Die Aufmerksamkeit vieler Institutionen auf Bundes- und Länderebene ist der Bundesagentur für Arbeit (BA) gewiss, denn ein Vorhaben dieser Größenordnung hat es in diesem Umfeld bislang nicht gegeben. Schließlich geht es um die Einführung eines ISMS nach ISO 27001 auf Basis des "BSI-Grundschutzes" in einer Behörde mit mehr als 100.000 Mitarbeitern, davon allein 2100 in der IT, und mit insgesamt 160.000 vernetzten PCs.
"Ohne funktionierende Informationstechnologie wären die Geschäftsprozesse der BA nicht lebensfähig", konstatiert Eugen Bayerlein, Bereichsleiter IT-Sicherheit der BA. Er treibt die Einführung des ISMS seit August 2012 verantwortlich voran.
Allgemeines Interesse
Auf einen reibungslosen IT-Betrieb sind auch oder vor allem die Kunden angewiesen, die Leistungen von der Bundesagentur beziehen, beispielsweise Arbeitslosengeld, Gründermittel, Kinder- oder Übergangsgeld. Gerade wegen dieses Beitrags zum sozialen Frieden ist das allgemeine Interesse hoch, die verarbeiteten Daten und Informationen zu schützen sowie die Sicherheit der IT systematisch zu planen, zu realisieren und zu kontrollieren.
Seit Jahren sind Einrichtungen der öffentlichen Hand schon Ziel von Cyber-Attacken. Damit rechnen muss auch die Bundesagentur für Arbeit. Bereits 2006 begann die BA deshalb mit dem Aufbau einer IT-Sicherheits-Organisation sowie der Implementierung von IT-Betriebsprozessen nach dem ITIL-Standard. Der Vorstandsbeschluss, ein ISMS einzuführen, ist ein wichtiger Baustein der übergreifenden IT-Strategie. Das Ziel formuliete die BA folgendermaßen: "ein angemessenes und aktuelles Niveau der Informationssicherheit zum Schutz der Sozialdaten der Kunden, aber auch der Personal- und Geschäftsdaten gewährleisten".
- 1. Gebot: Planen Sie zuallererst das Sicherheitskonzept!
Definieren Sie Ihren „Goldschatz“ und den richtigen Umgang damit. Machen Sie sich die Stärken und Schwächen Ihres Teams und die des Gegners bewusst. Bedenken Sie die Chancen und Risiken eines Cyberkrieges. Überlegen Sie, wie Sie Ihre Risiken reduzieren können. Erstellen Sie auf dieser Grundlage ein Sicherheitskonzept und ein passendes Kommunikationskonzept. - 2. Gebot: Ihr Konzept sollte auf Ihre Prozesse und Bedürfnisse ausgelegt sein!
Ein Konzept von der Stange gibt es nicht. Ihr Sicherheitskonzept muss so individuell sein, wie Ihr Unternehmen. Passen Sie das Konzept Ihren Prozessen und Ihren Bedürfnissen an. - 3. Gebot: Kennen Sie Ihre Gegner und deren Strategien!
Ein Informationsvorsprung ist im Cyberkrieg Trumpf. Bringen Sie in Erfahrung, woher die Gefahr für Ihr Unternehmen rührt und mit welchen Maßnahmen Sie ihr adäquat begegnen können. Der Gegner kann die Konkurrenz sein, aus den eigenen Reihen stammen oder Hacker und Spammer sein, die ihre Macht gerne auskosten. - 4. Gebot: Wissen Sie, wann was abgesichert werden muss!
Planen Sie Ihre Maßnahmen gründlich. Zum Pflichtprogramm gehören regelmäßige Programmupdates, eine Datendiät, ein Systemberechtigungskonzept, ein passendes Mobile Device Management oder Cloud-Dienste auf europäischem Boden. Überlegen Sie, welche Sicherheitsmaßnahmen Sie darüber hinaus angehen müssten. Bedenken Sie dabei das richtige Timing. - 5. Gebot: Erhöhen Sie die sichernden Mauern an der niedrigsten Stelle!
Erkennen Sie Ihre Schwächen und Stärken. Dort, wo Ihre Schwächen liegen, sind Sie schnell und leicht angreifbar. Beheben Sie Ihre Schwächen. - 6. Gebot: Ausgaben allein verbessern die Sicherheit nicht!
Finanzen sind wichtig: Gehen Sie mit den finanziellen und personellen Ressourcen sorgsam um. Vermeiden Sie „Hauruck“-Aktionen und Investitionen in falsche Maßnahmen, denn sie schwächen die eigene Position. Bedenken Sie jedoch, dass Ausgaben alleine die Sicherheit nicht verbessern. Die richtige Einstellung zur IT-Sicherheit im Unternehmen ist viel wichtiger für den Erfolg. Eine besondere Bedeutung kommt dabei den Führungskräften zu, die eine Kultur der Sicherheit vorleben und einfordern müssen. - 7. Gebot: Organisieren Sie sich so, dass Sie auch auf neue Sicherheitsrisiken schnell, effizient und effektiv reagieren können!
