extraSecurity

iX extra zum Nachschlagen:www.ix.de/extra

Eine

Son

derv

eröf

fent

lichu

ng d

er H

eise

Zei

tsch

rifte

n Ve

rlag

GmbH

& C

o. K

G BSI-GrundschutzDer Kreislauf aus Planen, Umsetzen, Prüfen

Von Grund auf sicherSeite II

Gute Gründe für den Grundschutz

Der Weg des geringsten WiderstandsSeite VII

Vorschau: Webhosting

Server-HostingSeite XI

März2015

Seit den Enthüllungen vonEdward Snowden sind vie-le Unternehmen und auch

Behörden alarmiert. Sie fragensich, ob die Firmen-IT sicher ist,die Kundendaten geschützt sindund was sie überhaupt machenkönnen, um ihre IT abzusichern.Die Unsicherheit verstärkt sichnoch durch die Schlagzeilen zuden vielen „Einbrüchen“ in Fir-mennetze nebst Diebstahl vonDaten, etwa bei Sony.

Schnell steht in solchen Fäl-len die Schuldfrage im Raum:Hat der Administrator die Ser-ver nicht zeitgerecht gepatcht,die Firewalls nicht sicher genugkonfiguriert oder hat der Vor-stand einfach kein Geld für dieIT-Sicherheit ausgeben wollen?Denn nach einem erfolgreichenEinbruch in eine gesicherte IT-Umgebung ist bald klar, dassviele Umstände den Vorfall erstbegünstigt haben. Leider ist esselbst für IT-Fachleute schwer,den Überblick über die diversenNetze, Verbindungen, Serverund Querverweise innerhalb derUnternehmens-IT zu behalten.Vieles ist historisch gewachsen,unter Umständen veraltet,kaum dokumentiert und damitnur in den Köpfen der aktuellenoder aus dem Unternehmenausgeschiedenen Administrato-ren vorhanden. Häufig liegt ein Teil des Problems auch beider Geschäftsleitung, weil IT-Sicherheit Geld kostet und derROI (Return on Investment)

in der Regel nicht sofort sicht-bar ist.

Bereits 1994 hat sich dasBundesamt für Sicherheit in derInformationstechnik (kurz BSI)des Themas angenommen undeinen Gefahren- und Maßnah-menkatalog entwickelt, die so-genannten IT-Grundschutzkata-loge, die kontinuierlich an dieBedrohungslage angepasst wer-den. Sie bieten „eine einfacheMethode an, um alle Informa-tionen einer Institution ange-messen zu schützen“, so dasBSI. Die Vorgehensweise istsehr klar strukturiert. Zunächstmüssen in der sogenannten IT-Strukturanalyse die IT-Prozesse,

-Verfahren oder die -Anwendun-gen ermittelt werden. Und überdie IT-Systeme geht es weiter zuNetzen, Serverräumen, Gebäu-den et cetera.

Den Praktikern in den IT-Ab-teilungen kommt dies entge-gen, denn die Grundschutzkata-loge bilden greifbare „Dinge“ab, und die Verantwortlichenentwickeln quasi das IT-Sicher-heitskonzept gleich im Hinter-grund mit. Das Problem dabeiist, dass das möglichst vollstän-dige Abbilden der Maßnahmen -empfehlungen des BSI auf dieeigene IT eine gigantische Men-ge von Maßnahmen entstehenlässt, die es umzusetzen oder zuprüfen gilt. Dies ist initial mithohem Arbeitsaufwand verbun-den und erfordert bei mittlerenund größeren Installationenmeist einen eigens dafür ange-stellten Vollzeitspezialisten –den IT-Sicherheitsbeauftragten.

Neben dem IT-Grundschutzgibt es auch andere Rahmen-werke, die man zum Absichernder IT heranziehen kann, etwaCOBIT (Control Objectives forInformation and Related Tech-nology), ITIL (IT InfrastructureLibrary) sowie diverse ISO-Nor-men. Im Vergleich zu diesenWerken ist der IT-Grundschutzallerdings praxisbezogener unddurch diverse Tools leichter um-setzbar. Die Dokumentation istzudem sehr detailliert in ihrentechnischen und organisatori-

schen Hinweisen zur Umset-zung, frei verfügbar und – nichtzuletzt – in Deutsch verfasst.

