Enforcing Corporate IT Policies. Referenzmodelle, Frameworks und Bewertungskriterien

Inhaltsverzeichnis

Darstellungsverzeichnis

1 Einleitung
1.1 Zieldefinition
1.2 Vorgehensweise

2. Referenzmodelle und Frameworks
2.1 CobiT
2.2 ITIL

3 Bewertungskriterien
3.1 TCSEC
3.2 Die deutschen IT-Kriterien und ITSEC
3.3 Common Criteria

4 Bewertung und Fazit

Literaturverzeichnis

Anhang

Darstellungsverzeichnis

Darstellung 1: COBIT 5 Prinzipien

Darstellung 2: Einfluss auf ITIL

Darstellung 3: Sicherheitsstufen C bis A nach TCSEC

Darstellung 4: Funktionsklassen 1 bis 10 nach den IT-Kriterien

Darstellung 5: Evaluierungsstufen der ITSEC-Kriterien

Darstellung 6: Überblick der CC Teile und Zielgruppen

1 Einleitung

In Unternehmen gehört IT-gestützte Informationsverarbeitung schon längst zum Alltag. Kritische Wertschöpfungsprozesse und auch Hilfsprozesse werden zum Großteil unterstützend durch Informationstechnologie durchgeführt. Im Zuge der verstärkten Digitalisierung durch Themen wie z.B. Industrie 4.0 rückt dieser Bereich noch stärker in den Vordergrund kritischer Abläufe. Sobald ein Unternehmen personenbezogene Daten elektronisch verarbeitet, spielt der Datenschutz im Bereich der IT eine mindestens genauso große Rolle. Die beiden Themen Datenschutz und Datensicherheit gilt es also als Unternehmen zu wahren und eine Hochverfügbarkeit der Daten zu gewährleisten. Diese Ziele gilt es in einem IT-Sicherheitskonzept zu berücksichtigen, wobei die Wirtschaftlichkeit nicht außer Acht gelassen werden darf. Verantwortliche für das Konzept haben die Aufgabe das Konzept durch entsprechende Maßnahmen zu entwickeln und zu realisieren.

1.1 Zieldefinition

In dieser Ausarbeitung sollen Handlungsoptionen für eine Umsetzung einer IT-Richtlinie aufgezeigt werden. Dabei geht es darum, dem Leser einen Überblick über verwendbare Standards, Maßnahmenkataloge und Zertifizierungen zu bieten. Diese Informationen können bei der Entwicklung eines IT-Sicherheitskonzepts relevant sein. Außerdem sollen dazu technische und organisatorische Maßnahmen dargestellt werden.

1.2 Vorgehensweise

Es werden die bekannten Referenzmodelle und Frameworks CobIT und ITIL behandelt. Abschließend werden durch die Bewertungskriterien – TCSEC, „Die deutschen IT-Kriterien“ & ITSEC, sowie Common Criteria weitere Werkzeuge als Grundlage zum Schutz der Datensicherheit und –schutz dargestellt.

2. Referenzmodelle und Frameworks

Frameworks^[1] fassen Best Practice Methoden^[2] zur prozessorientierten IT-Steuerung zusammen. Durch eine effiziente Anlehnung an erprobte Methoden, Vorgehensweisen und Standards, bieten Frameworks generell eine Chance zur Verbesserung von Prozessen und Managementstrukturen. Es existiert kein universelles Framework, welches eine sofortige Standardlösung für alle Unternehmen bietet. Jedes Unternehmen ist sehr individuell und daher müssen die Frameworks i.d.R. gezielt angepasst und eingesetzt bzw. miteinander kombiniert werden. Die einzusetzenden Frameworks sind eher als ein Bestandteil des unternehmensindividuellen Gestaltungsprozess anzusehen.^[3]

Es gibt eine Vielzahl an etablierten Frameworks auf dem Markt, der Fokus liegt bei dieser Vorstellung auf CobiT und ITIL.

