollten die Datenträger mit den für das Auslesen notwendigen Parametern gekennzeichnet werden. Das Versanddatum, eventuelle Versionsnummern oder Ordnungsmerkmale können gegebenenfalls nützlich sein.

361

Regelung des Datenträgeraustausches
Sollen zwischen zwei oder mehreren Kommunikationspartnern Datenträger ausgetauscht werden, so sind zum ordnungsgemäßen Austausch einige Punkte zu beachten. Zum Beispiel:

Die Adressierung muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. So sollte neben dem Namen der Empfängerin bzw. des Empfängers auch die Organisationseinheit und die genaue Bezeichnung der Behörde/ des Unternehmens angegeben sein. Entsprechendes gilt für die Adresse der Absenderin oder des Absenders. Dem Datenträger sollte (optional) ein Datenträgerbegleitzettel beigelegt werden, der Absender/in, Empfänger/in, Art des Datenträgers, Seriennummer, Identifikationsmerkmale für den Inhalt des Datenträgers, Datum des Versandes, ggf. Datum bis wann der Datenträger spätestens den/die Empfänger/in erreicht haben muss, sowie Parameter, die zum Lesen der Informationen benötigt werden (z.B. Bandgeschwindigkeit) enthält. Bei regelmäßigem Austausch von Datenträgern zwischen den gleichen Partnern empfiehlt es sich, dafür stets die gleichen Datenträger zu verwenden, so dass bei einem ev. Fehler bei der Wiederaufbereitung (vgl. 10.7.2 Datenträgerverwaltung ) die potentiellen Auswirkungen möglichst gering gehalten werden. Abhängig von den Regelungen der Informationssicherheits-Politik sind Datenträger, die Daten hoher Vertraulichkeitsstufen enthalten, beim Transport durch Dritte entweder zu verschlüsseln, oder in entsprechend versperrten Behältnissen zu transportieren

Nicht vermerkt werden sollte,

• • •

welches Passwort für die eventuell geschützten Informationen vergeben wurde, welche Schlüssel ggf. für eine Verschlüsselung der Informationen verwendet wurde, welchen Inhalt der Datenträger hat.

Der Versand des Datenträgers kann (optional) dokumentiert werden. Für jede stattgefundene Übermittlung ist dann in einem Protokoll festzuhalten, wer wann welche Informationen erhalten hat. Je nach Schutzbedarf beziehungsweise Wichtigkeit der übermittelten Informationen ist der Empfang zu quittieren und ein Quittungsvermerk dem erwähnten Protokoll beizufügen. Es sind jeweils Verantwortliche für den Versand und für den Empfang zu benennen.

362

[eh SYS 2.3]

10.8 Informationsaustausch / E-Mail
Der Austausch von Informationen zwischen Organisationen und Organisationseinheit bedarf der Entwicklung geeigneter Richtlinien und der Anwendung sicherer Verfahren zum Schutz der ausgetauschten Informationen und der dabei verwendeten Datenträger. Austauschvereinbarungen mit den Kommunikationspartnern und die einschlägigen Gesetze sind dabei einzuhalten

10.8.1 Richtlinien beim Datenaustausch mit Dritten
ISO Bezug: 27002 6.2.2, 6.2.3, 10.8.1, 10.8.2 Beim regelmäßigen Datenaustausch mit Dritten ist die Festlegung von Richtlinien bzw. der Abschluss von Vereinbarungen mit allen Beteiligten sinnvoll. Dabei spielt es keine Rolle, wie der Datenaustausch selbst erfolgt (Datenträgeraustausch, EMail, etc.). In einer derartigen Vereinbarung können Angaben zu folgenden Punkten enthalten sein:

• • • • • • • • •

Bestimmung der Verantwortlichen Benennung von Ansprechpartnerinnen bzw. Ansprechpartnern (in technischen, organisatorischen und sicherheitstechnischen Belangen) existiert ein Non-Disclosure-Agreement (NDA) Festlegung der Datennutzung welche Anwendungen und Datenformate sind zu verwenden wie und wo erfolgt die Prüfung auf Virenfreiheit wann dürfen Daten gelöscht werden Regelung des Schlüsselmanagements, falls erforderlich Einhaltung einschlägiger Gesetze (bspw. Datenschutzgesetz 2000 (DSG 2000) , etc.)

Weitere Punkte, die in eine solche Vereinbarung aufgenommen werden sollten, finden sich in 10.7.2 Datenträgerverwaltung und 10.7.3 Datenträgeraustausch [eh SYS 1.9]

363

10.8.2 Festlegung einer Sicherheitspolitik für E-Mail-Nutzung
ISO Bezug: 27002 10.4, 10.8, 10.9, 11.4 Vor der Freigabe von E-Mail-Systemen sollte festgelegt werden, für welchen Einsatz E-Mail vorgesehen ist. Abhängig davon differieren auch die Ansprüche an Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit der zu übertragenden Daten sowie des eingesetzten E-Mail-Programms. Es muss geklärt werden, ob über E-Mail ausschließlich unverbindliche oder informelle Informationen weitergegeben werden sollen oder ob einige oder sogar alle der bisher schriftlich bearbeiteten Geschäftsvorfälle nun per E-Mail durchgeführt werden sollen. Bei letzterem ist zu klären, wie Anmerkungen an Vorgängen wie Verfügungen, Abzeichnungen oder Schlusszeichnungen, die bisher handschriftlich angebracht wurden, elektronisch abgebildet werden sollen. Weiters ist festzulegen, ob und in welchem Rahmen eine private Nutzung von E-Mail erlaubt ist. Die Organisation muss eine E-Mail-Sicherheitspolitik festlegen, in der folgende Punkte beschrieben sind:

• • • • • •

Wer einen E-Mail-Anschluss erhält, welche Regelungen von den Mail-Administratoren und den E-MailBenutzerinnen/Benutzern zu beachten sind (vgl. 10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten ), bis zu welchem Vertraulichkeits- bzw. Integritätsanspruch Informationen per EMail versandt werden dürfen , ob und unter welchen Rahmenbedingungen eine private Nutzung von E-Mail erlaubt ist, wie die Benutzer/innen geschult werden und wie jederzeit technische Hilfestellung für die Benutzer/innen gewährleistet wird.

Durch organisatorische Regelungen oder durch die technische Umsetzung sind dabei insbesondere die folgenden Punkte zu gewährleisten:

• •

Für Organisationen im öffentlichen Bereich sind die im Rahmen der InternetPolicy [IKT-IPOL] enthaltenen E-Mail Richtlinien [IKT-MPOL] gemäß IKT-BoardBeschluss vom 17.09.2002 [IKTB-170902-1] umzusetzen. Die E-Mail-Progamme der Benutzer/innen müssen durch die Systemadministration so vorkonfiguriert sein, dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann (siehe auch 10.8.7 Sichere Konfiguration der Mailclients ).

364

• • • • •

• •

Für E-Mail-Adressen sind Namenskonventionen festzulegen. Insbesondere ist darauf zu achten, dass Sonderzeichen (Umlaute, ...) vermieden werden, da diese inhaltlich nicht einheitlich codiert sind. (vgl. E-Mail Richtlinien [IKTMPOL] im Rahmen der Internet-Policy [IKT-IPOL] gemäß [IKTB-170902-1] für Organisationen der öffentlichen Verwaltung zur Anwendung empfohlen) Für E-Mail-Adressen in Behörden bzw. in Organisationen der öffentlichen Verwaltung ist die in der anzuwendenden E-Mail-Policy enthaltene NamingPolicy empfohlen. (gemäß [IKTB-170902-1] ). Neben personenbezogenen E-Mail-Adressen können auch organisations- bzw. funktionsbezogene E-Mail-Adressen eingerichtet werden. Dies ist insbesondere bei zentralen Anlaufstellen wichtig. Die Übermittlung von Daten darf erst nach erfolgreicher Identifizierung und Authentisierung des Senders beim Übertragungssystem möglich sein. Die Benutzer/innen müssen vor erstmaliger Nutzung von E-Mail in die Handhabung der relevanten Applikationen eingewiesen werden. Die organisationsinternen Benutzerregelungen zur Dateiübermittlung müssen ihnen bekannt sein. Zur Beschreibung des Absenders werden bei E-Mails so genannte Signatures (Absenderangaben) an das Ende der E-Mail angefügt. Der Inhalt einer Signature sollte dem eines Briefkopfs ähneln, also Name, Organisationsbezeichnung und Telefonnummer u.ä. enthalten. Eine Signature sollte nicht zu umfangreich sein, da dies nur unnötig Übertragungszeit und Speicherplatz kostet. Die Behörde bzw. das Unternehmen sollte einen Standard für die einheitliche Gestaltung von Signatures festlegen. Von den eingesetzten Sicherheitsmechanismen hängt es ab, bis zu welchem Vertraulichkeitsanspruch Dateien per E-Mail versandt werden dürfen. Es ist grundsätzlich festzulegen, ob Mails bzw. Attachments in verschlüsselter Form übertragen werden dürfen. Dies erhöht zwar die Sicherheit gegen unautorisiertes Lesen oder Verändern, erschwert aber die Suche nach Viren oder macht sie gänzlich unmöglich. Ist der Einsatz von Verschlüsselungsverfahren prinzipiell erlaubt, so sollte geregelt werden, ob und wann übertragene Dateien verschlüsselt werden müssen (siehe auch 12.6 Einsatz kryptographischer Maßnahmen ). Gleichermaßen ist festzulegen, ob und in welcher Form kryptographische Mechanismen zur Überprüfung der Integrität von Daten (MACs, Digitale Signaturen, ...) eingesetzt werden dürfen bzw. müssen. Es ist zentral festzulegen, welche Applikationen für die Verschlüsselung bzw. den Einsatz von elektronischen Signaturen von den Benutzerinnen/Benutzern zu verwenden sind. Diese müssen den Benutzerinnen/Benutzern zur Verfügung gestellt werden, die wiederum in deren Anwendung unterwiesen werden müssen. Für Organisationen der Öffentlichen Verwaltung sind die „Richtlinien für EMail Zertifikate in der Verwaltung“ [IKT-MZERT] gemäß IKT-Board Beschluss [IKTB-230903-17] zu beachten. Es sollte festgelegt werden, unter welchen Bedingungen ein- oder ausgehende E-Mails zusätzlich ausgedruckt werden müssen. 365

• •

Die Dateiübertragung kann (optional) dokumentiert werden. Für jede stattgefundene Übermittlung ist dann in einem Protokoll festzuhalten, wer wann welche Informationen erhalten hat. Bei der Übertragung personenbezogener Daten sind die gesetzlichen Vorgaben zur Protokollierung zu beachten. Ob und wie ein externer Zugang zu E-Mail Diensten technisch und organisatorisch realisiert werden soll, ist zu prüfen und muss festgelegt werden. Technisch ist ein E-Mail-Zugang von Außen geeignet abzusichern, z.B. VPN, etc. In Organisationen der öffentlichen Verwaltung ist gemäß IKT-Board Beschluss [IKTB-110903-8] die Möglichkeit der Identifikation und Authentifikation mittels Bürgerkarte zu beachten.

E-Mails, die intern versandt werden, dürfen das interne Netz nicht verlassen. Dies ist durch die entsprechenden administrativen Maßnahmen sicherzustellen. Beispielsweise sollte die Übertragung von E-Mails zwischen verschiedenen Liegenschaften einer Organisation über eigene Standleitungen und nicht über das Internet erfolgen. Durch heutige Techniken (z.B. VPN) entfällt diese Forderung, wenn Nachrichten entsprechend verschlüsselt werden. [eh SYS 8.7]

10.8.3 Regelung für den Einsatz von E-Mail und anderen Kommunikationsdiensten
ISO Bezug: 27002 10.4, 10.8, 10.9, 11.2.4, 11.4, 15.2 Für den Einsatz von E-Mails sind u.a. folgende Punkte zu beachten:

• • • • •
366

Die Adressierung von E-Mail muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. Innerhalb einer Organisation sollten Adressbücher und Verteilerlisten gepflegt werden, um die Korrektheit der gebräuchlichsten Adressen sicherzustellen. Durch den Versand von Testnachrichten an neue EMail-Adressen ist die korrekte Zustellung von Nachrichten zu prüfen. Für alle nach außen gehenden E-Mails ist eine Signatur (Absenderangabe am Ende der Mail) zu verwenden. Ausgehende E-Mails sollten protokolliert werden, da E-Mails auch "verschwinden" können. Die Betreffangabe (Subject) des Kommunikationssystems sollte immer ausgefüllt werden, z.B. entsprechend der Betreffangabe in einem Anschreiben. Die Korrektheit der durchgeführten Datenübertragung sollte überprüft werden. Die Empfängerseite sollte den korrekten Empfang überprüfen und der Senderseite bestätigen. Verwendung residenter Virenscanner für ein- bzw. ausgehende Dateien: Vor dem Absenden bzw. vor der Dateiübermittlung sind die ausgehenden Dateien explizit auf Viren zu überprüfen.

Erfolgt über die E-Mail auch eine Dateiübertragung, so sollten die folgenden Informationen an den/die Empfänger/in zusätzlich übermittelt werden:

ggf. Art der eingesetzten Software für Verschlüsselung bzw. Elektronischen Signatur. Jedoch sollte nicht vermerkt werden: welches Passwort für die eventuell geschützten Informationen vergeben wurde, • welche Schlüssel ggf. für eine Verschlüsselung der Informationen verwendet wurde. Regelmäßiges Löschen von E-Mails: E-Mails sollten nicht unnötig lange im Posteingang gespeichert werden. Sie sollten entweder nach dem Lesen gelöscht werden oder in Benutzerverzeichnissen gespeichert werden, wenn sie erhalten bleiben sollen. Viele Mailprogramme löschen E-Mails nicht sofort, sondern transferieren sie in spezielle Ordner. Benutzer/innen müssen darauf hingewiesen werden, wie sie E-Mails auf ihren Clients vollständig löschen können.

• • • • • •

Art der Datei (z.B. MS Word), Kurzbeschreibung über den Inhalt der Datei, Hinweis, dass Dateien auf Viren überprüft sind, ggf. Art des verwendeten Packprogramms (z.B. PKZIP)

Bei den meisten E-Mail-Systemen werden die Informationen unverschlüsselt über offene Leitungen transportiert und können auf diversen Zwischenrechnern gespeichert werden, bis sie schließlich ihre/n Empfänger/in erreichen. Auf diesem Weg können Informationen leicht manipuliert werden. Aber auch der/die Versender/ in einer E-Mail hat meistens die Möglichkeit, seine/ihre Absenderadresse (From) beliebig einzutragen, so dass grundsätzlich gilt, dass man sich nicht auf die Echtheit der Absenderangabe verlassen und sich nur nach Rückfrage oder bei Benutzung von Digitalen Signaturen der Authentizität des Absenders sicher sein kann. In Zweifelsfällen sollte daher die Echtheit des Absenders durch Rückfrage oder durch den Einsatz von Verschlüsselung und/oder Digitalen Signaturen (vgl. 12.6 Einsatz kryptographischer Maßnahmen ) überprüft werden. Es ist allerdings zu beachten, dass verschlüsselte Nachrichten im Allgemeinen nicht zentral auf Viren überprüft werden können (dazu wäre die zentrale Hinterlegung der notwendigen Schlüssel erforderlich). Es ist daher in der E-Mail-Sicherheitspolitik festzulegen, ob verschlüsselte Nachrichten zugelassen sind und wie damit zu verfahren ist. Wenn verschlüsselte Nachrichten nicht zugelassen sind, können diese etwa durch eine Poststelle (s. 10.8.5 Einrichtung eines Postmasters ) geblockt werden.

367

Es ist festzulegen, ob und gegebenenfalls in welchem Rahmen eine private Nutzung von E-Mail-Diensten zulässig ist. Diese Festlegung sollte im Rahmen einer Betriebsvereinbarung oder bei Abschluss des Arbeitsvertrages getroffen werden. Weiters sind auch die zulässigen Kontrollmaßnahmen des/der Arbeitgebers/ Arbeitgeberin (Protokollierung, Auswertung, ...) und die möglichen Sanktionen bei Verstößen gegen die getroffenen Vereinbarungen zu regeln. Alle Regelungen und Bedienungshinweise zum Einsatz von E-Mail sind schriftlich zu fixieren und sollten den Mitarbeiterinnen/Mitarbeitern jederzeit zur Verfügung stehen. Die Benutzer/innen müssen vor dem Einsatz von Kommunikationsdiensten wie E-Mail geschult werden, um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen beim Versenden bzw. Empfangen von E-Mail sensibilisiert werden. Zur Vermeidung von Überlastung durch E-Mail sind die Mitarbeiter/innen über potentielles Fehlverhalten zu belehren. Sie sollten dabei ebenso vor der Teilnahme an E-Mail-Kettenbriefen, vor Spams, der unnötigen Weiterverbreitung von Virenwarnungen sowie vor der Abonnierung umfangreicher Mailinglisten gewarnt werden. Benutzer/innen müssen darüber informiert werden, dass Dateien, deren Inhalt Anstoß erregen könnte, weder verschickt noch auf Informationsservern eingestellt noch nachgefragt werden dürfen. Außerdem sollten Benutzer/innen darauf verpflichtet werden, dass bei der Nutzung von Kommunikationsdiensten

• • •

die fahrlässige oder gar vorsätzliche Unterbrechung des laufenden Betriebes unter allen Umständen vermieden werden muss (vgl. dazu § 126a zu Datenbeschädigung (StGB) ). Zu unterlassen sind insbesondere Versuche, ohne Autorisierung Zugang zu Netzdiensten - welcher Art auch immer - zu erhalten, Informationen, die über die Netze verfügbar sind, zu verändern, in die individuelle Arbeitsumgebung einer Netznutzerin bzw. eines Netznutzers einzugreifen oder unabsichtlich erhaltene Angaben über Rechner und Personen weiterzugeben. die Verbreitung von für die Allgemeinheit irrelevanten Informationen unterlassen werden muss. Die Belastung der Netze durch ungezielte und übermäßige Verbreitung von Informationen sollte vermieden werden. Eindringversuche an internen/externen Netzen/Geräten zu unterlassen sind, die Verbreitung von redundanten Informationen vermieden werden sollte.

368

Viele Internetprovider und Administratoren archivieren zusätzlich die einund ausgehenden E-Mails.6 Geeignete Auswahl eines E-Mail-Clients/Server zu finden.. [eh SYS 8.B. 14. Auf die Bereiche. noch stabil ist. Der Mailserver muss hierbei sicherstellen. 10.8. Der Mailserver nimmt von anderen Mailservern E-Mails entgegen und leitet sie an die angeschlossenen Benutzer/innen oder Mailserver weiter. muss der Mailserver gegen unbefugten Zugriff gesichert sein (vgl.8.6.2. 10. sowie die Handhabe von E-Mail-Zertifikaten nach den "Richtlinien für E-Mail-Zertifikate in der Verwaltung" [IKT-MZERT] der Stabsstelle IKT-Strategie des Bundes (CIO) zu richten.5 Einrichtung eines Postmasters ).4 Sicherer Betrieb eines Mail-Servers ISO Bezug: 27002 10. 11. Weiters reicht der Mailserver die gesendeten E-Mails lokaler Benutzer/innen an externe Mailserver weiter. ob die Verbindung mit den benachbarten Mailservern. Die E-Mails werden vom Mailserver bis zur Weitergabe zwischengespeichert.8. dazu § 126a zu Datenbeschädigung (StGB) ).4. dass sowohl die lokale Kommunikation als auch die Kommunikation auf Seiten des öffentlichen Netzes abgesichert wird. an den alle unzustellbaren E-Mails und alle Fehlermeldungen weitergeleitet werden (siehe auch 10. Es muss ein Postmaster-Account eingerichtet werden.8] 10. Darüber hinaus sind im Bereich öffentliche Verwaltung der Externe Zugang zu E-Mail-Diensten unter Beachtung des IKT-Board Beschlusses [IKTB-110903-8] zu gestalten.Für den Bereich der öffentlichen Verwaltung wurde im Rahmen des IKT-Boards als Bestandteil der "Internet-Policy" [IKT-IPOL] eine "E-Mail-Policy" [IKT-MPOL] beschlossen und zur Anwendung empfohlen [IKTB-170902-1] . und 369 . dass lokale E-Mails der angeschlossenen Benutzer/innen nur intern weitergeleitet werden und nicht in das öffentliche Netz gelangen können.1. 11. Nähere Details dazu sind auch unter dem Punkt 10. Für den ordnungsgemäßen Betrieb sind Administratoren und Stellvertreter zu benennen und zum Betrieb des Mailservers und des zugrunde liegenden Betriebssystems zu schulen. 10. insbesondere dem Mailserver des Mail-Providers. Spooldateien). • Es muss regelmäßig kontrolliert werden. ist der Zugriff auch für die lokalen Benutzer/innen zu unterbinden. Auf die Mailboxen der lokal angeschlossenen Benutzer/innen dürfen nur diese Zugriff haben. Damit Unbefugte nicht über den Mailserver auf Nachrichteninhalte zugreifen können.8. in denen E-Mails nur temporär für die Weiterleitung zwischengespeichert werden (z.1 Der sichere Betrieb eines Mailservers setzt voraus.9.4.3. Dafür sollte er gesichert (in einem Serverraum oder Serverschrank) aufgestellt sein.

370 . ihn abzuschalten. dass er E-Mails nur für die Organisation selber entgegennimmt und nur E-Mails verschickt. sinnvoll sein. Es sollte jederzeit kurzfristig möglich sein.B. Ein Mailserver sollte davor geschützt werden. z. sondern über einen oder mehrere Mailclients direkt auf den Mailserver eines Providers zugreift. Wenn eine Organisation keinen eigenen Mailserver betreibt. können von verschiedenen Herstellern der Kommunikationssoftware bezogen werden.16 Firewalls und aktive Inhalte ). bei Verdacht auf Manipulationen. insbesondere sollten von der Verfügbarkeit des Mailservers keine weiteren Dienste abhängig sein. Entsprechende Filterlisten sind im Internet verfügbar bzw. Dafür sollte ein Mailserver so konfiguriert werden. Daher sollten entsprechende Filterregeln sehr genau definiert werden. Dies kann z. die von Mitarbeiterinnen/Mitarbeitern der Organisation stammen.6 Geeignete Auswahl eines E-Mail-Clients/Server zu beachten. Demnach sind auch Maßnahmen und Empfehlungen aus 10. indem beispielsweise aus jeder Spam-Mail eine neue dedizierte Filterregel abgeleitet wird. Umfang und Inhalt der Protokollierung der Aktivitäten des Mail-Servers sind festzulegen.B. da ansonsten kein weiterer Nachrichtenaustausch möglich ist.6. auch 10. welche Protokolle und Dienste am Mailserver erlaubt sind. Eingehende E-Mails sollten am Firewall oder am Mailserver auf Viren und andere schädliche Inhalte wie aktive Inhalte (z. um mögliche Angriffe auf Benutzeraccounts zu erschweren. damit der Filterung keine erwünschten E-Mails zum Opfer fallen. um sich vor Spam-Mail zu schützen. eigenes Produktionssystem sein.• ob der für die Zwischenspeicherung der Mail zur Verfügung stehende Plattenplatz noch ausreicht. ist zusätzlich die auf Basis des IKT-Board-Beschlusses [IKTB-170902-1] empfohlene E-Mail-Policy anzuwenden. Der Mailserver sollte ein abgeschlossenes. Java-Applets) überprüft werden (vgl.8. Über Filterregeln können für bestimmte E-Mail-Adressen der Empfang oder die Weiterleitung von E-Mails gesperrt werden. als Spam-Relay verwendet zu werden. Auch über die Filterung anderer Header-Einträge kann versucht werden.B. Es ist festzulegen. muss mit dem Provider ein Dienstleistervertrag im Sinne des § 11 Datenschutzgesetz (DSG 2000) abgeschlossen werden. Für Organisationen der öffentlichen Verwaltung. Die Benutzernamen auf dem Mailserver sollten nicht aus den E-Mail-Adressen unmittelbar ableitbar sein. Hierbei muss mit Bedacht vorgegangen werden. Spam auszugrenzen. welche einen eigenen Mailserver unterhalten.

Dieser nimmt folgende Aufgaben wahr: • • • • • • • Bereitstellen der Maildienste auf lokaler Ebene. Hotline oder Helpdesk) sollten jederzeit von den Benutzerinnen/Benutzern telefonisch erreicht werden können. ob der gesamte Inhalt einer E-Mail einem gültigen Dokumentformat genügt (als Grundlage können hier die Richtlinien über Dokumentenaustauschformate (s. 10. [eh SYS 8. 13. Setzen von Maßnahmen.8.1. Überprüfung. 12. ev.und Relaydiensten. Zuständige Betreuer/innen (ev. Speicherung in einem Zwischenbereich.10] 10. Überprüfung der Attachments auf Viren. [KIT T05] bzw. die versuchen sollten die Fehlerquellen zu beheben. muss nach Ablauf einer vordefinierten Frist vernichtet werden. ob die externen Kommunikationsverbindungen funktionieren.5.) Überprüfung. 10.[eh SYS 8. Ablage in speziellen Quarantänebereichen. Verständigung des/der Absenders/Absenderin bzw. automatische Löschung nach einer vorgegebenen Zeitspanne.6 Geeignete Auswahl eines E-Mail-Clients/Server 371 .4. Freigabe durch Sicherheitsbeauftragte nach Rücksprache und Begründung). wenn der Inhalt einer E-Mail (zur Gänze oder teilweise) nicht einem gültigen Dokumentenaustauschformat entspricht (etwa Blocken der Nachricht.6tw.10. • Alle unzustellbaren E-Mails und alle Fehlermeldungen müssen an den Postmaster weitergeleitet werden. Verständigung der betroffenen Benutzer. der/die Absender/in ist mittels einer entsprechenden Fehlermeldung zu informieren.. Empfängers/Empfängerin. für die betreffende Organisation oder für ein IT-System speziell erstellte Richtlinien gelten). Pflege der Adresstabellen. .5 Einrichtung eines Postmasters ISO Bezug: 27002 10. die unzustellbar bleibt. Anlaufstelle bei Mailproblemen für Endbenutzer/innen sowie für die Betreiber von Gateway.9] 10. falls ein Virus gefunden wurde (Verhinderung einer Weiterleitung. 14..1 In größeren Organisationen sollte zum reibungslosen Ablauf des E-Mail-Dienstes ein "Postmaster" benannt werden. Setzen von Maßnahmen. E-Mail.8.8.4. 12.

VPN oder IPSEC). Nachweis der Standardkonformität: . Für die öffentliche Verwaltung ist die "Richtlinie für E-Mail Zertifikate in der Verwaltung" [IKTMZERT] zu beachten [IKTB-230903-17] .8. 10.5 Gemäß den Vorgaben der E-Mail-Strategie des Bundes müssen E-MailProgramme (E-Mail-Clients und E-Mail-Server) unter dem Gesichtspunkt offener internationaler Standards gewählt werden.8.2. Die Verschlüsselungen und Signaturen müssen jedenfalls CMS kompatibel sein.B. Darüber hinaus gilt es die existierende WEBMAIL-Policy (sowie vorhandene Checklisten) zu beachten. PGP kann für die Vertraulichkeit in einer Übergangszeit in manchen Bereichen notwendig bleiben. Für die Signatur von Attachments sind als Signaturformate PKCS#7 oder XML zu verwenden.4. IMAP [RFC 3501]. die auch die End-ToEnd Authentifizierung sicherstellt. Eine komfortable Umsetzung erfordert.8. TLS oder IPsec mit einer symmetrischen Schlüssellänge von mindestens 100 Bit). Im Bereich der öffentlichen Verwaltung ist für den externen E-Mail-Zugang auch der IKT-Board Beschluss [IKTB-110903-8] zu berücksichtigen. 10. Mailzugänge über Web-Interfaces müssen zumindest verschlüsselt sein (Standard SSL bzw.ISO Bezug: 27002 10. Die dabei eingesetzten Schlüssellängen der symmetrischen Schlüsselkomponenten müssen mindestens 100 Bit betragen. in dem die Verwendung der Bürgerkarte zur Identifikation und Authentifikation empfohlen wird. Derartige Anforderungen werden im Detail in der für Organisationen der öffentlichen Verwaltung zu beachtenden E-Mail-Policy des Chief Information Office des Bundes behandelt. SMTP [RFC 5321] Adress-Verwaltung: Die Verwaltung von E-Mail-Adressen und Attributen erfolgt in Verzeichnisdiensten. Die durch den IKT-Board-Beschluss [IKTB-170902-1] für die Organisationen der öffentlichen Verwaltung empfohlene E-Mail-Policy schreibt dabei die Einhaltung der folgenden Mindesteigenschaften vor: • • • • • 372 Kommunikation: Für die Kommunikation zwischen Clients und Servern im E-Mailverkehr sowie für die Kommunikation zwischen E-Mail-Servern selbst sind folgende Protokolle festgelegt: POP3 [RFC1939]. Zugang von Außen: Der uneingeschränkte Zugang von außen ist nur über eine geeignete Verschlüsselung einzurichten (z. Dafür wird folgender Standard im Rahmen der E-Mail-Policy für die öffentliche Verwaltung vorgeschrieben: LDAP V3 [RFC 4511] Sicherheit: Für die E-Mail-Sicherheit ist S/MIME V3 einzusetzen. 10. dass die eingesetzten Clients und Server entsprechende Interfaces zu diesen Verzeichnisdiensten aufweisen.8.1.

8. Jede/r.2. dass sie die Konfiguration nicht selbsttätig ändern dürfen. Dieses dient zur Kompatibilitätsfeststellung der eingesetzten Systeme sowohl nach innen als auch nach außen. 10.4. [eh SYS 8. 10. 10.Für die Bereiche der öffentlichen Verwaltung wird ein Testmailservice angeboten. die/der Zugriff auf den Mailclient hat.1. die für die Organisationen der öffentlichen Verwaltung gemäß dem IKT-Board-Beschluss [IKTB-170902-1] anwendbar sind.8.7. hat so die Möglichkeit. 11. um sicherzustellen. dass keine internen E-Mail-Adressen weitergegeben werden.8. Die Benutzer/innen sind darauf hinzuweisen. 10. 12.19] 10.U.1 Die E-Mail-Progamme der Benutzer/innen müssen durch den Administrator so vorkonfiguriert sein.2. des Benutzers einzustellen.2.5 373 .8 Verwendung von WebMail externer Anbietern ISO Bezug: 27002 7. 10. [eh SYS 8. unter fremdem Namen E-Mails zu verschicken bzw. Als Reply-Adresse ist die E-Mail-Adresse der Benutzerin bzw.3. sei auf die entsprechenden Kapitel der "Internet Policy" [IKT-IPOL] . Dabei wird das Passwort auf der Client-Festplatte abgelegt. [NSA-ECC1] ).B. sogar im Klartext oder nur schwach verschlüsselt. Damit kann der Nachweis der Konformität der Systeme mit den geforderten Standards und der Einhaltung der Mindestantwortzeiten erbracht werden.8. u.4. Bei der Konfiguration von E-Mail-Clients kann auf produktbezogene und aktuelle von vertrauenswürdigen Stellen veröffentlichte Leitlinien zurückgegriffen werden (z. Für weitere detaillierte Vorschriften. das E-Mail-Passwort auszulesen.1.2.7. 15. sowie auf die "EMail-Policy" [IKT-MPOL] der Stabsstelle IKT-Strategie des Bundes (CIO) verwiesen.8.4.8. Insbesondere sollten bei der Konfiguration der E-Mail-Clients folgende Punkte berücksichtigt werden: • • Das E-Mail-Passwort darf keinesfalls dauerhaft vom E-Mail-Programm gespeichert werden.11] 10.3.7 Sichere Konfiguration der Mailclients ISO Bezug: 27002 10. dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann.4.

