Inhaltsverzeichnis

1.  Einleitung.  1

2.  Das Beispielunternehmen „Die BKK Krankenkasse“  3

2.1  Organisatorische Gliederung  3

2.2  Informationstechnik  4

3.  IT-Sicherheitsmanagement.  5

3.1  IT-Sicherheitsleitlinie Vorschläge.  7

3.2.  Datenschutz  9

3.3.  IT-Sicherheitskonzept  12

3.4  Umsetzung des Sicherheitskonzepts  13

4.  IT-Strukturanalyse  14

4.1  Netzplan.  14

4.1.1  Erhebung  14

4.1.2  Bereinigung  14

4.2  Erhebung IT-Systeme  18

4.3  Erhebung IT-Anwendungen  20

4.4  Erhebung Infrastruktur  23

5.  Schutzbedarfsfeststellung.  26

5.1  Anpassung der Schutzbedarfskategorien  32

5.2  Schutzbedarfsfeststellung der IT-Anwendungen.  32

5.3  Schutzbedarfsstellung der IT-Systeme  35

5.4  Schutzbedarfsfeststellung für IT-Räume  40

5.5  Schutzbedarf der Kommunikationsverbindungen.  42

6.  Modellierung gemäß IT-Grundschutz  46

6.1  Schicht 1 Übergreifende Aspekte.  48

6.2  Schicht 2 Infrastruktur  48

6.2.1  Baustein Gebäude.  48

6.2.2  Baustein Verkabelung  48

6.2.3  Baustein Räume  49

6.3  Schicht 3: IT-Systeme  52

6.4  Schicht 4: Netze  53

6.5  Schicht 5: Anwendungen  53

7.  Basis Sicherheitscheck.  54

8.  Realisierung.  55

9.  Zertifizierung.  57

9.1.  Voraussetzung für die Zertifizierung.  57

9.2.  Ausprägung der Zertifizierung.  58

9.3.  Der Auditor.  59

II

9.4.  Zu zertifizierender IT-Verbund  60

9.5.  Das Zertifikat.  60

10.  Fazit.  62

11.  Abbildungs- und Tabellenverzeichnis  63

12.  Quellenverzeichnis  65

13.  Internetquellenverzeichnis  66

14.  Abkürzungsverzeichnis.  67

III

1. Einleitung

Die Zahl der IT-Sicherheitsvorfälle hat sich in den vergangenen Jahren exponentiell entwickelt. (Gemeldete IT-Sicherheitsvorfälle bei www.cert.org).

Zusätzlich haben sich die Rechtsvorschriften für die Unternehmensvorsorge verschärft. Geschäftsführern und Vorständen werden hierin neue persönliche Verantwortlichkeiten zugeschrieben. IT-Sicherheit kann immer nur ein Bestandteil der Unternehmenssicherheit sein und muss in einer vernünftigen Relation zur Wichtigkeit der unternehmenskritischen Geschäftsprozesse oder Werte stehen.

Kleine mittelständische Unternehmen sind immer wieder mit verschiedensten Sicherheitsproblemen konfrontiert, von denen sich viele Probleme bereits mit wenig Auf-wand vermeiden lassen. Eine Grundschutz-Methode, entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), wird genauer vorgestellt und lässt sich auch bei erfolgreichem Durchlaufen zertifizieren - eine Möglichkeit, sich als solider und innovativer Geschäftspartner zu positionieren.

Das IT-Grundschutzhandbuch hat sich als Standardwerk zur ökonomischen Erarbeitung wirksamer IT-Sicherheitskonzepte etabliert. Belegt wird dies durch die ständig wachsende Zahl freiwillig registrierter Anwender im In- und Ausland und die intensive und aktive Nutzung der vom BSI bereitgestellten IT-Grundschutz-Hotline. In vielen Behörden und Unternehmen bildet das IT-Grundschutzhandbuch des BSI die Basis für die tägliche Arbeit des IT-Sicherheits-Managements und die kontinuierliche Umsetzung von Standard-Sicherheitsmaßnahmen. Nach erfolgreicher Umsetzung der im IT-Grundschutzhandbuch beschriebenen Standard-Sicherheitsmaßnahmen stellt sich für viele Institutionen die Frage, wie sie ihre Bemühungen um IT-Sicherheit nach außen transparent machen können. Um diesen Bedürfnissen nachzukommen hat das BSI die Qualifizierung nach IT-Grundschutz definiert, die aufgrund der ständigen Aktualisierung und Erweiterung des Handbuchs praktisch auf der Höhe der Zeit bleibt. Nach einer erfolgreichen Qualifizierung wird dann ein IT-Grundschutz-Zertifikat vergeben, mit dem die erfolgreiche Umsetzung der Standard-Sicherheitsmaßnahmen verdeutlicht werden kann.

