Informationssicherheitsmanagementsysteme (ISMS)

Inhaltsverzeichnis

1 EINLEITUNG

2 BEGRIFFLICHKEITEN UND BEGRIFFSABGRENZUNGEN
2.1 INFORMATIONSSICHERHEIT
2.2 INFORMATIONSSICHERHEITSMANAGEMENT
2.2.1Funktion und Ziel des Informationssicherheitsmanagement
2.2.2Überblicküber die Standards

3 GESTALTUNGSELEMENTE DER INFORMATIONSSICHERHEITSMANAGEMENTSYSTEME IN AUSGEWÄHLTEN STANDARDS
3.1 BESTANDTEILE VON INFORMATIONSSICHERHEITSMANAGEMENTSYSTEMEN
3.2 VORGEHENSWEISE BEI DER UNTERSUCHUNG DER AUSGEWÄHLTEN STANDARDS
3.3 DIE ISO/IEC 17799 UND ISO/IEC 27001 DER INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO)
3.3.1 Art und Funktionsweise
3.3.2 Vorgaben und Hinweise zur Implementierung eines ISMS nach ISO/IEC 17799 und ISO/IEC
3.4 DIE IT INFRASTRUCTURE LIBRARY (ITIL) VON CENTRAL COMPUTER AND TELECOMMUNICATION AGENCY (CCTA) UND OFFICE OF GOVERNMENT COMMERCE (OGC)
3.4.1 Art und Funktionsweise
3.4.2 Vorgaben und Hinweise zur Implementierung eines ISMS nach ITIL
3.5 DIE CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) DER INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA)
3.5.1 Art und Funktionsweise
3.5.2 Vorgaben und Hinweise zur Implementierung eines ISMS nach COBIT
3.6 ZUSAMMENFASSENDE KONZEPTIONALISIERUNG

4 FAZIT UND AUSBLICK

Abbildungsverzeichnis

ABB. 1: IT-SICHERHEITSPROZESS

ABB. 2: KLASSIFIKATION VON STANDARDS IN BEREICHE

ABB. 3: BESTANDTEILE DES INFORMATIONSSICHERHEITSMANAGEMENTSYSTEMS

ABB. 4: DER ISMS PLAN-DO-CHECK-ACT-ZYKLUS

ABB. 5: FRAMEWORK DER ITIL-DOKUMENTATIONEN NACH ITIL VERSION 3

ABB. 6: DAS COBIT FRAMEWORK

Tabellenverzeichnis

TAB. 1: SYNOPTISCHE GEGENÜBERSTELLUNG

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Beinahe täglich kann man den Medien neue Meldungen über Problematiken beim Schutz sensibler Daten, über Hackerangriffe auf Sicherheitslücken bei Banken etc. entnehmen. So wurde in jüngster Vergangenheit sogar die Bundesregierung im Vorfeld des Besuches der Bundeskanzlerin, Frau Dr. Merkel, in China, vermeintlich Opfer solcher Angriffe.¹

In Zeiten einer stark gestiegenen Relevanz der Informationstechnik sowohl für öffentliche Einrichtungen (Behörden), als auch für privatwirtschaftliche Unternehmungen, gebührt dem Schutz vor unberechtigtem Zugriff auf Daten sowie der Unversehrtheit von Daten und Systemen eine besondere Aufmerksamkeit. Diese Organisationen „sind in immer höherem Maße auf eine funktionierende IT angewiesen“², denn schon ein temporärer Ausfall kann unter Umständen Existenz bedrohende Auswirkungen haben.³

Dabei geht es nicht nur um technische Gesichtspunkte, um externe Gefahren zu minimieren, sondern vielmehr um ein Zusammenspiel aus technischen, personellen, organisatorischen, rechtlichen und infrastrukturellen Aspekten in einem umfassenden Sicherheitskonzept, welches einen Schutz gegenüber externen und internen Gefahren ermöglicht.⁴ In einem sog. Informationssicherheitsmanagementsystem, kurz ISMS, werden diese Aspekte miteinander verbunden.⁵ Bei der Implementierung und dem Betrieb eines solchen kann sich die Organisation an diversen Standards und Kriterienwerken zur Informationssicherheit orientieren.