Diesbezüglich ist eine genaue Durchsicht der Allgemeinen Geschäftsbedingungen (AGB) des jeweiligen Anbieters vorzunehmen. dem Einsatz von Spam-Filtern.3.1 Regelungen des Passwortgebrauches ) Zugriffe auf das Web-Mail-Konto dürfen nur über verschlüsselte Verbindungen erfolgen (SSL/TLS) trotz eines vorhandenen anbieterseitigen Virenschutzes sollten Attachments clientseitig auf Viren geprüft werden Beenden des Web-Mail-Dienstes nur über den vorgesehenen Ausstiegsmechanismus (Log-Out-Button.23] 374 . Die Anbieter derartiger Webmaildienste unterscheiden sich nicht nur hinsichtlich ggf. Es ergeben sich auch Unterschiede bezüglich Mailbox-Größen. Darüber hinaus sind die gebotenen Sicherheitsvorkehrungen zu beachten.6 Geeignete Auswahl eines E-Mail-Clients/Server ): • • • • Wahl eines geeigneten Passwortes (vgl. In diesem Zusammenhang wird der Zugang zu den E-Mail-Konten in der Regel via Web-Mail angeboten. über eine verschlüsselte Verbindung (z. Verfügbarkeit. bei dem der/die Anwender/in die E-Mail-Dienste ohne jegliche clientseitige Software sondern nur unter Verwendung des Browsers nutzen kann.) [eh SYS 8. etc. wie etwa: • • • • • • ist es möglich. 11. SSL/TLS) auf die Mailbox zuzugreifen können E-Mails elektronisch signiert und/oder verschlüsselt werden findet eine Identitätsprüfung von Neukunden statt wird der Service durch fachkundiges und sicherheitstechnisch geschultes Personal realisiert (Social Engineering Attacks: beispielsweise soll das Erfragen des Passwortes durch einen fingierten Anruf am Helpdesk nicht möglich sein) eine Virenprüfung der E-Mails sollte anbieterseitig gewährleistet sein Spam-Filter sollten zur Verfügung stehen Bei der Verwendung von Web-Mail sollte der/die Anwender/in Folgendes beachten (vgl.Eine Vielzahl von externen Maildiensteanbietern stellen ihre Services oft kostenlos (evtl. anfallender Kosten. auch 10. in Verbindung mit Werbung) zur Verfügung.B.8. usw.

ftp. ausgetauscht) welche Sicherheitsmaßnahmen müssen gewährleistet werden wie sind weitere Vertragspartner in die Vereinbarung einzubinden Regelung über das Vorgehen beim Auftreten von Sicherheitslücken (betrifft Informationspflicht. In einer derartigen Vereinbarung (sog. etc. Vereinbarungen notwendig. [eh SYS 8.9 Internet-.und Schadensersatzregeln (z.) Sicherheitslücken müssen von allen Beteiligten vor dem Netzzusammenschluss beseitigt werden.) eventuell Non-Disclosure-Agreement (NDA) Festlegung der Datennutzung Benennung von Ansprechpartnerinnen/Ansprechpartnern (in technischen.1 Richtlinien bei Verbindung mit Netzen Dritter (Extranet) ISO Bezug: 27002 10.B. DIe Integrität und die Verfügbarkeit der Informationen.B. Für diesen Schritt sind als Grundlage von allen Beteiligten einzuhaltende Richtlinien bzw. E-Government Aus der immer weiter verbreiteten Nutzung von E-Commerce und E-Government ergeben sich Anforderungen an die Sicherheit der Systeme Applikationen und Transaktionen. Data Connection Agreement – DCA) sollen detaillierte Angaben zu folgenden Punkten enthalten sein: • • • • • • • • • • • Bestimmung der Verantwortlichen Haftungs. ist sicher zu stellen. die von Systemen über das öffentliche Internet angeboten werden. etc.1 Zunehmend werden die nach außen hin abgeschotteten und abgesicherten Netzwerke von Organisationen zu einem Verbund zusammengeschlossen (Extranet). auch bei Virenbefall.21] 375 .9. Dabei sind gegenseitige (stichprobenartige) Überprüfungen der vereinbarten und einzuhaltenden Sicherheitsmaßnahmen sinnvoll.10. Hackerangriff.9. 10. E-Commerce. etc. Vorgehen bei Netzwerktrennung. http.) welche Plattformen werden unterstützt Richtlinien zur Protokollierung (wer protokolliert was/wann und wie werden Protokolldaten ggf. organisatorischen und sicherheitstechnischen Belangen) welche Dienste werden zur Verfügung gestellt (z. Web.

die Informationen aus dem internen Bereich für die Allgemeinheit zur Verfügung stellen). 11. Routingprotokolle missbrauchen. des Unternehmens kompatibel sein. 10. aber auch gegen Manipulationen aus dem internen Netz.4 Eine Internet-Sicherheitspolitik stellt eine IT-Systemsicherheitspolitik im Sinne von Kapitel5 Entwicklung einer organisationsweiten InformationssicherheitsPolitik des vorliegenden Handbuchs dar.10. Sie muss mit der organisationsweiten Informationssicherheits-Politik der Behörde bzw. ist dieses Sicherheitsziel von besonderer Bedeutung.9. Schutz der lokal übertragenen und gespeicherten Daten gegen Angriffe auf deren Vertraulichkeit oder Integrität. die auf IP-Spoofing beruhen oder die Source-Routing Option.2 Erstellung einer Internet-Sicherheitspolitik ISO Bezug: 27002 10.1. das ICMP-Protokoll bzw. Schutz vor Angriffen durch das Bekannt werden von neuen sicherheitsrelevanten Softwareschwachstellen. Schutz vor Angriffen.3.2 Erarbeitung einer organisationsweiten InformationssicherheitsPolitik ) : • • • • • • • • • • • Festlegung der Sicherheitsziele Auswahl der Kommunikationsanforderungen Diensteauswahl organisatorische Regelungen Beispiele für Sicherheitsziele sind: Schutz des internen Netzes gegen unbefugten Zugriff von außen. Schutz der lokalen Netzkomponenten gegen Angriffe auf deren Verfügbarkeit (insbesondere gilt dies auch für Informationsserver.9. Schutz einer Firewall gegen Angriffe aus dem externen Netz. Verfügbarkeit der Informationen des externen Netzes im zu schützenden internen Netz. Die Erstellung der Internet-Sicherheitspolitik umfasst im Wesentlichen folgende Schritte (vgl.6.) 376 . 10. (Da die Anzahl der potentiellen Angreifer/innen und deren Kenntnisstand bei einer Anbindung an das Internet als sehr hoch angesehen werden muss. (Die Verfügbarkeit dieser Informationen muss aber gegenüber dem Schutz der lokalen Rechner und Informationen zurückstehen!).

zur Kontrolle auf Viren). Es muss festgelegt werden. für die noch keine expliziten Regeln festgelegt wurden. überprüft werden sollen (z. Die Entscheidung darüber. dürfen nicht zugelassen werden. Bei der Auswahl der Kommunikationsanforderungen müssen speziell die folgenden Fragen beantwortet werden: • • • • • Welche Informationen dürfen nach außen hindurch. welche Arten der Kommunikation mit dem äußeren Netz zugelassen werden. Es muss unterschieden werden zwischen denjenigen Diensten. nur über einen Internet-Service-Provider oder auch über einen Modempool)? Welcher Datendurchsatz ist zu erwarten? Diensteauswahl Im dritten Schritt wird aus den Kommunikationsanforderungen abgeleitet. 377 . die für externe Benutzer/innen zugelassen werden. vom dienstlichen Aufgabenbereich der Benutzerin bzw. zu welchen Diensten ein/e Benutzer/in im Internet Zugang erhalten kann. die unbedingt notwendig sind. die für die Benutzer/ innen im zu schützenden Netz. und denjenigen. Dies muss auch die Voreinstellung sein: Alle Dienste. Es sollten nur die Dienste zugelassen werden. nach innen hereingelassen werden? Welche Informationen sollen verdeckt werden (z.bzw. ob und welche der übertragenen Nutzinformationen gefiltert bzw.Im nächsten Schritt ist festzulegen. welche Dienste im zu sichernden Netz erlaubt und welche verboten werden müssen.B. Einmalpasswörter oder Chipkarten)? Welche Zugänge werden benötigt (z.B. hängt von der Qualität der Firewall.B. In der Sicherheitspolitik muss für jeden Dienst explizit festgelegt werden.B. die interne Netzstruktur oder die Benutzernamen)? Welche Authentisierungsverfahren sollen benutzt werden (z. Alle anderen Dienste müssen verboten werden. des Benutzers sowie von ihrem/seinem Problembewusstsein ab. • • welche Dienste für welche Benutzer/innen und/oder Rechner zugelassen werden sollen und für welche Dienste Vertraulichkeit und/oder Integrität gewährleistet werden müssen.

Bereichs-IT-Sicherheitsbeauftragte. Neben dem Serverbetrieb wie Mail-. verbotene Verbindungen aufzubauen. s. insbesondere für neue Dienste und kurzzeitige Änderungen (z. und die entsprechenden Maßnahmen einleiten.2. müssen vorgesehen werden. Jede spätere Änderung muss streng kontrolliert werden und insbesondere auf Seiteneffekte überprüft werden.B. ob z. die dem/der Benutzer/in mögliche Risiken aufzeigt und ihr/sein Problembewusstsein fördert. sogar Aktionen auszulösen. 5. 378 . für Tests). Warnungen auszugeben oder evtl. müssen Verantwortliche bestimmt sein.3 Organisation und Verantwortlichkeiten für Informationssicherheit ). oder Web-Server müssen auch die von den Benutzerinnen bzw. ob ein Angriff vorliegt. Angriffe können über die Auswertung der Protokolldateien erkannt werden. Jeder Internetdienst birgt Gefahren. Da hiermit starke Eingriffe in den Netzbetrieb verbunden sein können. insbesondere auch über den Umfang der Nutzdaten-Filterung. der/die Angreifer/in verfolgt werden soll oder ob die Netzverbindungen nach außen getrennt werden sollen.B. auf Grund von vordefinierten Ereignissen. Benutzern eingesetzten Kommunikationsclients betreut werden.Die Sicherheitspolitik sollte so beschaffen sein. Ausnahmeregelungen. dass sie auch zukünftigen Anforderungen gerecht wird. d.B. Es muss festgelegt werden. Es müssen sowohl alle korrekt aufgebauten als auch die abgewiesenen Verbindungen protokolliert werden. Die Benutzer/innen müssen über ihre Rechte. Daneben müssen je nach Organisationsstruktur und -größe ein oder mehrere Verantwortliche für die Pflege der angebotenen Kommunikationsdienste benannt werden. die nicht auf technischer Ebene durch eine Firewall abgefangen werden können. umfassend informiert werden. Es ist daher eine Schulung erforderlich. wie z.B. häufigen fehlerhaften Passworteingaben auf einem Application-Gateway oder Versuchen. wie beispielsweise: • • • • • • • Es müssen Verantwortliche sowohl für die Erstellung als auch für die Umsetzung und die Kontrolle der Einhaltung der Internet-Sicherheitspolitik benannt werden (z. Die Firewall sollte aber auch in der Lage sein. Angriffe auf eine Firewall sollten nicht nur erfolgreich verhindert. sondern auch frühzeitig erkannt werden können. Es ist zu klären. Die Protokollierung muss den datenschutzrechtlichen Bestimmungen entsprechen. welche Informationen protokolliert werden und wer die Protokolle auswertet. welche Aktionen bei einem Angriff gestartet werden. Darüber hinaus sind eine Reihe von organisatorischen Regelungen erforderlich. Die Aufgaben und Kompetenzen für die betroffenen Personen und Funktionen müssen eindeutig festgelegt sein. es sollte eine ausreichende Anzahl von Verbindungsmöglichkeiten vorgesehen werden.h. die entscheiden können.

Anhand der in der WWW-Sicherheitsstrategie festgelegten Anforderungen kann dann regelmäßig überprüft werden.9. WWW-Server sind für Hacker/innen sehr attraktive Ziele.9. Behördenpolitik entsprechen)? Welche Zugriffsbeschränkungen auf den WWW-Server sollen realisiert werden? Teil einer Sicherheitsstrategie muss auch die regelmäßige Informationsbeschaffung über potentielle Sicherheitslücken sein. Hierbei ist die Absicherung eines WWW-Servers ebenso zu betrachten wie die der WWW-Clients und der Kommunikationsverbindungen zwischen diesen.org/Security/Faq/ ) dar. In der WWW-Sicherheitsstrategie muss neben einer Sicherheitsstrategie für den Betrieb eines WWW-Servers auch eine Sicherheitsstrategie für die WWW-Nutzung enthalten sein.[eh SYS 8. 10. welche Dienste genutzt und welche angeboten werden sollen.B.9.w3. 379 . insbesondere hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen? Welche Dateien dürfen aufgrund ihres Inhaltes nicht auf dem WWWServer eingestellt werden (z. Eine wichtige Informationsquelle für Sicherheitshinweise zur WWW-Nutzung stellt die "World Wide Web Security FAQ" (unter http://www.1. Vor dem Einrichten eines WWW-Servers sollte in einer WWW-Sicherheitsstrategie beschrieben werden. ob die getroffenen Maßnahmen ausreichend sind. Daher muss der Absicherung eines WWW-Servers ein hoher Stellenwert eingeräumt werden. da einem erfolgreichen Angriff oft sehr große Publizität zuteil wird.3 Vor der Nutzung von WWW-Diensten ist zunächst in einem Konzept darzustellen. nicht zur Veröffentlichung zulässig sind oder nicht der Firmen.1] 10. welche Sicherheitsmaßnahmen in welchem Umfang umzusetzen sind.3 Festlegung einer WWW-Sicherheitsstrategie ISO Bezug: 27002 10. um rechtzeitig Vorsorge dagegen treffen zu können. weil die Inhalte vertraulich sind. WWW-Sicherheitsstrategie für den Betrieb eines WWW-Servers In der Sicherheitsstrategie für den Betrieb eines WWW-Servers sollten die folgenden Fragen beantwortet werden: • • • • • Wer darf welche Informationen einstellen? Welche Randbedingungen sind beim Betrieb eines WWW-Servers zu beachten? Wie werden die Verantwortlichen geschult.bzw.

Dateien. Alle Regelungen und Bedienungshinweise zur WWW-Nutzung sind schriftlich zu fixieren und sollten den Mitarbeiterinnen/Mitarbeitern jederzeit zur Verfügung stehen.WWW-Sicherheitsstrategie für die WWW-Nutzung In der Sicherheitsstrategie für die WWW-Nutzung sollten die folgenden Fragen beantwortet werden: • • • • Wer erhält WWW-Zugang? Welche Randbedingungen sind bei der WWW-Nutzung zu beachten? Wie werden die Benutzer/innen geschult? Wie wird technische Hilfestellung für die Benutzer/innen gewährleistet? Durch organisatorische Regelungen oder durch die technische Umsetzung sind dabei insbesondere folgende Punkte zu gewährleisten: • • • Die Browser der Benutzer/innen müssen durch den Administrator so vorkonfiguriert sein. sowohl in der Nutzung ihrer WWW-Browser als auch des Internets. welche Inhalte als anstößig gelten.4 Sicherer Betrieb eines WWW-Servers ISO Bezug: 27002 10.12] 10.1. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen sensibilisiert werden. Es muss festgelegt werden.9.9.9. Die Benutzer/innen müssen vor der WWW-Nutzung geschult werden.9. Nach dem Download von Dateien sind diese explizit auf Viren zu überprüfen. deren Inhalt Anstoß erregen könnte.3 380 . dürfen weder auf WWW-Servern eingestellt noch nachgefragt werden. soweit dies nicht durch eine zentrale Überprüfung gewährleistet wird. um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten. [eh SYS 8. dass ohne weiteres Zutun der Benutzer/innen maximale Sicherheit erreicht werden kann (siehe auch 10.5 Sicherheit von WWWBrowsern ). 10.

nur mit eingeschränkten Rechten ausgestattet sein sollte. der Informationen im Internet anbietet. Je nach Art des WWW-Servers bieten sich unterschiedliche Möglichkeiten zum Schutz an. dass der eigentliche Serverprozess des WWW-Servers. d.h.ä. Der Zugriff auf Dateien oder Verzeichnisse muss geschützt werden (siehe 10. Solange der Rechner nicht entsprechend konfiguriert ist.B. z. [NSA-SD2] . [eh SYS 8. damit sie sicher betrieben werden können. nämlich der http-Daemon. Weiterhin sollte der WWW-Server vor dem Internet durch einen Firewall-Proxy oder aber zumindest durch einen Paketfilter abgesichert werden. Die Administration des WWW-Servers sollte nur über eine sichere Verbindung erfolgen. da ein Fehler auf dem WWW-Server sonst Zugriffe auf interne Daten ermöglichen könnte. Hierfür sollte ein eigener Benutzeraccount wie wwwserver eingerichtet werden. Das Betriebssystem und die Software müssen so konfiguriert sein. Allen diesen Möglichkeiten gemeinsam ist allerdings. dass der Rechner optimal gegen Angriffe geschützt wird. verschiedene Dienste gehören auf verschiedene Rechner (beispielsweise ein WWW-Server und ein E-Mail-Server). Für die verschiedensten Server-Produkte sind teilweise detaillierte Leitlinien zu deren sicheren Konfiguration verfügbar (vgl. [NSA-SD5] u.13] 381 .h. Die Kommunikation mit dem WWW-Server sollte durch einen Paketfilter auf ein Minimum beschränkt werden. sollte aber nach dem Start so schnell wie möglich mit den Rechten einer/eines weniger privilegierten neuen Benutzerin/ Benutzers weiterarbeiten. die Administration sollte direkt an der Konsole. darf er nicht ans Netz genommen werden.9. [NSA-SD3] . Wichtig ist. dass diese/r Benutzer/in keine Schreibrechte auf die Protokolldateien besitzt. d. Daher sollte ein WWW-Server.WWW-Server sind attraktive Ziele für Angreifer und müssen daher sehr sorgfältig konfiguriert werden.).6 Schutz der WWW-Dateien ). [NSA-SD4] . nach starker Authentisierung (bei Zugriff aus dem LAN) oder über eine verschlüsselte Verbindung (bei Zugriff aus dem Internet) erfolgen. Er darf sich nicht zwischen Firewall und internem Netz befinden. Er muss üblicherweise mit root-Privilegien gestartet werden. Ein/e Angreifer/in könnte sonst durch Ausnutzung eines Fehlers diese mit den Rechten des HTTP-Servers manipulieren. entsprechend den folgenden Vorgaben installiert werden: • • • • • • Auf einem WWW-Server sollte nur ein Minimum an Programmen vorhanden sein. das Betriebssystem sollte auf die unbedingt erforderlichen Funktionalitäten reduziert werden und auch sonst sollten sich nur unbedingt benötigte Programme auf dem WWW-Server befinden. Ein WWW-Server sollte insbesondere keine unnötigen Netzdienste enthalten.

9. Aktuelle Virenschutzprogramme sollten auf allen Rechnern mit Internetzugang installiert sein und automatisch ausgeführt werden. Beim Zugriff auf das World Wide Web (WWW) können verschiedene Sicherheitsprobleme auf den angeschlossenen Arbeitsplatzrechnern auftreten.1. [NSA-SD8] . Laden von Dateien und/oder Programmen: Beim Laden von Dateien und/oder Programmen können eine Vielzahl von Sicherheitsproblemen auftreten. [NSASD10] .1. dass die geladenen Dateien oder Programme aus vertrauenswürdigen Quellen stammen.oder Excel-Dokumenten). die bekanntesten sind sicherlich Viren.16 Firewalls und aktive Inhalte ). 382 .ä. ActiveX-Programme.6. sollten die im Folgenden beschriebenen Maßnahmen umgesetzt werden. 11. dass bei Dateitypen. Darüber hinaus kann es auch sinnvoll sein. Makro-Viren in Word.).10. vgl. die aus dem Internet geladen werden und ohne Nachfrage auf dem lokalen Rechner ausgeführt werden (z.B. Um solche Probleme zu vermeiden.5 Sicherheit von WWW-Browsern ISO Bezug: 27002 10. die Makro-Viren enthalten können.B.9. 10.3. etc. 10. Java-Applets o.. Auch innerhalb von Dokumenten oder Bildern können Befehle enthalten sein. MakroViren und trojanische Pferde. Ursachen dafür können sein: • • • falsche Handhabung durch die Benutzer/innen unzureichende Konfiguration der benutzten Browser (also der Programme für den Zugriff auf das WWW) Sicherheitslücken in den Browsern. Eine Gefährdung der lokalen Daten geht beispielsweise von Programmen aus. Bei der Konfiguration des Browsers ist darauf zu achten. die zugehörigen Anwendungen nicht automatisch gestartet werden. produktspezifische Konfigurationsleitlinien zu verwenden (z. Die Benutzer/innen dürfen sich nie darauf verlassen.4. die automatisch beim Betrachten ausgeführt werden und zu Schäden führen können (z.B.9.

Plug-Ins verbrauchen natürlich auch Speicherplatz und verlängern die Startzeit des Browsers.Alle Benutzer/innen müssen darauf hingewiesen werden. Plug-Ins und Zusatzprogramme Nicht alle Browser können alle Dateiformate direkt verarbeiten. Beim Hinzufügen von Plug-Ins bzw. Kapitel 10. die von Installationsprogrammen ins Plug-In-Verzeichnis geladen werden und bei Aufruf des entsprechenden Dateiformates vom Browser ausgeführt werden. Bei Viewern von Office-Dokumenten sollte darauf geachtet werden. im Allgemeinen anzeigen. Zusatzprogrammen für einen WWW-Browser sind dieselben Vorsichtsmaßnahmen wie beim Laden von Dateien und/oder Programmen zu beachten.8 Installation und Konfiguration von Software und 12. d. 12. vgl.3.7 Abnahme und Freigabe von Software . Zusatzprogramme benötigt. beim Dateiladen alle entsprechenden Vorsichtsmaßnahmen zu ergreifen.B. Bei Plug-Ins handelt es sich um Bibliotheksdateien (z. Das ist nicht immer einfach: Viele Deinstallationsroutinen erkennen Plug-Ins nicht und nicht alle Browser bieten eine Übersicht über die installierten Plug-Ins.4. In Zweifelsfällen ist die IT-Administration hinzuzuziehen. bleiben die Benutzer/innen verantwortlich für die Schadensfreiheit von geladenen Dateien oder Programmen. DLL-Dateien).1 Nutzungsverbot nicht-freigegebener Software ). 383 . sind eigenständige Programme. in der Dateiendung und Programm verknüpft sind. Erkennung von Viren durch den Benutzer ). Viewer. dass diese keine Makro-Befehle ausführen können (Schutz vor Makro-Viren.1. in manchen Fällen auch abspielen. z. bestimmte Dateiformate zu verarbeiten. Der Aufruf eines solchen Zusatzprogramms wird über eine Konfigurationsdatei des Browsers gesteuert.6 Vermeidung bzw.h. dazu auch 12. Bei einigen Dateiformaten werden zusätzlich noch Plug-Ins bzw.1.B. dass sie selber dafür verantwortlich sind. die in der Lage sind. Grundsätzlich müssen bei der Installation von Programmen natürlich die organisationsinternen Sicherheitsregeln beachtet werden. Es dürfen keine Programme installiert werden. denen man nicht unbedingt vertrauen kann. Zusatzprogramme. Insbesondere dürfen nur getestete und zugelassene Programme installiert werden (vgl. Selbst wenn über die Firewall automatisch die geladenen Informationen auf Viren überprüft werden. Dann müssen alle zu einem Plug-In gehörenden Dateien im Plug-In-Verzeichnis des Browsers manuell gelöscht werden. Vor der Installation sollten auf Stand-alone-Rechnern Tests auf die Schadensfreiheit der Programme durchgeführt werden. Daher sollten alle nicht benötigten Plug-Ins entfernt werden.

sollten zumindest solche Browser eingesetzt werden. Um das Anlegen von Cookie-Dateien zu verhindern. Dies gilt insbesondere auch für die von Browsern angelegten Dateien über History. für zielgruppenorientierte Werbung. Um dies zu verhindern. Allerdings kann ein WWW-Anbieter hiermit auch Benutzerprofile erstellen.txt oder Verzeichnissen wie cookies . dass nur Befugte darauf Zugriff haben können. Datensammlungen: Nicht nur extern werden Daten über die Internetnutzung der verschiedenen Benutzer/innen gesammelt. diese regelmäßig gelöscht werden. die beispielsweise bei jedem Systemstart oder jeder Benutzeranmeldung die alten Cookie-Dateien löscht. wo das nicht möglich ist. sondern auch lokal. wo auf ihren lokalen Rechnern solche Daten gespeichert werden und wie sie diese löschen können. Es sollten vorzugsweise Browser eingesetzt werden. kann auch eine leere CookieDatei angelegt werden und mit einem Schreibschutz versehen werden. Hier ist insbesondere zu überprüfen. Wo dies nicht möglich ist. Passwörter und Benutzerverhalten gespeichert. des Benutzers Informationen über abgerufene WWW-Seiten.B. ob der Browser weder den Schreibschutz zurücksetzen kann noch dadurch einen Absturz verursacht. hängt vom eingesetzten Betriebssystem und der Browser-Variante ab. so dass damit auch transparent wird. 384 . Ansonsten kann es hilfreich sein. Auch hier muss sichergestellt werden. Die Benutzer/innen müssen informiert werden. z. das regelmäßige Löschen der Cookies über eine Batch-Datei zu steuern. Inwieweit dies effektiv ist. Cookies finden sich meist im Konfigurationsverzeichnis des benutzten WWW-Browsers in Dateien wie cookie. mit denen sich das Anlegen von Cookies verhindern lässt. Damit können WWW-Anbieter beim nächsten Besuch der/des jeweiligen Benutzerin/Benutzers spezielle Informationen für diese/n anbieten oder dieser/diesem passwortgesichert nur bestimmte Dienste zugänglich machen. Diese Option muss immer aktiviert werden. Hotlists und Cache.Cookies: In so genannten Cookie-Dateien werden auf dem Rechner der Benutzerin bzw. welche Anbieter welche Informationen über die Benutzer/innen sammeln. die die Benutzer/innen vor der Annahme von Cookies warnen. sollte das Anlegen von Cookie-Dateien verhindert werden oder. bekommen sie mit der Warnung auch den zu erwartenden Inhalt des Cookies angezeigt. Lassen sich die Benutzer/innen vor der Annahme von Cookies warnen.

h. die mit einem Browser durchgeführt worden sind.Diese Dateien sind auf Proxy-Servern besonders sensibel.). da auf einem ProxyServer alle externen WWW-Zugriffe aller Mitarbeiter/innen protokolliert werden. Von den meisten Browsern werden viele Informationen über den/die Benutzer/innen und sein/ihr Nutzerverhalten gesammelt. Damit kann für ein Benutzerprofil festgestellt werden. URL Liste (Liste der letzten aufgerufenen URLs). History Datenbank (s.). Dadurch verbraucht die History Datenbank auch schnell sehr viel Speicherplatz und sollte regelmäßig aufgeräumt werden. dass sie weitergegeben werden. und die anderseits in ihrer Masse den verfügbaren Speicherplatz mit überflüssigen Informationen blockieren. evtl. betrachtete vertrauliche interne Dokumente etc. der die Anfrage gestartet hat. Manche Browser speichern auch den vollständigen Inhalt aller gelesenen News. Zu diesen Informationen gehören: • • • • • • • • Favoriten. auch weitergegeben werden (s. Die Dateien der History Datenbank sollten nicht einfach gelöscht werden. von denen diese/r einerseits vielleicht nicht will. Informationen über Benutzer/innen.u. die im Browser gespeichert und evtl. da bestimmte Einträge erhalten bleiben müssen. Newsserver Visiten (s.).u. und der nachgefragten URL. sondern durch vorbereitete Kopien einer leeren History Datenbank ersetzt werden. abgerufene WWW-Seiten. Cookie Liste. inklusive der IP-Adresse des Clients.. Angaben über betrachtete Bilder. d. Informationen über Newsserver Visiten: Aus den meisten Browsern heraus kann direkt auf Newsserver zugegriffen werden. Adressen.u. 385 . History Datenbank: History Datenbanken enthalten eine vollständige Sammlung über alle Aktivitäten. Informationen im Cache (s. Ein schlecht administrierter Proxy-Server kann daher massive Datenschutz-Verletzungen nach sich ziehen. welche Newsgruppen und welche News ein Benutzer gelesen hat.).u.

seit der Cache das letzte Mal gelöscht wurde. ActiveX erlaubt unter bestimmten Bedingungen die Nutzung lokaler Ressourcen. z. um einen möglichen Missbrauch zu verhindern. Daher sollten solche Seiten von vornherein nicht im Cache abgelegt werden. die den Text und die Bilder aller besichtigten Web-Seiten enthalten. sensible Informationen wie Kreditkartennummern verschlüsselt über das Internet zu übertragen. die in jeder weiteren Sitzung absolut nutzlos sind. jedoch nur wenn der/die Anwender/in dies explizit gestattet. Wenn auf mit SSL/TLS gesicherte WWW-Seiten zugegriffen wird. Aus diesen Daten lassen sich darüber hinaus auch Benutzerprofile erstellen. Der Cache dient dazu. Realname. so dass sich in einem nicht regelmäßig gelöschten Cache schnell Dutzende Megabyte Datenmüll ansammeln. Zugriff auf Client-Festplatte: Bei einigen Browsern wird WWW-Servern die Möglichkeit gegeben. birgt im Zusammenhang mit ActiveX und Java gewisse Sicherheitsrisiken. aktiv auf die Festplatte des Client zuzugreifen (ActiveX. um das mehrfache Laden von Informationen einer Seite während einer Sitzung zu verhindern.bzw. Daher sollte der Cache ebenso wie der Verlaufsordner regelmäßig gelöscht werden. E-Mail-Adresse. auch weitergegeben. Bei Java ist ein solcher Zugriff ebenfalls möglich. Um nicht mit Werbe-E-Mail überflutet zu werden. kann dies unter anderem dazu dienen. allerdings nicht eigenständig. allerdings sind bereits mehrfach Sicherheitslücken gefunden worden. Manche Browser löschen diese Daten. Daher sind in Java und ActiveX verschiedene Sicherheitsmechanismen eingebaut. ActiveX-Programme werden über den Browser statt auf dem Server auf der Client-Seite ausgeführt. Die Benutzung von Browsern.Informationen über Benutzer/innen: In einem Browser werden auch diverse Informationen über Benutzer/innen gespeichert und evtl. Java. Dies führt aber zu einer Verlagerung des Sicherheitsrisikos vom Server auf den Client. Java). Informationen im Cache: Viele Browser erzeugen in einem Cache-Verzeichnis große Mengen an Dateien. wenn Web-Seiten eines unbekannten oder eines neuen Anbieters aufgerufen werden. Organisation. die Zugriffe auf Dateien des Client gestatten. Das Sicherheitskonzept von ActiveX basiert darauf. für die Browser-Benutzung einen Alias zu verwenden. 386 . empfiehlt es sich. dass der/ die Anwender/in dem Anbieter und einer authentifizierten dritten Stelle im World Wide Web vertraut.B. Dieses Vertrauen ist problematisch.

Es ist daher sehr wichtig. News-Reader und Mail-Clients bieten häufig die Möglichkeit. zunächst noch unbekannte Sicherheitsprobleme auftreten!). nur nach Rückfrage gestartet werden können. keine Möglichkeit zum Verändern lokaler Daten) sollten auf jeden Fall genutzt werden. beliebige Daten im MIME-Format zu lesen. Mögliche Gegenmaßnahmen sind das Einspielen von Patches zur Beseitigung bekannter Sicherheitslücken. sowie zusätzliche organisatorische und administrative Maßnahmen. 387 . Java und JavaScript unbedingt notwendig ist. Sicherheitslücken in den WWW-Browsern: In den meisten Browsern sind bereits gravierende Sicherheitslücken gefunden worden. Falls die Benutzung von ActiveX. Nutzung vorhandener Sicherheitsfunktionalitäten: Die vorhandenen Sicherheitsfunktionalitäten der Browser (Rückfrage vor dem Ausführen von Programmen. sollten diese nur auf Rechnern zugelassen sein. über die Option Disable Java) und nur bei vertrauenswürdigen Servern wieder eingeschaltet werden. Zugriff nur auf eingeschränkte Dateisysteme. Auch in diesen Daten können Befehle enthalten sein. die gegenüber anderen internen Rechnern so abgeschottet sind. zumindest SSL/TLS sollte unterstützt werden. Java und JavaScript sollten diese generell abgeschaltet werden. Hierbei wäre es sinnvoll. wenn entsprechende Mechanismen schon in den unteren Schichten des Protokolls vorgesehen würden. der Einsatz neuer Versionen (Achtung: gerade in neuen Versionen können ev. Es ist zu überlegen. sollten sensible Daten nur verschlüsselt übertragen werden. sich über neu bekannt gewordene Schwachstellen zu informieren und entsprechende Gegenmaßnahmen zu ergreifen.Auf Grund der bestehenden Probleme mit ActiveX. die zu einem automatischen Starten von Programmen auf dem lokalen Rechner führen. Beim Surfen im Internet sollte die automatische Ausführung von Programmen verhindert werden (z. dass die Vertraulichkeit und Integrität sicherheitsrelevanter Daten nicht beeinträchtigt werden können. Die entsprechenden Möglichkeiten sollten daher in den Konfigurationsdateien entfernt werden bzw. Neuere Browser unterstützen die Benutzung diverser Sicherheitsprotokolle. inwieweit zur sicheren Übertragung von Daten über das Internet neuere Protokolle wie IPsec.B. Verschlüsselung: Da im Internet alle Daten im Klartext übertragen werden. HTTPS oder SSL/TLS eingesetzt werden können. neue.

dass • • • die Konfiguration der WWW-Programme nicht eigenmächtig geändert werden darf. welche Daten protokolliert werden. Die Inhalte der Internet-Sicherheitsrichtlinie und der Benutzerordnung sind den Benutzerinnen und Benutzerin in einer Schulung darzulegen. Daher sollte jede/r Benutzer/in vor der Nutzung von InternetDiensten durch entsprechende Anweisungen verpflichtet werden. Jede/r Benutzer/in sollte durch Unterschrift bestätigen. wer die Ansprechpartner bei Sicherheitsproblemen sind. diese auf eine Benutzerordnung zu verpflichten. die aufgeführten Sicherheitsrichtlinien zu beachten. dass die dargestellten Regelungen zur Kenntnis genommen wurden und bei Benutzung der Kommunikationsdienste beachtet werden. da deren Umsetzung wie beispielsweise die Aktivierung bestimmter Optionen nicht ständig durch die Systemadministration überprüft werden kann. dass die Nutzung von Internetdiensten mit nicht unerheblichen Kosten verbunden ist.4.3. um wiederholte Zugriffe auf dieselben externen WWW-Seiten zu vermeiden. [eh SYS 8. Weiterhin müssen die Benutzer/innen darauf hingewiesen werden.6 Schutz der WWW-Dateien ISO Bezug: 27002 10. Dementsprechend sollte darauf geachtet werden. In dieser Benutzerordnung sollten die zur Verfügung stehenden Kommunikationsdienste kurz erläutert und alle relevanten Regelungen aufgeführt werden. 11. Es empfiehlt sich vor der Zulassung von Benutzerinnen/Benutzern zu Internet-Diensten.1 388 . Es sollten alle Benutzer/innen darauf hingewiesen werden.9.14] 10.9.Regelungen: Ein Großteil der oben beschriebenen Maßnahmen liegt im Verantwortungsbereich der Benutzer/innen. Dafür sollte im internen Netz ein spezieller Bereich vorgesehen werden. in dem solche Informationen strukturiert abgelegt werden können. im Internet gesammelte Informationen den anderen Mitarbeiterinnen und Mitarbeitern zur Verfügung zu stellen.