Eine im Unternehmen anerkannte und professionelle IT-Sicherheitsmannschaft ist das A und O. Nur wenn ihre Stimme ein Gewicht hat, wird die Mannschaft kein zahnloser Tiger sein. Entwerfen Sie einen Krisenplan für den Ernstfall. Darin sollte definiert sein, wer, was, wann tun muss. Entwickeln Sie den Krisenplan weiter, indem Sie Ihre Erfahrungen aus Übungen und aus Vorfällen einfließen lassen. - 8. Gebot: Bestimmen Sie einen Verantwortlichen für das Sicherheitskonzept!
Ohne einen Verantwortlichen, der die Umsetzung des Konzepts kontrolliert, ist das Sicherheitskonzept nicht das Papier wert, auf dem es steht. Das Konzept muss gelebt werden. - 9. Gebot: Kaufen Sie Expertise hinzu, wenn sie Ihnen intern fehlt!
Fehlt Ihnen die Expertise im eigenen Team, können Sie sie kostengünstig und schnell hinzukaufen. - 10. Gebot: Kommunizieren Sie über IT-Sicherheitsaspekte und kontrollieren Sie die Umsetzung des Sicherheitskonzepts!
Kommunizieren Sie regelmäßig über IT-Sicherheitsthemen. Wenn Mitarbeiter nicht wissen, wie sie sich richtig verhalten, werden sie es auch nicht tun. Verbindliche Schulungen zu IT-Sicherheitsthemen sind hilfreich. Kontrollieren Sie die Umsetzung des Sicherheitskonzepts. Vergehen dürfen nicht ignoriert werden. - 11. Gebot: Gehen Sie als Führungskraft stets mit gutem Beispiel voran!
Wichtiger noch als Vergehen zu ahnden ist es, selbst ein Vorbild für IT-Sicherheit zu sein. Nur wenn Sie das Thema glaubwürdig vertreten, werden Ihre Mitarbeiter IT-Sicherheit ernst nehmen. - 12. Gebot: Finden Sie die richtige Balance zwischen IT-Sicherheit und der Arbeitsfähigkeit der Mitarbeiter!
Extreme Sicherheitsmaßnahmen verhindern häufig die Arbeitsfähigkeit der Mitarbeiter. Handeln Sie stets mit Augenmaß. Binden Sie Mitarbeiter bei der Entwicklung von IT-Sicherheitsmaßnahmen ein, um die Auswirkungen der Maßnahmen für den Arbeitsalltag zu verstehen. - 13. Gebot: Seien Sie stets über Ihre IT-Sicherheit, über Fortschritte und Gefahren informiert!
Halten Sie sich auf dem Laufenden. Für den Gegner sollten Sie jedoch stets unberechenbar sein. Verschleiern Sie die eigenen Stärken und Schwächen sowie Ihre Strategie. So diktieren Sie die Bedingungen des Cyber-Kriegs.
Für das komplexe Vorhaben versicherte sich die größte Behörde des Bundes externer Unterstützung - von Spezialisten für Informationssicherheit unter Federführung der TÜV Rheinland I-Sec. "Insbesondere in den Bereichen Konzepte und Coaching war dieser Support wichtig, allein hätten wir das nie stemmen können", sagt Bayerlein.
"Dem Vorhaben müssen genügend Ressourcen zugeordnet werden, sonst geht es im Tagesgeschäft unter", spielt Hans-Werner Geerdts, Managing Security Consultant bei TÜV Rheinland, den Ball zurück. Sein Kollege Jörg Zimmermann, Spezialist für komplexe Projekte, übernahm die Steuerung des Beraterteams, dem zeitweilig bis zu 16 Externe gleichzeitig angehörten.
Was die Einführung eines ISMS in einem großen Umfeld wie der BA bedeutet, lassen folgende Schlüsselfaktoren ahnen:
Entwurf und Abstimmung von etwa 60 IT-Sicherheitsrichtlinien zu allen relevanten Themen der Informationssicherheit;
Erstellen von rund 160 übergreifenden, basisdienst- und verfahrensspezifischen Sicherheitskonzepten sowie Qualitätssicherung extern beauftragter IT-Sicherheitskonzepte im Rahmen outgesourcter Dienstleistungen und im Einklang mit einem IT-Gesamtsicherheitskonzept der BA;
Schulung von etwa 350 Mitarbeitern der BA hinsichtlich der Erstellung von IT-Sicherheitskonzepten sowie
Erstparteien-Audits nach BSI-Vorgehen und Mitarbeiter-Coachings.
Die acht Erfolgskriterien
Wie aus jedem Projekt, so lassen sich auch aus diesem zahlreiche "Lessons learned" mitnehmen. Die BA hat deren acht identifiziert
1. Genügend Zeit für eine Pen-Test- und Risikoanalyse einplanen:
Es gibt stets mehr Schwachstellen als angenommen. Das bewahrheitete sich auch bei der Aufnahme des Status quo in der BA. Für die Zertifizierung eines ISMS ist zudem mehr notwendig als die Erstellung von IT-Sicherheitskonzepten: Die dort festgelegten Maßnahmen müssen umgesetzt, die Menschen geschult werden. "Bloße Absichtserklärungen reichen nicht aus", warnt Chefberater Zimmermann.