Hier liegt der Schwerpunkt der vorliegenden Arbeit. Es soll untersucht werden, inwiefern ausgewählte Standards ökonomisch bedeutsame Angaben hinsichtlich der Implementierung eines ISMS beinhalten.

Dabei gilt es, zunächst im folgenden Kapitel einige relevante Begrifflichkeiten zu definieren und ggf. voneinander abzugrenzen.

Das dritte Kapitel bildet den Kern der Arbeit, in welchem exemplarisch an Hand von drei ausgewählten Standards zur Informationssicherheit überprüft werden soll, inwiefern diese Aussagen und Informationen zur Implementierung von ISMS enthalten. Darüber hinaus wird neben den eigentlichen Standards auch wissenschaftliche Sekundärliteratur zur Analyse hinzugezogen, um den Überblick über die Gestaltungselemente fundierter darlegen zu können. Das Kapitel wird abgerundet mit einer zusammenfassenden Konzeptionalisierung der herausgearbeiteten Erkenntnisse.

Abschließend wird im vierten Kapitel ein Fazit zu den vorstehenden Ausarbeitungen gezogen sowie ein Ausblick auf aktuelle und zukünftige Entwicklungen im Bereich der Informationssicherheit und deren Standards gegeben.

2 Begrifflichkeiten und Begriffsabgrenzungen

Im Rahmen dieses Kapitels soll zunächst der Begriff der Informationssicherheit geklärt werden. Dabei wird auch auf die zum Teil in der Literatur auftretende Trennschärfe in der Begriffsverwendung eingegangen.

An diese Darlegung schließt sich sodann eine Erläuterung des Begriffes Informationssicherheitsmanagement (ISM) sowie dessen Funktion und Ziel eingegangen. Zudem wird ausblickend auf das dritte Kapitel im Abschnitt 2.2.2 eine kurze Übersicht über existierende Standards geliefert.

Auf detaillierte Klassifizierungen und Erläuterungen wird jedoch bewusst verzichtet. Der interessierte Leser erhält an entsprechender Stelle weiterführende Literaturhinweise.

2.1 Informationssicherheit

In der Fachliteratur wird eine Vielzahl von synonym benutzten Begriffen parallel verwendet. So sind beispielsweise neben dem Terminus Informationssicherheit die Begriffe „IuK-Sicherheit, Datensicherheit, IT-Sicherheit oder Sicherheit der Informationstechnik“⁶ gebräuchlich.

Informationssicherheit hat den „Schutz von Informationen“⁷ als Ziel, welche „sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein“⁸ können. Gemäß der ISO/IEC 17799:2005 ist Informationssicherheit die „Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen; andere Eigenschaften wie Authentizität, Zurechenbarkeit, Nicht-Abstreitbarkeit und Verlässlichkeit können ebenfalls berücksichtigt werden“⁹.

Dem gegenüber beschäftigt sich IT-Sicherheit mit „dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung“¹⁰, also dem technischen Aspekt.¹¹

Damit ist Informationssicherheit im Vergleich zu IT-Sicherheit der umfassendere Begriff, welcher sich nicht nur auf den technischen Bereich bezieht, sondern unabhängig von der Verarbeitungs- und Speicherungsform ist.¹²

Allerdings wird in der Literatur der Begriff IT-Sicherheit überwiegend als Synonym zu Informationssicherheit verwendet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt als Grund hierfür profan die kürzere Schreibweise.¹³

Diese Sichtweise wird, trotz der aufgezeigten Unschärfen, auf Grund des Gebrauches in den meisten einschlägigen Publikationen zum behandelten Thema auch in der vorliegenden Arbeit vertreten. Eine detaillierte Auseinandersetzung mit dieser Problematik findet sich bei Pohl (2004) sowie Klempt (2007).¹⁴