Die Vorgehensweise bei der Anwendung des IT-Grundschutzhandbuchs wird an einem Unternehmen mittlerer Größe, „Die BKK Krankenkasse“ (das Unternehmen sel-

1

ber), veranschaulicht. Es wurden lediglich der Name und der Standort anonymisiert. Aufgrund des günstigen Beitragssatzes wird die Betriebskrankenkasse (BKK) im Jahr 2004 sehr stark wachsen. Der Datenschutz und die Sicherheit aller Anwendungen müssen an erster Stelle stehen.

Warum IT-Grundschutz?

„ • In einem Jahr mussten die deutschen Unternehmen 1,2 Millionen Tage Ausfall hinnehmen, die durch Attacken auf die IT-Infrastruktur verursacht worden sind.

• Insgesamt konnte man 42 Prozent der Angriffe auf Computerviren zurückführen. Aus der Sicht der Unternehmen kamen als Ursache Hacker oder Mitarbeiter in Betracht. Das Verhältnis ist 42 Prozent Hacker und 32 Prozent eigene Mitarbeiter.

• Spam Mails und Fremdzugriffe machen für die Unternehmen ein Zehntel der Probleme aus. 1

1 BSI-Schulung IT-Grundschutz, Kapitel 1, S. 2.

2

2. Das Beispielunternehmen „Die BKK Krankenkasse“

2.1 Organisatorische Gliederung

Die organisatorische Gliederung der „Die BKK Krankenkasse“ gibt folgendes Organigramm wieder:

Abbildung 01: Organigramm der „Die BKK Krankenkasse“

Die BKK Krankenkasse hat ihren Sitz in Dortmund. Es gibt keine weiteren Niederlassungen. Die BKK Krankenkasse bezieht mehrere Büros des ehemaligen Stamm-Unternehmens zur Untermiete. Das Unternehmen beschäftigt insgesamt 40 Mitarbeiter, von denen drei in der Finanzabteilung, einer in der EDV-Abteilung, sieben in der Abteilung Meldewesen, sieben in der Abteilung Beiträge und 11 in der Leistungsabteilung arbeiten. Das Sekretariat ist mit einer Person besetzt und übernimmt auch die Personaldatenverwaltung und die Reisekostenabrechnung. Es gibt sieben zusätzliche Mitarbeiter, die das Dokumentenmanagementsystem bedienen (Weiterverarbeitung der Daten). Sie sollen die jeweiligen Abteilungen mit ihrem Fachwissen unterstützen. In der Beitragsabteilung steht zusätzlich ein Scanner für das Dokumentenmanagementsystem, der von einem Mitarbeiter bedient wird.

3

2.2 Informationstechnik

Am Standort Dortmund ist im Zuge des Umzugs in die neuen Büroräume ein zentral administriertes Windows XP-Netz mit insgesamt 40 angeschlossenen Arbeitsplätzen eingerichtet worden. Die Arbeitsplatzrechner sind einheitlich mit dem Betriebssystem Windows XP mit SP1a, üblichen Büro-Anwendungen (Standardsoftware für Textverarbeitung, Tabellenkalkulation und Präsentationen) und Client-Software zur E-Mail-Nutzung ausgestattet. Zusätzlich gibt es je nach Aufgabengebiet auf verschiedenen Rechnern Spezialsoftware.

Im Netz des Standorts Dortmunds werden insgesamt fünf Server für folgende Zwecke eingesetzt:

Der Standort Dortmund ist über eine angemietete Standleitung an das Rechenzentrum ISC West in Essen angebunden. Dort steht der Kundendatenbankserver auf dem alle datenschutzsensiblen Daten der Kunden gespeichert sind. Der Verantwortungsbereich dieses Servers obliegt dem Rechenzentrum.