Für Bundesbehörden und ih-re Ämter ist die Vorgehens weisenach IT-Grundschutz vorge-schrieben, während andere öf-fentliche Einrichtungen und Unternehmen die Möglichkeithaben, auch andere der ange-führten Normen umzusetzen –häufig abhängig von der Bran-che und den Märkten, in denendie Organisation agiert. Der IT-Grundschutz auf Basis der ISO27001 ist für Deutschland vonhoher Bedeutung, während in-ternational tätige Unternehmensich wohl eher an ISO 27001ohne Grundschutz halten, dadiese Standards auch im Aus-land bekannt sind.

IT-Grundschutz in mehreren TeilenDas BSI hat den IT-Grundschutzin die IT-Grundschutzkatalogesowie vier BSI-Standards geglie-dert, 100-1, 100-2, 100-3 und100-4. Die Kataloge enthaltensogenannte Bausteine zu ein-zelnen Themen (Webanwen-dungen, Cloud-Computing etcetera) oder Systemen (Server,Smartphones usw.), die wiede -rum aus Beschreibungen derspezifischen Gefährdungen so-wie konkreten Schutz- oder Ge-genmaßnahmen bestehen.

Die BSI-Standards enthaltenEmpfehlungen des BSI zu Me-thoden, Prozessen, Vorgehens-weisen und so weiter. Standard100-1 regelt, wie ein Informati-onssicherheits-Managementsys-tem (ISMS) aufzubauen ist. Diesbeinhaltet die Planung, wie Un-ternehmensführung, Technikund Mitarbeiter in einen IT-Si-cherheitsprozess eingebundenwerden sollen. Der Zuständige

Von Grund auf sicherDer Kreislauf aus Planen, Umsetzen, Prüfen

In die Sicherheit fließt bei vielen Unterneh-men laut Umfragen der größte Prozentsatzdes IT-Budgets. Einen Leitfaden dazu bietendie IT-Grundschutzkataloge des BSI. Dochwas einfach klingt, ist in der Praxis schwierigumzusetzen und bedarf meist der Beratungund der Unterstützung durch Tools.

Security

iX extra 3/2015II

Plan

DoCheckAc

t

Das kontinuierliche Über -prüfen und gegebenenfallsVerbessern der umgesetztenMechanismen nach demsogenannten PDCA-Zyklus(Plan – Do – Check – Act) soll eine dauerhafte Qualitätund Aktualität des Sicher -heitsprozesses gewährleisten(Abb.ˇ1).

muss festlegen, welche Zieleder Prozess haben soll. Damitist keineswegs nur ganz allge-mein IT-Sicherheit gemeint. DasManagement muss diesen Pro-zess anstoßen und Leute be-nennen, die sich mit der Prü-fung der IT-Sicherheit befassen,Ressourcen bereitstellen undsich verpflichten, den Prozessam Laufen zu halten. Damit istauch klargestellt, dass IT-Sicher-heit kein Zustand ist, der einmalerreicht wird, sondern ein zykli-scher Prozess, der nie endet undlangfristig ins Unternehmen zuintegrieren ist (Abb. 1).

Der Standard 100-2 „IT-Grundschutz Vorgehensweise“stellt den praktischen Teil dar,der das Abbilden der einzelnenBestandteile der Unterneh-mens-IT im Grundschutz be-gleitet. 100-2 besteht aus meh-reren Teilen, die übergreifendeAspekte, Infrastruktur, IT-Syste-me, Netze und Anwendungenaus der IT behandeln und aufjeden Bestandteil der Firmen-ITanzuwenden sind. Zu diesemZweck werden die Bestandteileder IT im Unternehmen erfasst– also ein Informationsverbundmodelliert. Bei der Umsetzungkann ein ISMS-Tool helfen, vondenen einige als Open Sourceverfügbar sind. Theoretisch genügt zumindest bei der IT-Strukturanalyse auch eine Excel-Tabelle. Nach der An -wendung der oben erwähntenBausteine folgt unter Umstän-den eine Zusammenstellungder verschiedenen Gefahren füralle Bestandteile der IT (alsoauch für Räume, Organisations-

strukturen und Technik), um zuprüfen, ob diese auch für einenerhöhten Bedarf an Schutz aus-reichen. Danach empfiehlt dasBSI Maßnahmen, um Bedro-hungen zu begegnen.

BSI-Standard 100-3 behan-delt die Risikoanalyse von IT-Systemen und gibt diverseEmpfehlungen und Beispiele

für deren Durchführung. Der relativ neue Standard 100-4 beschäftigt sich mit dem Not-fallmanagement und greift wie-der mehr organisatorische As-pekte auf.

