Inhaltsverzeichnis

1  Einleitung  1

2  British Standard 7799-1:2000  2

3  Verfahren und Verantwortlichkeiten.  5

3.1  Dokumentation der Verfahren  5

3.2  Festlegen der Verantwortlichkeiten  6

3.3  Pflichtentrennung.  7

3.4  Umgebungstrennung.  8

3.5  Sicherheit der Systemdokumentation  8

4  Schutz vor bösartiger Software.  9

4.1  Motivation und Zielsetzung  9

4.2  Schutzmaßnahmen  11

5  Datensicherung und -beseitigung.  13

5.1  Datensicherungsstrategie  13

5.2  Datensicherungsplan  14

5.3  Umgang mit Informationen.  15

5.4  Beseitigung von Datenträgern  15

6  System- und Notfallplanung.  17

6.1  Kapazitätsplanung.  17

6.2  Notfallvorsorge  17

7  Kommunikation und Informationstransport  19

7.1  Netzwerksicherheit  19

7.2  Austausch von Informationen  20

8  Zusammenfassung.  22

  Literaturverzeichnis  23

  Onlinequellen  24

Einleitung Seite 1 von 27

1 Einleitung

Heutzutage gibt es kaum noch Unternehmen, die ganz auf die unterstützenden Funktionen von Informationstechnologie verzichten. Vielmehr bauen die meisten Organisationen auf der verwalteten Steuerung der ihnen zur Verfügung stehenden Informationen auf und sind weitestgehend von ihr abhängig. Somit ergibt sich zwangsläufig die Notwendigkeit diese Existenzgrundlagen zu erhalten und zu schützen. Eine Verletzung durch Missbrauch, Manipulation, Zerstörung oder Verlust der Unternehmensinformationen und -datenbasis kann schnell zu materiellen sowie immateriellen Schäden führen, die nur schwer wieder zu beheben sind. Unter diesen Gegebenheiten stellt die Aufgabe der Informationssicherheit eine strategische Pflichterfüllung für die Unternehmensführung dar. Die

Informationssicherheit ist also eine Managementaufgabe, die geplant, durchgeführt und überprüft werden muss. 1

Um das Handling der Informationssicherheit zu vereinfachen, ist es möglich auf bereits formulierte Sicherheitsstandards oder -normen zurückzugreifen. ² Methodisches Vorgehen nach einer erprobten Systematik senkt die Kosten durch die Nutzung vorhandener und praxisorientierter Vorgehensmodelle, gewährleistet Aktualität durch die Orientierung am Stand der Technik und der Wissenschaft und erzeugt u. a. auch neuartige Wettbewerbsvorteile, die sich z.B. aus einer Reputationssteigerung nach einer erfolgreichen Zertifizierung ergeben können. 3

Im äußerst begrenzten Rahmen dieser Arbeit werden die Elemente des Managements der Kommunikation und des Betriebs mit dem höchsten Bedeutungsgrad anhand der Standards BS 7799-1:2000 des British Standard Institute erläutert und die damit verbundenen Aspekte der Handhabung bestimmter Maßnahmen in der Implementierung der Informationssicherheit aus der Fachliteratur beschrieben.

¹ Vgl. Cole/Matzer: Managementaufgabe Sicherheit. 1999, S. 13-16

² Vgl. Stubbings: Die 7 größten Irrtümer der Informationssicherheit. 2002, S. 86

³ Vgl. Jüptner et al.: IT-Sicherheit für den Mittelstand. 2002, S. 22

British Standard 7799-1:2000 Seite 2 von 27

2 British Standard 7799-1:2000

Mitte der 90er Jahre wurde der British Standard 7799 von dem British Standard Institute etabliert, der Vorgehensweisen für die Definition von Sicherheitspolitiken beinhaltete. Nach einer weiteren Revision und durch breite internationale Aufmerksamkeit wurde der erste Teil des BS 7799 im Jahr 2000 zu einem weltweit gültigem ISO-Standard (ISO 17799:2000 - Code of Practice for Information Security Management) übernommen und enthält den genauen Wortlaut der britischen Norm BS 7799-1:2000. ⁴ 2002 folgte auch der zweite Teil des Standards mit dem Titel „Spezifikation für Managementsysteme für Informationssicherheit“, der mit anderen

Managementsystemstandards harmonisiert und im Jahr 2005 als ISO 27001 international genormt wurde. 5

Die Norm bietet eine weit gefasste Sammlung von Maßnahmen und Empfehlungen, die nach dem „Best-Practice-Ansatz“ der Informationssicherheit genügen sollen. Es werden dazu folgende Elemente betrachtet: 6

Sicherheitspolitik und Organisation der Sicherheit

Einstufung Kontrolle und Werte Personelle Sicherheit Physische und umgebungsbezogene Sicherheit Management der Kommunikation und des Betriebs Zugangskontrollen Systementwicklung und Wartung Management des kontinuierlichen Geschäftsbetriebes Einhaltung von Verpflichtungen

⁴ Vgl. Jüptner et al.: IT-Sicherheit für den Mittelstand. 2002, S. 22

⁵ Vgl. Tenhagen: Zertifizierung von Informationssicherheit. 2005, S. 3f. in http://www.qm-

trends.de/pdf/19860101.pdf, Abruf am 01.12.2005; Vgl. BS7799. In

http://de.wikipedia.org/wiki/BS7799, Abruf am 01.12.2005

⁶ Vgl. Romagna: IT-Grundschutz modellieren. 2002, S. 13; Vgl. Stubbings: Die 7 größten Irrtümer der