Der Scanner-Client für den Dokumentenmanagementserver ist mit Windows-2000 ausgestattet und hat eine ISDN-Karte zwecks Wartung der Dokumentenmanagementsoftware. Die Abteilung Finanzen besitzt zwecks Online-Banking einen Windows XP-Client Sp1a, der auch eine ISDN-Karte verbaut hat. Das Firmennetz ist über die Standleitung des Rechenzentrums zugleich an das Internet angebunden. Der Internet-Zugang ist über eine Firewall und einen Router mit Paketfilter abgesichert. Ausgewählte Client-Rechner haben Zugang zum Internet (für WWW) alle Client-Rechner sind mit ei-

4

nem E-Mail Client ausgestattet. Die WWW-Seiten des Unternehmens, einschließlich On-line-Formulare und der Möglichkeit, Kontakt per E-Mail aufzunehmen, werden auf einem Web-Server des Providers vorgehalten.

An zusätzlicher Informationstechnik sind zu berücksichtigen:

Für das reibungslose Funktionieren der Informationstechnik ist die zentrale DV-Abteilung in Dortmund zuständig. Zum Umgang mit der betrieblichen Informationstechnik gibt es eine Anweisung, der zufolge diese ausschließlich für Firmenzwecke genutzt werden darf und das Einbringen von privater Hard- und Software untersagt ist.

3. IT-Sicherheitsmanagement

Die Unternehmensleitung muss die Verantwortung für das IT-Sicherheitsmanagement festlegen und die Maßnahmen und die internen Abläufe und Regelungen beachten und kontrollieren. ² Damit Sicherheitsmanagement funktionieren kann, muss das Management sich mit den IT-Sicherheitsstrukturen identifizieren und gleichzeitig müssen die Sicherheitsmaßnahmen in die Managementstrukturen eingebettet sein. ³ Die IT-Sicherheit muss geplant, organisiert und kontrolliert werden. 4

Es existieren vier Planungs- und Lenkungsaufgaben; diese werden als IT-Sicherheitsmanagement bezeichnet. Zuerst muss die Klärung der zentralen Verantwortung und Delegation von Zuständigkeiten erörtert werden. Daraufhin werden die grundsätzlichen Ziele für die IT-Sicherheit und das Erstellen einer IT-Sicherheitsleitlinie für das Unternehmen festgelegt. Darauf folgt die Erstellung des IT-Sicherheitskonzepts und

2 BSI Schulung IT-Grundschutz, Kapitel 2, S. 2

3 IT-Grundschutzhandbuch, 4.EL Stand Mai 2002, S. 82.

4 BSI Schulung IT-Grundschutz, Kapitel 2, S. 2

5

zuletzt müssen die organisatorischen Maßnahmen zur Umsetzung des Sicherheitskonzeptes festgelegt und fixiert werden. ⁵ Daraus ergibt sich folgender Sicherheitsprozess:

Die Geschäftsleitung muss nun ein Sicherheitsteam bzw. Sicherheitsverantwortlichen bestimmen bzw. organisieren und die Sicherheitsverantwortlichen müssen eine IT-Sicherheitsleitlinie für das Unternehmen erstellen.

Durch genauestens festgelegte Zuständigkeiten sollen Mängel im IT-Management vermieden werden. Durch eine zweckmäßige Organisation und ein gemeinsames Verständnis für das IT-Sicherheitsmanagement sollte ein effektives und solides Grundkonzept erstellt werden.

Klare Erscheinungsformen von unsachgemäßes bzw. unzureichendes IT-Management wären z. B. die Fehlende persönliche Verantwortung oder mangelnde Unterstützung durch die Leitungsebene. Weitere Probleme könnten auch unzureichende strategische und konzeptionelle Vorgaben sein. 7

5 BSI Schulung IT-Grundschutz, Kapitel 2, S. 2. 6 BSI-Schulung IT-Grundschutz, Kapitel 2, S. 1.

7 BSI-Schulung IT-Grundschutz, Kapitel 2, S. 2.

6

3.1 IT-Sicherheitsleitlinie & Vorschläge

Erster Schritt

Zuerst einmal muss die Zuständigkeit der Gesamtverantwortung für das Sicherheitskonzept schriftlich fixiert werden. Dadurch soll der strategische Einfluss und die Umsetzung der Sicherheitslinie durch die Unternehmensleitung hervorgehoben werden, auch wenn die Umsetzung an ein Sicherheitsteam weiter gegeben wurde.

