IT-Security

Was ist die ISO 27001 auf Basis IT-Grundschutz wert?

05.11.2014
Von 
Stanislav Wittmann ist selbstständig beratender Ingenieur in der Sicherheitsbranche. Seine Schwerpunkte liegen im vorbeugenden und planerischen Brandschutz sowie in der Informationssicherheit. Hierzu zählen vor allem Risiko- und Notfallmanagement, Spionage-Prävention und die Schulung von Mitarbeitern gegen Know-How-Verlust (Security Awareness). Mehr Infos gibt es auf seiner Website.
Zertifizierungen in der Informationssicherheit, besonders nach ISO 27001, kommen in Mode. Die Krönung stellt eine besondere Form dar - die ISO 27001 auf der Basis von IT-Grundschutz. Was steckt dahinter?

Der Weg zur Zertifizierung ist relativ strikt vorgegeben und überschneidet sich in einigen Teilen mit der herkömmlichen ISO 27001. Zunächst sind in einer Sicherheitsleitlinie (Security Policy) die Kernpunkte der Sicherheitsstrategie festzuhalten. Die Leitlinie soll kein Roman sein, sondern vielmehr in prägnanter Form auf höchstens fünf bis zehn Seiten die Grundsätze zur Informationssicherheit vermitteln.

Die Grundwerte in der Informationssicherheit - Vertraulichkeit, Integrität und Verfügbarkeit - müssen zusammenspielen, um Security erfolgreich zu leben.
Die Grundwerte in der Informationssicherheit - Vertraulichkeit, Integrität und Verfügbarkeit - müssen zusammenspielen, um Security erfolgreich zu leben.
Foto: Stanislav Wittmann
Der Weg zur Zertifiizierung ist lang und steinig.
Der Weg zur Zertifiizierung ist lang und steinig.
Foto: Arcady - Fotolia.com

Die Policy enthält Compliance-Prinzipien wie das Bekenntnis der Geschäftsführung zur Informationssicherheit oder den Beitrag der Mitarbeiter, Sicherheitsvorfälle und Verletzungen der drei Grundwerte zu melden. Dann beginnt die Dokumentation. Alle Räume, Systeme und die darauf laufenden Anwendungen sind tabellarisch zu protokollieren. Das heißt konkret, dass beispielsweise in einem Großraumbüro Computer derselben Anwendung zu protokollieren sind. Das können Rechner der Finanzabteilung, der IT oder der Geschäftsführung sein. Auch Faxgeräte, Multifunktionsdrucker und Server sind zu berücksichtigen. Nicht zu vergessen Smartphones, Tablets und selbst Computersysteme in Fahrzeugen. Neben der tabellarischen Auflistung soll ein Netzplan helfen, die Vernetzung der Systeme eines Unternehmens zu durchschauen. Das alles erfolgt unter dem Oberbegriff "IT-Strukturanalyse".

Anschließend erfolgt die Schutzbedarfsfeststellung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt drei Schutzbedarfskategorien vor: normal, hoch und sehr hoch. Mit der Einstufung "sehr hoch" sollten Unternehmen vorsichtig umgehen, weil diese einen oft unverhältnismäßig hohen Aufwand bedeutet und schnell viel Geld verschlingen kann.

Die Schutzbedarfsfeststellung erfolgt zunächst allgemein bezogen auf die drei Grundwerte der Informationssicherheit. Das kann in der Praxis folgendermaßen aussehen:

Grundwert Vertraulichkeit

Der Grundwert Vertraulichkeit hat das Ziel, dass Informationen (beispielsweise personenbezogene Daten) nicht in falsche Hände fallen dürfen. Es gibt folgende Abstufungen:

  • Schutzbedarf normal: Bei Verstoß drohen allenfalls geringfügige juristische Konsequenzen.

  • Schutzbedarf hoch: Verstöße beeinträchtigen das informationelle Selbstbestimmungsrecht und haben beträchtliche juristische Konsequenzen.

  • Schutzbedarf sehr hoch: Verstöße würden zu existenzbedrohenden Konsequenzen des Unternehmens führen (beispielsweise öffentlicher Zugang von Patientendaten in einer Privatklinik).

Grundwert Integrität

Der Grundwert Integrität verfolgt das Ziel, dass Informationen nicht verfälscht werden dürfen (beispielsweise bei Angeboten oder Rechnungen). Es gibt folgende Abstufungen:

  • Schutzbedarf normal: Bei Verfälschung ist der Schaden kleiner 5000 Euro

  • Schutzbedarf hoch: Verfälschungen verursachen einen Schaden zwischen 5000 und 50.000 Euro.

  • Schutzbedarf sehr hoch: Verfälschungen führen zu einem Schaden von über 50.000 Euro.

Grundwert Verfügbarkeit

Der Grundwert Verfügbarkeit verfolgt das Ziel, dass Informationen abrufbar sein müssen (was beispielsweise bei einem Server-Totalausfall nicht mehr der Fall ist). Es gibt folgende Abstufungen:

  • Schutzbedarf normal: Eine Ausfallzeit über drei Tage ist tolerierbar und verursacht einen Schaden von maximal 5000 Euro.