WWW-Seiten werden zwar regelmäßig aktualisiert. aber auch u. sondern bestimmte Inhalte dynamisch erzeugt werden. Um zu verhindern. Generell muss zwischen zwei verschiedenen Aspekten unterschieden werden. sollten aber nicht auf dem WWW-Server selber bearbeitet werden. ist es. Teilnetze oder Domänen beschränkt werden. . die nur Zugang zu ausgewählten Dateien hat.und Leserechte der WWW-Dateien sollten als lokale Dateien nur berechtigten Benutzerinnen/Benutzern Zugang erlauben. dass auf diesem Weg ein unbefugter Zugriff oder gar eine Kompromittierung des Servers erfolgen kann. Generelle Aspekte Falls das Webangebot nicht nur aus statischen HTML-Dateien besteht.abhängig von den Sicherheitsanforderungen . Die Schreib. nämlich dem Schutz vor unbefugtem Zugriff lokaler Benutzer und dem Schutz vor unbefugtem Zugriff von außen über das Web. Eine Möglichkeit. alle anderen Dateien sind statisch. die Konfigurationsdateien zu schützen. Schutz vor unbefugtem Zugriff Der Zugriff auf Dateien oder Verzeichnisse eines WWW-Servers ist zu schützen. können statische Daten auf einem schreibgeschützten Speichermedium (z. Schutz vor unbefugten Veränderungen Auf einem typischen WWW-Server ändern sich nur die Protokolldateien ständig. dass keine Dateien auf dem WWW-Server unbemerkt abgeändert werden können.U. Um sicherzustellen.gegen unbefugten Zugriff geschützt werden. 389 . Insbesondere ist es wichtig.Die Dateien und Verzeichnisse auf einem WWW-Server müssen gegen unbefugte Veränderungen. Java Server Pages) besonders sorgfältig programmiert werden. unbefugten Zugang zu erschweren. dass WWW-Dateien überhaupt von Unbefugten geändert werden können.B. Dies trifft insbesondere auf Systemprogramme und die WWW-Seiten zu. so müssen die dazu benutzten Programme (beispielsweise CGI-Skripte. um zu verhindern. sollten über alle statischen Dateien und Verzeichnisse Prüfsummen gebildet und regelmäßig überprüft werden. da sonst alle Zugangsrestriktionen leicht ausgeschaltet werden können. die Scripts unter einer Benutzer-ID auszuführen. CD-ROM oder Festplatte mit Schreibschutz) gespeichert werden. Diese können auf verschiedene Arten geschützt werden: • Der Zugriff kann auf frei wählbare IP-Adressen.

• • • Es können benutzerspezifische Kennungen und Passwörter vergeben werden.6. E-Government Applikationen ISO Bezug: 27002 10.9.3 Um die Gefährdungen. Wichtig ist es zu beachten.7 Einsatz von Stand-alone-Systemen zur Nutzung des Internets ISO Bezug: 27002 7. Generelles zu Zertifikaten in der Öffentlichen Verwaltung siehe [IKTB-110903-3] und [IKTB-281003-19] . [eh SYS 8.8 Sichere Nutzung von E-Commerce bzw. So gibt es bei einigen Produkten und Betriebssystemen die Möglichkeiten.9.9.2. Die Installation der TCP/IP-Software bietet eine vollständige bidirektionale Verbindung zum Internet. Zugriffskontrolle wäre auch durch eine SSL/TLS-Verbindung mit clientseitigen Zertifikaten zur Authentifizierung möglich. [eh SYS 8.1. 10. Die Dateien können verschlüsselt abgelegt werden und die zugehörigen kryptographischen Schlüssel werden nur dem Zielpublikum bekannt gegeben.15] 10. die durch Angriffe aus dem Internet auf lokale Daten oder Rechner im LAN entstehen. durch die Installation von Server-Programmen den Rechner zu einem vollständigen Internet-Server zu machen. Hierfür bieten die verschiedenen Betriebssysteme unterschiedliche Möglichkeiten mit jeweils spezifischen Gefährdungen für die Vertraulichkeit und Integrität der Daten auf diesem Rechner. ist es sinnvoll Rechner einzusetzen. 10. zu verringern.18] 10.9.3.6. 10.1 390 . dass bei der Installation der Internet-Zugangssoftware keine unnötigen Programme installiert werden.1. über die Daten sowohl ins Internet geschickt als auch von dort abgeholt werden können. die nur mit dem Internet vernetzt sind und keine weitere Netzverbindung zu einem LAN haben.

10. Um dem Missbrauch reservierter Domänen in abgewandelter Form vorzubeugen. 10. "Richtlinien für Zertifikate für das E-Government (EGovernment OID)" [IKT-ZERT] ) und auf eine geeignete Zertifikatshierarchie zu achten [IKTB-110504-02] . sowohl "ae" als auch "ä" einzurichten [IKTB-110504-01] . Im Falle notwendiger spezieller Software (z. Zur Verringerung der Länge der Signaturstrings ist die Verwendung von elliptischen Kurven anzuraten. Updates. so ist auf deren Gültigkeit sowie auf die Übereinstimmungen zwischen Server und den Angaben im Zertifikat zu achten. Bei diesen Anwendungen sollte in der Regel ein hohes Maß an Sicherheit gewahrt werden. Werden bei SSL/TLS Zertifikate zur Authentisierung des Servers verwendet. Für elektronische Bescheide wird das Bescheidschema empfohlen [IKTB-230904-01] 391 • • • • • .E-Commerce und E-Government Anwendungen ergänzen zunehmend das Angebot im Internet.: Online-Banking-Software) ist diese nur von vertrauenswürdigen Quellen zu beziehen und es ist auf dessen Aktualität (bzgl. Über generelle Empfehlungen hinaus (vgl. Einschlägigen Richtlinien und Normen (z. sind auch die folgenden Empfehlungen und Kriterien in diesem Zusammenhang zu beachten: • • • • • • Die Anwendung muss die Anforderungen an Datenschutz und Datensicherheit erfüllen.B. Kapitel 10.4 ). Clientseitig sind Virenschutzmaßnahmen zu treffen (vgl. Der für derartige Internet-Anwendungen genutzte Rechner sollte einem/einer festen Benutzer/in zugeordnet sein – öffentlich zugängliche Internet-PCs sollten dafür nicht herangezogen werden. diese in beiden Schreibweisen z.B. Zertifizierung nach ÖNORM A7700) überprüft werden. sicherheitsrelevanter Patches. wird empfohlen für Domänen mit Umlauten. Bei E-Government Anwendungen ist beim Server-Zertifikat auf die Verwaltungseigenschaft(vgl.) zu achten.5 Sicherheit von WWW-Browsern ) Zu diesem Thema veröffentlicht die Operative Unit des Chief Information Office ein Papier zur Kategorisierung von SSL/TLS-Verbindungen. Beispielhafte Applikationen in diesem Sinne wären Online-Banking.9. Die Verwendung von verschlüsselten Verbindungen mittels SSL/TLS ist bei E-Commerce und E-Government Anwendungen immer vorauszusetzen (vgl.9.5 Sicherheit von WWW-Browsern ). externe Audits. Internet-Shopping oder das Angebot von Behörden wie etwa FINANZOnline.B. etc. Die MOA Dienste sind für diese Kurven vorbereitet [IKTB-110505-03] .B: ÖNORM A7700 "Sicherheitstechnische Anforderungen an Webapplikationen" sind zu berücksichtigen Bei Anwendungen mit sehr hohem Schutzbedarf soll die Erfüllung dieser Anforderungen durch unabhängige Dritte (z.

Diese wurde im Rahmen des IKTBoard Beschlüsse [IKTB-040402-3] und [IKTB-051102-1] zur Verwendung in der öffentlichen Verwaltung empfohlen. Für die Zertifikate von Server und Client sind Zertifizierungsdienste zu verwenden. Seitens des IKT-Boards werden zusätzliche Anmerkungen zur Verständlichkeit angefügt: • • • • • • • Soweit symmetrische Schlüssel angewendet werden.22] 10.Zertifikate die Sicherheit einerseits aber auch die Offenheit gegenüber dem Markt andererseits erreicht. Bei Zugriff auf Verwaltungsanwendungen (z.[eh SYS 8. Bei der Umsetzung von Anwendungsportalen ist darauf zu achten. 392 . Weitere Portalkopplungsstrukturen werden nur nach vorheriger Abstimmung zwischen Bund. die an andere Portale koppeln. sind die Schlüssellängen mit mindestens 100 Bit zu wählen. SAP und ESS) ist auf die entsprechende Sicherheitsklasse des Zugangs zu achten [IKTB-270705-01] . für EKIS und für eine Reihe weiterer wichtiger Anwendungen verschiedener Ressorts. deren Sicherheitsvorgaben nach österreichischer Rechtslage wirksam sind. dass diese das Portalverbundprotokoll unterstützen.at [IKT-LDAP] ) zum Portalverbund vorgeschlagen. Städten und Gemeinden eingesetzt.B. Im Portalverbund wird durch . Portale zwischen den Verwaltungen bilden die technische Basis für das zentrale Melderegister.mit einheitlichen Attributen versehene .9 Portalverbundsystem in der öffentlichen Verwaltung Bezug: Österreich Der Portalverbund ist ein Zusammenschluss von Verwaltungsportalen zur gemeinsamen Nutzung der bestehenden Infrastruktur. Ländern. Die Benutzer/innen sind dabei entsprechend der Organisations-Zugehörigkeit zu erfassen [IKTB-240304-01] . dass mehrere Anwendungen über einen Punkt zugänglich sind.9. Seitens der Arbeitsgruppe (Bund / Länder) wurde ein Protokoll ( Spezifikation Portal Verbund Protokoll PVP [IKT-PVP] ) und eine Struktur ( Spezifikation LDAP-gv.nicht jedoch für Bürger/innen anwendbar. Diese Portalstruktur ist für Organwalter und gesetzliche Vertretungen für den jeweils eigenen Wirkungsbereich . Generell haben sich Portale. dies mit ClientIdentifikation via Zertifikat durchzuführen. Der Vorteil eines Portals ist.

10.10. Einrichten von Benutzerinnen und Benutzern: 393 .10 Protokollierung und Monitoring 10.5 Art und Umfang von Protokollierungen hängen von den speziellen Anforderungen des IT-Systems und der darauf befindlichen Applikationen und Daten ab und sind im Einzelfall sorgfältig festzulegen.1. die mit der Systemdokumentation korrespondieren sollten. In Hinblick auf die Verwendung von Zertifikaten in der Öffentlichen Verwaltung werden besonders in den IKT-Board Beschlüssen [IKTB-110903-3] und [IKTB-281003-19] entsprechende Dokumente und Richtlinien beschlossen und zur Anwendung empfohlen (siehe dazu auch Richtlinien der IKT-Stabsstelle für ServerZertifikate [IKT-SZERT] ). MOA-SS/SP) einzubinden. Die im Folgenden angeführten Anforderungen an die Protokollierung stellen Mindestanforderungen dar.1. 10.10. bedarf es entsprechender detaillierter manueller Aufzeichnungen.10.20] 10. 10.6.1 Erstellung von Protokolldateien ISO Bezug: 27002 10. [IKTB-161203-01] Im Rahmen der Anwendungen des Bundes werden diese dann auch zur Sicherung der Konvergenz verwendet.2. Demnach sind bei der Administration von IT-Systemen die folgenden Aktivitäten vollständig zu protokollieren: • • Systemgenerierung und Modifikation von Systemparametern: Da auf dieser Ebene in der Regel keine systemgesteuerten Protokolle erzeugt werden.10. [eh SYS 8.Für die Signatur und die Identifikation wird empfohlen die Module für Sicherheitstechniken für Online Verfahren (MOA-ID. wie sie für die meisten Systeme Gültigkeit haben. Neben den Protokollen für den Portalverbund ist eine einheitliche Vorgehensweise in den Bereichen • • • • Verwendbare Verschlüsselungsverfahren Zertifikatsspezifikationen Keystoreformate und Zertifikatsmanagement anzuwenden.

kommt einer vollständigen Protokollierung eine besondere Bedeutung zu (vgl.B. die sich bereits bei Benutzung der "Standard-Dateiverwaltungssysteme" ergeben. Um eine ordnungsgemäße Auswertung der Protokolldaten zu ermöglichen ist zu beachten: • • • Die Speicherung der Protokolldaten hat in einer nicht manipulierbaren Form zu erfolgen (die Daten dürfen nicht gezielt verändert. Benutzer/innen in diesem Sinne ist auch Systemadministratoren. Durchführung von Datensicherungsmaßnahmen: Da derartige Maßnahmen (Backup. ob Unbefugte sich Systemadministrator-Rechte erschlichen haben.• • • • • • Es ist vollständig zu protokollieren. 394 . Das Überschreiben eines bestimmten protokollierten Ereignisses durch ein gezieltes Auffüllen des Speichers der Protokolldaten mit "unverdächtigen" Daten muss zuverlässig verhindert werden. wer die Anweisung zur Einrichtung bestimmter Benutzerrechte erteilt hat. das betreffende IT-System zu benutzen. unbefugt gelöscht oder zerstört werden können). da sie eine personenbezogene Auswertung unmöglich machen. Einspielen und Änderung von Anwendungssoftware: Die Protokolle repräsentieren das Ergebnis der Programm.und Softwarekomponenten eine zentrale Bedeutung zu. Sonstiger Aufruf von Administrations-Tools: Die Benutzung aller Administrations-Tools ist zu dokumentieren. wem von wann bis wann durch wen das Recht eingeräumt worden ist.und Verfahrensfreigaben. z. dem Überschreiben von Datenbeständen verbunden sind und häufig in "Ausnahmesituationen" durchgeführt werden. Diese Protokolle sind Grundlage praktisch jeder Revisionsmaßnahme. Datenbankmanagement). Änderungen an der Dateiorganisation: Im Hinblick auf die vielfältigen Manipulationsmöglichkeiten. Restore) mit der Anfertigung von Kopien bzw. besteht eine erhöhte Notwendigkeit zur Protokollierung. Versuche unbefugten Einloggens und Überschreitung von Befugnissen: Geht man von einer wirksamen Authentisierungsprozedur und sachgerechten Befugniszuweisungen aus. kommt der vollständigen Protokollierung aller "auffälligen Abnormitäten" beim Einloggen und der Benutzung von Hard. um feststellen zu können. Nicht-personenbezogene IDs sind zu vermeiden. Erstellung von Rechteprofilen: Im Rahmen der Protokollierung der Benutzerverwaltung kommt es insbesondere auch darauf an aufzuzeichnen.

Abfragen und Übermittlungen.• Die Entscheidung.das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes . Protokoll. oder zum Zweck der Kontrolle jener Personen. Unter anderem ist dazu Protokoll zu führen. welche Daten zu protokollieren sind. sich auf die tatsächlich relevanten Informationen zu beschränken. dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.1] 10.3 Lt. es sei denn. wie insbesondere Änderungen. da ein zu großer Umfang an Daten die Auswertung der Daten erschweren oder sogar unmöglich machen kann. Dabei ist es wichtig.10. dass es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens handelt. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen. im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können. § 14 (DSG 2000) (Datensicherheitsmaßnahmen) ist je nach Art der verwendeten personenbezogenen Daten und nach Umfang und Zweck der Verwendung. die mit ihrem Ermittlungszweck .2 Datenschutzrechtliche Aspekte bei der Erstellung von Protokolldateien ISO Bezug: 27002 10.10. sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen. deren Daten im protokollierten Datenbestand enthalten sind.und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden. das mit mindestens fünfjähriger Freiheitsstrafe bedroht ist. haben Datenschutz-/ IT-Sicherheitsbeauftragte oder Applikationsverantwortliche in Übereinstimmung mit gesetzlichen Vorgaben (etwa Datenschutzgesetz (DSG 2000) ) und der organisationsweiten IT-Sicherheitspolitik zu treffen. dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind. die auf den protokollierten Datenbestand zugegriffen haben.unvereinbar sind. damit tatsächlich durchgeführte Verwendungsvorgänge. aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung. [eh SYS 10. 395 .

kann ihre Auswertung auch durch den Administrator erfolgen. sind Protokollund Dokumentationsdaten drei Jahre lang aufzubewahren. als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird (lt. § 14 (DSG 2000) ). Protokollierungen von nicht-personenbezogenen Daten. Für diesen Fall bleibt zu beachten. Ist es personell oder technisch nicht möglich.3. 10.4. Da Protokolldateien in vielen Fällen personenbezogene Daten beinhalten.2 Die Protokollierung sicherheitsrelevanter Ereignisse ist als Sicherheitsmaßnahme nur wirksam. Dem/der Datenschutz-/IT-Sicherheitsbeauftragten ist jedenfalls eine derartige Auswertung vorzulegen. Je nach Art der Protokolldaten kann es sinnvoll sein.10. Aufzeichnungen über den Datendurchsatz eines Systems. durch die anschließende Löschung der Protokolldaten ein übermäßiges Anwachsen der Protokolldateien zu verhindern. §14 Z4 DSG 2000 (DSG 2000) ). Davon darf in jenem Ausmaß abgewichen werden.5. sind nicht betroffen. 10.10. 10.B. wie z.1. dass diese Daten nur für Zwecke. Die regelmäßige Kontrolle dient darüber hinaus auch dem Zweck. die Installation eines Servers.10.1. ist sicherzustellen. Die nachfolgenden Auswertungskriterien dienen als Beispiele.2] 10. die Hinweise auf eventuelle Sicherheitslücken. diese auf externen Datenträgern zu archivieren.2.3 Kontrolle von Protokolldateien ISO Bezug: 27002 10. etc.Aufbewahrungsfristen Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist. die mit ihrem Ermittlungszweck vereinbar sind. der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes verwendet werden dürfen (vgl.10. Manipulationsversuche und Unregelmäßigkeiten erkennen lassen: 396 .10. [eh SYS 10. Diese Pflichten gelten nur für den Gebrauch von personenbezogenen Daten. 15.3. 15. wenn die protokollierten Daten in regelmäßigen Abständen durch einen Revisor ausgewertet werden. die Rolle eines unabhängigen Revisors für Protokolldateien zu implementieren. dass damit eine Kontrolle der Tätigkeiten des Administrators nur schwer möglich ist.

B. mehrfacher fehlerhafter Anmeldeversuch) hervorheben. in denen anscheinend kein Benutzerwechsel stattgefunden hat (Hinweis darauf.• • • • • • • • Liegen die Zeiten des An. ein Werkzeug zur Auswertung zu benutzen. Weiters ist zu beachten: • • • • Die Verantwortung für die Auswertung der Protokolldaten ist genau festzulegen. Es ist sicherzustellen. die Dienste des Netzes zu verhindern bzw. Wenn regelmäßig umfangreiche Protokolldateien ausgewertet werden müssen.10. dass die Aktivitäten von Administratoren ausreichend kontrolliert werden können. ist es sinnvoll.3] 10. In besonders sicherheitskritischen Fällen sollte das Vier-Augen-Prinzip zur Anwendung kommen. in denen keine Protokolldaten aufgezeichnet wurden (Hinweis auf eventuell gelöschte Protokollsätze)? Ist der Umfang der protokollierten Daten zu groß (eine umfangreiche Protokolldatei erschwert das Auffinden von Unregelmäßigkeiten)? Gibt es auffällig große Zeitintervalle. [eh SYS 10. Passwörter zu erraten)? Häufen sich unzulässige Zugriffsversuche (Hinweis auf Versuche zur Manipulation)? Gibt es auffällig große Zeitintervalle. zu beeinträchtigen oder auf eine ungeeignete Konzeption bzw. Dieses Werkzeug sollte wählbare Auswertungskriterien zulassen und besonders kritische Einträge (z. dass das konsequente Abmelden nach Arbeitsende nicht vollzogen wird)? Gibt es auffallend lange Verbindungszeiten in öffentliche Netze hinein? Wurde in einzelnen Netzsegmenten oder im gesamten Netz eine auffällig hohe Netzlast oder eine Unterbrechung des Netzbetriebes festgestellt (Hinweis auf Versuche. Konfiguration des Netzes)? Bei der Auswertung der Protokolldateien sollte besonderes Augenmerk auf alle Zugriffe gelegt werden.4 Rechtliche Aspekte bei der Erstellung und Auswertung von Protokolldateien zur E-Mail. Diese Sicherstellung kann durch technische oder organisatorische Maßnahmen erfolgen. die unter Administratorkennungen durchgeführt wurden.und Abmeldens außerhalb der Arbeitszeit (Hinweis auf Manipulationsversuche)? Häufen sich fehlerhafte Anmeldeversuche (Hinweis auf den Versuch. Die Meldewege im Fall von Auffälligkeiten sind festzulegen.und Internetnutzung Bezug: Österreich 397 .

Begrenzung des Rechts zur Installation ausführbarer Programme. sollte sich über die Gründe im Klaren sein. Es muss aber auch gesagt werden. Ein totales Verbot privater Nutzung sollte nur in Extremfällen ausgesprochen werden (z.und Staatsanwaltschaftsdienstgesetz (RStDG) . Die Gefahr von Virenbefall.B. Gemäß § 9 Abs.Die Überwachung des Fernmeldeverkehrs (Telefon. Ein Arbeitgeber. der die private Nutzung von Internetdiensten einschränken will. 398 . unzulässig. Die Erläuterungen zu den Bestimmungen ( 1574 der Beilagen zu den Stenographischen Protokollen des Nationalrates XX. wobei die Frage. welche Maßnahmen die Menschenwürde berühren. ist die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen. die vom Arbeitgeber zur Verfügung gestellten Ressourcen privat zu nutzen. Virenscanner. Die Rechte des Arbeitgebers auf Schutz seiner IKT-Einrichtungen (insb. etc.) durch den Arbeitgeber ist ein Problem. Speicherplatz) als auch der Verlust an Produktivität. Private Kommunikation genießt prinzipiell den Schutz des Fernmeldegeheimnisses und des Grundrechtes auf Datenschutz. die durch private Kommunikation verursacht werden. Trojanern und anderer schädlicher Software liegen. dass kein Recht der Arbeitnehmer/innen besteht. f Bundes-Personalvertretungsgesetz (PVG) ist bei der Einführung von Systemen zur automationsunterstützten Ermittlung. E-Mail etc. für das es derzeit noch keine klare Lösung gibt. Eine Vereinbarung zu diesem Thema ist wünschenswert. Ein weiterer Grund für die Beschränkung privater E-Mail-Kommunikation kann im Schutz vor Viren. Verarbeitung und Übermittlung von personenbezogenen Daten der Bediensteten. Einrichtung von kontrollierten Umgebungen zur Ausführung fragwürdiger Programme. und zwar die direkten Kosten (Bandbreite. ignoriert werden. § 29n Vertragsbedienstetengesetz 1948 (VBG) und § 76g Richter. interpretiert werden muss. bei Behörden mit sehr hohen Ansprüchen an Sicherheit und Geheimhaltung). Gebrauch von Virenscannern) bleiben unberührt. Gebrauch von stabiler Systemsoftware. Gemäß § 79e Beamten-Dienstrechtsgesetz 1979 (BDG 1979) . Trojanern und anderer schädlicher Software lässt sich mit Hilfe geeigneter technischer Mittel stark reduzieren. • • Der Hauptgrund werden die Kosten sein.2 lit. welche die Menschenwürde berühren. Eine geringfügige private oder halbprivate Nutzung im Rahmen des normalen menschlichen Sozialverhaltens sollte zugelassen bzw. mit dem Dienststellenausschuss das Einvernehmen herzustellen. die über die Ermittlung von allgemeinen Angaben zur Person oder über die Ermittlung von fachlichen Voraussetzungen hinausgehen. insb. GP ) verweisen auf die Judikatur zu § 96 Arbeitsverfassungsgesetz (ArbVG) .

mit wem ein Personalvertreter telefonisch in Kontakt war. die im Rahmen des E-Governments tätig sind. falsche Behauptungen aufzustellen ("Ich habe alles rechtzeitig mit E-Mail beantragt.3. aber auch die Beamtinnen und Beamten bei ihrer Tätigkeit unterstützen.B.1. Weiters darf Mail an die Personalvertretung durch den Arbeitgeber nicht inhaltlich kontrolliert werden.5 Audit und Protokollierung der Aktivitäten im Netz ISO Bezug: 27002 10. [eh SYS 10. widerspricht daher dem Datenschutzgesetz (Entscheidung der Datenschutzkommission vom 6.1.2 Eine angemessene Durchführung von Protokollierung. § 26 Bundes-Personalvertretungsgesetz (PVG) statuiert eine Geheimhaltungspflicht der Mitglieder der Personalvertretung über alle ihnen von einzelnen Bediensteten gemachten Mitteilungen. Uhrzeit.. Audit und Revision ist ein wesentlicher Faktor der Netzsicherheit. Solange keine zuverlässigen Verfahren für E-Mail-Zustellbestätigungen existieren.599/8-DSK/98). Der protokollierte Posteingang wiederum macht es unseriösen Elementen schwer. Zusendung von Informationen durch die Personalvertretung). 15. mit der sich nachvollziehen lässt.3.4] 10. die der Sache nach oder auf Wunsch des/der Bediensteten vertraulich zu behandeln sind. 10. sollte derartige Mail von jeglicher Kontrolle ausgenommen werden. Datum. 399 .5. werden rasch auf ein ernstes Problem stoßen: Den Nachweis von Zustellungen per E-Mail.Behörden. Eine Aufzeichnung und Speicherung aller E-Mails (oder auch nur von Teilen.10. 15.2.6.. der Betreffzeile.").2.10. Absender/in und Empfänger/in) kann die oben genannten Probleme verschärfen. begründet der protokollierte Postausgang zumindest den Anschein einer korrekten Versendung durch die Behörde.B. Falls ein dienstliches Interesse an der Verwendung von E-Mail für nicht unmittelbar dienstliche Zwecke besteht (z. Zahl 120. 10. Eine Erfassung von Telefondaten. Diese Entscheidung lässt sich auch auf E-Mail übertragen.Oktober 1998.10.10. wie z. 10.

Dies kann online oder offline erfolgen. Zugriffe auf aktive Netzkomponenten (wer hat sich wann angemeldet?).bzw. 400 . der insbesondere sicherheitskritische Ereignisse betrachtet. ein unautorisierter Zugriff auf eine Netzkomponente oder die Performance eines Netzes zu bestimmten Zeiten. unzulässige Änderungen der IP-Adresse eines IT-Systems (in einem TCP/IPUmfeld). die zu einem Ausfall eines IT-Systems führen können. sicherheitskritische Zugriffe auf Netzkomponenten und Netzmanagementkomponenten mit oder ohne Erfolg.Protokollierung: Eine Protokollierung innerhalb eines Netzmanagementsystems oder an bestimmten aktiven Netzkomponenten erlaubt es. Weiterhin sollten folgende Vorkommnisse protokolliert werden: • • Hardware-Fehlfunktionen. Bei einem Online-Audit werden die Ereignisse mit Hilfe eines Tools (z.B. Typische Fälle. gewisse (im Allgemeinen zu definierende) Zustände für eine spätere Auswertung abzuspeichern. einem Netzmanagementsystem) in Echtzeit betrachtet und ausgewertet. ob die Bandbreite des Netzes den derzeitigen Anforderungen genügt. sind z. die übertragenen fehlerhaften Pakete an einer Netzkomponente. wieder ausgeschaltet?). Dabei sind für ein Audit insbesondere folgende Vorkommnisse von Interesse: • • • • Daten über die Betriebsdauer von IT-Systemen (wann wurde welches IT-System ein. Bei einem Offline-Audit werden die Daten protokolliert oder aus einer bestehenden Protokolldatei extrahiert. so dass diese oft nur mit Hilfe eines Werkzeuges sinnvoll ausgewertet werden können.B. oder die Erkennung von systematischen Angriffen auf das Netz. die protokolliert werden können. Zusätzlich werden beim Audit häufig auch Daten über Nutzungszeiträume und anfallende Kosten erhoben. Eine Auswertung solcher Protokolle mit geeigneten Hilfsmitteln erlaubt beispielsweise einen Rückschluss. Beim Audit liegt die Fokussierung auf der Überwachung von sicherheitskritischen Ereignissen. Verteilung der Netzlast über die Betriebsdauer eines Tages oder eines Monats und die allgemeine Performance des Netzes. Bei der Protokollierung fallen zumeist sehr viele Einträge an. Audit: Unter einem Audit wird die Verwendung eines Dienstes verstanden.

und Offline-Audit empfohlen. mit denen sicherheitskritische Ereignisse überwacht und ausgewertet werden können. Neben Performance-Messungen zur Überwachung der Netzlast sind dabei insbesondere die Ereignisse (Events) auszuwerten. wer die Protokolle und Audit-Daten auswertet. protokolliert werden. Hierbei muss eine angemessene Trennung zwischen Ereignisverursacher und auswerter (z. falls es zu einem unberechtigten Zugriff auf diese Informationen kommt.und Audit-Funktionen sind in einem sinnvollen Umfang zu aktivieren. Bei einem Offline-Audit werden die Daten aus den Protokolldateien oder speziellen Auditdateien mit Hilfe eines Werkzeuges für Auditzwecke aufbereitet und durch den Auditor überprüft. Dadurch wird ein hohes Sicherheitsrisiko erzeugt. Auf keinen Fall dürfen Benutzer-Passwörter im Rahmen eines Audits oder einer Protokollierung gesammelt werden. um eine Vertauschung zweier Zeichen unterscheiden. Zusätzlich werden weniger kritische Ereignisse offline ausgewertet. um Unregelmäßigkeiten beim Betrieb der IT-Systeme aufzudecken und die Arbeit der Administratoren zu kontrollieren. Es muss weiterhin festgelegt werden. Bei einem Online-Audit werden entsprechend kategorisierte Ereignisse direkt dem Auditor mitgeteilt. Weiterhin ist darauf zu achten. Revision: Bei der Revision werden die beim (Offline-) Audit gesammelten Daten von einem/einer oder mehreren unabhängigen Mitarbeitern/Mitarbeiterinnen (4Augen-Prinzip) überprüft. oder spezifische Datensammler einzusetzen. damit der zuständige Administrator oder Auditor auf wichtige Ereignisse sofort reagieren kann und nicht unter einer Flut von Informationen den Überblick verliert. sofort Maßnahmen einleiten kann.Ein Audit kann sowohl online als auch offline betrieben werden. ist im Einzelfall zu entscheiden. Dabei ist auch zu überlegen. Im letzteren Fall können Maßnahmen zur Einhaltung oder Wiederherstellung der Sicherheit nur zeitverzögert eingeleitet werden. ob eine Rollentrennung erforderlich ist. Dafür müssen Ereignisse in geeignete Kategorien eingeteilt werden. Die mit einem Netzmanagementsystem möglichen Protokollierungs. Ob falsch eingegebene Passwörter. Im Allgemeinen wird eine Mischform aus Online. dass die datenschutzrechtlichen Bestimmungen eingehalten werden. die von einem Netzmanagementsystem generiert werden. die sich von den gültigen Passwörtern meist nur um ein Zeichen bzw. Dabei werden für das Online-Audit die sicherheitskritischen Ereignisse gefiltert und dem Auditor sofort zur Kenntnis gebracht. Administrator und Auditor) vorgenommen werden. 401 . der ggf.B.

insbesondere in sensiblen Bereichen.1.oder Auditdateien müssen regelmäßig ausgewertet werden.6. Sie können sehr schnell sehr umfangreich werden. 10.10. die die Anbindung eines Netzwerkes an ein Fremdnetz (etwa Internet) absichern. aber dennoch so kurz gewählt werden. beitragen. dass eine sinnvolle Auswertung möglich ist.5] 10.oder Auditdateien auf ein auswertbares Maß zu beschränken.6 Intrusion Detection Systeme ISO Bezug: 27002 10. anormales Verhalten von Benutzerinnen/Benutzern ("Anomalie Intrusion Detection Systeme") oder bekannte Befehlsmuster ("Misuse Intrusion Detection Systeme")) Speicherung der analysierten Daten Einleitung von Gegenmaßnahmen: Generierung von Warnmeldungen und Setzen von Gegenmaßnahmen Im Unterschied zu Firewalls.6. sie können jedoch zu einer weiteren Erhöhung der Sicherheit. mit dem Ziel. Intrusion Detection Systeme können andere Sicherheitsmaßnahmen. 15. Um die Protokoll. wie Authentisierung.5 Aufgabe von Intrusion Detection Systemen ist die Überwachung bzw.4. 10.1. [eh SYS 10.10. Zugriffsschutzsysteme und Firewalls nicht ersetzen. 10.2. 10. Eindringversuche zu erkennen.10. [eh SYS 10.Die Protokoll.B.2. unterstützen Intrusion Detection Systeme die Erkennung unberechtigter Zugriffsversuche sowohl externer als auch interner Benutzer/innen innerhalb eines lokalen Netzes. Analyse des Datenverkehrs bzw.10. Dies umfasst folgende Teilaufgaben: • • • • Erfassung von Ereignissen: Sammlung der wesentlichen Ereignisdaten aus Netzpaketen oder Protokolldateien Analyse der erfassten Ereignisse: Untersuchung der gespeicherten Aktivitäten auf Auffälligkeiten (z. sollten die Auswertungsintervalle daher angemessen.6] 402 .1. der Aktivitäten auf IT-Systemen. weiterzumelden und gegebenenfalls Gegenmaßnahmen einzuleiten.