Hat die Geschäftsführungdie Notwendigkeit von IT-Si-cherheit erkannt, die Verant-wortlichen an einen Tisch

gebracht und den Prozess ange-stoßen, wird eine IT-Sicherheits-leitlinie erstellt. Im Kern enthältsie den Geltungsbereich nebstHauptziel. Außerdem hält sieden Stellenwert der IT-Sicher-heit für das Unternehmen festsowie die Absicht, die IT sicherzu betreiben. Die Geschäfts -führung trägt dafür die Verant-

iX extra 3/2015 III

Security

Das Modellieren eines IT-Verbunds und das „Abarbeiten“ der einzelnen Bausteine lässt sich manuelloder mit Softwareunterstützung – hier durch das Open-Source-Tool Verinice – erledigen (Abb.ˇ2).

wortung. Beauftragt durch dieLeitlinie stellen die Verantwort-lichen das IT-Sicherheitsteamzusammen und benennen gege-benenfalls den IT-Sicherheitsbe-auftragten sowie seine Kompe-tenzen.

Nach Auffassung des BSI hatder IT-Sicherheitsbeauftragteweitgehende Weisungsbefugnisim Bereich IT-Sicherheit. Dies istsinnvoll, da er für das Umsetzendes IT-Sicherheitskonzepts ver-antwortlich ist. Trotzdem ist dieIT-Sicherheitsleitlinie nur einstrategisches Papier, das ver-mutlich viele spätere Diskussio-nen um Ressourcen mit demChef erleichtert – IT-Sicherheitist nun einmal nicht umsonst zuhaben und das Einführen auchnicht immer angenehm. Bei-spielsweise müssen bequemeAdmin-Rechte beschnitten oderUSB-Ports verboten werden.

Für jede Anwendung legendie Verantwortlichen denSchutzbedarf fest und ordnenihn in die Klassen „normal“,„hoch“, „sehr hoch“ ein. „Nor-mal“ bedeutet, dass die Auswir-kungen im Schadenfall be-grenzt und überschaubar sind.„Hoch“ wiederum heißt, dieAuswirkungen eines Sicher-heitsvorfalls können beträcht-lich sein. „Sehr hoch“ wird vergeben, wenn die Schadens-auswirkungen ein existenziellbedrohliches, katastrophalesAusmaß erreichen können.

Jeder dieser Klassen liegensechs verschiedene Schadens-kategorien zugrunde: Verstoßgegen Gesetze/Verträge/Vor-schriften, Verstoß gegen das in-formationelle Selbstbestim-mungsrecht, Beeinträchtigungder persönlichen Unversehrt-heit, Beeinträchtigung der Auf-gabenerfüllung, negative Innen-oder Außenwirkung und finan-zielle Folgen. Und zu jeder die-ser Kategorien wiederum ist dieFrage zu stellen, wer bei demVerlust eines der drei Schutzzie-le Vertraulichkeit, Integrität oderVerfügbarkeit für den Schadeneinsteht. Als Resultat ergibt sichein Schutzbedarf bei Verlust derVertraulichkeit, eventuell ein an-derer bei Verlust der Integritätund noch ein weiterer beim Ver-lust der Verfügbarkeit. Pro IT-

Ressource können drei Schutz-bedarfseinstufungen zugewie-sen werden, die sich aus densechs Klassen zusammensetzenund „normal“, „hoch“ oder „sehrhoch“ sein können.

Natürlich muss jedes Unter-nehmen für sich festlegen, wasBegriffe wie „begrenzt“ oder„beträchtlich“ in Bezug auf dieSchadensauswirkung bedeuten.Idealerweise erledigt das dasManagement in Zusammenar-beit mit den zuständigen Mitar-beitern für Finanzen, Recht undIT. In kleineren Unternehmenwird dies meist der Geschäfts-führer allein bestimmen. Für dieKategorie der Klasse „normal“müssen Grenzwerte festgelegtsein, die bestimmen, welcheKosten, Ausfallzeiten und ande-re Schäden noch hinzunehmensind, wenn ein IT-System beiVerlust von Vertraulichkeit, Inte-grität oder Verfügbarkeit gegenVorschriften, Datenschutz, per-sönliche Unversehrtheit, Aufga-benerfüllung, negative Publicityoder Finanzen verstößt – etwadurch Havarien oder kriminelleEinwirkungen. Für den Schutz-bedarf „hoch“ ist die Vorgehens-weise gleich, aber die Grenz -werte sind höher und dieAusfallzeiten kürzer. Alles, wasdarüber hinausgeht, ist „sehrhoch“ und würde die Existenzdes Unternehmens bedrohen.