Zweiter Schritt

In diesem zweiten Schritt soll eine IT-Sicherheitsrichtlinie entwickelt werden. Dazu kann ein vorhandenes Sicherheitsteam/ -Beauftragter eingesetzt werden. Bei Bedarf ist eine Neuzusammensetzung des IT-Teams möglich. Dieses Team soll dann mit den einzelnen Fachabteilungen zusammen arbeiten und Lösungsvorschläge erarbeiten.

8 BSI-Schulung IT-Grundschutz Kapitel 2, S. 7.

7

Dritter Schritt

Hier soll die besondere strategische und operative Bedeutung der IT für die im Unternehmen bearbeiteten Informationen, IT-Anwendungen, Aufgaben und die Unternehmensbereiche eingeschätzt werden. Das Team möchte herausfinden, welche Sicherheit für das Unternehmen notwendig ist. Es sollte nur zwischen Quantität und Qualität unterschieden werden, d. h. handelt es sich um tägliche Massenaufgaben oder um qualitative Managementaufgaben. Dadurch ergibt sich ein Sicherheitsniveau das sich in niedrige, mittlere bzw. hohe Sicherheit aufteilt. Ein weiteres Ziel ist es die Geschäftsvorgänge einzuordnen.

„Es geht darum, Antworten auf folgende Fragen zu formulieren:

• Welche Geschäftsvorgänge, Arbeitsvorgänge können ohne funktionierende IT

nicht oder nur mit großem Aufwand anders bearbeitet werden?

• Für welche Geschäftsvorgänge und Unternehmensdaten ist die Einhaltung der

IT-Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit wichtig?“

Dadurch soll die Leistungsfähigkeit des Unternehmens gewährleistet werden.

• Welche Bedeutung und Folgen könnten von innen oder außen verursachte Si-

cherheitsvorfälle haben? Was könnten Angriffe auf die IT oder fehlerhafter Umgang mit IT-Systemen und Anwendungen auslösen?“ 9

Vierter Schritt

In diesem Schritt wird die Dokumentation der IT-Sicherheitsinhalte hervorgehoben. Dort sollte auf jeden Fall die Ernennung des Sicherheitsteam, Sicherheitsziele, Sicherheitskonzept und die regelmäßige Aktualisierung erfasst werden.

Fünfter Schritt

In dieser Phase muss die Unternehmensführung die Endgültige Sicherheitsleitline den Mitarbeitern bekannt geben und letztendlich in Kraft setzen.

9 BSI-Schulung IT-Grundschutz, Kapitel 2, S. 8.

8

Sechster Schritt (optional)

Dieser optionale Schritt ist nur für Unternehmen interessant, die mehrere Stand-orte betreiben und deshalb unterschiedliche IT-Sicherheitsleitlinien erstellen müssen. Im Falle der BKK ist dies aber nicht notwendig. 10

3.2. Datenschutz

Was bedeutet Datenschutz?

Mit Hilfe des Datenschutz soll sichergestellt werden, dass jede einzelne Person vor dem Missbrauch seiner personenbezogenen Informationen geschützt und jeder selbst über die Verwendung dieser Daten bestimmen kann. Diese Regelung wird auch als „Recht auf informellen Selbstbestimmung“ umschrieben. 11

„Einschränkungen des Rechts auf "informationelle Selbstbestimmung" sind nur im überwiegenden Allgemeininteresse zulässig und bedürfen durchweg einer Rechtsgrundlage.“

Die Verarbeitung von personenbezogenen Daten

Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn diese auf der Grundlage von Gesetzen beruhen oder „[…] der Betroffene eingewilligt oder in Form eines Vertrages zugestimmt hat. Jede andere Verarbeitung ist unzulässig.“ ¹² .Das Bundesdatenschutzgesetz (BSDG) und die Landesdatenschutzgesetze liefern eine Grundlage zur Regelung des Datenschutzes und die Verarbeitung von Daten. 13

Folglich dürfen personenbezogene Daten nur für die Zwecke verwendet und verarbeitet werden, für die diese aufgenommen wurden, das gleiche gilt auch für Daten, die von externen Unternehmen erfasst wurden. Werden z. B. personenbezogene Daten zur „[…] Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungs-

10Vgl. BSI-Schulung IT-Grundschutz, Kapitel 2, S. 7f.