  • Schutzbedarf hoch: Eine Ausfallzeit über 24 Stunden verursacht einen Schaden von über 5000 Euro.

  • Schutzbedarf sehr hoch: Bereits eine Stunde Ausfallzeit bedroht die Existenz des Unternehmens, bei einem Schaden von über 100.000 Euro.

Nach der allgemeinen Schutzbedarfsfeststellung gilt es, die Anwendungen, Systeme und schließlich die Räume zu klassifizieren. Hier ist es wichtig, logisch abzuleiten. Das heißt: Verwaltet ein Server eine hochverfügbare Datei, so sollten man nicht am Kühlsystem oder an der Dimensionierung des Servers sparen. Denn logischerweise ist auch der Server als hochverfügbar einzustufen.

Daraus lässt sich auch ableiten, dass der Server nicht in einer Besenkammer stehen darf. Also sollte ein hierfür vorgesehener Serverraum über mindestens dieselben Anforderungen wie der Server selbst oder die darauf laufende Anwendung verfügen. Das BSI verwendet hierfür den Begriff des "Maximierungsprinzips". Weitere Prinzipien zur Festlegung des Schutzbedarfs lassen sich beim BSI nachlesen.

Modellierung und Basis-Sicherheitscheck

Das BSI verfügt über drei Grundschutzkataloge (GS-Kataloge): "Bausteine", "Gefährdungen" und "Maßnahmen". Nachdem alles klassifiziert ist, erfolgt die so genannte Modellierung mit den Bausteinen, die bereits in fünf Schichten sortiert sind.

Konkret kann die Modellierung folgendermaßen ablaufen: Da Datenverluste existenzbedrohend für Unternehmen sein können, sollen Datensicherungen vorgenommen werden - auf Basis des Bausteins B. 1.4 - Datensicherungskonzept. Zielobjekt wären alle Datenträger, bei denen das Unternehmen im Falle eines Datenverlustes in die Röhre schaut. Verfügt die Firma weiterhin über einen Serverraum, so wird hierfür der Baustein B 2.4 auf diesen angewendet. Aus diese Weise lassen sich Bausteine aller fünf Schichten auf Anwendungsbedarf prüfen.

Im Anschluss folgt ein zeitintensiver Part, der Soll-Ist-Vergleich - im Fachjargon auch als Basis-Sicherheitscheck bezeichnet. Dabei wird jeder Baustein auseinander genommen und die darin enthaltenen Maßnahmen auf deren Umsetzungsgrad geprüft. Bleiben wir an dieser Stelle beim Baustein B. 2.4 Serverraum. Jeder Baustein enthält neben potenziellen Gefahren auch Schutzmaßnahmen. So enthält der Baustein Serverraum neben Gefahren wie Feuer, Sabotage oder Ausfall der Stromversorgung auch Gegenmaßnahmen, welche das Risiko der Gefahren mindern sollen.

Beim Serverraum beispielsweise gibt es 16 Maßnahmen. Einige davon, wie ein Rauchverbot oder die angepasste Aufteilung der Stromkreise, sollten obligatorisch sein. Jede Maßnahme der ausgewählten Bausteine wird auf ihren Umsetzungsgrad hin geprüft. Wichtig für die Zertifizierung: Den Maßnahmen sind so genannte Siegelstufen in Form von Buchstaben zugeteilt - A, B, C, W oder Z. Für die Zertifizierung sind grundsätzlich Maßnahmen der Stufen A, B und C erforderlich. Prinzipiell lässt sich sagen: Je früher der Buchstabe im Alphabet, desto elementarer die Maßnahme. So stellt ein Rauchverbot im Serverraum die Siegelstufe A dar, während Redundanzen der technischen Infrastruktur als Z-Maßnahme eingestuft und nicht zwingend für eine Zertifizierung erforderlich sind.

Für die Zertifizierung sind vom BSI 82 Prozent an erfüllten Maßnahmen als Richtwert vorgegeben. Dabei steht die Sinnhaftigkeit der Maßnahmen im Vordergrund - nicht die relative Prozentangabe. Es gilt: Wer schreibt, bleibt. Das Unternehmen ist nicht verpflichtet, alle Maßnahmen umzusetzen, wenn es plausible Begründungen vorlegen kann. Eine produktive Kommunikation mit dem Auditor kann erhebliche Ressourcen sparen.

Wie Andreas Teuscher, Vorstandsmitglied der ISACA Germany Chapter e.V. und ISO 27001 Lead Auditor zu bedenken gibt, sollten die Auditees zwei Punkte nicht aus den Augen verlieren: "Zum einen muss das BSI-Auditierungsschema, also das besondere Vorgehen, beachtet werden. Zum anderen sollten das Risikomanagement und vor allem die Restrisikoübernahmen Berücksichtigung finden." Dies sei besonders vor dem Hintergrund wichtig, dass das BSI bis vor kurzen keine Restrisikoübernahmen gekannt habe.