Gut argumentieren

Um die Diskussion um Kostenmit der Geschäftsführung mög-lichst effizient zu gestalten, istes zu empfehlen, dass die IT-Si-cherheit darlegt, welche finan-zielle und organisatorische Kon-sequenzen beispielsweise einehöhere Verfügbarkeit oder Si-cherheit eines Systems hätte.Dann kann die Geschäftsfüh-rung eine Kosten-Nutzen-Analy-se durchführen und festlegen,welche Schadensumme bei ei-nem Notfall als tolerabel gilt.Gleiches gilt für Systeme mitdem Schutzbedarf „hoch“: DieSchadensumme wäre „beträcht-lich, aber nicht existenzbedro-hend“ oder eben „sehr hoch“. Eine Definition für alle Katego-rien und Schutzbedarfsklassenfindet sich auf der BSI-Websei-

IV iX extra 3/2015

Security

te. Jeder Bestandteil der IT-Sys-teme wird nun in diese Schutz-bedarfskategorien eingeteilt.

Am Beispiel der Kategorie„Finanzielle Auswirkungen“ bei„Verlust der Verfügbarkeit“ las-sen sich die Anwendung undAuswirkungen dieser Einteilungerklären. Ein Onlineshop einerFirma XYZ soll seinen Schutz-bedarf feststellen. Welche Aus-wirkungen hat der Ausfall desOnlineshops? Bei Verlust derVerfügbarkeit ist der Shop nichterreichbar und jede Minute, inder die Kunden nicht bestellenkönnen, kostet Geld. Wie langedauert die Wiederherstellungdes produktiven Zustands desSystems und was kostet das?Bei „Verlust der Vertraulichkeit“(der Onlineshop wird beispiels-weise gehackt) könnte die Kun-dendatenbank einschließlichder Bankdaten in falsche Händegeraten sein. Dies aber würdeRegressforderungen nach sichziehen. Die Hacker könnten Wa-ren bestellen und nicht bezah-len (oder jemand anderen be-zahlen lassen). Das wäre eindirekter finanzieller Schaden.Was passiert bei „Verlust der In-tegrität“? Die Hacker könntendie Bankdaten von Kunden verändern und auf Kosten an -derer Leute bestellen, oder siekönnten über den WebshopRaub kopien verbreiten oderSpam versenden. Das könnteStrafen, Regresszahlungen odereinen schlechten Ruf nach sichziehen.

Die verschiedenen Schutzbe-darfsklassen der IT-Systemewerden nach dem Maximumbetrachtet, addieren sich nachdem Kumulationsprinzip oderverteilen sich (Verteilungsprin-zip). Denn der Onlineshop läuftnicht allein, sondern brauchtServer, Netze, Anbindungenund Administration. Für denSchutzbedarf „normal“ kann beiFirma XYZ ein Schaden von50ˇ000 Euro auftreten und vierStunden Ausfall, für „hoch“ gibtes eine Grenze von 100ˇ000Euro und einem Ausfall vonacht Stunden, „sehr hoch“ über-schreitet beide Werte. Ange-nommen, der Schutzbedarf liegtjeweils bei „hoch“, weil es daseinzige System ist, mit dem Fir-

ma XYZ Geld verdient. Die Ge-schäftsführung muss diese Ein-schätzung des Schutzbedarfsbestätigen oder verändern,wenn etwa die Ausfallzeit nichtniedrig genug für die Einschät-zung „hoch“ ist. Dann wäre derSchutzbedarf „sehr hoch“.

Somit hätte die IT die Aufga-be, den Onlineshop so sicher zugestalten, dass er nicht so langeausfallen kann (etwa durchHochverfügbarkeit). Die entspre-chenden Ausgaben muss dieGeschäftsführung freigeben. Anderenfalls trägt das Manage-ment die Verantwortung für jeden Schaden, der aus einemAusfall resultieren würde. Wasnicht passieren darf, ist, dass der Schutzbedarf etwa ausfalsch verstandener Sparsamkeitkünstlich heruntergesetzt wird(also von „hoch“ auf „normal“),wenn es um ein wichtiges Sys-tem geht. Denn dann müsstedie Geschäftsführung einen grö-ßeren Schaden tolerieren, als es ihr lieb sein kann. Das stünde im Widerspruch zur Selbstver-pflichtung der Geschäftsführungin der IT-Sicherheitsleitlinie.