2.1 CobiT

CobiT ist die Abkürzung für Control Objectives for Information and Related Technology und wird heute als eigenständiger Begriff, COBIT, genutzt. Es ist ein Framework zur Kontrolle von Risiken, die sich durch den IT-Einsatz zur Unterstützung geschäftsrelevanter Abläufe ergeben und stellt Unternehmensanforderungen, IT-Ressourcen und IT-Prozesse in Zusammenhang miteinander. Das Framework legt den Fokus auf Steuerung (Governance) und Management von IT-Prozessen. Seit der Entwicklung 1993, und der ersten Veröffentlichung 1995, erschien im April 2012 die aktuelle Version 5. COBIT 5 sorgt für ein ausgewogenes Verhältnis zwischen der Nutzung von Ressourcen, Risikooptimierung und Nutzenrealisierung und hilft einem Unternehmen bei der Generierung eines optimalen IT-Wertes. Es werden dabei alle funktionalen Zuständigkeitsbereiche von IT und Unternehmen lückenlos integriert und die IT-bezogenen Interessen interner und externer Anspruchsgruppen berücksichtigt. In COBIT 5 haben die ITGI (IT Governance Institute) und ISACA (Information Systems Audit and Control Association) die bisher eigenständigen Frameworks Val IT und Risk IT integriert und mit COBIT verknüpft, bzw. als Basis genommen. Das Framework Val IT sollte Nutzen und Wertbeiträge aus Investitionen in der IT generieren und dokumentieren, wohingegen Risk IT die Identifizierung und Handhabung von IT-bezogene Risiken auf Unternehmensebene zur Aufgabe hatte. Bei der (Weiter-) Entwicklung von COBIT werden auch bestehende Standards, wie zum Beispiel ISO 27002, berücksichtigt beziehungsweise an diesen orientiert. Des Weiteren änderten sich in COBIT 5 die Intension und Struktur weitergehend darin, dass kein reiner Prozessblickwinkel mehr betrachtet, sondern ein multidimensionaler Ansatz entlang des Servicelebenszyklus verfolgt wird. Durch den Top-down Steuerungsansatz von COBIT wird die IT-Architektur von den IT-Zielen beeinflusst, welche sich an den Unternehmenszielen orientieren.^[4]

Das Framework COBIT 5 basiert auf fünf grundlegenden Kernprinzipien für das Management und die Governance der Unternehmens-IT. Diese sind in Darstellung 1 abgebildet.

Abbildung in dieser Leseprobe nicht enthalten

Darstellung 1: COBIT 5 Prinzipien^[5]

Prinzip 1 legt grundlegend fest, dass die IT kein Selbstzweck und ein Bestandteil des gesamten Unternehmens ist und sich an Geschäft, Zielen und Anspruchsgruppen (z.B. Stakeholder) orientieren und zur Wertschöpfung beitragen muss. Das Unternehmensziel, für die Anspruchsgruppen einen Nutzen zu optimalen Ressourcenkosten mit optimalen Risiko zu erzeugen, bedeutet auf die IT betrachtet, aus dieser einen Nutzen aus optimalen Kosten mit geringen IT-Risiken zu schöpfen. Von COBIT 5 werden alle nötigen Prozesse und Enabler^[6], im Allgemeinen alles, was zur Erreichung der Unternehmensziele beiträgt, bereitgestellt. Für alle Enabler werden die vier Dimensionen Anspruchsgruppen, Ziele, Lebenszyklus und bewährte Verfahren in COBIT 5 definiert. Für die Abwägung und Entscheidung der Interessen von verschiedenen Anspruchsgruppen und den unterschiedlichen Unternehmenszielen existiert die so genannte Zielkaskade, die COBIT 5 an den jeweiligen Unternehmenskontext anpassbar macht. Durch die Zielkaskade können die allgemeinen Unternehmensziele direkt IT-bezogenen Zielen und diese wiederrum direkt den Prozessen/Enabler zugeordnet werden.^[7]