RFC 5905) auf einen externen Zeitserver zuzugreifen. In Österreich bietet beispielsweise das Bundesamt für Eich. beispielsweise um Fehlermeldungen. Synchronisationsprobleme auftreten. Falls für die Zeitsynchronisation auf externe Quellen (Funkuhren. Da NTP ein Klartextprotokoll ohne kryptographische Sicherungen ist. muss sichergestellt werden. Die Software des lokalen Zeit-Servers beziehungsweise NTP-Proxys muss eine Plausibilitätsprüfung vornehmen. der als einziger die NTP-Informationen von den ausgewählten Zeitservern bezieht. über das Protokoll NTP (Network Time Protocol Version 4. Alternativ kann ein Rechner im internen Netz mit einem Funkuhr-Modul ausgestattet als lokaler Zeitserver eingesetzt werden. die über mehrere Rechner verteilt sind. dass sprunghafte Änderungen. dass alle bei einem Vorgang betroffenen Rechner eine korrekte Systemzeit besitzen.6 In vielen Situationen ist es bei vernetzten Systemen wichtig. Windows-Rechner in einer Active Directory Infrastruktur gleichen zudem die Systemzeit mit dem Domänencontroller ab.ud Vermessunsswesen einen solchen Dienst an. nicht übernommen werden. oder wenn bei Anwendungen. Insbesondere in Netzen mit hohem Schutzbedarf sollten keinesfalls alle Geräte individuell per NTP direkt Anfragen an Zeitserver im Internet stellen. die eine vorher festgelegte maximale Zeitdifferenz überschreiten. Auch verteilte Dateisysteme und zentrale Authentisierungsdienste sind auf Zeitsynchronizität angewiesen.10. so sollte dafür ein eigener Rechner vorgesehen werden. Ein Beispiel für eine solche Plausibilitätsprüfung ist. Falls die Zeitserver-Infrastruktur im Internet genutzt werden soll. Für die korrekte Einstellung der Systemzeit bieten die meisten Betriebssysteme die Möglichkeit. 403 .) zurückgegriffen wird. sollte es nur innerhalb des eigenen Netzes eingesetzt werden. An der Firewall sollte NTP in diesem Fall nur für den NTP-Proxy-Server freigeschaltet werden. Im Zweifelsfall sollte dieser Lösung der Vorzug gegeben werden. Im Internet existiert eine verteilte Infrastruktur von öffentlichen NTP Zeitservern. etc.10.10. öffentliche NTP-Zeitserver. Die Rechner im lokalen Netz synchronisieren ihre Systemuhr dann mit dem lokalen NTP-Proxy.7 Zeitsynchronisation ISO Bezug: 27002 10. bevor sie die empfangenen Zeit-Informationen übernimmt und an die anderen Rechner im Netz weitergibt. Insbesondere bei der Auswertung von Protokollierungsinformationen ist dies von zentraler Bedeutung. die auf einen Angriff über das Netz hindeuten. richtig korrelieren zu können. dass die empfangenen Zeit-Informationen nicht ungeprüft übernommen werden.

Personen. 11. Schreiben. 4-Augen-Prinzip).. Berechtigungssysteme. 11. Benutzer/innen. IT-Anwendungen.). ändern.getroffen werden ("Zugriffskontrollpolitik"): • • • • • • • welche Subjekte (z.) können zwischen Subjekten und Objekten existieren.1. Lesen. Netzwerken.. wie erfolgen Identifikation und Authentisierung. Änderung eingehalten werden (Authentisierung..1 Zugriffskontrollpolitik Durch organisatorische und technische Vorkehrungen ist sicherzustellen.vorzugsweise im Rahmen der IT-Systemsicherheitspolitik . welche Regeln müssen bei Vergabe bzw. vergeben bzw. Prozesse.6 Folgende grundsätzliche Festlegungen zur Rechteverwaltung in einem IT-System sollten . Revision..B.. welche Arten von Rechten (z. .. Ausführen.und Passwortverwaltung Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 11 ff "Zugriffskontrolle". Administrator..).. Daten.B.) unterliegen der Rechteverwaltung.2.5. Die Rechteverwaltung muss vollständig. welche Rollen sind miteinander unvereinbar (z.B. 11. .B. . dass der Zugriff zu IT-Systemen. Umgesetzt werden die Zugriffsrechte durch die Rechteverwaltung des IT-Systems. Benutzer/in und Revision. 11.1..1. 11.4. 11. wer darf Rechte einsehen. Programmen und Daten nur berechtigten Personen oder Prozessen und nur im Rahmen der festgelegten Regeln möglich ist. ev.. welche Rollen müssen durch die Rechteverwaltung definiert werden (z. widerspruchsfrei und überschaubar sein. Programme. 404 .1.11 Zugriffskontrolle. Administrator und Auditor.B. Schlüssel.1 Grundsätzliche Festlegungen zur Rechteverwaltung ISO Bezug: 27002 10. 11.) und welche Objekte (z.

2.2 Benutzerverwaltung Wesentlich sind Verfahren zur geordneten und dokumentierten Erteilung von Zugriffsrechten auf Informationssysteme.Definition von Rollen: Viele IT-Systeme lassen es zu. den darauf durchgeführten Aufgaben sowie der betroffenen Organisation abhängig sein. also vom erstmaligen Einrichten neuer Benutzer / Benutzerinnen bis zur Entfernung. Rollen zu definieren. Datensicherer/in. wenn kein Zugriff mehr benötigt wird. Solche Rollen können etwa sein: Administrator. 11.2. deren Einhaltung generell empfohlen wird: • Die Rechteverwaltung darf nur durch eine/n Berechtigte/n und nur im Rahmen der in der Zugriffskontrollpolitik festgelegten Regeln durchgeführt werden. da damit Systemkontrollen außer Kraft gesetzt werden können. Diese sollen über die gesamte Lebensdauer des Zugriffsrechtes wirken.bzw. 405 . denen bestimmte Rechte zugeordnet werden. [ eh SYS 1. Besonders relevant ist dabei die Kontrolle über privilegierte Zugriffsrechte.1 Vergabe und Verwaltung von Zugriffsrechten ISO Bezug: 27002 11. Zugangskontrolle Geeignete Auswahl von Authentikations-Mechanismen Sichererer Umgang mit IDs und Passworten Aufteilung von Administratortätigkeiten 11.4 Die Vergabe und Verwaltung von Zugriffsrechten wird in hohem Maße vom spezifischen IT-System. Es gibt jedoch einige Grundregeln.1 ] 11. Dies umfasst: • • • • • • Dokumentation der zugelassenen Benutzer/Innen und zugehöriger Rechteprofile Einrichten der Zugriffsrechte Erarbeiten von Richtlinien für die Zugriffs. Datenerfasser/in oder Sachbearbeiter/in.

die seit einem längeren. .• • • • • • • Grundsätzlich sollten immer nur so viele Zugriffsrechte vergeben werden. z.B. Karenz.2 ] 11. systembezogen zu definierenden Zeitraum nicht benutzt wurden.. Organisationseinheit. . Benutzergruppen bilden die Voraussetzung für eine angemessene Vergabe von Zugriffsrechten und für die Sicherstellung eines geordneten und überwachbaren Betriebsablaufs. um von jedem/jeder Benutzer/in bzw. für jede Benutzergruppe zunächst die erforderlichen Daten zu erfassen. ebenso jede/r Verantwortliche für ihren/seinen Bereich. Nicht mehr aktive Benutzerkennungen dürfen nicht für Nachfolger/innen reaktiviert werden. also Kennungen. Erreichbarkeit (z. Jede/r Benutzer/in soll ihre/seine Rechte innerhalb einer Anwendung einsehen können.bzw.) bestehen.2.. Projekt. eines Mitarbeiters sind deren/dessen Kennung und die zugehörigen Rechte unverzüglich zu deaktivieren bzw. Raum). ggf.4 Regelungen für die Einrichtung von Benutzerinnen/Benutzern bzw. Vorname. Vorschlag für die Benutzer/innen.2.: • • • • • 406 Name. Gruppenkennung.B. Es muss ein geregeltes Verfahren für den temporären Entzug von Zugriffsrechten (z. Bei Ausscheiden einer Mitarbeiterin bzw.2 Einrichtung und Dokumentation der zugelassenen Benutzer/innen und Rechteprofile ISO Bezug: 27002 11. zu löschen. Zusätzlich sollte in definierten Abständen eine Suche nach "toten Benutzerkennungen". Personelle und aufgabenbezogene Änderungen müssen innerhalb der Rechteverwaltung unverzüglich berücksichtigt werden. wenn diese nicht durch Konventionen vorgegeben sind. Es sollte ein Formblatt existieren. Telefon. vorgesehen sein.B. eindeutige Identifikation zumindest des jeweiligen Berechtigungssystems. wie es für die Aufgabenwahrnehmung notwendig ist ("Need-to-know-Prinzip").1 11. [ eh SYS 1. bei Urlaub.

Namenskonventionen für die Benutzer. Anonymisierte bzw. Zustimmung von Vorgesetzten. die zugelassenen Gruppen mit den zugehörigen Benutzerinnen/Benutzern. eingeschränkte Benutzerumgebung. auch 11. das einem/einer neuen Benutzer/in für die erstmalige Systemnutzung mitgeteilt wird. Dies sollte vom System initiiert werden. muss danach gewechselt werden (s. Endgeräte.• • • ggf. [ eh SYS 1. Dokumentiert werden sollen insbesondere • • die zugelassenen Benutzer/innen mit folgenden Mindestangaben: zugeordnetes Rechteprofil (ggf. Zugriffsberechtigungen (für bestimmte Verzeichnisse.nachname) oder eigene Benutzer-IDs (z. wie zum Beispiel eine Kombination aus Vor. die jedoch nicht öffentlich. Begründung für die Wahl des Rechteprofils (und ggf. Bei all diesen Aufzeichnungen ist auf Aktualität und Vollständigkeit zu achten. Befristungen. ggf. generische Benutzerkennungen sind nur bei unbedenklichen Inhalten. Befristungen. etc. ggf. Benutzergruppen und Rechteprofile und ist Voraussetzung für Kontrollen. Ein Passwort. muss jedem/jeder Benutzer/in eine eigene Benutzerkennung zugeordnet sein.B. der Abweichungen). Nummer). vorname.1 Regelungen des Passwortgebrauches). Abweichungen vom verwendeten Standard-Rechteprofil). Remote-Zugriffe. Erreichbarkeit der Benutzerin bzw.und Gruppennamen festzulegen.B. Plattenvolumen. Anwendungen. Zeitpunkt und Grund der Einrichtung.3. zulässig. Dokumentation: Die Dokumentation dient der Übersicht über die zugelassenen Benutzer/innen. Angaben über die geplante Tätigkeit im System und die dazu erforderlichen Rechte sowie die Dauer der Tätigkeit. bei denen personenbezogene Zugriffssicherheit erforderlich ist. Es ist sinnvoll. Kürzel Organisationseinheit plus lfd. Restriktionen auf Zeiten.3 ] 407 . Zeitpunkt und Grund der Einrichtung. sondern einem eingeschränkten Benutzerkreis zugänglich sein sollen.). des Benutzers. es dürfen nicht mehrere Benutzer/innen unter derselben Kennung arbeiten. Für sensible IT-Systeme bzw.und Nachnamen (z.

so lässt sich dieses auch organisatorisch nachbilden. wobei jeder im Notfall Zugriffsberechtigte nur einen Teil besitzt. die in Notfällen bei Abwesenheit einer Mitarbeiterin bzw. dass eine zeitgerechte Neuausstellung der Karte oder eine Ausstellung einer temporär gültigen Karte möglich ist oder aber Ersatzkarten zur Verfügung stehen. dieses hinterlegte Passwort zu nutzen. Nach der Rückkehr der Benutzerin bzw. [ eh SYS 1. in einem Tresor) zu deponieren und bei jeder Änderung des Passwortes zu aktualisieren (regelmäßige Prüfung auf Aktualität erforderlich!). Notfällen ISO Bezug: 27002 11. damit keine Weitergabe von Passwörtern in Abwesenheitsfällen benötigt wird. Generell sollte in Applikationen und IT-Systemen eine Stellvertreterregelung schon eingebaut sein. Je nach den technischen Möglichkeiten können auch "Einmalpasswörter" oder Passwörter mit begrenzter Benutzungsdauer vergeben werden. Ist vom System technisch kein Vier-Augen-Prinzip vorgesehen. h.B. im Urlaubs. von zwei Personen gleichzeitig.2.7 ] 408 . indem Passwörter in mehrere Teile zerlegt werden. so ist dieses an einem geeigneten.B. bei momentaner Inoperabilität bzw.11. Außerdem ist die Weitergabe des Passworts und deren Dauer zu dokumentieren.bzw. eines Mitarbeiters (z. so sollte dies nach dem Vier-Augen-Prinzip.oder Krankheitsfall) ihrer/ seiner Vertretung Zugriff auf das IT-System bzw.2 Es sind Vorkehrungen zu treffen. des Benutzers ist diese/r über die Weitergabe des Passworts in Kenntnis zu setzen und ein neues Passwort von ihr/ ihm zu vergeben. Nichtverfügbarkeit der Chipkarte einer/einem Berechtigten den Zugang zum System zu ermöglichen. die es erlauben. Ist es in Einzelfällen doch notwendig. geschützten Ort (z. ein Passwort zu hinterlegen. d. Abhängig von den Personalisierungsmöglichkeiten vor Ort ist dafür Sorge zu tragen.3 Organisatorische Regelungen für Zugriffsmöglichkeiten in Vertretungs. Beim Einsatz von Chipkarten zur Authentisierung sind Vorkehrungen zu treffen. die Daten ermöglichen. geschehen. Wird es notwendig.

oder Abteilungsbezeichnungen. Dafür ist es empfehlenswert. Für Benutzer/innen mit umfangreichen Rechten. in Bereichen. die Mechanismen gegen unbefugten Zugriff. Geburtsdaten. Der Hersteller bzw. wie etwa Administratoren. wie ABCDEF. so ist die Sicherheit der Zugriffsrechteverwaltung des Systems entscheidend davon abhängig.3.1 Erfolgt die Authentisierung in einem IT-System über Passwörter. Im Folgenden werden jedoch einige Grundregeln gegeben.11. KfzKennzeichen. Voreingestellte Passwörter (z. Kompromittierung oder Diebstahl von Informationen bzw. sind ebenso zu vermeiden wie Standardausdrücke wie TEST.B. von Außenstehenden leicht zu erratender Bedeutung. die Benutzer/innen diesbezüglich zu unterweisen und die Einhaltung zu kontrollieren. Firmen. Passwörter mit spezieller. etc. der gespeicherten Daten sowie den auf dem System realisierten technischen Möglichkeiten. • • • • Das Passwort sollte mindestens 6 Zeichen lang sein. Innerhalb des Passwortes sollte mindestens ein Zeichen verwendet werden. des Herstellers bei Auslieferung von Systemen) müssen umgehend durch individuelle Passwörter ersetzt werden. etc. 11. 123456.und Zeichenmuster. dass das Passwort korrekt gewählt und verwendet wird. das kein Buchstabe ist (Sonderzeichen oder Zahl). Regelungen zum Passwortgebrauch sind in hohem Maße abhängig vom betroffenen IT-System.3. in denen mit streng vertraulichen Informationen gearbeitet wird. QWERTZ. Lieferant sollte dazu nach allen voreingestellten Benutzerkennungen und Passwörtern befragt werden.1 Regelungen des Passwortgebrauches ISO Bezug: 27002 11. wie Namen. 409 • . SYSTEM und Tastatur.3 Verantwortung der Benutzer / Benutzerinnen Die Benutzer / Benutzerinnen sind verantwortlich. Es ist zu prüfen. bzw. werden die Anforderungen im Allgemeinen höher liegen. dem Schutzbedarf der darauf laufenden Anwendungen bzw. Einrichtungen wirksam zu halten. ob das Berechtigungssystem alle Stellen des Passwortes oder nur Teile davon überprüft. Allerdings sind sie diesbezüglich mit verständlichen Anweisungen zu unterstützen. eine Regelung zum Passwortgebrauch einzuführen. die eine Art Mindeststandard für die Wahl und die Handhabung von Passwörtern darstellen.

B.• • • • • • • Passwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden. Eine solche Aktion kann etwa eine Sperre der Benutzer-ID sein. Ist das Passwort unautorisierten Personen bekannt geworden. eine Warnmeldung oder Ähnliches. Die Passwörter sollten im System zugriffssicher und nicht im Klartext gespeichert werden. sollten folgende Randbedingungen eingehalten werden: • • • • Die Wahl von Trivialpasswörtern (s. alle 90 Tage. Bei der Authentisierung in vernetzten Systemen sollten Passwörter verschlüsselt übertragen werden. mittels Einwegverschlüsselung.2 Bildschirmsperre 410 . Der Passwortwechsel sollte vom System regelmäßig initiiert werden.B. Das Passwort muss regelmäßig gewechselt werden. Bei der Eingabe darf das Passwort nicht auf dem Bildschirm angezeigt werden. z. so ist ein sofortiger Passwortwechsel durchzuführen.) sollte mit technischen Mitteln verhindert werden ("Stopwortliste"). z. Das Passwort muss geheim gehalten werden und sollte nur dem/der Benutzer/in persönlich bekannt sein. Die Wiederholung alter Passwörter beim Passwortwechsel sollte vom IT-System verhindert werden. eine größere Anzahl zum Vergleich herangezogen werden ( Passwort Historie ). also Passwörter. die nach einmaligem Gebrauch gewechselt werden müssen. Jede/r Benutzer/in muss sein eigenes Passwort jederzeit ändern können. Dazu sollten alle alten Passwörter bzw. die nur vom Systemadministrator aufgehoben werden kann. Für die Erstanmeldung neuer Benutzer/innen sollten Einmalpasswörter vergeben werden. Wird es doch aufgeschrieben. Falls IT-technisch möglich. • • • • [ eh SYS 1. Nach einer vorgegebenen Anzahl von Fehlversuchen (meist 3) ist eine vordefinierte Aktion zu setzen. Die Eingabe des Passwortes sollte unbeobachtet stattfinden. aber auch eine Sperre des Gerätes oder ein Timeout.3.5 ] 11. Das Passwort sollte nach Möglichkeit nicht schriftlich fixiert werden. so ist für die Sicherheit dieser Aufzeichnungen besonders Sorge zu tragen.o.

wenn der/die Benutzer/in den Arbeitsplatz für eine kurze Zeit verlässt. um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen.2. Beim Entfernen der Chipkarte ist entweder die Bildschirmsperre zu aktivieren.3. Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der Routing-Updates erforderlich. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich. zum anderen durch kryptographische Prüfsummen erreichbar.4 Fernzugriff Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. Beim Einsatz von Chipkarten soll gewährleistet sein. Verfügt das Softwareprodukt außerdem über eine Passwort-Abfrage. die die entsprechenden Dienste dieses Systems nutzen. sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert werden. Denn während durch eine fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer betroffen sind.8 ] 11. dass die Bildschirmsperre nur mittels Chipkarte und PIN wieder aufgehoben werden kann.3 Unter einer Bildschirmsperre versteht man die Möglichkeit. des Benutzers zusätzlich ein Zugriffsschutz für das IT-System gewährleistet. können bei einer Fehlkonfiguration eines Routers größere Teilnetze bzw. wird bei der Abwesenheit der Benutzerin bzw. 411 . Als weiteres Leistungsmerkmal sollte die Bildschirmsperre eine automatische Aktivierung bei längerer Pausenzeit aufweisen. [ eh SYS 1.ISO Bezug: 27002 11. Die Aktivierung der Bildschirmsperre sollte erfolgen. Behörden und Unternehmen müssen Fernzugriffsmöglichkeiten auf ihre IT-Systeme einrichten. 11. um auf Daten und Anwendungen unabhängig vom Standort dieser Institution zugreifen zu können. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig konfiguriert werden. oder der/die Benutzer/in auszuloggen. die auf dem Bildschirm aktuell vorhandenen Informationen zu verbergen. Ein solcher Schutz ist zum einen durch Passwörter.3.

1 Nutzung eines Authentisierungsservers beim Fernzugriff ISO Bezug: 27002 11. Für mittlere und große Netze. UMTS. besteht in vielen Fällen das Problem.Diese Fernzugriffsmöglichkeiten können mit unterschiedlichen Endgeräten (Desktop. WLAN. WiMax oder öffentliche Telefonnetze zugegriffen werden kann. 11.5.4. Wurde ein Endgerät entwendet oder gestohlen. um die auf dem Endgerät gespeicherten Daten vor Verlust und gegen Vertraulichkeitsverletzungen zu schützen Einsatz eines kryptografisch gesicherten VPN. Smartphone) realisiert werden.4. dass in jedem Verwaltungsbereich eine getrennte Verwaltung der Benutzerdaten durchgeführt wird. 412 . Zu den wichtigsten Maßnahmen gehören: • • • eine erfolgreiche Authentifizierung des Benutzers gegenüber seinem Endgerät und dem Netz der Institution Verschlüsselung der Daten auf dem Endgerät und eine regelmäßige Sicherung der Daten im Netz der Institution. Die Verbindung zwischen dem Endgerät und der Zentrale führt in der Regel über das Internet.6.7 Für Netzwerke mit vielen Benutzern bzw. sollte sich der Fernzugriff des betroffenen Benutzers durch die Institution kurzfristig sperren lassen. 11. um so die Risiken durch Nachlässigkeit zu reduzieren. müssen hier Querberechtigungen (Cross-Zertifikate. Vertrauensstellungen) oder ein zentraler Verzeichnisdienst eingerichtet und gepflegt werden. Laptop. um die Kommunikationsverbindung zwischen dem Endgerät und dem Netz der Institution vor unbefugtem Mitlesen zu schützen. 11. Benutzerinnen sollte auf die Effizienz der Benutzerverwaltung auch für Fernzugriffe geachtet werden. auf das wiederum über DSLAnschlussleitungen. die vor allen Dingen die Möglichkeit der Spionage und des Verlusts von Daten sowie der Sabotage der ITSysteme der Institution betreffen. Sollen sich Benutzer/innen auch an fremden Teilnetzen anmelden können. 11. Mit dem Gewinn an Flexibilität sind Risiken verbunden. die organisatorisch meist in mehrere Teilnetze (Domänen. Zusätzlich sollte eine Anwenderrichtlinie den Benutzer auf seine Sorgfaltspflichten hinweisen. Verwaltungsbereiche) aufgeteilt sind.

der diese an den/die Benutzer/in weiterleitet. Je nach System erzeugen diese z. Der Anmeldeprozess muss dazu die Nutzung externer Authentisierungsserver unterstützen und die Netzadresse des zu benutzenden Authentisierungsservers muss in den Konfigurationsdaten des Anmeldeprozesses korrekt eingetragen sein. eines Benutzers. Prinzipiell besitzen diese Systeme folgenden Aufbau: • • • Die Authentisierungsdaten der Benutzer/innen werden durch einen zentralen Server verwaltet.und Token-basierte Mechanismen zu nennen. die auf einem Display angezeigt werden und welche der/die Benutzer/in als Passwort angeben muss. Der/die Benutzer/in gibt ihr/sein Authentisierungsgeheimnis ein. dass einerseits die Authentisierungsdaten konsistent verwaltet werden und andererseits bessere Authentisierungsmechanismen genutzt werden können.B.eine so genannte "Challenge" an den Prozess zurück. Das Programm zur Systemanmeldung wendet sich zur Überprüfung der von dem/der Benutzer/in eingegebenen Authentisierungsdaten an den Authentisierungsserver. kontaktiert dieser den Authentisierungsserver und informiert ihn über den eingegangenen Verbindungswunsch einer Benutzerin bzw.Insbesondere im Kontext mit Fernzugriffen haben sich hier spezielle Authentisierungssysteme herausgebildet. Einmalpasswörter. Hier sind insbesondere Chipkarten. als sie von den Betriebssystemen standardmäßig unterstützt werden. Der Authentisierungsserver sendet . Dies kann je nach verwendetem System ein Passwort oder ein Einmalpasswort in den unterschiedlichsten Ausprägungen (Nummern. Will sich ein/e Benutzer/in nun am System anmelden . die auch für den "normalen" Authentisierungsprozess bei der Systemanmeldung genutzt werden können. Text) sein. Der Zugang zum (Access-)Netz wird nach erfolgreicher Überprüfung gewährt. 413 .gleichgültig ob sie/er dazu eine RAS-Verbindung benutzt oder sich direkt im LAN befindet . Der Anmeldeprozess leitet die Daten (meist transparent für Benutzer/innen) an den Authentisierungsserver weiter. Der Authentisierungsserver verifiziert die Benutzerdaten und signalisiert dem Anmeldeprozess das Ergebnis der Überprüfung.sofern ein "Challenge-Response" Verfahren zum Einsatz kommt .laufen grob vereinfacht folgende Schritte ab: • • • • • Findet ein Verbindungsaufbau mit dem Anmeldeprozess statt. Durch die Verwendung von zentralen Authentisierungsservern kann erreicht werden. Zur Kommunikation zwischen Anmeldeprozess und Authentisierungsserver wird in der Regel ein abgesichertes Protokoll eingesetzt.

11. werden die Daten über die Netze der beteiligten Internetdienstanbieter (und eventuell deren Kooperationspartner) geleitet. So wird beispielsweise bei einer direkten Einwahl (Direct Dial-In) das Netz eines Telekommunikationsanbieters benutzt. Integrität und Authentizität gewährleistet ist.7 ] 11. u. von den auf Protokollebene einsetzbaren Verfahren (siehe unten). Im VPN-Umfeld haben sich verschiedene Verfahren und Mechanismen zur Absicherung der Kommunikationsverbindung herausgebildet.10 Remote Access) Die Wahl des Verfahrens. muss der zur Datenübertragung benutzte Netzpfad so abgesichert werden. Ein Authentisierungsserver muss so im Netz platziert werden. dass auch diese Server administriert und gewartet werden müssen.2 Einsatz geeigneter Tunnel-Protokolle für die VPNKommunikation ISO Bezug: 27002 11. so erfolgt der Zugriff typischerweise über eine externe Datenverbindung. • • • von den Sicherheitsanforderungen an die Stärke der Verfahren (hierdurch werden beispielsweise die Schlüssellängen bestimmt). Wird die Verbindung über das Internet aufgebaut. [ eh SYS 7.Hard.3 Wird über ein Virtual Private Network (VPN) auf ein LAN zugegriffen. wie beispielsweise das Tunneling. aber andererseits auch vor unberechtigten Zugriffen geschützt ist.Für mittlere und große Netze wird die Verwendung von Authentisierungsservern insbesondere bei Fernzugriffen empfohlen.7. Da über eine VPN-Verbindung die direkte Anbindung an ein LAN erfolgt. Die Absicherung wird durch das Verschlüsseln und gegebenenfalls Signieren der ausgetauschten Datenpakete erreicht. (vgl. hängt von verschiedenen Faktoren ab. von den durch die VPN. dass die Vertraulichkeit. 10. 12. nachdem die Kommunikationspartner authentisiert wurden. das zur Absicherung einer VPN-Verbindung zu benutzen ist.A.4. dass er einerseits performant erreicht werden kann. Berücksichtigt werden muss jedoch.6. da diese eine wesentlich höhere Sicherheit bei der Benutzer-Authentisierung bieten.4.und Software unterstützten Verfahren. Generell gilt: 414 .

in welchen Fällen vertrauliche Informationen bei der Übertragung verschlüsselt werden müssen.3 Einsatz von Modems und ISDN-Adaptern ISO Bezug: 27002 11. Mobilfunk immer seltener verwendet. So ist etwa festzulegen: • • • • wer die/der Verantwortliche für den sicheren Betrieb des Modems ist (beispielsweise im Stand-alone Einsatz der IT-Benutzer/innen.1 Modems werden angesichts der besseren Möglichkeiten durch Breitband-Internet bzw. sollten diese im sinnvollen Rahmen genutzt werden. Hier sollte eine möglichst breite Unterstützung von Verfahren angestrebt und entsprechende Standards angewendet werden (beispielsweise IPSEC. ob erfolgreich oder erfolglos. es ist aber zu überlegen. Bietet die Kommunikationssoftware Protokollierungsfunktion an. Alternativ kann das VPN-Produkt auch eigene Verfahren anbieten. [ eh SYS 7. wer das Modem benutzen darf.4. in welchen Fällen durchgeführte Datenübertragungen zu protokollieren sind (z. Korrekt eingegebene Passwörter sollten nicht mitprotokolliert werden. und es gibt nach wie vor noch Modemzugänge.• • Ein VPN-Produkt bietet in der Regel eine Auswahl von unterstützten Standardverfahren zur Kommunikationsabsicherung an. müssen protokolliert werden. Alle Login-Vorgänge. Für den sicheren Einsatz sind eine Reihe von Regelungen zu treffen. SSL/TLS).4. bei Übermittlung personenbezogener Daten). Die Sicherheitsmechanismen basieren auf unterschiedlichen kryptographischen Verfahren. Der sichere Einsatz eines Modems bedingt weiters einige administrative Maßnahmen: 415 .B. Die zum Datentransport benutzten Protokolle bieten selbst schon Sicherheitsmechanismen an. Diese können vom VPN-Produkt genutzt werden. um Passwort-Attacken zu entdecken. in vernetzten Systemen der Administrator). die bei erfolglosen Login-Versuchen eingegebenen Passwörter mitzuprotokollieren.8 ] 11. Einige der hier angeführten Grundsätze gelten allerdings auch für solche.