Andererseits ist darauf zuachten, dass die Wichtigkeit von IT-Systemen nicht künstlichhochgespielt wird, denn fürmanche Mitarbeiter ergibt sichdadurch die Gelegenheit, ihreeigene Bedeutung herauszustel-len. Ein Mittelwert von rund 80Prozent aller IT-Systeme mitSchutzbedarf „normal“ ist fürdie meisten Unternehmen dieRegel. Dieses Mittel kann abervon Branche zu Branche erheb-lich abweichen (etwa bei Kran-kenhäusern oder Banken).

Angenommen Firma XYZ hateine Strukturanalyse durchge-führt und die IT-Infrastruktur ab-gebildet (zum Beispiel mithilfevon Netzplänen und anderenUnterlagen). Danach hat sie je-dem System und jeder Anwen-dung je drei Schutzbedarfsklas-sen zugeteilt und festgestellt, obdas System in Betrieb ist odernicht. Anschließend wenden dieAusführenden die einzelnenBausteine im Grundschutzkata-log auf die einzelnen Bestand-teile der IT-Infrastruktur an. ImBSI IT-Grundschutz bezeichnetman dieses Vorgehen als „Mo-

iX extra 3/2015 V

Security

dellierung“ des IT-Verbunds.Übergreifende Bausteine werdeneinmal auf den Verbund ange-wendet, andere Bausteine aufjede IT-Ressource (Abbˇ2). Da-raus ergeben sich mögliche Ge-fahren und Gegenmaßnahmen.

Alle Maßnahmen sind in sogenannte Siegelstufen ein -geteilt: in A (Einstiegsstufe), B (Aufbaustufe), C (für ein ISO-Zertifikat erforderlich), Z (zu-sätzliche Maßnahme) und W (für Extrainformationen/-wissen). Für das Umsetzen istes sehr empfehlenswert, eineISMS-Software einzusetzen. Jede Maßnahme ist mit „ent-behrlich“, „umgesetzt“, „nichtumgesetzt“ und „teilweise um-gesetzt“ zu markieren. Aus derDokumentation der durchge-führten Schritte ergibt sich dasIT-Sicherheitskonzept.

Nun kann das Unternehmeneinen Basis-Sicherheitscheckdurchführen und dabei prüfen,welche Maßnahmen umgesetztwurden. Das sind am Anfangeventuell relativ wenige. DieMaßnahmen werden an die zu-ständigen verantwortlichen Stel-len geleitet, beispielsweise dasFacility-Management, die IT-Ab-teilung oder an einen Dienstleis-ter. Sukzessive bearbeiten die jeweiligen Verantwortlichen alleMaßnahmen, und der Umset-zungsgrad des IT-Sicherheits-

konzepts steigt. Wie erwähnt istdies kein einmaliger Vorgang,sondern die Maßnahmen müs-sen immer wieder überprüft undÄnderungen in der in der ISMS-Software abgebildeten IT-Infra-struktur eingepflegt werden. Sosieht es das Kernkonzept im BSIIT-Grundschutz vor, das auch„PDCA“ für Plan-Do-Check-Act(Planen, Umsetzen, Prüfen, Han-deln, s. Abb.ˇ1) genannt wird, einzyklischer Prozess ohne Ende.

Für alle IT-Anwendungenund die erforderlichen IT-Res-sourcen, die mindestens einenSicherheitsbedarf „hoch“ oder„sehr hoch“ aufweisen, für diekein Baustein im Grundschutz-katalog existiert oder die in völ-lig fremden Einsatzszenarienbetrieben werden, empfiehlt dasBSI eine „ergänzende Sicher-heitsanalyse“. In einer Risiko-analyse untersuchen die Verant-wortlichen die IT-Anwendungenund IT-Ressourcen noch genau-er und entwickeln eigene Bau-steine oder Prüfverfahren, umdas Risiko besser einschätzensowie geeignete Maßnahmenergreifen zu können. Diese Vor-gehensweise ist im Standard100-3 „Risikoanalyse“ beschrie-ben. Stellt sich heraus, dass einIT-System wirklich sehr wichtigist, bietet das BSI mit seinenMaßnahmen und Beispielen ei-ne erste Hilfestellung an.

