IT-Sicherheit in KMUs – Umsetzung von IT-Sicherheit in KMUs gem. IT-Grundschutzhandbuch des Bundesamt für Sicherheit in der Informationstechnik

verfasst von:

Andreas Berenberg, Ralf Nowak, Jana Paetzoldt, Patrick Düngel,

Fallstudie im Studiengang Betriebsinformatik I

eingereicht am: 26.01.2004

an der FOM Essen,

Inhaltsverzeichnis

1. Einleitung ... 1

2. Das Beispielunternehmen „Die BKK Krankenkasse“ ... 3
2.1 Organisatorische Gliederung ... 3
2.2 Informationstechnik ... 4

3. IT-Sicherheitsmanagement ... 5
3.1 IT-Sicherheitsleitlinie & Vorschläge ... 7
3.2. Datenschutz ... 9
3.3. IT-Sicherheitskonzept ... 12
3.4 Umsetzung des Sicherheitskonzepts ... 13

4. IT-Strukturanalyse ... 14
4.1 Netzplan ... 14
4.1.1 Erhebung ... 14
4.1.2 Bereinigung ... 14
4.2 Erhebung IT-Systeme ... 18
4.3 Erhebung IT-Anwendungen ... 20
4.4 Erhebung Infrastruktur ... 23

5. Schutzbedarfsfeststellung ... 26
5.1 Anpassung der Schutzbedarfskategorien ... 32
5.2 Schutzbedarfsfeststellung der IT-Anwendungen ... 32
5.3 Schutzbedarfsstellung der IT-Systeme ... 35
5.4 Schutzbedarfsfeststellung für IT-Räume ... 40
5.5 Schutzbedarf der Kommunikationsverbindungen ... 42

6. Modellierung gemäß IT-Grundschutz ... 46
6.1 Schicht 1 Übergreifende Aspekte ... 48
6.2 Schicht 2 Infrastruktur ... 48
6.2.1 Baustein Gebäude ... 48
6.2.2 Baustein Verkabelung ... 48
6.2.3 Baustein Räume ... 49
6.3 Schicht 3: IT-Systeme ... 52
6.4 Schicht 4: Netze ... 53
6.5 Schicht 5: Anwendungen ... 53

7. Basis Sicherheitscheck ... 54

8. Realisierung ... 55

9. Zertifizierung ... 57
9.1. Voraussetzung für die Zertifizierung ... 57
9.2. Ausprägung der Zertifizierung ... 58
9.3. Der Auditor ... 59
9.4. Zu zertifizierender IT-Verbund ... 60
9.5. Das Zertifikat ... 60