Es ist darauf zu achten. von der Leitung getrennt wird.5 Aktivierung einer vorhandenen Callback-Option). ohne sich einzuloggen.4. -partnerinnen bekannt gegeben werden. die in Modems integriert sein können. Außerdem müssen regelmäßig die Einstellungen des Modems und der Kommunikationssoftware überprüft werden sowie die durchgeführten Datenübertragungen protokolliert werden. dass das Modem nur solange mit dem Telefonnetz verbunden ist.4. Diese OnlineVerschlüsselung bedingt einen geringeren organisatorischen Aufwand als das Verschlüsseln der Daten mittels Zusatzprodukten. und es anschließend ausgeschaltet bzw. Ein externes Modem kann einfach ausgeschaltet werden.• • • • • Die Telefonnummer eines Modem-Zugangs darf nur den Kommunikationspartnern bzw. [ eh SYS 6. Es muss außerdem darauf geachtet werden. dass nach der Datenübertragung auch das Kommunikationsprogramm zu beenden ist. sobald der/die Benutzer/in sich vom System abmeldet. die übertragenen Daten zu verschlüsseln. dass nach einem Zusammenbruch der Modem-Verbindung externe Benutzer/innen automatisch vom IT-System ausgeloggt werden. Die vielfach angebotene Callback-Funktion bietet unter Sicherheitsgesichtspunkten den Vorteil. die für die Datenübertragung berechtigt sind. Andernfalls kann der/die nächste Anrufer/in unter dieser Benutzerkennung weiterarbeiten. Bei einem Stand-aloneSystem kann dies dadurch realisiert sein. wenn regelmäßig Übertragungen großer Datenmengen innerhalb einer Organisation mit verstreuten Liegenschaften durchgeführt werden sollen. Es muss sichergestellt sein. wie es für die Datenübertragung eingesetzt wird. wie etwa Passwortmechanismen oder Callback-Funktionen (vgl. Ist ein Modem in einen Netzserver integriert. Die Anschaffung eines Modems mit Verschlüsselungsoption ist vorteilhaft. Einige Modems bieten auch die Möglichkeit. dass auf einfache Weise unautorisierte Anrufer/innen abgewiesen werden können (siehe auch 11. dass das Modem die Telefonverbindung unterbricht.4 Geeignete Modem-Konfiguration). können Benutzer/innen von ihren Arbeitsplatzrechnern auf das Modem zugreifen. Sicherheitsmechanismen bei Modems: Es gibt vielfältige Sicherheitsmechanismen. Bei einem im Netzserver integrierten Modem muss dies über die Konfiguration sichergestellt werden. Sie darf nicht im Telefonverzeichnis der Organisation erscheinen. Dann darf ein Zugriff auf die Kommunikationssoftware nur den Benutzerinnen/Benutzern möglich sein.11 ] 416 . dazu 11. um den Zugang vor Einwählversuchen zu schützen. dass die eingesetzten Algorithmen stets dem Stand der Technik entsprechen. Außerdem müssen alle Benutzer/innen darauf hingewiesen werden.

Die Basis-Befehlssätze der verschiedenen Modems stimmen größtenteils überein. Zum Problem der Fernwartung über Modems siehe 12. Bei einigen Modems wird nach Eingabe eines bestimmten Befehls eine Liste der Rufnummern mit den zugehörigen Passwörtern angezeigt. Ansonsten ist ein Callback-Mechanismus einzusetzen (siehe 11.4 Geeignete Modem-Konfiguration ISO Bezug: 27002 11. Außerdem sollten sie auf Papier ausgedruckt werden. dazu auch 11. Nachfolgend werden einige sicherheitsrelevante Konfigurationen vorgestellt: Auto-Answer: Es kann eingestellt werden. Passwortgeschützte Speicherung von (Rückruf-)Nummern: Bei der Speicherung von Telefonnummern oder Rückrufnummern im nichtflüchtigen Speicher des Modems können diese bei vielen Modellen durch ein Passwort geschützt werden.5 Aktivierung einer vorhandenen Callback-Option). Fernkonfiguration des Modems: Manche Modems können so eingestellt werden. Wenn diese Möglichkeit vorhanden ist. Daher sollte der Zugang zum Modem nur befugten Personen möglich sein 417 . Es ist wichtig. Es ist darauf zu achten. Eine Einstellung.2 Die meisten Modems arbeiten nach dem nicht normierten.4. herstellerabhängigen Hayes-Standard (auch AT-Standard genannt).3 Fernwartung. Größere Abweichungen gibt es in den erweiterten Befehlssätzen.7. dass sie von entfernten Modems fernkonfiguriert werden können. dass diese Möglichkeit ausgeschaltet ist. Die gewählten Einstellungen sollten im nichtflüchtigen Speicher des Modems gespeichert werden.11.3. dass Anrufe manuell entgegengenommen werden müssen. sollte gewählt werden.4.1 Regelungen des Passwortgebrauches) gewählt werden.4. wenn verhindert werden soll. sollte sie genutzt und die Passwörter entsprechend den Sicherheitsanforderungen (vgl. den Befehlssatz des eingesetzten Modems daraufhin zu überprüfen. dass das Modem einen ankommenden Ruf automatisch nach einer einzustellenden Anzahl von Klingelzeichen entgegennimmt. wie die im folgenden beschriebenen Funktionen umgesetzt sind und ob durch fehlerhafte Konfiguration Sicherheitslücken entstehen können. die dies verhindert und erzwingt. dass von außen unbemerkt eine Verbindung aufgebaut werden kann. so dass sie jederzeit mit der aktuellen Einstellung verglichen werden können.

Es ist darauf zu achten. die Möglichkeit haben. wenn feste Kommunikationspartner/innen sich automatisch einwählen können sollen. sofort nach dem erfolgreichen Verbindungsaufbau die Leitung und ruft eine voreingestellte Nummer zurück. kann ein Angreifer versuchen. Dadurch wird verhindert.5 Aktivierung einer vorhandenen Callback-Option ISO Bezug: 27002 11. [ eh SYS 6. Wenn die eingesetzte Applikation diese Option bietet. dass mit dem automatischen Rückruf auch die Kosten der Datenübertragung übernommen werden. also auf der Seite. Callback ist immer dann einzusetzen. von der Dateien abgerufen oder auf der Dateien eingespielt werden. wenn es einen Anruf erhält. Es ist sicherzustellen. Hier sollte darauf geachtet werden. da der Mechanismus sonst in eine Endlosschleife führt. ist es für einen Angreifer wesentlich schwieriger.2 Viele Modems bieten die Option eines automatischen Rückrufs (Callback). und kein "Overrulen" durch den Anrufer möglich ist. dass die voreingestellten Rufnummern des Callback sporadisch kontrolliert und aktualisiert werden. Wenn die Applikation den Callback durchführt. solange er nicht unter der voreingestellten Nummer erreichbar ist. in dem Moment.12 ] 11.4. Anmerkung: Privilegierte Benutzer/innen können ev. unter der sie sich zurückrufen lassen möchten. den richtigen Moment abzupassen.13 ] 418 . trennt das Modem. Wenn das Modem ein Callback auslöst. Callback sollte auf der passiven Seite aktiviert sein. Ist diese Option aktiviert. die Nummer einzugeben. dass ein nicht autorisierter Anrufer diesen Modemzugang missbrauchen kann. Ein Callback kann außer durch das Modem auch von der Applikation ausgelöst werden. Zu beachten ist.[ eh SYS 6. dass nur in der Zentrale festgelegte Nummern zurückgerufen werden. dass der automatische Rückruf nur auf einer Seite aktiviert ist. sollte das Callback von der Applikation und nicht vom Modem ausgelöst werden. wenn das Modem den Callback starten will.4. dieses anzuwählen und damit den Callback abzufangen.

Neben diesen Grundfunktionen muss ein Betriebssystem grundlegende Sicherheitskonzepte durchsetzen. Dazu gehört insbesondere sowohl der Schutz der Betriebssystemsoftware selbst als auch der Schutz einzelner Daten und Programme vor unberechtigter Benutzung (Verletzung der Vertraulichkeit von Informationen).4 Bei Neuinstallationen von Betriebssystemen und Software berücksichtigen die standardmäßigen und herstellerseitigen Grundeinstellungen kaum sicherheitstechnische Aspekte.1 Sichere Initialkonfiguration und Zertifikatsgrundeinstellung ISO Bezug: 27002 11. Benutzern und Anwendungen den komfortablen Zugang zur Hardware und anderen Betriebsmitteln des Computersystems zu ermöglichen. Im Bundesbereich ist gemäß dem IKT-Board Beschluss [IKTB-170902-7] eine definierte sichere Initialkonfiguration zu verwenden. Derartige Konfigurationen sollten sowohl für das Betriebssystem (vorrangig) aber auch für die verwendete Software von der Administration zur Verfügung gestellt werden.5. 11. 11. Somit werden im Zuge von Standardkonfigurationen zur Verfügung stehende Sicherheitsmechanismen oft nicht aktiviert. bzw.5 Zugriff auf Betriebssysteme Die Hauptaufgabe eines Betriebssystems besteht bis heute darin. Verfälschung (Verletzung der Integrität von Daten). bieten grundsätzliche Fehlkonfigurationen potentielle Sicherheitsrisken. Eine entsprechend dokumentierte Initialkonfiguration wird im Rahmen des Online-Angebotes des Chief Information Office des Bundes zur Verfügung stehen. 419 . vorübergehender oder dauerhafter Unbrauchbarmachung und Zerstörung (Verletzung der Verfügbarkeit von Informationen und Programmen).5. Um dem entgegenzuwirken ist die Verwendung von geprüften Initialkonfigurationen zu bevorzugen.5.11.

da hierdurch schwerwiegende Schäden verursacht werden können. die der EU Signaturrichtlinie (Art. 11. • Passwortschutz: Bei den meisten BIOS-Varianten kann ein Passwortschutz aktiviert werden. in Internet-Programmen (zum Beispiel Browsern) ist eine Vielzahl von „vertrauenswürdigen“ Zertifizierungsstellen. sollte aber auf jeden Fall benutzt werden. Meist kann ausgewählt werden. Um zu verhindern.oder Administrator-Passwort immer aktiviert werden. bzw. Anderen Zertifizierungsdiensten kann im bereichs-/ressortübergreifenden Datenverkehr nur dann dass Vertrauen im System implizit gegeben werden. 5. denn der/die Anwender/in hat in der Regel keine Informationen über die Vertrauenswürdigkeit der Zertifizierungsstellen bzw.1) genügen.2 Nutzung der BIOS-Sicherheitsmechanismen ISO Bezug: 27002 11. Demnach sollten in der Initialkonfiguration alle im Zertifikatsspeicher vorkonfigurierten Wurzelzertifikate (vertrauenswürdige Stammzertifikate) entfernt werden. dass keinem Zertifizierungsdienst automatisch vertraut wird. Dieser kann verhältnismäßig einfach überwunden werden. durch einen definierten Satz an als vertrauenswürdig anerkannten Zertifikaten ersetzt werden. [ eh SYS 5. dass Unbefugte die BIOS-Einstellungen ändern. Teilweise können sogar verschiedene Passwörter für diese Prüfungen benutzt werden. mit denen sich die Benutzer/innen oder die Systemadministration vertraut machen sollten. wenn dies in der allgemeinen Strategie explizit festgehalten ist. deren Zertifikaten dadurch explizit vertraut wird. sollte das Setup. ob das Passwort vor jedem Rechnerstart oder nur vor Zugriffen auf die BIOS-Einstellungen überprüft werden soll. Auf keinen Fall sollten aber ungeschulte Benutzer/innen BIOS-Einträge verändern. wenn keine anderen Zugriffsschutzmechanismen zur Verfügung stehen. wenn in den Arbeitsstationen die Mechanismen des Widerrufs hinreichend umgesetzt sind.5. Das implizite Vertrauen kann allen Zertifizierungsdiensten und den zugeordneten Diensten. explizit ausgesprochen werden. Nach IKT-Board-Beschluss [IKTB-040402-2] sind alle in der Bundesverwaltung auszuliefernden Arbeitsstationen initial so auszuliefern.Zertifikatsgrundeinstellung Voreingestellt in Betriebssystemen bzw.5. Dies stellt ein Sicherheitsrisiko dar.4 Moderne BIOS-Varianten bieten eine Vielzahl von Sicherheitsmechanismen an. 420 . ob deren Zertifikate zwischenzeitlich bereits kompromittiert wurden.5.8 ] 11.

Diskette) im Laufwerksschacht vergessen wird. Für diese gelten je nach ihrer Kategorisierung unterschiedliche Beschränkungen im Umgang mit ihnen. noch Diskettenlaufwerke) durch ein Passwort geschützt werden. Ein Beispiel hierfür ist das Starten eines anderen Betriebssystems. bearbeiten bzw. bei Fax oder E-Mail. ob diese durchgeführt werden darf. z. da einige Controller die interne Reihenfolge außer Betrieb nehmen und eine getrennte Einstellung erfordern. Dazu gehört auch die regelmäßige Überprüfung auf Korrektheit und Vollständigkeit der Daten.4 ] 11.E_ bzw. dass immer als Erstes von der Festplatte gebootet wird. Darüber hinaus gibt es aber in vielen Bereichen Daten. 421 .B.6 Zugriff auf Anwendungen und Informationen Grundsätzlich sollten Mitarbeiter/innen natürlich sorgfältig mit allen Informationen umgehen.B. daher sollten in allen diesen Bereichen Festlegungen existieren. Dies schützt vor der Infektion mit Boot-Viren. Virenschutz. Ohne eine solche Umstellung der Boot-Reihenfolge können auch weitere Sicherheitsmaßnahmen wie etwa Zugriffsschutzmechanismen umgangen werden. verlangt der Rechner vor einer Veränderung des Bootsektors bzw. personenbezogene. des MBR (Master Boot Record) eine Bestätigung.A_ eingestellt werden (Annahme. Der Schutzbedarf von Daten wirkt sich natürlich unmittelbar auf alle Medien aus. spart Zeit und schont das CD-Laufwerk. alle Mitarbeiter auf die für diese Daten geltenden Restriktionen hinzuweisen. auf denen diese gespeichert oder verarbeitet werden. ggf. falls versehentlich eine CD (resp. Je nach verwendetem BIOS und Betriebssystem muss auch das Booten von anderen austauschbaren Datenträgern wie USB-Ports verhindert werden. _C.• • Mit einigen (leider wenigen) BIOS-Varianten kann zusätzlich der Zugriff auf USBPorts (bzw. um das unbefugte Einspielen von Software oder das unbemerkte Kopieren von Daten zu verhindern. Dies sollte benutzt werden. Daher ist es wichtig. [ eh SYS 5.E. dass es ein CD-Laufwerk E gibt). weitergeben darf. so dass gesetzte Sicherheitsattribute ignoriert werden. Beispielsweise sollte also _C. finanzrelevante. z. Boot-Reihenfolge: Die Boot-Reihenfolge sollte so eingestellt sein. wer solche Daten lesen. Daten mit besonderem Schutzbedarf können in den unterschiedlichsten Bereichen anfallen. Generell sollte die Wirksamkeit der Umstellung der Boot-Reihenfolge durch einen Boot-Versuch geprüft werden. vertrauliche oder Copyright-geschützte Daten. Virus-Warnfunktion: Wird diese Funktion aktiviert. die einen höheren Schutzbedarf haben oder besonderen Restriktionen unterliegen.

Nicht mehr benötigte Informationen müssen zuverlässig gelöscht werden. die die Beziehungen zusammenarbeitender Organisationen beeinträchtigen können oder aus deren Kenntnis ein Dritter (z. Die Wahl eines geeigneten Authentisierungsverfahrens ist von entscheidender Bedeutung für die Sicherheit des Gesamtsystems und muss daher den Sicherheitsanforderungen und den technischen Möglichkeiten gemäß getroffen werden. bei deren Verlust die Organisation handlungsunfähig wird.1 Wahl geeigneter Mittel zur Authentisierung ISO Bezug: 27002 11.17 ] 11.6. dass weder Dokumente.4. Copyright-Vermerke oder Lizenzbedingungen kopiert werden dürfen. versteht man unter "Authentisierung" den Nachweis der angegebenen Identität. kryptographischen Schlüsseln Authentisierung durch Besitz: beispielsweise von Schlüsseln oder Karten . Längerfristig gespeicherte oder archivierte Daten müssen regelmäßig auf ihre Lesbarkeit getestet werden. 11. Grundsätzlich gibt es drei Arten der Authentisierung: • • 422 Authentisierung durch Wissen: etwa durch Eingabe von Passwörtern. B. Manipulation und Verfälschung geschützt werden.2. welche Daten als geschäftskritisch einzustufen sind. Alle Mitarbeiter/ innen müssen darauf hingewiesen werden. Weitergabe und Vernichtung besondere Vorschriften und Regelungen gelten.Viele Informationen. • • • Geschäftskritische Informationen müssen vor Verlust. [Q: BSI M 2. diejenigen Daten. aber auch Anwendungen. Codes. Verarbeitung. also z. Neben den allgemeinen Sorgfaltspflichten können auch hier für diese Daten bei der Speicherung. B. Ein besonderes Augenmerk muss auch auf alle Informationen gelegt werden. Konkurrenzunternehmen) finanzielle Vorteile ziehen kann. unterliegen Copyright-Vermerken oder Weitergaberestriktionen ("Nur für den internen Gebrauch"). Jede Organisation sollte eine Übersicht darüber haben.6.3.1 Während unter "Identifikation" die Bestimmung der Identität eines Subjektes bzw. noch Dateien oder Software ohne Berücksichtigung evtl. Dazu gehören alle geschäftsrelevanten Daten. welche die Grundlage für die Aufgabenerfüllung bilden. Objektes zu verstehen ist (meist durch Angabe eines Namens oder einer User-ID).

Diese Module stehen auch der Wirtschaft frei zur Verfügung [IKTB-110504-1] . zur Identifikation bzw. Authentisierung vorzusehen sein. Die Stabsstelle IKT-Strategie des Bundes hat im Rahmen des IKT-Board Beschlusses [IKTB-110903-10] . die folgenden allgemeinen Umsetzungsrichtlinien beschlossen: • Eine hohe Funktionsstärke (SOF high) ist derzeit und in absehbarer Zukunft nicht erreichbar. Fingerabdruck. Im Bereich der öffentlichen Verwaltung wird die Verwendung von so genannten Dienstkarten. unter Verwendung geeigneter Basisdienste. Darüber hinaus ist generell zu prüfen.. treten. Biometrie kann allerdings noch nicht in allen Bereichen der Identifikation und Authentifikation – im Speziellen im Sinne eines authentischen Identitätsnachweises . Unterschriftendynamik.3.B. das gemäß dem IKT-Board Beschluss festgelegte Konzept Bürgerkarte zur Authentisierung von Benutzerinnen/Benutzern anzuwenden ist. gemäß der Empfehlung des IKT-Boards [IKTB-140102-1] . Nach der Auswahl eines geeigneten Authentisierungsverfahrens sind Regelungen über die Handhabung der Authentifikationsmitteln zu treffen (vgl. In vielen Fällen kommen Kombinationen der drei angeführten Prinzipien (etwa Authentisierung durch Wissen und Besitz) zur Anwendung. Weiters besteht die Möglichkeit. in Verbindung mit der Bürgerkarte so genannte Single Sign-On Funktionalitäten zu realisieren. dazu auch 11.• Authentisierung durch Eigenschaften oder Verhaltensmerkmale (biometrische Verfahren): z. Für die Signatur und die Identifikation wird empfohlen die Module für Onlineverfahren (MOA-ID. besonders im Hinblick auf den Einsatz der Biometrie in Bereichen der öffentlichen Verwaltung. Die Sicherheit der einzelnen Authentisierungsverfahren ist sehr unterschiedlich und im Einzelfall immer zu hinterfragen. .1 Regelungen des Passwortgebrauches und 11.als technisches Mittel der Wahl angesehen werden.6. daher ist vorerst nur limitierter Einsatz der Biometrie möglich. Biometrie: In der Diskussion um Mittel der Authentifikation rückt auch Biometrie zunehmend in den Mittelpunkt.. MOA-SS/SP) zu verwenden [IKTB-161203-01] . ob bei Verfahren der öffentlichen Verwaltung. Gemäß dem IKT-Board Beschluss [IKTB-260701-1] soll sogar anstelle eines konventionellen Sigle-Sign-On die Identifikation mit der Bürgerkarte. Stimmerkennung. 423 .2 Regelungen des Gebrauchs von Chipkarten).

Zutrittskontrolle zu Anlagen und Räumen vor allem über Sekundärmechanismen (z. die durch die Behörde bestätigt (signiert) sind.B. auch mit Co-Prozessor) zum Einsatz.B. Chipkarten haben unter Sicherheitsaspekten im Wesentlichen zwei Funktionen zu erfüllen. Der Machtgeber für das Identifikationsobjekt (z. da Wachzustand und Bewusstsein zurzeit in biometrischen Systemen nicht mit vertretbarem Aufwand technisch kontrollierbar sind).4. daher können zentrale Datenbanken nicht sinnvoll eingesetzt werden. Die Identifikationsanwendung außerhalb der erkennungsdienstlichen Aufgaben ist noch nicht technologisch rechtfertigbar.2 Regelungen des Gebrauchs von Chipkarten ISO Bezug: 27002 11. Computer. etc.B. Dies gilt auch für Anwendungen mit Identifikationszuordnung in beschränkten Gruppen (im Normalfall etwa bis zu 100 Personen). ev.) muss die Möglichkeit der Kontrolle des Verifikationsprozesses haben.1 Für Anwendungen im Sicherheitsbereich kommen intelligente Speicherkarten (Karten mit fest verdrahteter Sicherheitslogik) sowie Mikroprozessor-Karten (Karten mit Speicher und CPU. Anwendungen müssen zurzeit in kontrollierter Umgebung ablaufen.: • • • Personendokumente mit biometrischen Daten auf dem Dokument. Zuordnung von Chipkarten zu Personen (dies ist vom Willensakt der Auslösung einer Funktion zu trennen. sind noch nicht vorhanden.• • • • Standards für biometrische Merkmale. Daten. Sie dienen 424 .6.2. die eine dauerhafte (etwa 10-jährige) Sicherheit gewährleisten. Anwendungen können im Bereich der Verifikation und der Komfortsteigerung einen wesentlichen Beitrag leisten. 11. [ eh SYS 1. Verifikationsanwendungen mit biometrischen Daten unter Kontrolle des Inhabers/der Inhaberin und mit amtlicher Bestätigung (Signatur) zur breiten Anwendung sind derzeit möglich und können eingesetzt werden.6. Derzeit praktikable Anwendungen für Biometrie sind z.4 ] 11. biometrisches Merkmal und Karte als Träger der Referenzdaten) oder in beschränkten Populationen.

PINs (Personal Identification Number) geschützt. Signatur. . Dadurch kann die PIN zur leichteren Handhabe verkürzt werden.im Folgenden wird der Einsatz von Chipkarten in sicherheitsrelevanten Applikationen behandelt. Prüfungsergebnisse. die eine Art Mindeststandard für die Handhabung von Karten und PINs in sicherheitsrelevanten Anwendungen (etwa Zutritts. Der Zugriff auf Daten und Funktionen von Chipkarten ist heute im Allgemeinen durch sog. Die PIN muss geheim gehalten werden und darf nur dem/der Benutzer/in persönlich bekannt sein. Ein Aufbewahren der PIN gemeinsam mit der Karte oder gar ein Notieren der PIN auf der Karte ist unbedingt zu vermeiden. Angriffe gegen diesen geschützten Bereich erfordern einen sehr hohen technologischen Aufwand.) darstellen. Für Details zur Sicherheit von Chipkarten sei auf die Literatur verwiesen . Verwendung kartenspezifischer Schlüssel und geeignete Implementierung von kryptographischen Algorithmen). persönliche Daten (medizinische Daten. • • • Keine unautorisierte Weitergabe der Karte: Chipkarten stellen in der Regel ein persönliches Sicherheitsmedium dar und sollten daher sicher verwahrt und keinesfalls an andere Personen weitergegeben werden. 12. Generierung von Sessionkeys oder zur Durchführung von Transaktionen Entscheidender Vorteil der Chipkarte gegenüber anderen Medien ist. dass die Speicherung der vertraulichen Daten und die Durchführung von sicherheitskritischen Funktionen innerhalb der Karte . wo eine PIN zusammen mit biometrischen Merkmalen herangezogen wird. sind die Mitarbeiter/innen in entsprechenden Verpflichtungserklärungen zur Einhaltung dieser Regelungen zu verpflichten. 425 . Ist mit solchen Angriffen zu rechnen. Denkbar ist auch eine Multifaktor-Authentisierung. des Trägers versehen werden. Zugangscodes (etwa zu IT-Systemen). Chiffrierschlüssel. Authentisierung. Neben der Qualität der Karte selbst kommt auch der Wahl und der Handhabung der PIN entscheidende Bedeutung für die Sicherheit des Gesamtsystems zu.B. Übertragbare Chipkarten ohne Namen sollten gar nicht oder nur in sicherheitstechnisch belanglosen Bereichen eingesetzt werden. so sind eine Reihe von kryptographischen und systemtechnischen Gegenmaßnahmen zu setzen (etwa Schlüsseldiversifizierung. zur Chiffrierung.erfolgen kann. etc. Diese sind in hohem Maße abhängig vom Schutzbedarf des betroffenen Systems und der Art der Anwendung.• • als Trägermedium für vertrauliche Daten z. Kap.also in einem geschützten Bereich .6 Kryptographische Maßnahmen). Die Chipkarten sollten immer mit dem Namen der Trägerin bzw. Signaturschlüssel zur Generierung elektronischer Unterschriften (vgl. Generierung von elektronischen Signaturen.B. Wenn erforderlich...) als Security Modul (zur Durchführung von Sicherheitsfunktionen) z.oder Zugriffskontrolle. Im Folgenden werden einige Grundregeln gegeben.

5.dies stellt eines der wichtigsten Sicherheitsfeatures der Karte dar -. die entweder dem/der Benutzer/in selbst oder einer/einem Sicherheitsverantwortlichen bekannt sein kann. mögliche Schäden verringern können.6. Im Folgenden seien einige dieser Funktionen kurz erläutert: • Passwortschutz bei Programmaufruf: Das Programm kann nur gestartet werden. diese den Security Layer unterstützen (vgl. PINs dürfen nicht auf programmierbaren Funktionstasten gespeichert werden.6 ] 11. Dies verhindert die unberechtigte Nutzung des Programms. ob eine Übertragung der PIN zwischen Tastatur und Karte im Klartext aus Sicherheitsgründen vertretbar ist.6 Standardprodukte im PC-Bereich bieten oft eine Reihe von nützlichen ITSicherheitsfunktionen. 426 . 11. "Secure PIN-Pads" zum Einsatz kommen. Die Wahl von Trivial-PINs ist zu vermeiden. unkontrollierbaren Umgebungen sollten sog.3. Bei der Eingabe darf die PIN nicht auf einem Bildschirm oder Display angezeigt werden. Für Anwendungen mit hohem Sicherheitsbedarf in ungeschützten bzw. ist eine Möglichkeit des Entsperrens vorzusehen. Da sich Chipkarten in der Regel nach einer festgelegten Anzahl von PINFalscheingaben (meist 3) selbst sperren . Die Eingabe der PIN sollte unbeobachtet stattfinden. [IKTB-040901-1] ). Dies erfolgt durch eine von der PIN unterschiedliche (und meist deutlich längere) Geheimzahl ("Supervisor PIN".• • • • • • Die Länge der PIN hängt von Art und Schutzbedarf der Anwendung ab und liegt im Allgemeinen zwischen 4 und 8 Stellen. Es ist zu prüfen. dass speziell in Verbindung mit Anwendungen der öffentlichen Verwaltung.1. wenn vorher ein Passwort korrekt eingegeben wurde.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen ISO Bezug: 27002 11. deren Güte im Einzelnen unterschiedlich sein kann. "Personal Unblocking Key" (PUK)). bei denen die Übertragung der PIN technisch oder mittels kryptographischer Verfahren geschützt wird. Zusätzlich ergibt sich bei der Wahl der einzusetzenden Chipkarte. [ eh SYS 1. die aber Unbefugte behindern bzw. 11.

wenn das mit dieser Datei verknüpfte Passwort korrekt eingegeben wird. Je nach eingesetzter Software und damit vorhandenen Zusatzsicherheitsfunktionen kann der Einsatz dieser Funktionen sinnvoll sein. eine Datei verschlüsselt abzuspeichern.• • • • • Zugriffsschutz zu einzelnen Dateien: Das Programm kann nur dann auf eine geschützte Datei zugreifen. so dass ein Stromausfall nur noch die Datenänderungen betrifft. [ eh SYS 3. Für mobil eingesetzte IT-Systeme bieten sich insbesondere die Nutzung des Passwortschutzes bei Programmaufruf und die automatische Speicherung an.1 Verifizieren der zu übertragenden Daten vor Weitergabe). Automatisches Anzeigen von Makros in Dateien: Diese Funktion soll das unbeabsichtigte Ausführen von Makros verhindern und damit Schutz vor Makro-Viren bieten (vgl. die nach dieser automatischen Speicherung eingetreten sind. Gegebenenfalls ist jedoch zu überprüfen. Automatische Sicherung der Vorgängerdatei: Wird eine Datei gespeichert. ob die zwischengespeicherten Daten nach dem regulären Programmende wieder gelöscht wurden (vgl. Die Inhalte der Datei sind damit nur denjenigen zugänglich. zu der im angegebenen Pfad eine Datei gleichen Namens existiert.4 Schutz vor Schadprogrammen und Schadfunktionen). Verschlüsselung von Dateien: Das Programm ist in der Lage. 12. so dass eine unbefugte Kenntnisnahme verhindert werden kann. Dies verhindert den unerlaubten Zugriff mittels des Programms auf bestimmte Dateien. Automatische Speicherung von Zwischenergebnissen: Das Programm nimmt eine automatische Speicherung von Zwischenergebnissen vor. die über den verwendeten geheimen Chiffrierschlüssel verfügen. 10. so wird die zweite Datei nicht gelöscht. sondern mit einer anderen Kennung versehen.4 ] 427 . dass versehentlich eine Datei gleichen Namens gelöscht wird. Kap.4. Damit wird verhindert.

wie sie in einer gewerblichen oder behördlichen Büroumgebung anzutreffen ist. Daher sind Sicherheitsmaßnahmen zu ergreifen.11. Hitze). Ungesicherter Akten. sondern an wechselnden Arbeitsplätzen in unterschiedlichen Umgebungen. 428 . Ungeeignete Entsorgung der Datenträger und Dokumente. Unzureichende Kontrolle der Sicherheitsmaßnahmen. Sorglosigkeit im Umgang mit Informationen. Auch diese sollten angelehnt an das Lebenszyklus-Modell durchlaufen werden: • Planung und Konzeption der Einrichtung eines Arbeitsplatzes in fremder Umgebung. In solchen Umgebungen kann aber nicht die infrastrukturelle Sicherheit.und Datenträgertransport.7 Mobile Computing und Telarbeit Mobile IT-Arbeitsplätze mit Laptop. nahezu überall arbeiten. Nichtbeachtung von Sicherheitsmaßnahmen. beispielsweise im Hotelzimmer. Vertraulichkeitsverlust schützenswerter Informationen Auch für mobile Arbeitsplätze sind eine Reihe von Maßnahmen umzusetzen. in der Eisenbahn oder beim Kunden. Diebstahl von Geräten und/oder Datenträgern. Fehlende oder unzureichende Regelungen. Verlust. die eine mit einem Büroraum vergleichbare Sicherheitssituation erreichen lassen. Umwelteinflüsse (Nässe. Manipulation an Informationen oder Software. Ungeeigneter Umgang mit Passwörtern. dank immer kleinerer und leistungsfähigerer Geräte. Manipulation oder Zerstörung von Geräten oder Zubehör. Daher werden dienstliche Aufgaben häufig nicht mehr nur in Räumen des Unternehmens bzw. Typische Gefährdungen bei mobilen Arbeitsplätzen sind: • • • • • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. Mobiltelefonen IT-Benutzer werden immer mobiler und können. vorausgesetzt werden. PDA. der Behörde wahrgenommen. Kälte.

welche den Austausch von Daten oder ggf. Die in diesem Kapitel aufgeführten Maßnahmenempfehlungen konzentrieren sich auf zusätzliche Sicherheitsanforderungen. d. Alle übrigen für dieses IT-System erforderlichen organisatorischen. die sich aus einem Einsatz eines IT-Systems im Bereich der Telearbeit ergeben. Mobiltelefon. PDA. Schaffung und Einhaltung von Regelungen über die Arbeitsumgebung und die sorgfältige und sichere Behandlung der mitgenommenen IT-Systeme (z.• • • Regelungen für alle Außentätigkeiten. der Arbeitnehmerin. mobile Telearbeit sowie Telearbeit in der Wohnung des Arbeitnehmers bzw. Dabei ist auch zu klären. Die Maßnahmenempfehlungen dieses Kapitels umfassen vier Bereiche: • • • • die Organisation der Telearbeit. unter welchen Rahmenbedingungen Mitarbeiter mit mobilen IT-Systemen Zugriff auf interne Daten ihrer Institution haben dürfen. Laptop. den Telearbeitsrechner der Telearbeiterin bzw. Sorgfältige Entsorgung von Datenträgern und Ausdrucken (keinesfalls dürfen sie einfach in den Müll geworfen werden). des Telearbeiters... wie z. Telearbeit Unter Telearbeit versteht man im Allgemeinen Tätigkeiten. 429 . die räumlich entfernt vom Standort des Arbeitgebers durchgeführt werden und deren Erledigung durch eine kommunikationstechnische Anbindung an die IT des Arbeitgebers unterstützt wird. besteht in der Regel zwischen dem Arbeitsplatz zu Hause und der Organisation eine Telekommunikationsverbindung. Es gibt unterschiedliche Formen von Telearbeit. der/die Arbeitnehmer/in arbeitet teilweise im Büro und teilweise zu Hause. Bei Formen der Telearbeit. die Kommunikationsverbindung zwischen Telearbeitsrechner und Institution und den Kommunikationsrechner der Institution zur Anbindung des Telearbeitsrechners.). personellen und technischen Sicherheitsmaßnahmen sind selbstverständlich ebenfalls vollinhaltlich zur Anwendung zu bringen. Bei der letzteren unterscheidet man zwischen ausschließlicher Teleheimarbeit und alternierender Telearbeit.B. B. die teilweise oder ganz im häuslichen Umfeld durchgeführt werden. Telearbeit in Telearbeitszentren. auch den Zugriff auf Daten in der Organisation ermöglicht.h. welche Informationen außerhalb der Räume der Organisation transportiert und bearbeitet werden dürfen und welche Schutzvorkehrungen dabei zu treffen sind.