Wie weit ein IT-Sicherheits-konzept gehen soll, hängt zumTeil von der Erwartungshaltungab. Darin liegt auch die Bedeu-tung der IT-Sicherheitsleitlinie:Die Geschäftsführung muss sie festlegen, nicht die IT-Abtei-lung. Geht es einem größerenUnternehmen darum, Geschäfts-partnern und Kunden zu zeigen,dass die eigene IT sicher ist undman das Thema ernst nimmt,kommt die Organisation an ei-ner Zertifizierung nicht vorbei.Der Prozess ist teuer, da es ei-nes externen Auditors bedarf,und er muss regelmäßig wieder-holt werden. In diesem Fall soll-ten sich alle Beteiligten ganzgenau an die Vorgehensweisedes BSI halten und sich unterUmständen externe und profes-sionelle Beratung dazukaufen.

Ist es für ein Unternehmenaber ausreichend, einen kriti-schen Blick auf die eigene IT-Sicherheit zu haben und sie inregelmäßigen Abständen zuüberprüfen, sind einige Erleich-terungen möglich. So mussman nicht die gesamte IT-Infra-struktur modellieren, sondernnur die Teile, die unternehmens-wichtige Systeme beinhalten.Das ist auch für die Zertifizie-rung erlaubt. Es mag zum Bei-spiel in einem Unternehmen eine Gebäudesteuerung geben,aber für ein Callcenter ist es

relativ egal, ob die Jalousien-steuerung funktioniert odernicht – das Konzept kann die-sen Punkt aussparen.

Für kleinere Firmen ist auchnicht unbedingt ein hauptamtli-cher IT-Sicherheitsbeauftragternotwendig. Das BSI gibt auf dereigenen Seite einige Leitfädenfür kleine, mittlere und großeUnternehmen an die Hand.

Fazit

Das Management muss denRahmen für die IT-Sicherheits-politik eines Unternehmens vor-geben. Auch kann nur die Füh-rungsebene die Eckdaten derSchutzbedarfskategorien festle-gen, denn es geht dabei umexistenziell wichtige Entschei-dungen. Nach der Auswahl ei-ner ISMS-Software wird der IT-Verbund modelliert, in dem allewichtigen Gebäude, Räume, IT-Systeme und Anwendungenihren Platz finden. Mit Augen-maß sollte man die erforderli-chen Bausteine anwenden, wo-bei diejenigen Maßnahmenentbehrlich sind, die im speziel-len Fall sowieso nicht umzuset-zen sind. Bei der Umsetzungder Bausteine sollten die Zu-ständigen mit A-Maßnahmenbeginnen und den Rest späterfolgen lassen. Schließlich gehtes häufig nicht um ein zertifi-zierbares IT-Sicherheitskonzept,sondern um eine intensive Be-schäftigung mit der eigenen IT.Dabei sind die Erfahrungen undIdeen des BSI hilfreich.

Unternehmen können an-hand der Kataloge den Blick aufden richtigen Teil der IT wendenund Aspekte betrachten, die siesonst vielleicht nie überprüfthätten. Der IT-Grundschutz istfür Praktiker und Theoretikergleichermaßen geeignet, und es bleibt jedem Unternehmenselbst überlassen, wie weit es indie Tiefe der Strukturanalyseund Umsetzung der Maßnah-men gehen will. (ur)

Alexandros Gougousoudis ist bestellter IT-

Sicherheitsbeauftragter derKünstlerischen Hochschulen inBerlin und zertifizierter TÜV IT-

Sicherheitsbeauftragter deröffentlichen Verwaltung.

VI iX extra 3/2015

Security

Anbieter von Sicherheitsmanagement-WerkzeugenAnbieter Produkt Website2net Carsten Lang Sidoc-Sicherheitsmanagement www.sidoc.info/calpana business consulting CRISAM www.calpana.com/CONTECHNET INDART® Professional www.contechnet.de/Dexevo ISIS12 www.dexevo.eu/dex/it-sicherheit/it-sicherheit-im-

mittelstand/bsi-grundschutz-im-mittelstand.htmlDHC Business Solutions DHC Vision Information Security

Managerwww.dhc-gmbh.com/

GRC Partner DocSetMinder www.grc-partner.deGreenbone Greenbone Security Manager greenbone.net/learningcenter/task_it_

grundschutz.de.htmlHiScout HiScout www.hiscout.com/gstool.htmlibi Systems GRC Suite iRIS www.ibi-systems.de/grcsuite.phpIndevis ISMS www.indevis.de/de/ueber-uns/it-compliance-

bei-indevis.htmlINFODAS SAVe www.save-infodas.deKronsoft opus i www.kronsoft.de/it-sicherheit/it-sicherheit.htmlNetzwerk IT@WorkProlog software.netzwerk.de/start/QE LaB Business Services adamant adamant.q-e.at/ReviSEC ReviSEC GS-Tool www.revisec-datenschutz.de/gs-tool.htmSecure IT Consult Audit Tool 2006 www.secure-itSerNet GmbH Verinice Open Source ISMS Tool www.verinice.org consult.com/synetics i-doit www.i-doit.comDie Übersicht erhebt keinen Anspruch auf Vollständigkeit.

