Wie können IT-Dienstleister ihre Kunden bei der Einführung eines gesetzlich vorgeschriebenen Risiko-Managementsystems wirksam unterstützen? Eine Sicherheitszertifizierung nach dem British Standard 7799 soll die Richtung weisen.
Die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen spielt im modernen Business eine zentrale Rolle. Die Gründe dafür liegen auf der Hand: Viele Fertigungs-, Logistik- und Geschäftsprozesse sind heutzutage ohne zuverlässig funktionierende IT-Systeme kaum noch vorstellbar. Störungen führen schnell zu Produktionsausfällen und verzögerter Bearbeitung. Deshalb sollten IT-Systeme, Netze, Datenbanken und Anwendungen unbedingt verlässlich sein.
Um den Stellenwert des Sicherheitsthemas nachdrücklich zu unterstreichen, wird in so manchem Unternehmen die spezielle Funktion des Chief Information Security Officers neu geschaffen. Dessen Aufgabe beschränkt sich aber nicht nur auf die klassische IT-Sicherheit, denn auch gedruckte Informationen in einem Unternehmen – wie etwa Verträge oder Protokolle – dürfen nicht in unbefugte Hände gelangen.
Oft sind es nur „Kleinigkeiten“, wie zum Beispiel zurückgelassene Notizen am Flipchart im Besprechungszimmer oder Telefonauskünfte an unbekannte Anrufer, die erheblichen Schaden anrichten können. Im IT-Bereich gibt es ebenso vielfältige Bedrohungen für die Sicherheit von Informationen – das Spektrum reicht hier von Hackerattacken, Firmenspionage und Virenangriffen bis hin zur Belästigung durch unerwünschten elektronischen Werbemüll.
Ist das Sicherheitsmanagement lückenhaft, können bereits kleine Vorfälle dramatische Auswirkungen für das gesamte Unternehmen haben. Wie Studien belegen, können sich etwa 50 Prozent aller Firmen, die wichtige Daten bei einer Katastrophe verloren haben, nie wieder davon erholen. 90 Prozent jener Firmen mussten innerhalb von zwei Jahren ihre Geschäftstätigkeit aufgeben.
„Die Einführung professioneller Informationssicherheit wird deshalb zunehmend nicht mehr als Kostenfaktor betrachtet, sondern als Vorleistung zum Schutz der Lebensadern eines Unternehmens“, unterstreicht Karl-Heinz Holtz, Chief Information Security Officer (CISO) bei der Triaton GmbH in Frankfurt/Main. Der IT-Dienstleister hat diese Funktion im Jahr 2000 eingerichtet, um den Stellenwert des Sicherheitsthemas im Unternehmen nachdrücklich zu unterstreichen.
Top-Thema im eBusiness
Zusätzlich erhöht werden die Risiken des unbefugten Zugriffs auf geschäftskritische Hardware, Anwendungen und Daten durch die so Erfolg versprechende offene Vernetzung als Geschäftsmodell. Vor allem im eBusiness ist Sicherheit deshalb ein Top-Thema. Denn Endkunden und Unternehmen nehmen nur dann am elektronischen Geschäftsverkehr teil, wenn sie darauf vertrauen können, dass die in Firmen- und öffentlichen Netzen übertragenen Daten vor Missbrauch geschützt sind.
Hinzu kommen gesetzliche Regelungen (zum Beispiel im AktG, GmbHG oder KonTraG), die Unternehmen zur Einführung eines angemessenen Risiko-Managementsystems verpflichten, das auch die Informationssicherheit berücksichtigt. Immer wichtiger wird diese Thematik ebenfalls bei der Prüfung des Jahresabschlusses durch die Wirtschaftsprüfungsgesellschaften, aber auch bei der Vergabe von Krediten.
So spielt nach Angaben der mit Mitteln der nordrhein-westfälischen Landesregierung geförderten Initiative „secure-it.nrw.2005“ die Ausfallsicherheit der Informationstechnologie eines Unternehmens bei vielen Banken eine immer größere Rolle. Nach Ansicht von Thomas Faber, dem Leiter der bei der Bonner Industrie- und Handelskammer ansässigen Agentur „secure-it.nrw.2005“, sollten Firmenchefs darauf vorbereitet sein und beim nächsten Kreditgespräch eine so genannte IT-Sicherheitslinie parat haben.