2. Erreichbare Ziele definieren:
Um die Zertifizierung einer solchen Riesenbehörde auf die Machbarkeitsebene zu rücken, verlegte das Projektteam den Fokus zunächst auf ein Teilziel: die Zertifizierung des IT-Betriebs im IT-Systemhaus, dem internen IT-Dienstleister der BA. Im Anschluss geht es nun an die Zertifizierung der IT-Verfahrenslandschaft in der gesamten BA.
3. Die methodischen Grundlagen vor dem Start prüfen:
Das IT-Gesamtsicherheitskonzept sah eine Gliederung in IT-Verfahren, IT-Basisdienste und mehrfach verwendbare Bausteine vor. "Das ist für eine Behörde dieser Größenordnung und Komplexität erforderlich", sagt TÜV- Rheinland-Mann Geerdts. "Allerdings war es eine Herausforderung, diese Methodik mit den stringenten Anforderungen des BSI-Grundschutzes in Einklang zu bringen." Notwendige Anpassungen der Vorgehensweise sollten aber frühzeitig in der Organisation abgestimmt werden. Zudem ist das BSI darüber zu informieren
4. Die organisatorischen Voraussetzungen schaffen:
Damit das ISMS reibungslos in die Prozesslandschaft - idealerweise durch eine ITIL-Implementierung geprägt - integriert werden kann, müssen die IT-Betriebsprozesse einen Reifegrad erreicht haben, der Verlässlichkeit und Beständigkeit garantiert. Wird das offizielle Prozessdesign über informelle Workarounds umgangen, wie es gerne mal geschieht, so sind IT-Sicherheitskonzepte schnell Makulatur.
5. Rechtzeitig das Tool einführen:
Die Entscheidung für einen Tool-gestützten Workflow ist in diesem Fall wichtig - und zwar vor Beginn des Vorhabens. Wird das Werkzeug zu spät eingeführt, sind Synergieverluste programmiert; das Tool wird zum Blitzableiter für alle Unzulänglichkeiten und Unbequemlichkeiten in der ISMS-Einführung. Aussuchen sollte das Tool die interne IT, die ja auch damit arbeiten muss. Bestimmen nicht die Fachleute, sondern der Einkauf die Auswahl der Software, wird es am Ende teurer - die Opportunitätskosten durch einen Motivationsverlust innerhalb der IT gar nicht mitgerechnet.
6. Nicht ohne meinen Vorstand:
Die viel zitierte Management-Awareness ist ein zentraler Erfolgsfaktor für die Einführung eines ISMS. "Die Entscheidung, Informationssicherheit zu gewährleisten, muss von allen akzeptiert sein", bestätigt Bereichsleiter Bayerlein: "Dazu müssen die Vorteile transparent kommuniziert werden, damit wiederum die Führungskräfte das Vorhaben überzeugend in die Belegschaft tragen können." Das mit der ISMS-Einführung verbundene Veränderungs-Management lässt sich nur durchsetzen, wenn die Führungskräfte vorangehen.
7. Kommunikation mit allen Beteiligten:
Eine Herausforderung war die Koordination der vielen Akteure, die noch heute die Umsetzung des ISMS vorantreiben. Die zentrale IT (zuständig für Strategie, Anforderungs-Management und IT-Sicherheit), der operative interne Dienstleister, das IT-Systemhaus und der regionale IT-Service (RITS) sollten so früh wie möglich ins Boot geholt werden. Eine transparente Kommunikation mit allen Stakeholdern ist wichtig für das Gelingen des Projekts.
8. Aufmerksamkeit schaffen:
Flankierend entwickelte die BA eine Awareness-Kampagne zur Informationssicherheit; sie läuft bis heute. Dosiertes, aber gezieltes Infotainment am Arbeitsplatz soll die Mitarbeiter animieren, Informationssicherheit in ihren täglichen Arbeitsablauf einzuschließen. "Die Diskussion um NSA, Prism und Tempora hat das Bewusstsein in der Belegschaft zusätzlich sensibilisiert", bilanziert Bayerlein.
Die Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes übernehmen BSI-zertifizierte Auditoren; sie ist für Ende 2014 geplant. Bis dahin ist noch einiges zu tun, aber Bayerlein ist zuversichtlich, das Ziel zu erreichen: "Mit dem Zertifikat haben wir einen unabhängigen Nachweis über das hohe Niveau der Informationssicherheit in der BA, also dafür , dass wir die uns anvertrauten Daten und Informationen so gut wie mögli
BSI-Grundschutz
Mit dem "Grundschutz" stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Werkzeugkasten und erprobte Methoden zur Verfügung.
Sie buchstabengetreu umzusetzen ist für Organisationen und Unternehmen mit hochkomplexen Kundenumgebungen aber bisweilen weder realistisch noch zielführend.
Auch die Bundesagentur für Arbeit musste das erkennen und die Vorgaben modifizieren. In solchen Fällen ist es jedoch notwendig, das BSI rechtzeitig vor der Zertifizierung von den Modifikationen in Kenntnis zu setzen