Ein wenig losgelöst von der Fachterminologie beschreiben Lippold/Stelzer/Konrad (1992) Informationssicherheit. Demnach ist sie „dann gegeben, wenn die Höhe der einzelnen Risiken die Risikohöhe nicht überschreitet, die gerade noch akzeptiert werden kann“¹⁵, was den Schluss zulässt, dass eine vollständige Sicherheit weder realisierbar, noch gewünscht ist. Vielmehr soll durch entsprechende Kontrolle das Risiko auf ein wirtschaftlich vertretbares Maß reduziert werden.¹⁶

2.2 Informationssicherheitsmanagement

An dieser Stelle werden zunächst Funktion und Ziel des Informationssicherheitsmanagement (ISM) erläutert. Abschließend erfolgt dann ein kurzer Abriss über die existierenden Standards zum ISM. Eine Auswahl daraus wird im anschließenden Kapitel eingehender einer Prüfung unterzogen.

2.2.1 Funktion und Ziel des Informationssicherheitsmanagement

Um die verschiedenen Gesichtspunkte technischer, personeller, organisatorischer, rechtlicher und infrastruktureller Art in einer übergreifenden Gesamtsicht im Unternehmen konform auf die Sicherheitsziele auszurichten, bedarf es einer zentralen Planung, Steuerung und Kontrolle im Sinne eines ganzheitlichen ManagementAnsatzes.¹⁷ Dieser wird, bezogen auf den Bereich der Informationssicherheit, als Informationssicherheitsmanagement, kurz ISM, bezeichnet.

Informationssicherheitsmanagement, respektive IT-Sicherheitsmanagement wird beschrieben, als der Teil des IT-Managements, welcher sich „um die IT-Sicherheit kümmert“¹⁸. Nach Collenberg/Wolz (2005) soll IT-Sicherheitsmanagement „als Teil des Informationsmanagements die Informationen im Unternehmen und die zugehörige Informationstechnik sichern sowie die Integrität und Vertraulichkeit der Information]sinhalte gewährleisten“¹⁹. Da diese Ziele des Informationssicherheitsmanagements häufig in Zielkonkurrenz zu den üblichen Zielen des IT-Managements stehen, arbeitet das IT-Sicherheitsmanagement, ähnlich wie das Qualitätsmanagement, direkt der Geschäftsleitung zu.²⁰

Die Funktionsweise des Informationssicherheitsmanagements lässt sich als Prozess beschreiben, welcher kurz wie folgt dargestellt werden kann:

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: IT-Sicherheitsprozess²¹

Dieser ist Grundlage für eine angemessene Realisierung und Kontrolle von IT- Sicherheitsmaßnahmen im Rahmen eines Informationssicherheitsmanagementsystems (ISMS).

2.2.2 Überblick über die Standards

Wie bereits in der Einleitung erwähnt, können sich Organisationen bei der Implementierung und dem Betrieb eines solchen ISMS an zahlreichen Standards und Kriterienwerken zur Informationssicherheit orientieren. An dieser Stelle soll ein kurzer Überblick über existierende Werke gegeben werden.

Dabei wird auf eine explizite Nennung der existierenden Standards bewusst verzichtet, da dies den Rahmen dieser Arbeit sprengen würde. Stattdessen erfolgt eine Klassifizierung der ISO-Standards in verschiedene Bereiche an Hand der beiden Dimensionen Ausrichtung und Architekturebene in Anlehnung an BITKOM/DIN (2006). Hinsichtlich der Ausrichtung wird differenziert, ob ein Standard eher auf der technischen Ebene anzusiedeln ist, als Richtlinie verstanden werden kann oder zur Bewertung geeignet ist. Bezüglich der Architekturebene wird unterschieden, ob der entsprechende Standard auf der Produkt-, System- oder Prozessebene ansetzt bzw. ob er auch die Umgebung mit einbezieht.