Um die Sicherheitssysteme effektiv und mit vertretbarem Aufwand zu sichern, sind dabei die spezifischen Anforderungen jedes Unternehmens an ein IT-Sicherheitskonzept zu berücksichtigen. Deshalb sollte zunächst eine Risikoabschätzung erfolgen: Welche Schadenshöhe entsteht, wenn dieses oder jenes Datum durch einen möglichen Hacker- oder Virenangriff kopiert, verändert oder gelöscht wird? Anschließend wird das tatsächliche Risiko ermittelt, der wahrscheinliche Weg des geringsten Widerstands, den ein Eindringling suchen würde, um an wertvolle Daten zu gelangen. Ist dieser Punkt identifiziert, lässt sich das tatsächliche Risiko einer Attacke feststellen. Daran orientieren sich Art und Umfang der Sicherheitsmaßnahmen.
Umgekehrt sollten Unternehmen nicht mehr in die Sicherheit ihrer Systeme investieren, als die zu schützenden Daten wert sind. Da es eine hundertprozentige Sicherheit ohnehin nicht gibt, sollte vielmehr ein angemessener Rahmen gefunden werden. Mit maßgeschneiderten Konzepten und einem umsichtigen Userverhalten kann ein Niveau mit dem geringst möglichen Restrisiko erzielt werden. Denn Sicherheit – so eine Definition – ist die Abwesenheit von nichtakzeptablen Risiken. Und wie diese aussehen, muss jedes Unternehmen für sich selbst entscheiden.
Nichtakzeptable Risiken beseitigen
Ein ganzheitliches Sicherheitsmanagement beinhaltet die konsequente Weiterentwicklung des betrieblichen Security-Konzeptes hin zu einer ausgefeilten Sicherheitsarchitektur. Sie umfasst die physische Sicherheit durch Gebäude- und Zugangsschutz ebenso wie System- und Netzsicherheit durch Firewall und Intrusion Detection sowie Anwendungssicherheit durch Berechtigungskonzepte oder Virus-Scanning. Innere und äußere Angriffe werden so sicher erkannt und die Integrität der Daten sowie der Schutz vor Manipulationen und gegen unbefugte Dateneinsicht kann gewährleistet werden. Für die Authentisierung bieten sich u.a. Single-SignOn-Lösungen, Smartcards oder digitale Signaturen an. Disaster-Recovery-Konzepte, Backup-Lösungen und Notfallpläne sorgen für eine beständige Hochverfügbarkeit aller geschäftskritischen IT-Systeme.
Doch technische Lösungen alleine garantieren noch keine umfassende Sicherheit. Sie machen lediglich ungefähr 50 Prozent des erforderlichen Gesamtaufwands aus, die andere Hälfte ist für organisatorische Maßnahmen und die Sensibilisierung der Mitarbeiter aufzubringen. Sicherheit in der Informationstechnik stellt somit kein einmalig zu installierendes Produkt dar, sondern ist ein kontinuierlicher Prozess. Unternehmen müssen heute durch ihr Verhalten, ihre Organisation, Prozesse und Infrastruktur sicherstellen, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen gewährleistet sind.
Wenn man die Vielfalt und Komplexität der Risiken rund um die Informationssicherheit erfolgreich bewältigen will, ist ein systematisches, ganzheitliches und kontinuierliches Vorgehen unumgänglich. Hilfreich ist dabei der British Standard (BS) 7799, eine international anerkannte Norm für die Bewertung der Sicherheit von IT-Umgebungen. Er beinhaltet eine umfassende „Best Practices“-Sammlung und besteht aus zwei Teilen: Der erste Teil wurde zwischenzeitlich auch als inhaltlich identische ISO-Norm ISO/IEC 17799 veröffentlicht und bildet das Referenzdokument zur Errichtung eines Informationssicherheits-Managementsystems (ISMS) mit entsprechenden Anleitungen. Der zweite Teil beschreibt die Anforderungen an die wirksame Umsetzung und Dokumentation eines ISMS. Er dient gleichzeitig als Prüfgrundlage für die Zertifizierung.