7. Sie sind vielfältigeren Risiken ausgesetzt.und Sichtweite von Externen machen sollten.1 Unter mobilen IT-Geräten sind alle für einen mobilen Einsatz geeigneten Geräte zu verstehen. um Einschränkungen den Benutzern/ Benuzerinnen transparent zu machen Dienstgeheimnisse dürfen nur dann auf mobilen IT-Systemen verarbeitet werden. Damit diese Möglichkeiten auch genutzt werden. Die Mitarbeiter/innen sollten auch darüber aufgeklärt werden.daher muss sie/er für möglichst sichere Aufbewahrung mobiler ITGeräte auch außer Haus sorgen. mobile IT-Systeme unterwegs zu schützen. Immerhin gibt es eine Vielzahl von Möglichkeiten.11. so etwa Notebooks. Zusätzlich sollte für die Benutzer/ innen ein kurzes und übersichtliches Merkblatt für die sichere Nutzung von mobilen IT-Systemen erstellt werden. bevor detaillierte Auskünfte gegeben werden.7. Insbesondere sollte die Identitäten des Kommunikationspartner hinterfragt werden. wenn hierfür geeignete und freigegebene Sicherheitsmechanismen eingesetzt werden. Daher sollten Mitarbeiter/innen für den Wert mobiler ITSysteme und den Wert der darauf gespeicherten Informationen sensibilisiert werden. in der alle umzusetzenden Sicherheitsmechanismen beschrieben sind. Die Umfeldbedingungen bei mobilem Einsatz liegen zumeist außerhalb der direkten Einflussnahme der Benutzerin / des Benutzers. Die Daten sollten dementsprechend klassifiziert sein. 430 . Da es bei mobilen IT-Systemen eine große Bandbreite von Varianten und Kombinationsmöglichkeiten gibt (von Handy über PDA zu Laptop mit WLANSchnittstelle). Ebenso sind bei der Nutzung von mobilen IT-Systemen diverse Punkte zu regeln: • Die Benutzer/innen müssen darüber informiert sein.1 Mobile IT-Geräte ISO Bezug: 27002 11. Handhelds und Personal Assistants sowie auch mobile Datenträger wie USB-Festplatten und -Sticks. Je kleiner und leichter IT-Systeme werden. sollten sie vor allem über die spezifischen Gefährdungen und Maßnahmen der von ihnen benutzten Geräte aufgeklärt werden. sollte eine Sicherheitsrichtlinie erstellt werden. dass sie vertrauliche Informationen unterwegs nicht mit jedem austauschen und dies unterwegs auch nicht in Hör. welche Informationen mit mobilen IT-Systemen unterwegs verarbeitet werden dürfen. als solche. desto leichtfertiger wird erfahrungsgemäß damit umgegangen. Palmtops. die sich innerhalb geschützter Räumlichkeiten befinden.

dass die Zulässigkeit von Verschlüsselungstechnologien in den einzelnen Staaten unterschiedlich geregelt ist. Wirtschaftsdaten des Unternehmens. beispielsweise für private Schreiben oder gar Spiele nach Feierabend. Dies gilt besonders für fremde Räumlichkeiten wie Hotelzimmer sowie Kraftfahrzeuge. Eine mögliche Alternative zu mitgenommenen Daten wären etwa zugriffsgeschützte Online-Festplatten am Server der eigenen Organisation. die ein hohes Maß an Sicherheit verlangen (z. Containeroder Dateiverschlüsselung drigend zu empfehlen. Besondere Gegebenheiten können sich in verschiedenen Zielgebieten und in speziellen Situationen (etwa bei einer besonders eingehenden Zollkontrolle) ergeben. Insbesondere muss damit gerechnet werden. Passwörter) gesichert weitergegeben werden. der potentielle Diebe/Diebinnen anlocken könnte. Konstruktionsdaten.oder Wohnräumen. Ein mobiles IT-System stellt einen Wert dar.• • • • • • • Für Daten. Hierfür gibt es eine Reihe von brauchbaren Produkten zur transparenten Laufwerks.B.B. Falls dies vorgesehen ist. Bei jedem Wechsel des Besitzers/ der Besitzerin alle benötigten Zugangsmechanismen (z.oder Containerverschlüsselung. Angebote. Aufbewahrung außerhalb von Büro. Die Verwaltung. dass bei privater Nutzung eines Internetzugangs weniger sichere Seiten aufgerufen werden als für dienstliche Zwecke. Keinesfalls dürfen solche Geräte ohne ausdrückliche Zustimmung der Organisation Dritten zur Reparatur oder Software-Wartung übergeben werden oder unautorisert darauf irgendwelche Software installiert werden. muss dieser Zugriff angemessen geschützt werden Es muss geklärt werden. um einem Verlust oder Diebstahl vorzubeugen bzw. etwa dass bestimmte Verschlüsselungsprodukte nicht (auch nicht in installierter Form) importiert werden dürfen oder die verschlüsselten Daten den Zollbeamten offengelegt werden müssen. ob diese auch für private Zwecke benutzt werden dürfen. Dabei ist zu beachten. Daher sollten mobile IT-Systeme möglichst nicht unbeaufsichtigt bleiben oder ungeschützt herumliegen. Die Benutzer sollten darauf hingewiesen werden. Bei Mitnahme mobiler IT Geräte auf Auslandsreisen ist dies bereits im Vorfeld zu klären. B. um eine lange Lebensdauer zu gewährleisten (z. personenbezogene oder sensible Daten) ist die Installation eines Zugriffsschutzes (über Passwort oder Chipkarte) unabdingbar sowie einer Festplatten-. Wartung und Weitergabe von mobilen IT-Systemen sollte klar geregelt werden. ob mobile Mitarbeiter/innen von unterwegs Zugriff auf interne Daten ihrer Institution erhalten sollen. Beim Einsatz mobiler IT-Systeme ist zu klären. Empfindlichkeit gegenüber zu hohen oder zu niedrigen Temperaturen). wie sie sorgfältig mit den mobilen IT-Systemen umgehen sollten. Akkupflege. sondern in einem Schrank 431 .

bzw. sollten sie zumindest verdeckt werden.1 Laptop.1.7. dass mobile IT-Systeme mitgebracht werden.1 432 . Notebook ISO Bezug: 27002 11. ob die Nutzung oder sogar das Mitbringen von mobilen IT-Systemen in allen oder bestimmten Bereichen einer Behörde oder eines Unternehmens eingeschränkt werden sollte. Wird der Raum für längere Zeit verlassen. Wird ein mobiles IT-Gerät in fremden Büroräumen benutzt. muss an allen Eingängen deutlich darauf hingewiesen werden. Der Diebstahl setzt dann den Einsatz von Werkzeug voraus. Dies kann z. da die Gefahr des bewussten oder unbewussten Abhörens der Raumgespräche über Mobiltelefone besteht. wenn sich das Gerät unmittelbar beim Besitzer/bei der Besitzerin befindet. Es kann aber auch sein. sollte zusätzlich das Gerät ausgeschaltet werden. da Laptops. Alle Schutzmechanismen müssen aktiviert sein.4 teilweise ] 11.B. In solchen Fällen sind die Geräte auszuschalten.geworden sind. wird auch die Kontrolle zunehmend schwieriger. Für die Nutzung zu Hause (Telearbeit) bieten einige neuere Geräte zusätzlich die Möglichkeit zum Anketten des Gerätes. Es sollte überlegt werden. Ist das nicht möglich. im Kofferraum eingeschlossen sein. für Besprechungsräume sinnvoll sein. Wenn die Sicherheitsrichtlinie der Institution es nicht zulässt. PDA's und Mobiltelefone immer mehr zu unverzichtbaren Abeitsmitteln in Meetings gerade auch mit hochrangigen Besetzungen .7. Dies sollte dann auch regelmäßig kontrolliert werden. so sind die Sicherheitsregelungen der besuchten Organisation zu beachten. um unkontrollierte Nutzung zu verhindern. Werden mobile IT-Systeme in fremden Büroräume mitgenommen. sondern etwa beim Portier abgegeben weden müssen. Allerdings wird ein solches Verbot zunehmend schwieriger durchsetzbar. so ist dieser Raum nach Möglichkeit auch bei kurzzeitigem Verlassen zu verschließen. damit sie von außen nicht sichtbar sind. dass sie gar nicht mitgenommen werden dürfen. Da die Geräte immer kleiner werden. [ eh INF 5.

Fahrlässige Zerstörung von Gerät oder Daten. Diebstahl. Häufig wird er auch während der mobilen Nutzung über Modem oder Mobilfunk direkt mit externen Netzen. Typischerweise wird ein Laptop zeitweise allein. Verlust gespeicherter Daten. LAN. Software-Schwachstellen oder -Fehler. Typische Gefährdungen für Laptops: • • • • • • • • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. Verlust. Laptops können mit allen üblichen Betriebssystemen wie Windows oder Linux betrieben werden. CD-ROM. WLAN). Unerlaubte Ausübung von Rechten.Darunter versteht man einen PC. Er verfügt über eine Festplatte und meist auch über weitere Speichergeräte wie ein Disketten-. USB. Ausfall der internen Stromversorgung. Ungeordneter oder unerlaubter Benutzerwechsel. Manipulation oder Zerstörung von Geräten oder Zubehör. so dass er indirekt als Brücke zwischen dem LAN und dem Internet wirken kann. Nichtbeachtung von Sicherheitsmaßnahmen. Kälte. 433 . Umwelteinflüsse (Nässe.oder Fremdpersonal.der aufgrund seiner Bauart transportfreundlich ist und mobil genutzt werden kann. insbesondere mit dem Internet. Ein Laptop hat eine kompaktere Bauform als Arbeitsplatzrechner und kann über Akkus zeitweise unabhängig von externer Stromversorgung betrieben werden. und von Zeit zu Zeit wird er zum Abgleich der Daten sowie zur Datensicherung mit dem Behörden. Unzureichender Umgang mit Passwörtern.oder DVDLaufwerke sowie über Schnittstellen zur Kommunikation über verschiedene Medien (beispielsweise Modem. Hitze). Informationsverlust bei erschöpftem Speichermedium. ohne Anschluss an ein Rechnernetz betrieben. Gefährdung durch Reinigungs. verbunden. Unerlaubte Installation von Software. Firewire.oder Unternehmensnetz verbunden. Unkontrollierter Einsatz von Datenträgern.

Beschaffung von Laptops: Für die Beschaffung von Laptops müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden Sichere Installation von Laptops: Eine sorgfältige Auswahl der Betriebssystem. Sorglosigkeit im Umgang mit Informationen. da bei Laptops ein relativ hohes Diebstahlsrisiko besteht und die normalen 434 . Schadprogramme. sind im Folgenden aufgeführt. Fehler bei der Synchronisation. die in den jeweiligen Schritten beachtet werden sollten. das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Trojanische Pferde. die dabei zu durchlaufen sind. Unberechtigte Privatnutzung. Konfigurations. Ebenso ist zu regeln. Behördennetz gestattet wird.bzw. wer das System wann und wofür nutzen darf und ob und in welcher Weise ein Anschluss an das Unternehmens. Dies umfasst beispielsweise. Unberechtigte Foto. Die hier zu treffenden Maßnahmen sind in hohem Grade abhängig von dem eingesetzten Betriebssystem zu realisieren.• • • • • • • • Fehlerhafte Nutzung. Dabei ist der Einsatz von Verschlüsselungsprodukten für tragbare IT-Systeme von besonderer Bedeutung. Die Schritte. ob und in welcher Form bei mobiler Nutzung eine direkte Verbindung des Laptops mit dem Internet zulässig ist. Viren.und Filmaufnahmen mit mobilen Endgeräten Maßnahmenempfehlungen für Laptops: Im Rahmen des Einsatzes von Laptops sind eine Reihe von Maßnahmen umzusetzen. Darauf aufbauend ist die Laptop-Nutzung zu regeln und Sicherheitsrichtlinien dafür zu erarbeiten.und Software-Komponenten sowie deren sichere Installation ist notwendig. sowie die Maßnahmen. Manipulation an Informationen oder Software. Unberechtigte Datenweitergabe. • • • Richtlinien für die Nutzung von Laptops: Um Laptops sicher und effektiv in Behörden oder Unternehmen einsetzen zu können.und Bedienungsfehler. sollte ein Konzept erstellt werden. Vertraulichkeitsverlust schützenswerter Informationen. beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. um Risiken durch Fehlbedienung oder absichtlichen Missbrauch der Laptops auszuschließen.

ob sich die aktuellste Version der bearbeiteten Daten auf dem Laptop oder im Netz befindet. dass der Anschluss an das Unternehmens. Sofern Laptops bei mobiler Nutzung direkt an das Internet angeschlossen werden. Um Angriffsversuche und missbräuchliche Nutzung erkennen zu können. Der Virenschutz reicht alleine nicht aus. Ebenso ist es unbedingt erforderlich.und SoftwareManagement) notwendig. der direkt am Internet betrieben wurde. dass dieser Laptop nicht infiziert ist. Die hier zu treffenden Maßnahmen sind ebenfalls abhängig vom eingesetzten Betriebssystem und sind daher im Rahmen der Umsetzung der entsprechenden Bausteine zu realisieren. Sichere Konfiguration der installierten Komponenten: Je nach Sicherheitsanforderungen müssen die beteiligten SoftwareKomponenten unterschiedlich konfiguriert werden. da Viren auch über verschlüsselte Kommunikationsverbindungen weiter verbreitet werden können. Diese Geräte können sonst bei Anschluss an ein Firmen. Zugleich sind allfällige Einfuhrbeschränkungen für Verschlüsselungsprodukte oder verschlüsselte Daten bei Auslandsreisen zu beachten. dass die verwendeten Passwörter allgemein bekannt sind.bzw. Soll ein Laptop. Dies gilt auch für den Fall. Somit sind unter Umständen einerseits ihre Virendefinitionsdateien veraltet und sie sind andererseits einem hohen Infektionsrisiko ausgesetzt. Sicherer Betrieb von Laptops: Eine der wichtigsten IT-Sicherheitsmaßnahmen beim Betrieb heutiger Laptops ist die Installation und permanente Aktualisierung eines Virenschutzprogramms. ist es unabdingbar. sind bei Laptops vor allem organisatorische Maßnahmen (Hard. so ist zunächst durch eine gründliche Überprüfung mit aktuellen Virensignaturen sicherzustellen.bzw. Um einen Überblick über die aktuell in das lokale Netz eingebundenen Laptops zu behalten und die Konfiguration aller Laptops 435 . Schutz vor Schadprogrammen und Aktualisierung der eingesetzten Viren-Schutzprogramme und Signaturen sind daher für Laptops ganz besonders wichtig. sie durch eine restriktiv konfigurierte Personal Firewall gegen Angriffe aus dem Netz zu schützen.• • Funktionen der Zugangs. um alle zu erwartenden Angriffe abzuwehren.oder Behördennetz oder auch mit temporären Verbindungen zum Internet betrieben. Laptops werden häufig über längere Zeit losgelöst vom Firmen. Behördennetz über ein Virtual Private Network (VPN) erfolgt. weil nur zu häufig jede Zugangskontrolle dadurch illusorisch ist. die Software des Laptops auf aktuellem Stand zu halten und notwendige Sicherheitspatches zeitnah einzuspielen. wenn eine Trennung der Rechte mehrerer Benutzer erforderlich ist. Notwendig ist auch die Änderung voreingestellter Passwörter . Auch hier sind zusätzliche Maßnahmen erforderlich.oder Behördennetz Infektionsquellen ersten Grades darstellen. Bei einem Wechsel zwischen netzgebundenem und mobilem Betrieb müssen die Datenbestände zwischen dem Server und dem Laptop synchronisiert werden. Es muss dabei gewährleistet werden. Behördennetz angeschlossen werden. dass jederzeit erkennbar ist. darf der Anschluss an das lokale Netz erfolgen.und Zugriffskontrolle ihre Wirksamkeit verlieren. Erst wenn dies sichergestellt ist. wieder an das Unternehmens. wenn der Laptop unter der Kontrolle des Diebes steht.

bei denen die Dateneingabe über eine eingebaute Tastatur und/oder einen Touchscreen erfolgt.7. ist eine zentrale Verwaltung dieser Geräte wichtig. Bei mobiler Nutzung ist in jedem Fall für geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz zu sorgen. längerem Einsatz unterwegs das Ladegerät sowie ggf. Der primäre Einsatzzweck ist das Erfassen und Verwalten von Terminen.1 Damit sind hier alle handtellergroßen. Adressen und kleinen Notizen. PDAs. Datensicherung von Laptops: Die Vorgehensweise und der erforderliche Umfang der Datensicherung richten sich nach dem Einsatzszenario des Laptops Nicht zuletzt sollte darauf geachtet werden. Diebstahl-Sicherungen vorzusehen. Diese sollen neben dem Erfassen und Verwalten von Terminen. Steckdosen im Ausland mitzuführen.7.• • jederzeit nachvollziehen zu können. sei es im Rahmen des normalen Betriebs oder auch bei ihrer Aussonderung.3 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen. dass keine schützenswerten Informationen mehr auf der Festplatte vorhanden sind. bearbeitung und -kommunikation beschrieben. Adressen und kleinen Notizen auch die Bearbeitung von E-Mail ermöglichen. mobilen Endgeräte zur Datenerfassung. Je nach der in einem Gebäude oder Büroraum gegebenen physischen Sicherheit kann es auch sinnvoll oder sogar notwendig sein. bei denen die Dateneingabe über das Display erfolgt (mittels Stift). [ Q: BSI B 3. Weitere spezifische Maßnahmen für Einzelsysteme betreffen vor allem den Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern sowie die 11. um Adressen und Termine zu verwalten. Aussonderung: Bei Übergabe von Laptops an andere Benutzer/Innen. dazu gehören unter anderem: • • • Organizer. ist darauf zu achten. Adapter für andere Stromspannungen bzw. um den Laptop vor Diebstahl zu schützen.1. Gegebenenfalls ist dazu auch eineSoftware-Reinstallation durchzuführen. PDAs ohne eigene Tastatur.203 ] 11.6. 436 .2 PDA (Personal Digital Assistant) ISO Bezug: 27002 11. die typischerweise für StandardOffice Anwendungen von unterwegs verwendet werden. für Reisen bzw.

1 Laptop. Umwelteinflüsse (Nässe. Speicherung von Patientendaten oder die Führung von Kundenkarteien. B. was zusätzlich Datenschutzproblematiken aufwirft . Speicherkarten). In der Praxis besteht eine besondere Problematik in der Vermischung von Daten der Organisation mit privaten Daten. Zum Teil werden hierfür angepasste Varianten von Textverarbeitungs-. Fahrlässige Zerstörung von Gerät oder Daten. die wesentlich kleiner als normale Notebooks sind und daher beispielsweise weniger Peripheriegeräte und Anschlussmöglichkeiten bieten. PDA. Sub-Notebooks.B. Manipulation oder Zerstörung von Geräten oder Zubehör. Eine typische Anforderung an PDAs ist die Nutzung von Standard-OfficeAnwendungen auch unterwegs. bzw. sogenannte Smartphones. Unerlaubte Ausübung von Rechten. die damit eine eingebaute Schnittstelle zur Datenübertragung besitzen. wie beispielsweise die Nutzung als Authentisierungstoken für Zugriffe auf Unternehmensnetze (z. Anschaulichstes Beispiel hierfür sind der Kalender und das Adressbuch für Telefon. Diebstahl. Für sie gelten die Ausführungen des Kap. die aber unter anderem für die Vorführung von Präsentationen geeignet sind. Kalenderprogrammen angeboten.1. Hitze).und E-Mail Kontakte. Verlust. Kälte.so darf die Behörde bzw.7. Notebook. PDAs werden aber auch zunehmend für sicherheitskritische Applikationen eingesetzt. werden in einigen Fällen private PDA's für dienstliche Zwecke genutzt. Typische Gefährdungen für PDAs: • • • • • • • • • Beeinträchtigungen durch wechselnde Einsatzumgebungen. 437 . das Unternehmen keine privaten Daten löschen (auch nicht virenverseuchte E-Mails). Die Übergänge zwischen den verschiedenen Gerätetypen sind fließend und außerdem dem ständigen Wandel der Technik unterworfen. Es lässt sich mitunter gar nicht mehr zwischen privaten und dienstlichen Datenelementen unterscheiden. Beim Einsatz von Smartphones ist zusätzlich Baustein B 3. Unerlaubte Installation von Software.bzw. E-Mail. Generierung von Einmalpasswörtern). Ungeordneter oder unerlaubter Benutzerwechsel. Tabellenkalkulations-.und MobiltelefonFunktionalitäten werden in zunehmendem Maß (in Gestalt der Smart Phones) kombiniert. Unkontrollierter Einsatz von Datenträgern (z.• • PDAs mit integriertem Mobiltelefon.404 Mobiltelefon umzusetzen. 11.

Software-Schwachstellen oder -Fehler.und Filmaufnahmen mit mobilen Endgeräten. Darauf aufbauend ist die PDA-Nutzung zu regeln und Sicherheitsrichtlinien dafür zu erarbeiten. Informationsverlust bei erschöpftem Speichermedium.und Bedienungsfehler. Abhören von Raumgesprächen über PDAs mit eingebautem Mobilfunk Maßnahmenempfehlungen für PDAs: Im Rahmen des PDA-Einsatzes sind eine Reihe von Maßnahmen umzusetzen. Unzureichender Umgang mit Passwörtern. die in den jeweiligen Schritten beachtet werden sollten. beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Beschaffung: Für die Beschaffung von PDAs müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden (siehe M 2. Manipulation an Informationen oder Software. Trojanische Pferde. Die Schritte. das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Schadprogramme. Verlust gespeicherter Daten. sollte ein Konzept erstellt werden. Fehler bei der Synchronisation.• • • • • • • • • • • • • • • • Ausfall des Geräts oder der internen Stromversorgung. sowie die Maßnahmen. Fehlerhafte Nutzung. Nichtbeachtung von Sicherheitsmaßnahmen. 438 . Vertraulichkeitsverlust schützenswerter Informationen. Viren.305 Geeignete Auswahl von PDAs ). sind im Folgenden aufgeführt. Unberechtigte Datenweitergabe. Konfigurations. Unzureichende Identifikationsprüfung von Kommunikationspartnern. • • Konzept: Um PDAs sicher und effektiv in Behörden oder Unternehmen einsetzen zu können. Unberechtigte Privatnutzung. Unberechtigte Foto. Sorglosigkeit im Umgang mit Informationen. die dabei zu durchlaufen sind.

so dass sie bei der nächsten Synchronisation automatisch auf den PDA transferiert werden. können entscheidende Hinweise enthalten. Es ist explizit zu verbieten. mit denen eventuell auch noch synchronisiert wird. wenn diese aus einer vertrauenswürdigen Quelle kommen. Dies betrifft vor allem die PDAs selber. Dies kann nur durch entsprechende Regelungen und Sensibilisierung der Benutzer erreicht werden. dass vor der Installation von Programmen eine Rückfrage beim Benutzer erfolgt. dass die Benutzer möglichst wenig Einflussmöglichkeiten haben. Daten oder Programme. ActiveX und/oder Javascript. dass die voreingestellte Konfiguration geändert wird. 439 .oder behördeninterne Server. damit verschlüsselte Verbindungen hergestellt werden können. Die Synchronisationssoftware sollte so konfiguriert werden. (etwa nur für Administratoren zugreifbare Bereiche) Benutzer können also nicht daran gehindert werden. von den WWWSeiten eines bekannten bzw. Einige der für PDAs verfügbaren Browser unterstützen auch aktive Inhalte. Daher sollten aktive Inhalte im WWW-Browser im Regelfall abgeschaltet sein und nur aktiviert werden. dass je nach Art dieser Programme mit ihrem Ausführen eventuell ein Sicherheitsrisiko verbunden sein kann. TSL beherrschen. die Synchronisationsumgebung und gegebenenfalls spezielle Software zum zentralen PDA-Management. also z. B. Software zum zentralen PDAManagement) unterschiedlich konfiguriert werden. Der Synchronisationsvorgang sollte nicht unbeobachtet ablaufen. die auf einem PDA installiert werden sollen. Wenn über PDAs Internet-Dienste genutzt werden sollen. welche Dateien jeweils transferiert werden.• • Konfiguration: Je nach Sicherheitsanforderungen müssen die beteiligten SoftwareKomponenten (PDA. also Java. Soweit technisch möglich. auch die Informationen. vertrauenswürdigen Anbieters. Nicht zuletzt sollte darauf geachtet werden. Steckdosen im Ausland mitzuführen. sollten Sicherheitsmechanismen so gewählt und konfiguriert werden. Wie bei anderen IT-Systemen ist aber auch hier zu beachten. beispielsweise für den Zugriff auf unternehmens. Auch PDAs müssen mit aktuellen Virenschutz-Programmen ausgestattet sein. Synchronisationssoftware. Es sollten die Einstellungen regelmäßig kontrolliert und durch Administrationstools bei der Synchronisierung wieder auf die vorgegebenen Werte zurückgesetzt werden. sollte neben einem E-Mail-Client ein Web-Browser installiert sein. dass verschiedene Benutzer damit arbeiten sollen. Dieser sollte SSL bzw. Der Zugriff auf diese Verzeichnisse sollte soweit wie möglich beschränkt werden. Adapter für andere Stromspannungen bzw. sicherheitsrelevante Konfigurationsänderungen durchzuführen. Außerdem ist Augenmerk und Sensibilisierung auf allfällige Privat-PCs zu richten. Betrieb: PDAs sind nicht dafür konzipiert. für Reisen bzw. längerem Einsatz unterwegs das Ladegerät sowie ggf. Daher gibt es auch im allgemeinen keine ausgefeilten Mechanismen zur Rollentrennung. können in speziellen Verzeichnissen auf dem Benutzer-PC abgelegt werden.

dass ein Teilnehmer mit seiner SIM-Karte verschiedene Mobilfunkgeräte nutzen kann. Auf der SIM-Karte wird u. Das Mobilfunkgerät ist gekennzeichnet durch seine international eindeutige Seriennummer (IMEI . welche Geräte als defekt oder als gestohlen gemeldet sind (graue bzw. Sie ist zu unterscheiden von den Telefonnummern. Damit ist es möglich. das Mobilfunknetz zu nutzen (Identifikationsregister).Subscriber Identity Module).7.3 Mobiltelefon. M 4. ob der Teilnehmer überhaupt berechtigt ist. Ein Mobiltelefon besteht aus dem Mobilfunkgerät selbst und dem Identifikationsmodul. die SIM-Karte hat und auch nutzt.405. vom "SIM-Toolkit" zum Herunterladen neuer Funktionen bis zum Speichern aller möglicher Daten: • • • • wo sich der Teilnehmer befindet und ob er sein Mobiltelefon eingeschaltet hat. schwarze Listen). Sie wird dem Teilnehmer beim Vertragsabschluss vom Netzbetreiber zugeteilt. Laptops zur Verfügung . ob das verwendete Gerät im Netz zugelassen ist.[ Q: BSI B 3.1.229 ] 11. die Rufnummer gespeichert und die kryptographischen Algorithmen für die Authentisierung und Nutzdatenverschlüsselung implementiert.und schaffen damit zusätzlich auch deren Sicherheitsrisiken. dass der Netzbereiber eine Reihe von Zugriffsmöglichkeiten auf das Telefon bzw.1 Mobiltelefone sind inzwischen nicht mehr wegzudenkende Bestandteile der Kommunikationsinfrastruktur geworden und stellen in ihrer modernsten Ausprägung als Smart Phone bereits die Funktionalität von PDAs bzw.7. Es muss beachtet werden. der SIM-Karte (SIM .International Mobile Equipment Identity). a. 440 . Damit kann zwischen Benutzer/In und Gerät unterschieden werden. Darüber hinaus können dort Kurznachrichten. Smart Phone ISO Bezug: 27002 11. Hier wird auf die typischen Eigenschaften der Mobilfunk-Komponente eingegangen. Der Benutzer/ Die Benutzerin wird durch seine/ihre auf der SIM-Karte gespeicherten Kundennummer (IMSI International Mobile Subscriber Identity) identifiziert. Gebühreninformationen und ein persönliches Telefonbuch gespeichert werden.

aber auch auf Grund einer Anforderung der Strafverfolgung und Terrorismusbekämpfung.bzw. Hitze) Verlust. Konfigurations. Es handelt sich aber nicht um End-toEnd Verschlüsselung bis zum Kommunikationspartner. unerlaubtes Akzeptieren fremder SIM-Karten) Sorglosigkeit im Umgang mit Informationen 441 . Sie enthalten Angaben über Kommunikationspartner (z.B. Kälte. Fehler bei der Synchronisation Manipulation an Informationen oder Software (z.• Verbindungsdaten für die Abrechnung der Dienste. Übertragungsinhalte. Mobiltelefone können also durchaus sensitiv sein. Typische Gefährdungen für Mobiltelefone: • • • • • • • • • • • • • • • • • • Umwelteinflüsse (Nässe. auf dem Weg werden üblicherweise auch Festnetz-Strecken genutzt.und Bedienungsfehler.B. Die kryptographischen Algorithmen der SIM-Karte dienen zur Identifikation des Teilnehmers gegenüber dem Netzbetreiber und zur Verschlüsselung der Gesprächs. Rufnummern des Angerufenen). Speicherkarten) Unerlaubte Installation von Software (z. wo keine Verschlüsselung wirksam ist. Zeitpunkt und Dauer der Verbindung und die Standorte.B.B. Apps) Ungeordneter oder unerlaubter Benutzerwechsel Ausfall des Geräts oder der Stromversorgung Nicht-Verfügbarkeit des Mobilfunknetzes Verlust gespeicherter Daten Informationsverlust bei erschöpftem Speichermedium Software-Schwachstellen oder -Fehler Nichtbeachtung von Sicherheitsmaßnahmen Unzureichender Umgang mit Passwörtern Fehlerhafte Nutzung. Diebstahl Fahrlässige Zerstörung von Gerät oder Daten Manipulation oder Zerstörung von Geräten oder Zubehör Unerlaubte Ausübung von Rechten Unkontrollierter Einsatz von Datenträgern (z.

Viren Vertraulichkeitsverlust schützenswerter Informationen Unzureichende Identifikationsprüfung von Kommunikationspartnern Unberechtigte Privatnutzung Unberechtigte Datenweitergabe Unberechtigte Foto. beginnend mit der Planung über die Nutzung bis zur Notfallvorsorge: • • • Planung und Konzeption: Damit die Möglichkeiten. Falls das Gerät zur Datenübertragung eingesetzt wird. diese Telefone in einer Sammelaufbewahrung zu halten. Im Internet gibt es diverse WWW-Angebote. sollte eine Sicherheitsrichtlinie erstellt werden. Die Übertragung von Kurzmitteilungen erfolgt immer über die Kurzmitteilungs-Zentrale. auf diese Weise eine große Anzahl von SMS-Nachrichten an ein Mobiltelefon zu senden. Die Auswirkungen von SMS-Spam sind wie bei E-Mail.und Filmaufnahmen mit mobilen Endgeräten Abhören von Raumgesprächen mit Mobiltelefonen Auswertung von Verbindungsdaten bei der Nutzung von Mobiltelefonen Maßnahmenempfehlungen für Mobiltelefone: Für Mobiltelefone sind eine Reihe von Maßnahmen umzusetzen. zur zuverlässigen Funktionsweise zu gewährleisten und Schutz geben Missbrauch zu beachten: • Kurzmitteilungen (SMS): Damit lassen sich Texte mit maximal 160 Zeichen von einem Mobiltelefon zum anderen oder auch an E-Mail-Adressen senden. Betrieb: Zum sicheren Betrieb von Mobiltelefonen gehören unter anderem die Sicherstellung der Energieversorgung und bei Bedarf auch der Schutz vor Rufnummernermittlung gehören. die vom Unternehmen oder der Behörde zur Verfügung gestellt werden. welche die Nachrichten an den jeweiligen Empfänger weiterleitet. Beschaffung: Bei häufiger und wechselnder dienstlicher Nutzung von Mobiltelefonen. über die mit minimalen Kosten Kurzmitteilungen versandt werden können. Darüber hinaus 442 . Es ist ohne großen Aufwand möglich. Die Mailbox bzw.• • • • • • • • • Phishing Attacken auf Passwörter oder PINs via SMS Schadprogramme. Trojanische Pferde. Mobiltelefone sicher einzusetzen. in der Praxis auch tatsächlich genutzt werden. der Speicherplatz reicht nicht aus und ernsthafte Anfragen kommen nicht durch. die die umzusetzenden Maßnahmen beschreibt. kann es sinnvoll sein.