Das zweite Prinzip stellt die Integration der IT-Governance in die Unternehmens-Governance sicher. Dadurch werden alle Prozesse und Funktionen abgedeckt, die zum Managen und Steuern von Informationen (der IT) und den dazugehörigen Technologien nötig sind. Alle IT-Enabler für Management und Governance werden als durchgängig und unternehmensweit betrachtet, wodurch alles Relevante an IT (Information und dazugehörige Technologien) für das Management und die Governance unternehmensweit und durchgängig, sowohl intern als auch extern, umfasst wird. Somit ist IT eine Ressource des Unternehmens, mit der sich jede Person im Unternehmen beschäftigen muss.^[8]

COBIT 5 dient sowohl dem Management als auch der Unternehmens-IT als allumfassendes und integratives Framework. Dies ist die Kernaussage des dritten Prinzips. Es werden in COBIT 5 alle bisher von der ISACA erschienene Leitfäden und Rahmwerke, unter anderem Risk und Val IT, zusammengefasst und eine Grundlage für nachfolgende Inhalte, ISACA-Frameworks oder –Leitfäden geboten. Es können auch andere IT-bezogene Standards, wie die ISO 27001, und Frameworks (z.B. ITIL) auf COBIT 5 aufbauend effektiv integriert werden.^[9]

Es existieren sieben Enabler zum Erreichen der IT-Ziele, die Prinzip 4 und somit eine ganzheitliche und effektive IT-Governance ermöglichen sollen. Der Enabler Prinzipien, Richtlinien und Rahmenwerke bildet als Mittel zur Kommunikation von Anweisungen und Vorgaben von Management und Governance die Basis. Auf der einen Seite sind die drei Enabler Prozesse, Organisationsstruktur und Kultur, Ethik und Verhalten aufgestellt und auf der anderen Seite, als Ressourcen bezeichnend, die drei Enabler Information, Services, Infrastruktur und Anwendungen und Mitarbeiter, Fähigkeiten und Kompetenzen.^[10]

Steuerung und Management werden durch das fünfte Prinzip in COBIT 5 klar getrennt. Die Governance unterliegt der Geschäftsleitung und Aufsichtsorganen und evaluiert die Anforderungen, Bedingungen und Möglichkeiten von und für die Anspruchsgruppen, fällt Entscheidungen und setzte Prioritäten um das Vorgehen festzulegen und überwacht die Zielerreichung. Das Management hingegen liegt im Aufgabenbereich der Geschäftsführung und plant, erstellt, realisiert und überwacht die von der Governance vorgegeben Details zur Erfüllung der Unternehmensziele.^[11]

Die zuvor erwähnten Prozesse in COBIT 5 werden mit insgesamt 37 Prozessen in einem Prozessmodell dargestellt, welches alle Aktivitäten in einem Unternehmen abdeckt und die im Allgemeinen in der IT vorkommenden Prozesse darstellt. In diesem Modell werden Governance und Management getrennt voneinander, aber Manageent integrierend in Governance, mit insgesamt fünf unterschiedlichen Domänen dargestellt (siehe Anhang 2).^[12]