10. Fazit ... 62

11. Abbildungs- und Tabellenverzeichnis ... 63

12. Quellenverzeichnis ... 65

13. Internetquellenverzeichnis ... 66

14. Abkürzungsverzeichnis ... 67

1. Einleitung
Die Zahl der IT-Sicherheitsvorfälle hat sich in den vergangenen Jahren exponentiell entwickelt. (Gemeldete IT-Sicherheitsvorfälle bei www.cert.org).
Zusätzlich haben sich die Rechtsvorschriften für die Unternehmensvorsorge verschärft. Geschäftsführern und Vorständen werden hierin neue persönliche Verantwortlichkeiten zugeschrieben. IT-Sicherheit kann immer nur ein Bestandteil der Unternehmenssicherheit sein und muss in einer vernünftigen Relation zur Wichtigkeit der unternehmenskritischen Geschäftsprozesse oder Werte stehen.
Kleine mittelständische Unternehmen sind immer wieder mit verschiedensten Sicherheitsproblemen konfrontiert, von denen sich viele Probleme bereits mit wenig Aufwand vermeiden lassen. Eine Grundschutz-Methode, entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), wird genauer vorgestellt und lässt sich auch bei erfolgreichem Durchlaufen zertifizieren – eine Möglichkeit, sich als solider und innovativer Geschäftspartner zu positionieren.
Das IT-Grundschutzhandbuch hat sich als Standardwerk zur ökonomischen Erarbeitung wirksamer IT-Sicherheitskonzepte etabliert. Belegt wird dies durch die ständig wachsende Zahl freiwillig registrierter Anwender im In- und Ausland und die intensive und aktive Nutzung der vom BSI bereitgestellten IT-Grundschutz-Hotline. In vielen Behörden und Unternehmen bildet das IT-Grundschutzhandbuch des BSI die Basis für die tägliche Arbeit des IT-Sicherheits-Managements und die kontinuierliche Umsetzung von Standard-Sicherheitsmaßnahmen. Nach erfolgreicher Umsetzung der im IT-Grundschutzhandbuch beschriebenen Standard-Sicherheitsmaßnahmen stellt sich für viele Institutionen die Frage, wie sie ihre Bemühungen um IT-Sicherheit nach außen transparent machen können. Um diesen Bedürfnissen nachzukommen hat das BSI die Qualifizierung nach IT-Grundschutz definiert, die aufgrund der ständigen Aktualisierung und Erweiterung des Handbuchs praktisch auf der Höhe der Zeit bleibt. Nach einer erfolgreichen Qualifizierung wird dann ein IT-Grundschutz-Zertifikat vergeben, mit dem die erfolgreiche Umsetzung der Standard-Sicherheitsmaßnahmen verdeutlicht werden kann.
Die Vorgehensweise bei der Anwendung des IT-Grundschutzhandbuchs wird an einem Unternehmen mittlerer Größe, „Die BKK Krankenkasse“ (das Unternehmen selber), veranschaulicht. Es wurden lediglich der Name und der Standort anonymisiert. Aufgrund des günstigen Beitragssatzes wird die Betriebskrankenkasse (BKK) im Jahr 2004 sehr stark wachsen. Der Datenschutz und die Sicherheit aller Anwendungen müssen an erster Stelle stehen.
Warum IT-Grundschutz?

• In einem Jahr mussten die deutschen Unternehmen 1,2 Millionen Tage Ausfall hinnehmen, die durch Attacken auf die IT-Infrastruktur verursacht worden sind.
• Insgesamt konnte man 42 Prozent der Angriffe auf Computerviren zurückführen. Aus der Sicht der Unternehmen kamen als Ursache Hacker oder Mitarbeiter in Betracht. Das Verhältnis ist 42 Prozent Hacker und 32 Prozent eigene Mitarbeiter.
• Spam Mails und Fremdzugriffe machen für die Unternehmen ein Zehntel der Probleme aus.¹

2. Das Beispielunternehmen „Die BKK Krankenkasse“
2.1 Organisatorische Gliederung

Die organisatorische Gliederung der „Die BKK Krankenkasse“ gibt folgendes Organigramm wieder:

! Abbildung 01 ist in der Downloaddatei enthalten !

Abbildung 01: Organigramm der „Die BKK Krankenkasse“

Die BKK Krankenkasse hat ihren Sitz in Dortmund. Es gibt keine weiteren Niederlassungen. Die BKK Krankenkasse bezieht mehrere Büros des ehemaligen Stamm-Unternehmens zur Untermiete. Das Unternehmen beschäftigt insgesamt 40 Mitarbeiter, von denen drei in der Finanzabteilung, einer in der EDV-Abteilung, sieben in der Abteilung Meldewesen, sieben in der Abteilung Beiträge und 11 in der Leistungsabteilung arbeiten. Das Sekretariat ist mit einer Person besetzt und übernimmt auch die Personaldatenverwaltung und die Reisekostenabrechnung. Es gibt sieben zusätzliche Mitarbeiter, die das Dokumentenmanagementsystem bedienen (Weiterverarbeitung der Daten). Sie sollen die jeweiligen Abteilungen mit ihrem Fachwissen unterstützen. In der Beitragsabteilung steht zusätzlich ein Scanner für das Dokumentenmanagementsystem, der von einem Mitarbeiter bedient wird.

[...]

1 BSI-Schulung IT-Grundschutz, Kapitel 1, S. 2.