Je nach Inhalt einer empfangenen Kurzmitteilung ist es sinnvoll nachzufragen. Eine Identifikation des Absenders ist bei SMS nicht zuverlässig möglich. Beim Versand von Kurzmitteilungen über das Internet erfolgt im Allgemeinen überhaupt keine eindeutige Identifizierung. ob diese wirklich vom angegebenen Absender stammt. Damit muss auch mit den von Faxgeräten bekannten Problemen (lesbarer Empfang. an ein Faxgerät oder eine andere E-Mail-Adresse weitergeleitet werden. erhält das Mobiltelefon eine eigene E-Mail-Adresse. dass SMS-Nachrichten beim falschen Empfänger landen. hohe) Kosten. 443 . Die potentiellen Sicherheitsprobleme und Maßnahmen sind die gleichen wie bei auf PC üblicher Nutzung von E-Mail .und je nach Vertrag mit dem Netzbetreiber kann bei der E-Mail-Nutzung außerdem nur eine begrenzte Anzahl von E-Mails pro Monat gesendet oder empfangen werden .• • entstehen dem Benutzer (evtl. Auch wenn die Displays der Mobiltelefone klein sind. Sicherheitsmaßnahmen wie Verschlüsselung oder Signatur sind hierbei nicht möglich (außer über zusätzliche Module oder spezielle Geräte). Bestätigungen. So können eingehende E-Mails von einem Sprachcomputer vorgelesen werden. richtige Zieladressen) gerechnet werden. Wenn dieser Service vom Netzbetreiber eingerichtet worden ist. Das wird für Phishing-SMS ausgenützt. Faxe: können über Mobiltelefone können auch Faxe über SMS ins Festnetz versendet werden. weil eine falsche Rufnummer angegeben oder ein falscher Eintrag aus dem Telefonbuch als Empfänger ausgewählt wurde. Bei einigen Netzbetreibern können E-Mail-Dienste mit anderen Diensten kombiniert werden.B.bei Überschreitung drohen erhebliche Kosten. wenn auch mitunter auf 160 Zeichen begrenzt. Es passiert immer wieder. im Schadensfall eine Zeit lang auf SMS zu verzichten. Hiergegen hilft nur. Es können auch Faxe empfangen werden. dazu kommt noch dass der Speicherplatz des Mobiltelefons durch empfangene Faxe überlastet werden kann E-Mail: können über Mobiltelefone empfangen und verschickt werden. Sie erfolgt maximal über die Rufnummer des Absenders und diese wird je nach Netzbetreiber bzw. Ausgehende E-Mails können ins Mobiltelefon gesprochen und als Audiodatei (WAV-Datei) versandt werden. wenn diese den Restriktionen der SMS-Übertragung genügen. bzw. also z. auf den Eintrag in Telefonbücher zu verzichten. Wie Kurzmitteilungen und Faxe können auch E-Mails schnell den vorhandenen Speicherplatz ausschöpfen . im Vorfeld die eigene Rufnummer nicht zu breit zu streuen. sollten die Empfängerangaben vor dem Absenden überprüft werden. Konfiguration des Mobiltelefons nicht immer mitübertragen.

die Einbruchmeldeanlage setzt Alarmmeldungen über Mobilfunk ab oder Notfallpersonal wird über Mobiltelefone benachrichtigt). • • Die wichtigsten Einstellungen wie PINs und die Konfiguration von Sicherheitsmechanismen sollten schriftlich dokumentiert und entsprechend ihres Schutzbedarfs sicher aufbewahrt werden. dass bei Funkschnittstellen ein Abhörrisiko besteht. dass solche Dienstleistungen angeboten werden. • Alle auf der SIM-Karte oder im Telefon gespeicherten Daten über SIMKartenleser bzw. • Herunterladen von Software oder Daten aus dem Internet (Apps.• Kopplung zu anderen IT-Systemen (Notebook. ohne dass dies besonders auffällt (bei Windows-PCs wird meist ein kleines Icon in der Task-Leiste angezeigt). USB. Infrarot (IrDA Infrared Data Association) oder Bluetooth erfolgen. ggf. als Modems für Internetzugang genutzt zu werden. Displaysymbole oder Ähnliches) sollte bei dienstlich genutzten Mobiltelefonen unterbunden oder verboten werden.B. wenn Mobiltelefone im Rahmen von Alarmierungen eingesetzt werden (z. dann entsteht eine unkontrollierbare Verbindung vom Netzwerk in die Außenwelt unter Umgehung des Firewall-Schutzes! Dafür ist entsprechende Sensibilisierung zu schaffen. 444 . sollte ein ErsatzMobiltelefon. Daher sollte eine Übersicht über entsprechende Fachbetriebe vorhanden sein. • Der Ladezustand und die Funktionsfähigkeit des Mobiltelefon-Akkus sollten regelmäßig überprüft werden. • • Viele Händler bieten auch für die Dauer der Reparatur Ersatzgeräte an.uner Wahrung der Regelungen für die Datenübertragung . PCMCIA). mindestens aber ein Ersatz-Akku mitgeführt werden. Erfolgt dies gleichzeitig mit einer Kopplung an eine IT-Komponente der Organisation im Netzwerk. Es ist zu beachten. Softmodem. Klingeltöne.in einen PC eingelesen und dort verwaltet werden. • Mobiltelefone bieten zunehmend die Möglichkeit. Das ist etwa dann unabdingbar. Dies ist natürlich besonders ärgerlich. Damit kann Datensicherung sowie Synchronisation. Alle Datenübertragungseinrichtungen sollten genehmigt sein und deren Nutzung klaren Regelungen unterliegen Nofallvorsorge: Ein Mobiltelefon kann aus verschiedenen Gründen ausfallen oder in seiner Funktionsfähigkeit gestört sein. des Händlers darauf zu achten. auch mehrerer Mobiltelefone durchgeführt werden. • Wenn ein Mobiltelefon kontinuierlich verfügbar sein soll. Reparatur: sollte nur von vertrauenswürdigen Fachbetrieben durchgeführt werden. Organizer): Diese kann über Einsteckkarte (PC-Card. entsprechende Software . Bei der Auswahl des Mobiltelefons bzw. und sich mobile Geräte oft automatisch untereinander verbinden. wenn es dringend benötigt wird oder dadurch wichtige Daten verloren gehen.

Dienstliche Daten könnten unberechtigt auf Wechselmedien kopiert werden. also z.404. CDs. ausgestattet. [ Q: BSI B 3.• Bevor das Mobiltelefon zur Reparatur gegeben wird. Außerdem sollte die SIM-Karte entfernt werden.1 Handelsübliche PCs sind heute in der Regel mit CD-/DVD-ROM-Laufwerk bzw. die von neueren Betriebssystemen (z. Steckdosen im Ausland mitzuführen.B. -Platten.81 ] 11. M 5. Diebstahl: die SIM-Karte dieses Telefons sollte unverzüglich gesperrt werden. Zusätzlich besteht die Möglichkeit. Beim Booten von Wechselmedien oder beim Installieren von Fremdsoftware können nicht nur Sicherheitseinstellungen außer Kraft gesetzt werden. Beispiele sind USB-Memory-Sticks bzw. soweit das noch möglich ist. sollten alle personenbezogenen Daten. manchmal noch mit Diskettenlaufwerken.7. Trojanische Pferde) von solchen Laufwerken eingespielt werden. Es könnte unkontrolliert Software (auch Schadsoftware. längeren Einsatz unterwegs das Ladegerät sowie ggf. Durch solche Laufwerke für Wechselmedien und externe Datenspeicher ergeben sich potentielle Sicherheitsprobleme: • • • Der PC könnte von solchen Laufwerken unkontrolliert gebootet werden.4 Wechselmedien und externe Datenspeicher (USBSticks. die in die USB-Schnittstelle gesteckt werden.7.B. sondern der PC kann auch mit Computer-Viren und anderen Schadprogrammen infiziert werden. für Reisen bzw. DVDs) ISO Bezug: 27002 11. Viren. 445 . -Festplatten. über Schnittstellen externe Speichermedien anzuschließen. • Nicht zuletzt sollte darauf geachtet werden.1. der Anrufspeicher. gespeicherte E-Mails und das Telefonbuch im Gerät gelöscht werden. Adapter für andere Stromspannungen bzw. um Missbrauch und unnötige Kosten zu verhindern. CD-/DVD-Writer. Vorher sollten sie selbstverständlich gesichert werden. und Firewire-Festplatten. für MicrosoftBetriebssysteme ab Windows 2000) automatisch erkannt werden. Verlust.

Dies erschwert die unberechtigte Nutzung. Nachteilig sind die Beschaffungskosten für die Laufwerksschlösser und der Aufwand für die erforderliche Schlüsselverwaltung. der Verzicht bei der Beschaffung) bietet zwar den sichersten Schutz vor den oben genannten Gefährdungen. Diese Lösung sollte in Betracht gezogen werden. dass keine Hardware-Änderungen erforderlich sind. wenn die verwendete Schnittstelle auch für andere (erlaubte) Zusatzgeräte genutzt wird. dass der Ausbau unter Umständen die Administration und Wartung des IT-Systems behindert. Verschluss von Laufwerken: Für einige Laufwerksarten gibt es abschließbare Einschubvorrichtungen. Die entsprechenden Einstellungen im Betriebssystem können gegebenenfalls sogar zentral vorgenommen werden. Kontrolle der Schnittstellennutzung: Der Betrieb von externen Speichermedien wie USB-Memory-Sticks lässt sich nur sehr schwer verhindern. ist aber meist mit erheblichem Aufwand verbunden. von welchen Laufwerken gebootet werden kann. Bei der Beschaffung sollte sichergestellt werden. wenn besondere Sicherheitsanforderungen bestehen. Die Deaktivierung der Laufwerke im BIOS bzw. dass die Benutzer nicht über die Berechtigungen im Betriebssystem verfügen. Hierfür bieten sich verschiedene Vorgehensweisen an. muss sichergestellt sein. So werden beispielsweise Notebooks ausgeliefert. Betriebssystem: Im BIOS bieten die meisten PCs Einstellmöglichkeiten dafür. In Verbindung mit einem PasswortSchutz der BIOS-Einstellungen (siehe auch M 4. z. Dadurch ist es in der Regel nicht sinnvoll. Deaktivierung im BIOS bzw. Außerdem sollte darauf geachtet werden. um die Deaktivierung der Laufwerke rückgängig zu machen. die zum Anschluss einer Maus nur die USB-Schnittstelle zur Verfügung stellen. deren spezifische Vor. Damit diese Vorgehensweise wirksam ist. dass die Laufwerksschlösser für die vorhandenen Laufwerke geeignet sind und diese nicht beschädigen können. Weiterhin ist zu berücksichtigen. Daher ist diese Lösung nur bei höherem Schutzbedarf oder besonderen Sicherheitsanforderungen sinnvoll. dass die Schlösser herstellerseitig mit hinreichend vielen unterschiedlichen Schlüsseln angeboten werden.84 Nutzung der BIOSSicherheitsmechanismen) kann dadurch das unkontrollierte Booten von Wechselmedien und mobilen Datenträgern unterbunden werden. die Installation von Fremdsoftware oder das Kopieren auf Wechselmedien.B.Diesen Gefahren muss durch geeignete organisatorische oder technische Sicherheitsmaßnahmen entgegengewirkt werden. Weiterhin können die vorhandenen Laufwerke und Schnittstellen bei modernen Betriebssystemen einzeln deaktiviert werden. ein "USBSchloss" zu verwenden oder die Schnittstelle durch andere mechanische 446 .und Nachteile im Folgenden kurz dargestellt werden: • • • • Ausbau von Laufwerken: Der Ausbau der Laufwerke für Wechselmedien (bzw. Betriebssystem hat den Vorteil. mit denen die unkontrollierte Nutzung verhindert werden kann.

oder Firewire-Schnittstellen kann zusätzlich festgelegt werden. 447 . die mit bestimmten kryptographischen Schlüsseln verschlüsselt worden sind.und betriebssystemspezifisch. über Vernetzung Daten auszutauschen. nur das Kopieren öffentlicher Text-Dokumente wird erlaubt. Bei der Auswahl einer geeigneten Vorgehensweise müssen immer alle Laufwerke für Wechselmedien berücksichtigt werden. sollte untersagt und soweit wie möglich auch technisch unterbunden werden (siehe auch 12. In diesem Fall sollten die Richtlinien für die Nutzung der Laufwerke und Speichermedien so explizit wie möglich definiert werden. Die Installation und das Starten von Programmen.1 Nutzungsverbot nicht freigegebener Software). die von Wechselmedien eingespielt wurden. dass nur noch mobile Datenträger gelesen und beschrieben werden können. alle Laufwerke für Wechselmedien zu deaktivieren oder auszubauen. Beispielsweise kann ein generelles Verbot ausgesprochen werden. also insbesondere auch E-Mail und InternetAnbindungen. z. Die Nutzung von Schnittstellen sollte daher durch entsprechende Rechtevergabe auf Ebene des Betriebssystems oder mit Hilfe von Zusatzprogrammen geregelt werden. Bei einigen Zusatzprogrammen zur Absicherung der USB. sondern schützt auch die Daten auf den mobilen Datenträgern bei Verlust oder Diebstahl.• • Maßnahmen zu deaktivieren.B. Eine Lösung ist beispielsweise. wenn die Benutzer hin und wieder oder regelmäßig auf die Laufwerke zugreifen müssen.3. Verschluss oder Deaktivierung der Laufwerke im Betriebssystem kommen nicht in Frage. Verschlüsselung: Es gibt Produkte. Besonderes Augenmerk ist auf den Schutz vor Schadprogrammen. Beim Anschluss von Datenträgern an externen Schnittstellen werden oft vom Betriebssystem Treiber bzw. Auf technischer Ebene sollte dann lediglich das Booten von Wechselmedien im BIOS deaktiviert werden. die dafür sorgen. Kernelmodule geladen oder Einträge in Konfigurationsdateien (wie der Windows-Registry) erzeugt. Die Richtlinien müssen allen Benutzern bekannt gemacht und die Einhaltung kontrolliert werden. ist es nicht allein ausreichend.durch technische Maßnahmen unterbunden werden. Einzelheiten sind produkt. die Nutzung ist jedoch durch entsprechende Richtlinien reglementiert. Anderenfalls sollte der Zugriff wie oben beschrieben . Computer-Viren oder Trojanische Pferde. zu richten. Ausbau. Wenn der PC über eine Verbindung zum Internet verfügt. Diese rein organisatorische Lösung sollte nur dann gewählt werden. Richtlinien für die Nutzung: In vielen Fällen dürfen die Benutzer die eingebauten Laufwerke für Wechselmedien oder Speichermedien an externen Schnittstellen durchaus verwenden. Alternativ kann das Hinzufügen von Geräten überwacht werden. aber ebenso auch alle Möglichkeiten. die detektiert werden können. ob von externen Datenträgern nur gelesen werden kann. dass auschließlich Zugriffe auf dafür zugelassene mobile Datenträger möglich sind. Dies schützt nicht nur vor unbefugtem Zugriff über manipulierte mobile Datenträger.

per Dienstanweisung ausschließen zu können.2 Geeignete Einrichtung eines häuslichen Arbeitsplatzes ISO Bezug: 27002 9.1 ] 11. 11.5. sollten wichtige Fragen entweder durch Kollektivverträge.7.4 ] 11.2. Sicherheit und Gesundheitsschutz ausgewählt werden. .2.7.1.1 Da es bisher kein "Telearbeitsgesetz" mit eigenständigen gesetzlichen Regelungen gibt. [ eh SYS 9. [ Q: BSI M 4.2 Der häusliche Arbeitsplatz sollte von der übrigen Wohnung zumindest durch eine Tür abgetrennt sein und ausschließlich der beruflichen Tätigkeit dienen.Damit die Sicherheitsmaßnahmen akzeptiert und beachtet werden. Betriebsvereinbarungen oder zusätzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen zwischen Telearbeiter/innen und Arbeitgeber geklärt werden. 11.B.5. falls er durch ein Fenster beobachtet werden könnte Überspannungsschutz Bereitstellung versperrbarer Behältnisse zur Aufbewahrung von Datenträgern und Dokumenten Dienstlich genutzte IT sollte vom Arbeitgeber bereitgestellt werden. um z.7.2. müssen die Benutzer über die Gefährdung durch Laufwerke für Wechselmedien informiert und sensibilisiert werden. dass die IT für private Zwecke benutzt wird. Insbesondere sollten folgende Punkte geregelt werden: • 448 Freiwilligkeit der Teilnahme an der Telearbeit.7. Die Einrichtung sollte unter Berücksichtigung von Ergonomie.3 Regelungen für Telearbeit ISO Bezug: 27002 9. Aus dem Aspekt der Sicherheit entstehen insbesondere folgende zusätzliche Anforderungen: • • • Sichtschutz des Monitors. 13.

B. So kann ein E-Mail-Anschluss zur Verfügung gestellt werden.B. Datensicherung: Der/die Telearbeiter/in ist zu verpflichten. Darüber hinaus sollte vereinbart werden. dem/der Datenschutz-/IT-Sicherheitsbeauftragten sowie dem Betriebsbzw. Haftung (bei Diebstahl oder Beschädigung der IT. Einrichtung eines Bildschirmarbeitsplatzes) und der Arbeitsumgebung gelten wie in der Institution. wenn der Telearbeitsrechner dies nicht erfordert. regelmäßig eine Datensicherung durchzuführen. Die umzusetzenden IT-Sicherheitsmaßnahmen sind dem/der Telearbeiter/in in schriftlicher Form zu übergeben.B. des Telearbeiters begutachtet werden können.• • • • • Mehrarbeit und Zuschläge. Am häuslichen Arbeitsplatz sollten dieselben Vorschriften und Richtlinien bezüglich der Gestaltung des Arbeitsplatzes (z. Im Sinne der IT-Sicherheit sollten zusätzlich folgende Punkte behandelt werden: • • • • • • Arbeitszeitregelung: Die Verteilung der Arbeitszeiten auf Tätigkeiten in der Institution und am häuslichen Arbeitsplatz muss geregelt sein und feste Zeiten der Erreichbarkeit am häuslichen Arbeitsplatz müssen festgelegt werden. für Strom und Heizung. aber die Nutzung von anderen Internet-Diensten wird untersagt. dass jeweils eine Generation der Datensicherung bei der Institution zur Unterstützung der Verfügbarkeit hinterlegt wird.B. aber auch bei Arbeitsunfall oder Berufskrankheit). die für die Telearbeit notwendigen ITSicherheitsmaßnahmen zu beachten und zu realisieren. Beendigung der Telearbeit. Weiters kann die Benutzung von Disketten (Gefahr von Viren) untersagt werden. Aufwendungen z. welche Arbeitsmittel Telearbeiter/innen einsetzen können und welche nicht genutzt werden dürfen (z. IT-Sicherheitsmaßnahmen: Der/die Telearbeiter/in ist zu verpflichten. Reaktionszeiten: Es sollte geregelt werden. Datenschutz: 449 . Arbeitsmittel: Es kann festgeschrieben werden. nicht freigegebene Software). Aufwendungen für Fahrten zwischen Betrieb und häuslicher Wohnung. Dies sollte in Absprache mit dem/der Telearbeiter/in durch den/die in der Institution Verantwortlichen für den Arbeitsschutz. wie häufig E-Mails gelesen werden) und wie schnell darauf reagiert werden sollte. Personalrat und dem/der direkten Vorgesetzten der Telearbeiterin bzw. in welchen Abständen aktuelle Informationen eingeholt werden (z.

und Datenträgertransports zwischen häuslichem Arbeitsplatz und Institution ISO Bezug: 27002 9.4 Regelung des Dokumenten. Es empfiehlt sich. IT-sicherheitsrelevante Vorkommnisse unverzüglich an eine zu bestimmende Stelle in der Institution zu melden. Zutrittsrecht zum häuslichen Arbeitsplatz: Für die Durchführung von Kontrollen und für die Verfügbarkeit von Dokumenten und Daten im Vertretungsfall kann ein Zutrittsrecht zum häuslichen Arbeitsplatz (ggf.8.7. welche Daten nicht oder nur verschlüsselt elektronisch übermittelt werden dürfen. 11. welche Daten auf welchem Weg übertragen bzw.2 Damit der Austausch von Dokumenten und Datenträgern zwischen häuslichem Arbeitsplatz und Institution sicher vollzogen werden kann. Datenträger nur persönlich transportiert werden dürfen. Datenträger über welchen Transportweg (Postweg. Transport von Dokumenten und Datenträgern: Die Art und Absicherung des Transports zwischen häuslichem Arbeitsplatz und Institution ist zu regeln. Paketdienst. Darin sollten zumindest folgende Punkte betrachtet bzw.2 ] 11. mit vorheriger Anmeldung) vereinbart werden.) ausgetauscht werden dürfen. Kurier.. ist eine Regelung über Art und Weise des Austausches aufzustellen. per Einschreiben. . [ eh SYS 9. .• • • • Der/die Telearbeiter/in ist auf die Einhaltung einschlägiger Datenschutzvorschriften zu verpflichten sowie auf die notwendigen Maßnahmen bei der Bearbeitung von personenbezogenen Daten am häuslichen Arbeitsplatz hinzuweisen. mit Begleitschreiben oder mit Versiegelung) und welche Dokumente bzw.7. Datenkommunikation: Es muss festgelegt werden. diese Regelungen schriftlich festzulegen und jedem/jeder Telearbeiter/in auszuhändigen. welche Schutzmaßnahmen beim Transport zu beachten sind (beispielsweise Transport in geschlossenem Behälter. Meldewege: Der/die Telearbeiter/in ist zu verpflichten. Entsprechende Merkblätter sind regelmäßig zu aktualisieren. in Versandtasche.. 10. geregelt werden: • • • 450 welche Dokumente bzw.2.5.

6 Betreuungs. Die dienstlichen Unterlagen und Datenträger müssen außerhalb der Nutzungszeit darin verschlossen aufbewahrt werden. Jeweils eine Generation der Backup-Datenträger sollte jedoch in der Institution aufbewahrt werden. leitet Wartungs. dass nur der/die Telearbeiter/in selber bzw. Dieses sollte folgende Punkte vorsehen: • Benennen von problembezogenen Ansprechpartnern für den Benutzerservice: An diese Stelle wenden sich Telearbeiter/innen bei Software.und Reparaturarbeiten ein. Hingegen kann beim Datenträgeraustausch vorab eine Datensicherung erfolgen.7. damit im Katastrophenfall der/die Vertreter/in auf die Backup-Datenträger zugreifen kann. 11. Die Schutzwirkung des abschließbaren Bereiches hat den Sicherheitsanforderungen der darin zu verwahrenden Unterlagen und Datenträger zu entsprechen.4] 11.7.5.und Hardwareproblemen.2 Für die Telearbeitsplätze muss ein spezielles Betreuungs.5 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger ISO Bezug: 27002 9.und Wartungskonzept für Telearbeitsplätze ISO Bezug: 27002 11.Da Schriftstücke oftmals Unikate sind. Es ist sicherzustellen. [ eh SYS 9. welchen Schaden der Verlust bedeuten würde.und Wartungskonzept erstellt werden. 451 . Der Benutzerservice versucht (auch telefonisch) kurzfristig Hilfestellung zu leisten bzw.7. Aus diesem Grund muss ein verschließbarer Bereich (Schrank.ä. Schreibtisch o.7. muss bei der Auswahl eines geeigneten Dokumentenaustauschverfahrens beachtet werden.2 Dienstliche Unterlagen und Datenträger dürfen auch am häuslichen Arbeitsplatz nur dem/der autorisierten Mitarbeiter/in zugänglich sein. 10.7.3 ] 11.) verfügbar sein. Backup-Datenträger müssen im häuslichen Bereich verschlossen aufbewahrt werden.2. [ eh SYS 9. deren Vertretung darauf Zugriff hat.

in der Sicherheitsrichtlinie zur Telearbeit (siehe 11. z. Einführung von Standard-Telearbeitsrechnern: Wenn möglich sollten alle Telearbeiter/innen einer Institution einen definierten Standard-Telearbeitsrechner haben.2.7 Geregelte Nutzung der Kommunikationsmöglichkeiten ISO Bezug: 27002 9. Dies verringert den konzeptionellen und administrativen Aufwand für den Aufbau eines sicheren Telearbeitsrechners und erleichtert Problemlösungen für den Benutzerservice.3 Fernwartung) Transport der IT: Es sollte aus Gründen der Haftung festgelegt werden. sind die notwendigen Sicherheitsmaßnahmen sowie die erforderlichen Online-Zeiten zu vereinbaren.7.1. Fernwartung: Falls der Telearbeitsrechner über Fernwartung administriert und gewartet werden kann.7. [ eh SYS 9. etwa ob private Nutzung erlaubt oder untersagt sein soll. IT-Komponenten zwischen Institution und häuslichem Arbeitsplatz der Telearbeiterin bzw. Fax.und Internet-Anbindung. wer autorisiert ist.5 ] 11. Diese Regelungen sind den Telearbeitern auszuhändigen. des Telearbeiters zu transportieren. Es muss auch geregelt werden. 11. um den Missbrauch eines Fernwartungszugangs zu verhindern (vgl. 12.und Datenträgertransport benötigt und daher vom Telearbeitsrechner unterstützt werden.7. Zu klären sind zumindest folgende Punkte: • 452 Datenflusskontrolle .B.5.3 Regelungen für Telearbeit). aber auch Postaustausch sowie Akten. auf welche Weise die vorhandenen Kommunikationsmöglichkeiten genutzt werden dürfen. Insbesondere ist ein Sicherungsverfahren festzulegen.7. 11.7.2 Für Telearbeit werden typischerweise verschiedene Möglichkeiten zur Kommunikation wie beispielsweise Telefon-.• • • • Wartungstermine: Die Termine für vor Ort durchzuführende Wartungsarbeiten sollten frühzeitig bekannt gegeben werden. damit die Telearbeiter/innen zu diesen Zeiten den Zutritt zum häuslichen Arbeitsplatz gewährleisten können. Die Regelungen über die Nutzung der Kommunikationsmöglichkeiten bei Telearbeit sind schriftlich zu fixieren.

welche Informationen per Fax an wen übermittelt werden dürfen. so besteht die Gefahr.U. IT-Sicherheitsmaßnahmen • • • • • Welche Dienste dürfen zur Datenübertragung genutzt werden? Welche Dienste dürfen explizit nicht genutzt werden? Welche Informationen dürfen an wen versendet werden? Welcher Schriftverkehr darf über E-Mail abgewickelt werden? • • • Für welche Daten sollen welche Verschlüsselungsverfahren eingesetzt werden? • Für welche Daten ist eine Löschung nach erfolgreicher Übertragung notwendig? Dies kann beispielsweise für personenbezogene Daten gelten. elektronische Recherchen) dürfen vom Telearbeitsrechner aus in Anspruch genommen werden? Beispielsweise können aus der Art der Abfragen u. Rückschlüsse auf Unternehmensstrategien gezogen werden. so ist zu klären.• Falls der Telearbeitsrechner ein Fax-Modem besitzt oder wenn am Telearbeitsplatz ein Faxgerät vorhanden ist. Welche Optionen dürfen im Internet-Browser aktiviert werden? Welche Rahmenbedingungen und technischen Sicherheitsmaßnahmen müssen bei der Internet-Nutzung beachtet werden? Welche Sicherungsverfahren sollen im Internet-Browser aktiviert werden? 453 . Internet-Nutzung • • • • • Wird die Nutzung von Internet-Diensten generell verboten? Welche Art von Daten darf aus dem Internet geladen werden? Werden Daten von fremden Servern geladen. dass Viren importiert werden. ist festzulegen. ob und in welchem Umfang eine handschriftliche Protokollierung vorzusehen ist. • Von welchen Daten soll trotz der erfolgreichen Übertragung eine Kopie der Daten auf dem Telearbeitsrechner verbleiben? • Wird vor Versand oder nach Erhalt von Daten ein Viren-Check der Daten durchgeführt? • Für welche Datenübertragung soll eine Protokollierung erfolgen? Falls eine automatische Protokollierung nicht möglich sein sollte. • Der elektronische Versand welcher Informationen bedarf der vorherigen Zustimmung der Institution? Informationsgewinnung Welche elektronischen Dienstleistungen (Datenbankabfragen.

2. Unterschriftenregelung • • • • Ist eine Unterschriftenregelung für die Kommunikation vorgesehen? Werden gesetzeskonforme elektronische Signaturen eingesetzt? Werden andere Authentisierungsverfahren für den Schriftverkehr genutzt? [ eh SYS 9.6 ] 11. 11. 11.9 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner. der auf Grund eines Hacker-Angriffs auf den Kommunikationsrechner entstehen kann. ITKomponenten) der/die Telearbeiter/in tatsächlich für die Erfüllung seiner/ihrer Aufgaben benötigt.• Ist die Zustimmung der Institution erforderlich.2. die der/die Telearbeiter/in für seine/ihre Aufgaben nicht braucht. dass der Schaden. Entsprechend sind die notwendigen Rechte wie Lese.8 Regelung der Zugriffsmöglichkeiten von Telearbeiter/innen ISO Bezug: 27002 9. sollte er/sie auch nicht zugreifen können. wenn der Telearbeiter sich am Informationsaustausch mittels Newsgruppen beteiligen will? Ggf. Auf Objekte. [ eh SYS 9.7. minimiert wird.7. Damit soll erreicht werden. 11. ist eine anonyme Nutzung erforderlich. welche Objekte (Daten.7 ] 11.2 454 . Dies gilt sowohl für den Zugriff auf Daten wie auf in der Institution verfügbare IT-Komponenten.Institution ISO Bezug: 27002 10. Erfordert die Telearbeit den Zugriff auf die IT der Institution (zum Beispiel auf einen Server).6.7.7. muss zuvor festgelegt werden.5. Programme.und Schreibrechte auf diese Objekte zuzuweisen.2.