2.2 ITIL

Die IT-Infrastructure Library (kurz ITIL) ist ein Framework, welches aus fünf verschiedenen Buchbänden zum Thema IT-Service-Management besteht. Aus dieser Bibliothek von Erfahrungen und Empfehlungen, ausgehend von praktischen Erfahrungen, haben sich die in ITIL beschriebenen Best Practices als De-facto-Standard entwickelt und etabliert und dienen einem Unternehmen als Leitfaden für das Management der IT-Services und als Richtlinie für die Realisierung von IT-Servicedienstleistungen. Es findet eine kontinuierliche Einarbeitung von Erfahrungen statt, sodass ITIL als immer aktuell gehaltene praktische Erfahrungssammlung gesehen werden kann. Auch wird ITIL als Synonym für IT-Service-Management im Allgemeinen genutzt und gilt als das wichtigste und weitverbreitetste Framework für Konzeption, Steuerung und Optimierung im IT-Service-Management. ITIL befasst sich aus der Sicht eines IT-Dienstleisters, welcher sowohl ein externer Dienstleister oder die interne IT-Abteilung sein kann, mit dem Management von IT-Services (Dienstleistungen) in einem Unternehmen. ITIL ist ein generisches Modell, in dem eher das Was als das Wie beschrieben wird, und muss auf die Größe, interne Kultur, Bedürfnisse und Anforderungen des Unternehmens angepasst werden. Es wird für die jeweilige Unternehmensanpassung der Empfehlungen aus den ITIL Büchern genügend Flexibilität eingeräumt. Die fünf Bücher von ITIL sind heutzutage immer noch die einzigen Richtlinien (bzw. das einzige Framework) in dem Bereich des IT-Service-Management, welches nicht nichtproprietär und öffentlich zugänglich ist. Der Vorteil hierbei liegt bei der Validierung von unterschiedlichen Szenarien und nicht nur der Gültigkeit und Anwendbarkeit in einem bestimmten lokalen Kontext, wie es bei proprietären Material der Fall ist. Anders als bei COBIT 5 und einer gesamten Unternehmensbetrachtung, richtet sich bei ITIL der Fokus konkret in Richtung der IT. Ähnlich wie bei COBIT 5 nimmt ITIL auch Bezug auf die Unternehmensziele bzw. das Kerngeschäft und -prozesse des Unternehmens, indem ITIL zum Ziel hat, diese durch die IT-Services im Unternehmen bestmöglich zu unterstützen. Im Mittelpunkt von ITIL steht der Mehrwert für ein Unternehmen durch eine strukturierte IT-Organisation und dem Einklang von IT-Dienstleistungen mit Kundenanforderungen und wirtschaftlichen Interesse des Unternehmens. Es wird eine ganzheitliche Betrachtung des IT-Services-Lebenszyklus angestrebt, von der Strategie, bis hin zu der kontinuierlichen Serviceverbesserung und auch letztendlich den Austritt aus dem Zyklus. Das ganze Spektrum von Prozessen, Produkten, Personen, Kunden, Lieferanten und Partnern wird abgedeckt. Die standardisierten Prozesse, sowie etablierte Funktionen und das langfristig angestrebte Optimierungsverhalten bieten Potenzial zur Kostensenkung im Unternehmen bzw. in der IT. Die Service-Qualität soll durch ITIL gesteigert werden und kann so als Basis für erhöhte Kundenzufriedenheit sein. Für eine optimierte Kommunikation und gemeinsamen Terminologie der betroffenen Personen/Abteilungen führt ITIL ein einheitliches Vokabular ein. Die fünf ITIL Bände, Service Strategy, Service Design, Service Transition, Service Operation und Continual Service Improvement, stellen die fünf Phasen im Lebenszyklus von IT-Dienstleistungen dar. Diese Bücher umfassen 26 Prozesse in denen nahezu die gesamte Wertschöpfungskette einer IT-Organisation abgedeckt wird. Von der strategischen Ausrichtung der IT bis hin zu Verbesserungsprozessen in der Service-Erstellung. Die Kombination mit einem IT-Governance Framework wie z.B. COBIT 5 hilft dabei die Schwächen von ITIL in der Steuerung und Kontrolle einer IT-Organisation auszugleichen und eine IT-spezifische und IT-übergreifende Modellierung für ein Unternehmen zu schaffen. ITIL ist vielmehr für die Sicherung eines dauerhaften Betriebs gedacht als beispielsweise für die Einführung einer IT-Organisation. Von ITIL werden nicht nur die fünf Buchbände angeboten, sondern auch Trainings, Beratung, Software und der Erfahrungsaustausch um weltweit die IT-Service-Organisationen zu unterstützen und auch weiterzuentwickeln. ITIL entstand Anfang der 80er-Jahre, offizieller Start war 1986 und unter dem Namen GITIMM (Government Information Technology Infrasturcture Management Method), durch die CCTA (Central Computer and Telecomunication Agency). Es wurden damals mehr als 40 verschiedene Bücher in einer V1 zusammengefasst. Aus der ehemaligen Regierungsstelle CCTA entstand 2001 die britische OGC (Office of Government Commerce) und zwischen 1999 und 2004 wurde die V1 zu der V2 modernisiert und in insgesamt 9 Bänden gefasst. Unter der CO, Cabinet Office der englischen Regierung, erschien am 29. Juli 2011 die aktuelle Version ITIL Edition 2011, welche keine ganz neue Version der im Juli 2007 veröffentlichten ITIL V3 ist, sondern eher als Update gesehen wird. Seit der V3 wurde die Basis des IT-Services-Lebenszyklus eingeführt und die Anbindung von anderen Frameworks, u.a. COBIT 5, ermöglicht. Die V1 ist heute weder gültig noch verbreitet und auch die V2 ist seit dem Erscheinen von ITIL Edition 2011 vom Markt genommen, aber dennoch in der Praxis vertreten. Aktuell haben die V3 und Edition 2011 ihre Gültigkeit.^[13]