Über den Standard BS 7799
Die BS 7799-Norm umfasst folgende inhaltliche Themenbereiche:
• Security-Policy
• Organisation der Sicherheit
• Einstufung und Kontrolle der Unternehmenswerte
• Personelle Sicherheit
• Physische und umgebungsbezogene Sicherheit
• Management der Kommunikation und des Betriebs
• Zutrittskontrolle
• Systementwicklung und Wartung
• Management des kontinuierlichen Geschäftsbetriebs
• Erfüllung von rechtlichen und organisatorischen Anforderungen
System für das Management der Informationssicherheit
Das wesentliche Ziel dieser Norm besteht in der Einführung eines Prozessansatzes, mit dem ein organisationsbezogenes ISMS entwickelt, umgesetzt, durchgeführt, überwacht, aufrechterhalten und kontinuierlich verbessert werden kann. Auf diese Weise werden die Unternehmensrisiken hinsichtlich der Informationssicherheit transparent und damit besser steuerbar. „Die internationale Ausrichtung sowie die große Flexibilität in der Handhabung dieser Standards machen die Anwendung für Unternehmen aller Größe und Branchen gleichermaßen attraktiv“, resümiert Jörg Völker von der Secorvo Security Consulting GmbH in Karlsruhe. Insbesondere für international ausgerichtete Unternehmen mit Niederlassungen in verschiedenen Ländern biete der BS 7799 ein einheitliches Rahmenwerk zur strukturierten Organisation einer unternehmensweiten Informationssicherheit.
IT-Provider verfügen mit diesem Gütesiegel über einen neutralen und weithin anerkannten Nachweis für die Vertrauenswürdigkeit ihrer Dienstleistungen. Sie unterziehen sich dafür einem mehrstufigen Prüfungsverfahren durch einen akkreditierten Zertifizierer, in dem ein besonderes Augenmerk der präventiven Sicherheit und ihrer Verankerung in den unterschiedlichen Unternehmensbereichen gilt. Dafür ist zunächst einmal die Erarbeitung einer Zertifizierungsstrategie erforderlich.
In ihr werden auf Basis der vorhandenen Security-Policy des Unternehmens die Schwerpunkte und die Reihenfolge der einzelnen Schritte festgelegt. Aus allen zu zertifizierenden Bereichen werden sinnvoller Weise zunächst diejenigen herausgesucht, die den Anfang machen sollen. Neben dem Umfang der vorhandenen Risiken spielt dabei auch eine Rolle, wo sich am schnellsten ein Business-Nutzen erzielen lässt.
Erfahrungsgemäß ist ein solches Projekt ohne das ausdrückliche Engagement des Top-Managements und interne Lobby-Arbeit nicht zu realisieren. Nach der Informationsphase innerhalb des Unternehmens wird in den einzelnen Bereichen zunächst im Rahmen einer Gap-Analyse ein Soll-Ist-Vergleich vorgenommen. Im Ergebnis dieses Self-Assessments ergibt sich meist eine To-Do-Liste zur Beseitigung von erkannten Schwachstellen. Die an Hand der Kriterien der BS 7799-Norm erstellten Dokumente bilden dann die Grundlage für die erste Phase des Zertifizierungs-Audits.
Nachdem die unabhängigen Prüfer die schriftlichen Unterlagen ausgewertet haben, durchleuchten sie im Rahmen eines gründlichen Vor-Ort-Assessments die jeweiligen Unternehmensbereiche in Hinblick auf ein wirksam umgesetztes Sicherheitsmanagementsystem und erstellen hierüber einen detaillierten Assessment-Bericht.