Informationssicherheit. 2002, S. 87

British Standard 7799-1:2000 Seite 3 von 27

Die Umsetzung all dieser Maßnahmen sieht die Durchsetzung und Sicherung von bestimmten Merkmalen der Informationssicherheit vor, die zu jedem Zeitpunkt gewährleistet sein müssen:

Vertraulichkeit: Hierbei muss sichergestellt werden, dass nur berechtigte Personen Zugriff auf vertrauliche Informationen, wie statistische Daten, persönliche Inhalte oder Kommunikationsarchive haben. 7

Verfügbarkeit: Die Verfügbarkeit kann an den Systemantwortzeiten zu einer Anforderung oder an der Verarbeitungsgeschwindigkeit der Daten gemessen werden und muss immer ein angemessenes Niveau aufweisen. 8

Integrität: Diese Position identifiziert die Sicherstellung der Vollständigkeit, Unverfälschtheit, und der Korrektheit von Daten. Es muss also garantiert werden, dass man der Information trauen darf, weil alle Manipulationen an ihr autorisierst waren und nachvollziehbar belegt werden können. 9

Verbindlichkeit: Die Gewissheit, dass die gesendeten Daten auch zuverlässig von dem tatsächlichen Empfänger empfangen wurden und der Absender eindeutig identifiziert werden kann, bildet die Grundlage für die juristische Akzeptanz von Rechtsgeschäften, die mittels IT-Systemen entstanden sind (E-Commerce, Datenübertragung per EDI usw.). 10

Während ISO 17799 bzw. die entsprechende Nationale Norm BS 7799-1 den verantwortlichen Personen Empfehlungen in Form eines Leitfadens zur Implementierung eines Informationssicherheitsmanagements anbietet und das Fundament für die Entwicklung organisationsweiter Sicherheitsstandards bildet, beschreibt BS 7799-2 die Anforderungen an die Realisierung und Dokumentation und gibt damit auch die Möglichkeit die Implementierung zu überprüfen. Dazu werden konkrete Maßnahmen, so genannte Controls, vorgegeben.

⁷ Vgl. Romagna: IT-Grundschutz modellieren. 2002, S. 14 ;Vgl. Cole/Matzer: Managementaufgabe

Sicherheit. 1999, S. 19

⁸ Vgl. Eckert: IT-Sicherheit. 2003, S. 73f.

⁹ Vgl. Jüptner et al.: IT-Sicherheit für den Mittelstand. 2002, S. 18; Vgl. Romagna: IT-Grundschutz

modellieren. 2002, S. 14f

¹⁰ Vgl. Eckert: IT-Sicherheit. 2003, S. 73; Vgl. Romagna: IT-Grundschutz modellieren. 2002, S. 15

British Standard 7799-1:2000 Seite 4 von 27

Nachfolgend wird nur auf die wichtigsten Komponenten des Managements der Kommunikation und der Betriebsaufrechterhaltung aus der ISO 17799:2000 bzw. aus dem BS 7799-1:2000 näher eingegangen. Im Wesentlichen werden dabei Empfehlungen für Maßnahmen zur Absicherung der permanenten Funktionstätigkeit von IT-Systemen und zum Schutz der Kommunikationsinfrastruktur und -inhalte angeboten.

Verfahren und Verantwortlichkeiten Seite 5 von 27

3 Verfahren und Verantwortlichkeiten

Bei diesem Punkt wird auf die permanente Sicherstellung des sicheren Betriebs von Geräten in der Informationsverarbeitung abgezielt. Die Gewährleistung der Zielerfüllung soll hierbei durch die Einführung von dokumentierten Verantwortlichkeiten und Verfahrensanleitungen für den Betrieb aller Geräte zur Verarbeitung von Informationen eines Unternehmens bzw. einer Organisation erreicht werden. Insbesondere sollen entsprechende Betriebsanweisungen und Meldevorschriften für mögliche Vorfälle formuliert werden. 11

3.1 Dokumentation der Verfahren

Von der Sicherheitspolitik tangierte Betriebsverfahren sollten explizit formuliert, dokumentiert und den entsprechenden Beteiligten zur Verfügung gestellt werden. Solche Betriebsverfahren sind formale Dokumente, die nur nach einer eindeutigen Genehmigung durch das Management geändert werden können. Sie enthalten detaillierte Anweisungen für die Ausführung der beschrieben Tätigkeiten. ¹² Es kann u. a. festgelegt werden wie die Verarbeitung und die Weiterleitung von Informationen zu handhaben ist; welche Systeme in gegenseitiger Abhängigkeit betrieben werden und somit eine Anforderungsplanung erfordern; wie bei potentiellen Fehlermeldungen oder sonstigen Ausnahmemeldungen zu verfahren ist oder welche Dienste bzw. Systemdienstprogramme vom Benutzergebrauch ausgeschlossen sind. Von besonderer Bedeutung ist hierbei die Kontrolle von Veränderungen bei Geräten und Systemen. Durchgeführte Änderungen an kritischen Komponenten sollten in einem Auditprotokoll festgelegt und aufbewahrt werden. In diesem Protokoll können zusätzliche Informationen über die Beurteilung von potentiellen Auswirkungen der Veränderungen auf die Funktionalität abgelegt oder Verfahren zur Ermittlung der Verantwortlichen für die Widerherstellung nach einem misslungenen

Veränderungsversuch beschrieben werden. 13

¹¹ Vgl. BSI Technical Information Group: BS ISO/IEC 17799:2000 - BS 7799-1:2000 2001, S. 25

¹² Vgl. BSI Technical Information Group: BS ISO/IEC 17799:2000 - BS 7799-1:2000 2001, S. 26

¹³ Vgl. BSI Technical Information Group: BS ISO/IEC 17799:2000 - BS 7799-1:2000 2001, S. 26f.