Integrität und Verfügbarkeit im öffentlichen Kommunikationsnetz gewahrt werden. Da weder die Institution noch die Telearbeiter/innen großen Einfluss darauf nehmen können. ob die Kommunikation zwischen den richtigen Teilnehmern stattfindet. ob die Vertraulichkeit. können Protokollierungsfunktionen eingesetzt werden. dazu §126a zu Datenbeschädigung). um absichtliche Manipulationen während der Datenübertragung erkennen zu können (vgl. sollte ein redundant ausgelegtes öffentliches Kommunikationsnetz als Übertragungsweg ausgewählt werden. Dies bedeutet. dass auch durch Abhören der Kommunikation zwischen Telearbeitsrechner und Kommunikationsrechner der Institution kein Rückschluss auf den Inhalt der Daten möglich ist. sind ggf. Ebenso muss der Ursprung von Institutionsdaten zweifelsfrei auf die Institution zurückgeführt werden können. Sicherstellung der Authentizität der Daten: Bei der Übertragung der Daten zwischen Telearbeitsrechner und Institution muss vertrauenswürdig feststellbar sein. werden dabei dienstliche Informationen üblicherweise über öffentliche Kommunikationsnetze übertragen. dass Daten mit Absender "Telearbeitsrechner" auch tatsächlich von dort stammen. Sicherstellung der Integrität der übertragenen Daten: Die eingesetzten Übertragungsprotokolle müssen eine zufällige Veränderung übertragener Daten erkennen und beheben. welche Daten wann an wen übertragen wurden. Sicherstellung der Nachvollziehbarkeit der Datenübertragung: Um eine Kommunikation nachvollziehbar zu machen. zusätzliche Maßnahmen erforderlich. 455 . in dem der Ausfall einzelner Verbindungsstrecken nicht den Totalausfall der Kommunikationsmöglichkeiten bedeutet. Generell muss die Datenübertragung zwischen Telearbeitsrechner und Institution folgende Sicherheitsanforderungen erfüllen: • • • • • Sicherstellung der Vertraulichkeit der übertragenen Daten: Es muss durch eine ausreichend sichere Verschlüsselung erreicht werden.Erfolgt im Rahmen der Telearbeit eine Datenübertragung zwischen einem Telearbeitsrechner und dem Kommunikationsrechner der Institution. falls das öffentliche Netz keine ausreichende Sicherheit bieten kann. die nachträglich feststellen lassen. verzichtet werden. Dazu gehört neben einem geeigneten Verschlüsselungsverfahren auch ein angepasstes Schlüsselmanagement mit periodischem Schlüsselwechsel. Auf eine redundante Einführung der Netzanbindung an den Telearbeitsrechner und die Schnittstelle der Institution kann ggf. Sicherstellung der Verfügbarkeit der Datenübertragung: Falls zeitliche Verzögerungen bei der Telearbeit nur schwer zu tolerieren sind. Bei Bedarf kann auch ein zusätzlicher Fehlererkennungsmechanismus benutzt werden. so dass eine Maskerade ausgeschlossen werden kann.

müssen sich vor einem Zugriff auf den Rechner identifizieren und authentisieren. ob Daten korrekt empfangen wurden. Rollentrennung: Die Rollen der Administratoren und der Benutzer/innen des Kommunikationsrechners sind zu trennen. so können Quittungsmechanismen eingesetzt werden. muss es für den Kommunikationsrechner auch möglich sein. aus denen hervorgeht. Andererseits kann auch ein Zugriff auf Server in der Institution für die Telearbeiter/innen notwendig sein. Die Stärke der dazu erforderlichen Mechanismen richtet sich dabei nach dem Schutzbedarf der übertragenen Daten. 10.7. des Telearbeiters oder des Telearbeitsrechners anzustoßen. Ggf. also Administratoren. ob der/die Empfänger/in die Daten korrekt empfangen hat. So ist denkbar.1. [ eh SYS 9.• Sicherstellung des Datenempfangs: Ist es für die Telearbeit von Bedeutung. Nach mehrfachen Fehlversuchen ist der Zugang zu sperren. 11. Mitarbeiter/innen in der Institution und Telearbeiter/innen.8 ] 11.10 Sicherheitstechnische Anforderungen an den Kommunikationsrechner ISO Bezug: 27002 10. dass zwischen Telearbeiterinnen/Telearbeitern und Institution nur E-Mails ausgetauscht werden.2 Je nach Art der Telearbeit und der dabei durchzuführenden Aufgaben gestaltet sich der Zugriff der Telearbeiter/innen auf Institutionsdaten anders.10.7. Rechteverwaltung und -kontrolle: . während der Datenübertragung eine erneute Authentisierung der Telearbeiterin bzw. Eine Rechtevergabe darf ausschließlich Administratoren möglich sein. Voreingestellte Passwörter sind zu ändern.6. Unabhängig von den Zugriffsweisen muss der Kommunikationsrechner der Institution im Allgemeinen folgende Sicherheitsanforderungen erfüllen: • • • 456 Identifikation und Authentisierung: Sämtliche Benutzer/innen des Kommunikationsrechners. Im Rahmen der Identifikation und Authentisierung der Benutzer/innen sollte auch zusätzlich eine Identifizierung der Telearbeitsrechner stattfinden (zum Beispiel über Rufnummern und CallbackVerfahren). um aufgeschaltete Angreifer abzuwehren.1.

dem Revisor sollten Werkzeuge zur Verfügung stehen. Dem Administrator bzw. Der Zugriff auf angeschlossene Rechner in der Institution und darauf gespeicherte Dateien ist zu reglementieren. Voreingestellte Passwörter und kryptographische Schlüssel sind zu ändern.in Abstimmung mit der organisationsweiten IT-Sicherheitspolitik . [ eh SYS 9.11 Informationsfluss. Dabei ist darauf zu achten.9 ] 11. kein Zugriff mehr möglich ist. Minimalität der Dienste: Dienste.zu verschlüsseln. die durch den Kommunikationsrechner zur Verfügung gestellt werden. so muss sie ausreichend abgesichert werden. in dem ggf. Meldewege und Fortbildung ISO Bezug: 27002 11. müssen dem Minimalitätsprinzip unterliegen: alles ist verboten. Dabei sollten Auffälligkeiten automatisch gemeldet werden. was nicht ausdrücklich erlaubt wird. Verschlüsselung: Daten. Ist eine Fernadministration unvermeidbar.7.7. sind bei entsprechender Vertraulichkeit . Jegliche Fernadministration darf nur nach vorhergehender erfolgreicher Identifikation und Authentisierung stattfinden. dass die Zugriffsmöglichkeiten auf das notwendige Mindestmaß beschränkt werden. Adresse und Dienst zu protokollieren. zum und über den Kommunikationsrechner sind mit Uhrzeit. Vermeidung oder Absicherung von Fernadministration: Benötigt der Kommunikationsrechner keine Fernadministration.• • • • • Der Zugriff auf Dateien des Kommunikationsrechners darf nur im Rahmen der gebilligten Rechte erfolgen können. Die Dienste selbst sind auf den Umfang zu beschränken. der für die Aufgaben der Telearbeiter/innen notwendig ist. so sind sämtliche Funktionalitäten zur Fernadministration zu sperren. Protokollierung: Datenübertragungen vom. Automatische Virenprüfung: Übertragene Daten sind einer automatischen Prüfung auf Viren zu unterziehen. Administrationstätigkeiten sind zu protokollieren. Benutzer/in. um die Protokolldaten auszuwerten.2 457 . die auf dem Kommunikationsrechner für die Telearbeiter/innen vorgehalten werden. Bei Systemabsturz oder bei Unregelmäßigkeiten muss der Kommunikationsrechner in einen sicheren Zustand übergehen. Administrationsdaten sollten verschlüsselt übertragen werden.

Nach Bekanntgabe des Konzeptes müssen Telearbeiter/innen in die zu realisierenden Sicherheitsmaßnahmen eingewiesen und eventuell in ihrem Umgang geschult werden.10 ] 458 . dass er/sie einfache Tätigkeiten (z. um sie dann dem/ der Telearbeiter/in per E-Mail zuzustellen. Druckerpatrone wechseln) wahrnehmen kann bzw. Telefonnummern der Telearbeiter/innen in Kenntnis gesetzt werden. Da für die Telearbeit zum Teil andere IT-Sicherheitsmaßnahmen ergriffen werden müssen als für die Arbeit innerhalb der Institution.und Erreichbarkeitszeiten sowie die E-Mail-Adressen bzw. Folgende Punkte müssen darüber hinaus bei der Telearbeit geklärt werden: • • • • Wer ist Ansprechperson bei technischen und/oder organisatorischen Problemen in der Telearbeit? Wem müssen Sicherheitsvorkommnisse mitgeteilt werden? Wie erfolgt die Aufgabenzuteilung? Wie erfolgt die Übergabe der Arbeitsergebnisse? Treten technisch-organisatorische Probleme auf. damit der/die Telearbeiter/in auch zukünftig über Planungen und Zielsetzungen in seinem/ihrem Arbeitsbereich informiert ist. sollte der/die Vorgesetzte einen regelmäßigen Informationsaustausch zwischen Telearbeiter/innen und den Arbeitskolleginnen und -kollegen ermöglichen. Die Beteiligung der Telearbeiter/innen an Umlaufverfahren für Hausmitteilungen. einschlägige Informationen und Zeitschriften ist zu regeln. Darüber hinaus ist der/die Telearbeiter/in so weit im Umgang mit dem Telearbeitsrechner zu schulen. wenn der/die Telearbeiter/in ausschließlich zu Hause arbeitet. Zusätzlich sind die Telearbeiter/innen über Änderungen von IT-Sicherheitsmaßnahmen zu unterrichten. Eine Lösung wäre eventuell das Einscannen wichtiger Schriftstücke. [ eh SYS 9. dass ein Sicherheitskonzept für die Telearbeitsplätze erstellt wird. Dies ist wichtig.B. einfache Probleme selbstständig lösen kann.Damit der/die Telearbeiter/in nicht vom betrieblichen Geschehen abgeschnitten wird. müssen diese von dem/der Telearbeiter/in unverzüglich der Institution gemeldet werden. ist es notwendig. Weiters müssen die Arbeitskolleginnen und -kollegen über Anwesenheits. damit Frustrationen vermieden werden und ein positives Telearbeitsklima geschaffen wird und erhalten bleibt. Dies stellt dann ein Problem dar.

1. Da der/die Telearbeiter/in hauptsächlich außerhalb der Institution tätig ist. wer die Entsorgung durchführt bzw. damit das Gepäck noch tragbar bleibt.1. wenn die Datenträger defekt sind. wie alte oder unbrauchbare Datenträger und Dokumente entsorgt werden ist dies am häuslichen Arbeitsplatz oder unterwegs nicht immer möglich.309 ] 459 .7. das entsorgt werden soll. Ggf. da Experten auch hieraus wieder wertvolle Informationen zurückgewinnen können.13 Entsorgung von Datenträgern und Dokumenten ISO Bezug: 27002 10. ob diese sensible Informationen enthalten könnten. Ergänzend dazu muss geregelt werden.12 Vertretungsregelung für Telearbeit ISO Bezug: 27002 8. muss ein Informationsfluss zu seiner/ihrer Vertretung vorgesehen werden.7. Dies ist auch dann der Fall. Auch Shredder-Einrichtungen in fremden Institutionen sollten mit Vorsicht betrachtet werden.11 ] 11.7.7. 11. Daher ist vor der Entsorgung ausgedienter Datenträger und Dokumente genau zu überlegen. müssen die Datenträger und Dokumente im Zweifelsfall wieder mit zurück transportiert werden. den Vertretungsfall probeweise durchzuspielen.2.1 Auch zu Hause oder unterwegs gibt es häufiger Material. [ eh SYS 9. des Telearbeiters ist unabdingbar. wie zuverlässig diese ist. wie Vertreter im unerwarteten Vertretungsfall Zugriff auf die Daten im Telearbeitsrechner oder am Telearbeitsplatz vorhandene Unterlagen nehmen kann. 11. sind sporadische oder regelmäßige Treffen zwischen Telearbeiter/innen und ihren Vertretungen sinnvoll. Auch eine Dokumentation der Arbeitsergebnisse seitens der Telearbeiterin bzw. Ist dies der Fall. da hier nicht unbedingt ersichtlich ist. Während es aber innerhalb der eigenen Institution eingeübte Verfahren gibt.3 Vertretungsregelungen hinaus sind im Falle der Vertretung von Telearbeitern und Telearbeiterinnen weitere Schritte notwendig.7.11. [Q: BSI M 2.2 Über die Maßnahme 8. Es empfiehlt sich. schon alleine deshalb.1.

die Verantwortung für organisationsweite IT-Sicherheitsmaßnahmen sowie die Gesamtverantwortung bei der bzw. Weiters muss eine angemessene Reaktion auf sicherheitsrelevante Ereignisse gewährleistet sein. unveränderbares Dokument. Von besonderer Bedeutung für die Aufrechterhaltung oder weitere Erhöhung eines einmal erreichten Sicherheitsniveaus ist eine permanente Sensibilisierung aller betroffenen Mitarbeiter/innen für Fragen der IT-Sicherheit (vgl.sei es durch eine Veränderung der Bedrohungslage oder durch falsche Verwendung der implementierten Sicherheitsmaßnahmen .sollen erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. Als Richtlinie kann auch hier gelten. Sicherheit sollte daher integrierter Bestandteil des gesamten Lebenszyklus eines ITSystems bzw. Betrieb und Wartung eines IT-Systems Dieses Kapitel nimmt Bezug auf ISO/IEC 27002 12 ff " Beschaffung. 460 . Ein IT-Sicherheitskonzept ist kein statisches. dass die Verantwortung für systemspezifische Maßnahmen bei den einzelnen Bereichs-IT-Sicherheitsbeauftragten liegen sollte.12 Sicherheit in Entwicklung. Aktualität und die Umsetzung in der täglichen Praxis überprüft werden. die von Beginn an in den Systementwicklungsprozess oder in den Auswahlprozess für ein Produkt integriert wurde. sowie auch ISO 27002 10 ff " Management der Kommunikation und des Betriebs ". dazu auch Kap. Die Verantwortlichkeiten für diese Aktivitäten müssen im Rahmen der organisationsweiten IT-Sicherheitspolitik bzw. die IT-Sicherheit im laufenden Betrieb aufrechtzuerhalten. Verschlechterungen der Wirksamkeit von Sicherheitsmaßnahmen . Die Anforderungen an die Sicherheit eines IT-Systems sollten bereits zu Beginn der Entwicklung ermittelt und abgestimmt werden.3 Sicherheitssensibilisierung und -schulung). weiter zu erhöhen. eines Produktes sein. sondern muss stets auf seine Wirksamkeit. Eine nachträgliche Implementierung von Sicherheitsmaßnahmen ist bedeutend teurer und bietet im Allgemeinen weniger Schutz als Sicherheit. 8. das erreichte Sicherheitsniveau aufrecht zu erhalten bzw. beim Datenschutz-/IT-Sicherheitsbeauftragten. Der IT-Sicherheitsprozess endet nicht mit der Umsetzung von Maßnahmen. Ziel aller Follow-Up-Aktivitäten muss es sein. Entwicklung und Wartung von Informationssystemen ". Umfassendes IT-Sicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe. der einzelnen ITSystemsicherheitspolitiken festgelegt werden.

stets von "IT-Systemen" oder einfach "Systemen" gesprochen.1 Sicherheit im gesamten Lebenszyklus eines ITSystems In den [IT-BVM] wird ein an die Bedürfnisse der österreichischen Bundesverwaltung angepasstes Vorgehensmodell (V-Modell) für die Entwicklung von IT-Systemen vorgestellt. Im Gegensatz zu den ITSEC. das im folgenden kurz beschrieben wird. Das österreichische Vorgehensmodell wurde in Anlehnung an das international anerkannte deutsche Vorgehensmodell [Anmerkung:: Dieses wird seit sieben Jahren in vielen europäischen Ländern angewendet und wird laufend von der Bundesrepublik Deutschland gewartet und verbessert. wird in den folgenden Maßnahmenbeschreibungen der besseren Lesbarkeit halber. wobei der gemeinsame Oberbegriff "Evaluierungsgegenstand" (EVG) lautet. der "Common Criteria" [Common Criteria] . Es teilt sich in vier Bereiche auf: Abbildung 1: Die vier Bereiche (Submodelle) des IT-BVM 461 . auch wenn es sich im Einzelfall um ein Produkt (etwa Standardsoftware) oder eine Einzelkomponente handelt. wenn nicht explizit angeführt.Die in Kapitel 12.1 Sicherheit im gesamten Lebenszyklus eines IT-Systems angeführten Maßnahmen orientieren sich am "Vorgehensmodell für die Entwicklung von IT-Systemen des Bundes" [IT-BVM] sowie teilweise an den Vorgaben der "Information Technology Security Evaluation Criteria" [ITSEC] bzw. die zwischen "IT-Systemen" und "IT-Produkten" unterscheiden.] entwickelt. 12.

Alle diese Bereiche sind eng miteinander verzahnt. Weiters beschreibt es die Abhängigkeiten der Tätigkeiten untereinander und deren erzeugte Ergebnisse. die das Projekt steuern (wie z. Terminsteuerung usw. die zur eigentlichen Erstellung des EDV-Systems notwendig sind. KM . um eine hohe Qualität der EDV-Anwendung sicherzustellen.B.Systemerstellung In diesem Bereich werden die Tätigkeiten beschrieben.B.SE . überhaupt erst möglich machen (z. 462 . Jede Phase teilt sich in weitere Elementarphasen (Blöcke im Vordergrund) und diese wiederum in Aktivitäten (nicht abgebildet). Kostensteuerung. Systemerstellung (SE) Der Bereich SE gliedert sich in sechs Phasen (Vierecke im Hintergrund). QS .). werden in der QS zusammengefasst.Qualitätssicherung Tätigkeiten.Projektmanagement Hier werden alle Tätigkeiten zusammengefasst.Konfigurationsmanagement Dieser Bereich beinhaltet Tätigkeiten. die Ablage der Entwicklungsdokumente und des Programmcodes). die Änderungen leichter nachvollziehbar bzw. PM .

Abbildung 2: Gliederung des Vorgehensmodells Es folgt eine kurze Beschreibung der Elementarphasen:

• • • • • • •

SE 1 - System-Anforderungsanalyse: Hier werden die Anforderungen an das Gesamtsystem erhoben. Unter dem Gesamtsystem versteht man nicht nur das IT-System, sondern auch das fachliche Umfeld, selbst wenn Teile davon später nicht mittels EDV abgedeckt werden. SE 2 - System-Entwurf: Der Grobentwurf des Gesamtsystems wird ermittelt und festgehalten SE 3 - SW-/HW-Anforderungsanalyse: In dieser Elementarphase konzentriert man sich bereits auf die Anforderungen der Software bzw. der Hardware. Bereiche, die nicht von der späteren ITAnwendung betroffen sind, werden hier nicht weiter untersucht. SE 4 - SW-Grobentwurf: Die Software wird grob gegliedert und beschrieben. SE 5 - SW-Feinentwurf: Die zuvor gebildete grobe SW-Struktur wird weiter verfeinert und beschrieben. SE 6 - SW-Implementierung: Die Softwarevorgaben werden in Programme bzw. Datenbanken umgesetzt. Erste Überprüfungen gegenüber dem SW-Feinentwurf werden durchgeführt. SE 7 - SW-Integration: Die einzelnen Softwareteile werden zu größeren Softwareeinheiten zusammengefügt und getestet. SE 8 - System integrieren: Die Software wird zum Gesamtsystem integriert. 463

SE 9 - Überleitung in die Nutzung: Das Gesamtsystem (EDV + Infrastruktur) wird am Bestimmungsort installiert und in Betrieb genommen.

Die Reihenfolge der Aktivitäten erscheint sequentiell. Dies entspricht der Vorstellung vom IT-Systemerstellungsprozess als einem strengen Top-down-Vorgehen. In der Regel sind jedoch Iterationen im Erstellungsprozess üblich. Die nachfolgende Abbildung zeigt eine schematisierte linearisierte Darstellung des logischen Ablaufs, der IT-Systemerstellung und deren Einbettung in das organisatorische Umfeld.

Abbildung 3: Randbedingungen zur IT-Systemerstellung 464

Das beschriebene Vorgehensmodell dient als Grundlage für die nachfolgenden Maßnahmen. Dabei werden die in den einzelnen Phasen für die IT-Sicherheit relevanten Maßnahmen herausgegriffen. Für weitere Details zum Vorgehensmodell sei auf das Gesamtkonzept ( [IT-BVM] ) verwiesen.

12.1.1 IT-Sicherheit in der System-Anforderungsanalyse
ISO Bezug: 27002 12.1.1, 12.2.3

Die Voruntersuchung besteht aus den Elementarphasen "SystemAnforderungsanalyse" und "System-Entwurf", die sich ihrerseits aus unterschiedlichen Aktivitäten zusammensetzen. In der System-Anforderungsanalyse, der ersten Elementarphase der Phase Voruntersuchung, werden die Anforderungen an das Gesamtsystem erhoben. Unter dem Gesamtsystem versteht man dabei nicht nur das IT-System, sondern auch das fachliche Umfeld, selbst wenn Teile davon später nicht mittels EDV abgedeckt werden. Der Anforderungskatalog kann etwa Aussagen zu folgenden Punkten enthalten:

• •

• • • •

Funktionale Anforderungen, die das System zur Unterstützung der Aufgabenerfüllung der Fachabteilung erfüllen muss. Die für die Fachaufgabe relevanten Einzelfunktionalitäten sollten hervorgehoben werden. IT-Einsatzumgebung: Diese wird einerseits beschrieben durch die Rahmenbedingungen, die durch die vorhandene oder geplante IT-Einsatzumgebung vorgegeben werden, und andererseits durch die Leistungsanforderungen, die durch das System an die Einsatzumgebung vorgegeben werden. Kompatibilitätsanforderungen zu anderen Programmen oder IT-Systemen, also Migrationsunterstützung und Aufwärts- und Abwärtskompatibilität. Performanceanforderungen: diese beschreiben die erforderlichen Leistungen hinsichtlich Durchsatz und Laufzeitverhalten. Für die geforderten Funktionen sollten möglichst genaue Angaben über die maximal zulässige Bearbeitungszeit getroffen werden. Interoperabilitätsanforderungen, d.h. die Zusammenarbeit mit anderen Produkten bzw. Systemen über Plattformgrenzen hinweg muss möglich sein. Alternativen zu Herstellermonopolen:

465

• • • • • •

Alternativen zu entstehenden Herstellermonopolen sind im Rahmen der SystemAnforderungsanalyse zu berücksichtigen. Speziell im Hinblick auf Kompatibilität und Austauschbarkeit im Notfall ist dies ein Beitrag zur Systemsicherheit. Als eine der Hauptschwierigkeiten wären beispielsweise proprietäre Protokolle zu identifizieren, die Probleme bei der Suche nach Ersatzsystemen darstellen. Aufgrund des IKT-Board-Beschlusses [IKTB-250602-1] sind derartige Alternativen bei Anschaffungen von Servern im Rahmen der öffentlichen Verwaltung empfohlen. (Vergleiche auch K-Fall-Vorgaben – 14.1.1 Definition von Verfügbarkeitsklassen ) Zuverlässigkeitsanforderungen: Diese betreffen die Stabilität des Systems, also Fehlererkennung und Toleranz sowie Ausfall- und Betriebssicherheit. Konformität zu Standards: Dies können internationale Normen, De-facto-Standards oder auch Hausstandards sein. Einhaltung von internen Regelungen und gesetzlichen Vorschriften, z.B. ausreichender Datenschutz bei der Verarbeitung personenbezogener Daten Anforderungen an die Benutzerfreundlichkeit, insbesondere an die Güte der Benutzeroberfläche sowie die Qualität der Benutzerdokumentation und der Hilfefunktionen. Anforderungen an die Wartbarkeit Obergrenze der Kosten: Dabei müssen nicht nur die unmittelbaren Entwicklungs- bzw. Beschaffungskosten für das System selber einbezogen werden, sondern auch Folgekosten, wie z.B. Wartungsaufwände, Personalkosten oder notwendige Schulungen. Aus den Anforderungen an die Dokumentation muss hervorgehen, welche Dokumente in welcher Güte (Vollständigkeit, Verständlichkeit) erforderlich sind. Bezüglich der Softwarequalität können Anforderungen gestellt werden, die von Herstellererklärungen über die eingesetzten Qualitätssicherungsverfahren, über ISO 9000 Zertifikate bis hin zu unabhängigen Softwareprüfungen nach ISO 12119 reichen.

• •

Zusätzlich zu den operationellen Anforderungen müssen die IT-Sicherheitsziele vorgegeben werden. Dies kann auf zwei Arten erfolgen:

• •

durch die Formulierung von Anforderungen an Vertraulichkeit, Integrität oder Verfügbarkeit (vgl. 14.1.1 Definition von Verfügbarkeitsklassen ) von bestimmten operationellen Funktionen oder verarbeiteten Informationen, anhand einer bereits vorgegebenen Sicherheitspolitik, die im Gesamtsystem durchgesetzt werden soll.

[ eh ENT 1.1 ]

466

12.1.2 Durchführung einer Risikoanalyse und Festlegung der IT-Sicherheitsanforderungen
ISO Bezug: 27002 12.1.1

Basierend auf den bereits definierten Anwenderanforderungen und Informationen über die Einsatzumgebung des Systems sind die für das System relevanten Bedrohungen zu ermitteln und die damit verbundenen Risiken zu bewerten. Zu möglichen Strategien und Vorgehensweisen zur Risikoanalyse s. Kap. 5 - Entwicklung einer organisationsweiten Informationssicherheitspolitik , des vorliegenden Sicherheitshandbuches. Die Ergebnisse der Risikoanalyse bilden die Grundlage für die Formulierung der Anforderungen an die IT-Sicherheit innerhalb der Anwenderforderungen (vgl. 12.1.1 IT-Sicherheit in der System-Anforderungsanalyse). Typische Sicherheitsanforderungen, die an ein gesamtes IT-System oder auch an eine Einzelkomponente oder ein Produkt möglicherweise gestellt werden, seien im Folgenden kurz erläutert (dabei wird im Folgenden wieder generell von "Systemen" gesprochen). Weitere Ausführungen finden sich in den [ITSEC] und den [Common Criteria] .

Identifizierung und Authentisierung: In vielen Systemen wird es Anforderungen geben, diejenigen Benutzer/innen zu bestimmen und zu überwachen, die Zugriff auf Betriebsmittel haben, die vom System kontrolliert werden. Dazu muss nicht nur die behauptete Identität der/des Benutzerin/Benutzers festgestellt, sondern auch die Tatsache nachgeprüft werden, dass die/der Benutzer/in tatsächlich die Person ist, die sie/er zu sein vorgibt. Dies geschieht, indem die/der Benutzer/in dem System Informationen liefert, die fest mit der/dem betreffenden Benutzer/in verknüpft sind. Dies können entweder personenbezogene oder personengebundene Informationen sein, s. dazu auch Kap. 11.1.1 Berechtigungssysteme, Schlüsselund Passwortverwaltung . Zugriffskontrolle: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass Benutzer/ innen und Prozesse daran gehindert werden, Zugriff auf Informationen oder Betriebsmittel zu erhalten, für die sie kein Zugriffsrecht haben oder für die keine Notwendigkeit zu einem Zugriff besteht. Desgleichen wird es Anforderungen bezüglich der unbefugten Erzeugung, Änderung oder Löschung von Informationen geben. Beweissicherung:

467

Bei vielen Systemen wird es erforderlich sein sicherzustellen, dass über Handlungen, die von Benutzerinnen/Benutzern bzw. von Prozessen im Namen solcher Benutzer/innen ausgeführt werden, Informationen aufgezeichnet werden, damit die Folgen solcher Handlungen später der/dem betreffenden Benutzer/in zugeordnet werden können und die/der Benutzer/in für ihre/seine Handlungen verantwortlich gemacht werden kann. Protokollauswertung: Bei vielen Systemen wird sicherzustellen sein, dass sowohl über gewöhnliche Vorgänge als auch über außergewöhnliche Vorfälle ausreichend Informationen aufgezeichnet werden, damit durch Nachprüfungen später festgestellt werden kann, ob tatsächlich Sicherheitsverletzungen vorgelegen haben und welche Informationen oder sonstigen Betriebsmittel davon betroffen waren. Unverfälschbarkeit: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass bestimmte Beziehungen zwischen unterschiedlichen Daten korrekt bleiben und dass Daten zwischen einzelnen Prozessen ohne Änderungen übertragen werden. Daneben müssen auch Funktionen bereitgestellt werden, die es bei der Übertragung von Daten zwischen einzelnen Prozessen, Benutzern und Objekten ermöglichen, Verluste, Ergänzungen oder Veränderungen zu entdecken bzw. zu verhindern, und die es unmöglich machen, die angebliche oder tatsächliche Herkunft bzw. Bestimmung der Datenübertragung zu ändern. Zuverlässigkeit: Bei vielen Systemen wird es erforderlich sein, sicherzustellen, dass zeitkritische Aufgaben genau zu dem Zeitpunkt durchgeführt werden, zu dem es erforderlich ist, also nicht früher oder später, und es wird sicherzustellen sein, dass zeitunkritische Aufgaben nicht in zeitkritische umgewandelt werden können. Desgleichen wird es bei vielen Systemen erforderlich sein, sicherzustellen, dass ein Zugriff in dem erforderlichen Moment möglich ist und Betriebsmittel nicht unnötig angefordert oder zurückgehalten werden. Übertragungssicherung: Dieser Begriff umfasst alle Funktionen, die für den Schutz der Daten während der Übertragung über Kommunikationskanäle vorgesehen sind:

• • • • •

Authentisierung Zugriffskontrolle Datenvertraulichkeit Datenintegrität Sende- und Empfangsnachweis

Über die ITSEC hinaus können weitere Sicherheitsanforderungen bestehen, wie etwa Datensicherung, Verschlüsselung gespeicherter Daten, Funktionen zur Wahrung der Datenintegrität oder datenschutzrechtliche Anforderungen. 468

Stärke der Mechanismen
Common Criteria definiert eine Stärke der Funktion (Strength of Function – SOF). Es handelt sich dabei um eine Charakterisierung von Sicherheitsfunktionen des Produkts, die den geringsten angenommenen Aufwand beschreibt, um die zugrunde liegenden Sicherheitsmechanismen durch einen direkten Angriff außer Kraft zu setzen. Es werden drei Stufen über das Angriffspotential definiert: niedrig: Die Stufe bietet angemessenen Schutz gegen zufälliges Brechen der Sicherheit durch Angreifer/innen, die über ein geringes Angriffspotential verfügen. mittel: Die Stufe bietet einen angemessenen Schutz gegen nahe liegendes oder absichtliches Brechen durch Angreifer/innen, die über ein mittleres Angriffspotential verfügen. hoch: Die Stufe bietet einen geeigneten Schutz gegen geplantes oder organisiertes Brechen der EVG-Sicherheit durch Angreifer/innen, die über ein hohes Angriffspotential verfügen. Ähnlich werden in ITSEC drei Stufen (niedrig, mittel, hoch) für die Stärke des Mechanismus definiert. [ eh ENT 1.2 ]

12.1.3 IT-Sicherheit in Design und Implementierung
ISO Bezug: 27002 12.1.1

System-Entwurf:
Diese Elementarphase des Entwicklungsprozesses bezieht sich auf die oberste Stufe der Definition und des Entwurfs eines IT-Systems oder Produktes. Dies erfolgt in Form einer Spezifikation auf hohem Abstraktionsniveau, die die grundlegende Struktur des Systems, seine externen Schnittstellen sowie seine Untergliederung in die wichtigsten Hardware- und Softwarekomponenten identifiziert. Bereits in dieser Elementarphase, in der die Systemarchitektur und ein Integrationsplan erarbeitet werden, ist auf eine adäquate Berücksichtigung der Sicherheitsanforderungen zu achten.

469

Aus Sicht der IT-Sicherheit ist es insbesondere wichtig, dass bereits im SystemEntwurf eine klare und wirksame Trennung zwischen IT-sicherheitsspezifischen, ITsicherheitsrelevanten und anderen Komponenten getroffen wird. Eine klare Trennung unterstützt die Sicherstellung der Korrektheit der weiteren Entwicklungsschritte und erleichtert eine eventuelle Evaluierung der Sicherheit des Systems (etwa nach [ITSEC] oder [Common Criteria] ). Dabei bedeuten:

• •

IT-sicherheitsspezifische Komponenten: Komponenten, die unmittelbar zur Durchsetzung der IT-Sicherheit beitragen IT-sicherheitsrelevante Komponenten: Komponenten, die nicht unmittelbar zur IT-Sicherheit beitragen, deren Fehlverhalten oder Missbrauch jedoch die Sicherheit gefährden kann.

Die Schnittstellen der IT-Sicherheitsmaßnahmen zu den beteiligten Architekturelementen müssen dokumentiert werden.

SW-Grobentwurf und SW-Feinentwurf:
Diese Elementarphasen des Entwicklungsprozesses beziehen sich auf die Verfeinerung des Systementwurfes bis hin zu einem Detaillierungsgrad, der als Basis für die Programmierung (und/oder Hardwarekonstruktion) verwendet werden kann. Aus Sicht der IT-Sicherheit sind hier insbesondere

• • •

die Abhängigkeiten der IT-Sicherheitsfunktionen, die Wechselwirkungen der IT-Sicherheitsmechanismen, die zur Realisierung der IT-Sicherheitsfunktionen gewählt wurden, und die Auswirkungen, die die Realisierung der IT-Sicherheitsfunktionen auf andere SW-Einheiten haben können,

zu untersuchen. Alle Schnittstellen der IT-sicherheitsspezifischen und der IT-sicherheitsrelevanten SW-Komponenten und -Module müssen mit ihrem Zweck und ihren Parametern beschrieben werden. Die Separierung vom nicht IT-sicherheitsrelevanten Teil muss sichtbar sein. Weiters ist festzustellen, ob und gegebenenfalls welche IT-sicherheitsspezifischen oder IT-sicherheitsrelevanten Anteile in anderen SW-Komponenten, -Modulen bzw. Datenbanken bei der Realisierung entstehen.

470

Implementierung und Tests:
Jede Komponente bzw. jedes Modul ist zunächst aus den Spezifikationen zu programmieren oder zu konstruieren. Diese Komponenten und Module müssen dann gegen ihre Spezifikationen geprüft und getestet werden. Anschließend werden einzelne Komponenten und Module zusammen in kontrollierter Form integriert, bis das komplette System vorliegt, das dann als Ganzes gegen die Spezifikation und die Sicherheitsvorgaben geprüft und getestet wird (vgl. dazu [ITBVM] , Kap 7, 8 und 9 (Phasen Implementie