11 IT-Grundschutzhandbuch, Baustein Datenschutz, Stand Juli 1999, S. 1.

12 ebd.

13 Vgl. ebd.

9

gemäßen Betriebs einer Datenverarbeitungsanlage gespeichert“ ¹⁴ , so dürfen diese auch nur für diese Zwecke verwendet werden. 15

„Personenbezogene Daten sind beispielsweise nur dann erforderlich, wenn andernfalls die Daten verarbeitende Stelle ihre Aufgabe nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllen kann.“ 16

Des Weiteren muss die Verarbeitung der Daten auf schonenste Art und Weise vorgenommen werden, d. h. dass das Recht auf informelle Selbstbestimmung so wenig wie möglich beeinträchtigt wird, folglich „[…] die Verarbeitungsmöglichkeiten entsprechend beschränkt werden“. ¹⁷ Hier wird im Grundschutzhandbuch auch der Grundsatz der Datensparsamkeit genannt. Gleichzeitig heißt das auch, dass Datenerhebungen/ -Speicherungen auf Vorrat nicht zulässig sind. 18

Die Rechte der zu schützenden Person

Sobald personenbezogene Daten erfasst und verarbeitet werden, hat die betroffene Person folgende Rechte:

14 IT-Grundschutzhandbuch, Baustein Datenschutz, Stand Juli 1999, S. 2.

15 Vgl. ebd.

16 ebd.

17 ebd.

18 Vgl. ebd.

19 ebd.

10

„Das Recht, sich an den Bundesbeauftragten bzw. den jeweils zuständigen Landesbeauftragten für den Datenschutz zu wenden, wenn er der Ansicht ist, bei der Verarbeitung seiner personenbezogenen Daten in seinen Rechten verletzt zu sein. Diese Rechte können nicht durch Verträge oder sonstige Rechtsgeschäfte ausgeschlossen oder beschränkt werden.“ 20

Datenschutzgesetze und Ihre Aufgabe

Der Sinn und Schwerpunkt der Datenschutzgesetze liegt vor allem darin, dass „[…] eine grundsätzliche Pflicht zur Durchführung der erforderlichen technischen und or-ganisatorischen Maßnahmen“ ²¹ besteht.

Um das zu erfüllen werden folgende Kontrollziele vorgegeben:

Für den Bereich der IT-Sicherheit lassen sich aus diesen Kontrollzielen weitere Ziele wie:

20 IT-Grundschutzhandbuch, Baustein Datenschutz, Stand Juli 1999, S. 2.

21 IT-Grundschutzhandbuch, Baustein Datenschutz, Stand Juli 1999, S. 3.

11

Wer prüft die Einhaltung des Datenschutzes

Für die Kontrolle und „[…]Einhaltung der datenschutzrechtlichen Bestimmungen“ ²³ gibt es je nach gesetzlich geltenden Bereich Datenschutz-Kontrollinstanzen, die „[…]eine generelle oder Anlassbezogene Kontrollbefugnis besitzen.“ 24

Folgende Datenschutzkontrollinstanzen gibt es:

• Der Bundesbeauftragte für Datenschutz.

• Der Landesbeauftragte für den Datenschutz.

• Die Aufsichtsbehörden der Länder.

• Der betriebliche bzw. der behördliche Datenschutzbeauftragte.

o Sein Zuständigkeitsbereich liegt in dem jeweiligen Betrieb. 25

3.3. IT-Sicherheitskonzept

Ein IT-Sicherheitskonzept ist für ein Unternehmen erforderlich, damit konkrete Sicherheitsmaßnahmen geplant, umgesetzt und später auch aktualisiert werden können.

22 Vgl. ebd.

23 IT-Grundschutzhandbuch, Baustein Datenschutz, Stand Juli 1999, S. 3.

24 ebd.

25 Vgl. ebd.

12