Abbildung in dieser Leseprobe nicht enthalten

Darstellung 2: Einfluss auf ITIL^[14]

In Darstellung 2 ist der Einfluss auf ITIL durch weitere Frameworks abgebildet und beschreibt grafisch das Ineinanderwirken der fünf ITIL Bücher, bzw. den Lebenszyklus. In jeder der fünf Phasen werden dazugehörige Prinzipien, Prozesse, Funktionen, technologische und organisatorische Merkmale, sowie eventuelle weiterführende Aspekte, beschrieben.^[15]

[...]

^[1] Es wird generell zwischen Referenzmodellen, Frameworks (Rahmenwerken), Methoden, Standards und Normen unterschieden. In diesem Kapitel wird der Begriff Framework als Synonym für diese Begriffe genutzt, sofern keine explizite Differenzierung notwendig ist.

^[2] Best Practice Methoden sind Methoden die sowohl wettbewerbsdifferenzierend sind als auch industrieübergreifend hohe Ähnlichkeiten aufweisen.

^[3] Vgl. Goeken, M., Johannsen, W., Referenzmodelle. 2011, S. 25f; Vgl. Kopp, C., Vorgehensmodell, 2014, S. 35; Vgl. Probst, U., Ratzer, P., IT-Governance, 2012, S.41, S.59f.

^[4] Vgl. BSI, 100-1, 2008, S.11; Vgl. Gaulke, M., Praxiswissen, 2014, S.2; Vgl. ISACA, Cobit, 2012, S.15; Vgl. Tiemeyer, E., Handbuch, 2013, S.155-157; S.722f.

^[5] ISACA, Cobit, 2012, S.15.

^[6] „ Enabler sind kritische Erfolgsfaktoren, die sowohl individuell als auch kollektiv Einfluss darauf haben, ob etwas funktioniert – in diesem Fall das Erreichen von Zielen durch eine effektive Governance und ein effektives Management der Unternehmens-IT. “; Gaulke, M., Cobit-Überblick, 2015.

^[7] Vgl. ISACA, Cobit, 2012, S.16; S.19-23; Vgl. Gaulke, M., Praxiswissen, 2014, S.17f; S.25.

^[8] Vgl. ISACA, Cobit, 2012, S.16; S.25f; Vgl. Gaulke, M., Praxiswissen, 2014, S.18-20.

^[9] Vgl. ISACA, Cobit, 2012, S.16; S.27f; Vgl. Gaulke, M., Praxiswissen, 2014, S.20f.

^[10] Vgl. ISACA, Cobit, 2012, S.16; S.29-32; Vgl. Gaulke, M., Praxiswissen, 2014, S.21-23.

^[11] Vgl. ISACA, Cobit, 2012, S.16; S.33-35; Vgl. Gaulke, M., Praxiswissen, 2014, S.23f.

^[12] Vgl. ISACA, Cobit, 2012, S.35; Vgl. Tiemeyer, E., Handbuch, 2013, S.722f; Vgl. Gaulke, M., Praxiswissen, 2014, S.20.

^[13] Vgl. Tiemeyer, E., Handbuch, 2013, S.157-162; Vgl. Bucksteeg, M. et al., ITIL, 2012, S.17; S.21-33; Vgl. Glenfis AG, ITIL.org, 2014; Vgl. BSI, 100-1, 2008, S.12.

^[14] Bucksteeg, M. et al., ITIL, 2012, S.23.

^[15] Vgl. Bucksteeg, M. et al., ITIL, 2012, S.21.