Insgesamt wird in die nachstehend genannten fünf Bereiche unterteilt, welche sich wie folgt in das Schema einordnen lassen:

1. Informationssicherheitsmanagementsysteme
2. Sicherheitsmaßnahmen und Monitoring
3. Evaluierung von IT-Sicherheit
4. Kryptografische und IT-Sicherheitsverfahren
5. Physische Sicherheit

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Klassifikation von Standards in Bereiche²²

In diese Klassifikation lassen sich die IT Infrastructure Library (ITIL) und die Control Objectives for Information and Related Technology (COBIT) als „Standards mit IT- Sicherheitsaspekten“ zwischen den Bereichen Informationssicherheitsmanagementsysteme sowie Sicherheitsmaßnahmen und Monitoring einordnen. Zu COBIT existiert in der Literatur eine Vielzahl unterschiedlicher Schreibweisen.²³ Im Rahmen dieser Arbeit wird die vollständige Schreibweise in Großbuchstaben gewählt.

Für eine ausführliche Zuweisung einer großen Anzahl existierender Standards in die fünf genannten Bereiche sei an dieser Stelle auf den Kompass der IT-Sicherheitsstandards, welcher in Kooperation des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) mit dem Deutschen Institut für Normung e. V. (DIN) entstanden ist, verwiesen.²⁴

Gemäß ihrer Relevanz und Verbreitung werden für die nachfolgende Untersuchung die beiden Standards ISO/IEC 17799 und ISO/IEC 27001 der Internationalen Standardisierungsorganisation, der de-facto-Standard ITIL sowie das international anerkannte Framework COBIT ausgewählt.

[...]

¹ Vgl. Kurbjuweit (2007), S. 48. Weiterführend zu Gefahren, Schäden und entstehenden Kosten durch unzureichende Informationssicherheit sei der Leser exemplarisch auf Garg/Curtis/Halper (2003) und Lobree (2003) verwiesen.

² BITKOM/DIN (2006), S. 7.

³ Vgl. Duscha (2007), S. 41-48.

⁴ Vgl. Rebholz/Loth (2002), S. 30 sowie Fröschle (2004), S. 5f.

⁵ Vgl. Werners/Klempt (2005), S. 1.

⁶ Klempt (2007), S. 4.

⁷ BSI (2005a), S. 2.

⁸ BSI (2005a), S. 2.

⁹ DIN ISO/IEC (2006), S. 12. Zur weiteren Ausführung dieser sog. Schutzziele vgl. u. a. Klempt (2007), S. 6f. sowie Collenberg/Wolz (2005), S. 47. Ein abweichendes Begriffsverständnis findet sich bei Thiel (2004), S. 52.

¹⁰ BSI (2005a), S. 2.

¹¹ Vgl. Werners/Klempt (2005), S. 1.

¹² Vgl. BSI (2005a), S. 2.

¹³ Vgl. BSI (2005a), S. 2.

¹⁴ Vgl. Pohl (2004), S. 678f. sowie Klempt (2007), S. 4-8.

¹⁵ Lippold/Stelzer/Konrad (1992), S. 367.

¹⁶ Vgl. Collenberg/Wolz (2005), S. 48; Klempt (2007), S. 95 sowie BITKOM/DIN (2006), S. 9.

¹⁷ Vgl. Werners/Klempt (2005), S. 1 und S. 30; Collenberg/Wolz (2005), S. 47f.; BSI (2005a), S. 12 sowie Klempt (2007), S. 95.

¹⁸ o. V. (2004), S. 107.

¹⁹ Collenberg/Wolz (2005), S. 47.

²⁰ Vgl. o. V. (2006), S. 109. Für weiterführende Informationen zum Qualitätsmanagement und dessen Funktionsweise sei auf Lindert (2005) verwiesen.

²¹ Quelle: Klempt (2007), S. 96.

²² Quelle: in Anlehnung an BITKOM/DIN (2006), S. 11.

²³ So benutzen beispielsweise Hilkinger (2005), Datenschutz Nord GmbH (2007) und BITKOM/DIN (2006) die Schreibweise Cobit, während Gaulke (2004) und Wojtyna (2006) Großbuchstaben (COBIT) wählen. Lainhart (2000) sowie die Herausgeberorganisation ITGI (2007b) verwenden eine spezielle Schreibweise des Markenzeichens COBITTM.

²⁴ Vgl. BITKOM/DIN (2006). Ausführliche Information findet sich auch bei Hilkinger (2005), S. 10-