Über viele Jahre hinwegergriffen UnternehmenMaßnahmen für Infor-

mationssicherheit, die sich nacheiner Norm richten, fast immernur unter echtem Compliance-Druck. Ein Unternehmen muss-te, um in seiner Branche erfolg-reich zu sein oder überhauptagieren zu dürfen, ganz be-stimmte Industrierichtlinien er-füllen und unterwarf sich des-halb mal mehr, mal wenigerzähneknirschend dem Unver-meidlichen.

Heute hat sich das Bild einwenig gewandelt. Natürlich gibtes nach wie vor Geschäftsberei-che, in denen ohne nachweisba-re Erfüllung bestimmter Indus-trievorgaben nichts geht. Diesgilt beispielsweise im Umfeld

der Zahlungsabwicklung perKreditkarte. Ein Unternehmen,dessen Prozesse nicht den Si-cherheitsvorgaben der Kredit-kartenindustrie (PCI DSS) ent-sprechen, hat in diesem Sektorkeine Chance auf Erfolg. PCIDSS steht deshalb nicht zur Dis-kussion, sondern ist ein Muss,das deshalb sogar erstaunlichoft tatsächlich „gelebt“ wird: InBereichen, in denen Unterneh-men nicht um ein Regelwerkherumkommen, sind sie einfacheher geneigt, es auf seinenNutzwert abzuklopfen und da-von schließlich unter Über -windung aller Vorurteile auch maximal zu profitieren.

Ähnlich sieht es bei deut-schen Behörden und der ange-schlossenen Wirtschaft mit dem

Grundschutz nach BSI aus oderbei den international agieren-den Autozulieferern mit derISO/IEC-Norm 27001. Für diebeiden Regelwerke aber gibt es kein festes Entweder-odermehr, weil eine Organisationheute ein „ISO-Zertifikat auf der Basis von BSI Grundschutz“erwer ben kann.

Die Qual der Wahl der Qual: Die NormAbgesehen davon setzt sichseit etwa zwei Jahren bei vielen Organisationen der Trenddurch, Sicherheitsmanagementnormgerecht oder normorien-tiert zu betreiben, ohne gleicheine Zertifizierung anzustreben.Dass dies gerade jetzt ge-schieht, erstaunt in gewisserWeise, denn als geeignete Stüt-ze für ein professionelles Vor -gehen im Bereich Informations-sicherheit hatten Experten undBerater die einschlägigen Nor-men schon immer angepriesen.Allerdings gilt: Auch Organisa-tionen, die nicht auf den ISO-oder Grundschutz-Stempelselbst aus sind, wollen sich denWeg dorthin fast immer freihal-ten – sei es ausdrücklich oderunausgesprochen. Somit kom-men auch sie nicht umhin, sichüber die richtige Vorgehens -weise und damit über die Normihrer Wahl Gedanken zu ma-chen, bevor sie sich einer um-ständlichen Modellierung und

Dokumentation ihrer Security-Technik und -Prozesse unter -ziehen.

Für wen also ist „Grund-schutz“ das Richtige, wenn dieOrganisation nicht dazu ge-zwungen ist, ihn anzuwenden?Außerdem gibt es ja noch dieAlternative einer nativen ISO-27001-Zertifizierung. Es stelltsich auch die Frage, warum ein Unternehmen heute nocheinen „deutschen Sonderweg“einschlagen sollte.

Es gibt zunächst zwei einfa-che Antworten auf diese Frage,die beide nur unter bestimmtenRahmenbedingungen stimmen,doch immer wieder zu hörensind. Die erste lautet: Grund-schutz ist technischer, präziser,schärfer. Für Techniker und Ingenieure klingt dies überaussympathisch, aber die schein -bare „Präzision“ folgt primäraus einem gegenüber der ISO-Norm unterschiedlichen Basis-ansatz: Grundschutz kümmertsich mehr um Details und lie-fert deshalb auch eine höhereZahl an umzusetzenden Einzel-vorschriften, unternimmt diesaber aus der Perspektive einesangenommenen verallgemei-nerbaren Grundbedarfs an Si-cherheit. Gleichzeitig ist IT-Si-cherheit nach Grundschutz vomAusgangspunkt her wenigerauf die jeweilige Organisationzugeschnitten, die die Normumsetzen will. Anders ausge-drückt: Der Eindruck der Präzi-sion entsteht, weil gleich zu Be-ginn klare Vorgaben existierenund die Norm den Anwenderweniger dazu drängt, seinen ei-genen Bedarf erst einmal zuklären und genau diesen indivi-duellen Bedarf dann optimalabzudecken. Hierzu spätermehr, denn genau dies ist einerstaunlich guter Grund, aufden Grundschutz zu setzen.