Erforderliche Dokumente für die Zertifizierung nach BS 7799
• Ausformulierte Security-Policy
• Definition des Geltungsbereichs des ISMS, der Prozeduren und Maßnahmen
• Dokumentation einer systematischen Risikoanalyse
• Risikomanagement-Plan zur Realisierung der Sicherheitsziele mit Budgetierung und Zuweisung der Verantwortlichkeiten
• Dokumentation des Verfahrens zur Absicherung von wirksamer Planung, Ablauf und Überprüfung des Informationssicherheits-Prozesses
• Aufzeichnungen zum Nachweis des ISMS-Betriebs, z.B. Besucherbücher, Auditaufzeichnungen, Zugangsberechtigungen
• Erklärung zur Anwendbarkeit, d.h. eine Auswahl von BS 7799-Maßnahmen mit Begründung für die Auswahl bzw. Nichtanwendbarkeit
• Dokumentation der Aktivitäten des Security-Management-Forums
• Dokumentation der Verantwortlichkeiten für den Schutz von Unternehmenswerten und für die Durchführung spezieller Sicherheitsprozesse
• Dokumentation des Berechtigungsprozess für neue IT-Geräte
• Dokumentation unabhängiger Überprüfungen der Implementierung von Sicherheitsmaßnahmen
• Dokumentation der Berücksichtigung von Sicherheitsaspekten im Zusammenhang mit Fremdunternehmen bzw. Outsourcing
Re-Assessments für kontinuierliche Qualitätssicherung
Soweit Mängel identifiziert werden, müssen diese bis zu einem bestimmten Zeitpunkt behoben sein und sind in einem Re-Assessment erneut zu überprüfen. Neben Interviews mit den verantwortlichen Managern finden in dieser zweiten Phase auch stichprobenartige Gespräche mit repräsentativ ausgewählten Mitarbeitern statt. Hierbei wird überprüft, ob die auf dem Papier festgelegten Maßnahmen auch tatsächlich in der tagtäglichen Praxis umgesetzt werden. Sobald ein Assessment-Bericht mit positivem Ergebnis vorliegt, wird dieser an die Zertifizierungsstelle weitergeleitet und das Gütesiegel verliehen. Es hat eine Gültigkeit von drei Jahren und wird auf Wiederruf erteilt.
Denn durch halbjährliche Überwachungs-Assessments stellt der Zertifizierer sicher, dass die einmal getroffene Qualitätsaussage aufrechterhalten werden kann. Ist dies nicht der Fall, kann das BS 7799-Zertifikat jederzeit wieder aberkannt werden. Parallel dazu findet eine kontinuierliche Mitarbeiterschulung in Sicherheitsfragen statt und ein eigens eingerichtetes Information-Security-Forum dient dem Erfahrungsaustausch. „Die Anforderungen der BS 7799-Norm decken in einem prozessorientierten Ansatz sämtliche Aspekte der Informationssicherheit ab und bieten eine vollständige und umfassende Systematik“, ist Sicherheitsexperte Holtz überzeugt. Und das sei auch gut so, denn „eine halbe Sicherheit beinhaltet das volle Risiko“.
Erst vier deutsche Unternehmen können sich mit einem Zertifikat nach dem BS 7799 schmücken: Neben einigen Teilbereichen der Münchner Siemens Business Services GmbH & Co. OHG und der Frankfurter T-Systems International GmbH sind dies die Gelsenkirchener RAG Informatik GmbH und die Triaton GmbH mit Hauptsitz in Krefeld. Die Gründe, warum sich ein Unternehmen diesem aufwändigen Prozess unterzieht, sind vielfältig. „Die Marktorientierung eines Dienstleisters ist an seinem objektivierbaren Commitment in Sachen Sicherheit erkennbar“, betont etwa Dieter Pfaff, Vorsitzender der Geschäftsführung der RAG Informatik. In diesem Sinne sei für das Serviceunternehmen Sicherheit zertifizierter Kundennutzen.
„Die organisatorischen und regulatorischen Anforderungen beim Betrieb komplexer IT-Systeme nehmen weiter zu“, ergänzt Triaton-Experte Holtz. Dies gelte vor allem, wenn es um die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen der Auftragsdatenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG) gehe: „Mit diesem Gütesiegel können wir auf Basis von objektiven Kriterien nachweisen, dass die Daten unserer Kunden in sicheren Händen sind“, unterstreicht der Chief Information Security Officer.