Die zweite Antwort ist: Alsdeutsche Norm genießt derGrundschutz höhere Reputa tion.Dies gilt aber nur, wo deutscheProdukte und Geschäftsbe -ziehungen zu Deutschland se-lektiv besonders wichtig ge-nommen werden, was zumBeispiel in manchen arabischenStaaten nach wie vor der Fallist. Weltweit haben native ISO/

iX extra 3/2015 VII

Der Weg des geringsten Widerstands Gute Gründe für den Grundschutz

Klagen über endlose oder schließlich aufgegebene Projekte zum Einrichten eines Sicherheitsmanagements nach ISO-Normen gibt es zuhauf. Eine Alternative dazu liefert das an IT-Strukturen orientierte, weniger individualisierte Grundschutzvorgehen des BSI. Tatsächlichpasst gerade die deutsche Norm zu so manchem Unternehmen besser als andere, und das Vorgehensmodell führt häufig zu besserer Umsetzbarkeit.

Security

Je kleiner ein Unternehmen ist, desto weniger mag es seineSicherheitsmaßnahmen auf eine Risikoanalyse stützen (Abb.ˇ1).

Que

lle: K

PMG

2013

IEC-27001-Umsetzungen dieNase vorn.

Der Fokus bei der Entschei-dung für ein Vorgehen nachGrundschutz oder ISO sollte aufeinem ganz anderen Aspekt liegen: Der Weg des geringstenWiderstands ist hier der zurgrößten Sicherheit.

Perfektionisten mögen die-sen Satz nicht gern hören, aberder Erfolg des Um- oder Auf-baus einer Organisation in Rich-tung mehr Informationssicher-heit hängt zu einem sehrgroßen Teil davon ab, ob denVerantwort lichen die Überwin-dung der Widerstände gelingt,die gänzlich neuen Prozessen,Verantwortlichkeiten und Dokumentationspflichten ent-gegenstehen. Verunglückte ISO-27001- und Grundschutzeinfüh-rungen gibt es zuhauf, wobeidie Versagensrate keinesfallshauptsächlich mit unerfüllbarenForderungen der Norm-Desig-ner zusammenhängt. FehlendeRessourcen, missratene abtei-lungsübergreifende Kommuni-kation, die lästigen Dokumenta-tionsaufgaben und der Unwilleder Profis, eingeschliffene Vor-gehensweisen aufzugeben odersich externen Vorschriften zubeugen, bringen entsprechendeProjekte weit eher zu Fall.

Pragmatismus ist deshalbangezeigt. Und hier gilt leider,dass die Einführung eines Si-cherheitsmanagements nachder ISO-27001-Norm in SachenVermittelbarkeit besondere sys-

temimmanente Fallstricke be-reithält. ISO kommt nämlich imGrunde nie ohne ein eingehen-des, umfassendes Risiko-Assess-ment gleich zu Beginn des Pro-jekts aus. Eine belastungsfähigeRisikoeinschätzung aber ver-langt, dass ein Unternehmennicht nur vermeintlich leichtmessbare Faktoren wie die An-greifbarkeit bestimmter Serveroder Clients durch Hacking-Ver-suche richtig einschätzt, son-dern dass auch Risiken ausmöglichem menschlichen Fehl-verhalten, Unwissen in unter-schiedlichen Fachabteilungeneiner Organisation, physischeRisiken, Gefahren aus erprobtenBusiness-Prozessen und andereAspekte diskutiert, dokumen-tiert und plausibel bewertetwerden müssen.

Von Vorteil: Gute KommunikationDies wiederum bedeutet, dassdie IT-Abteilung von vornhereindirekt mit den Business-Abtei-lungen und dem Managementzu kommunizieren hat undmöglicherweise den Finger inlang verschwiegene Wunden legen muss. Zudem könnte sieschließlich schlafende Hundewecken (man denke an den Be-triebsrat mit seiner qua Gesetzindizierten Allergie gegen un -nötige Mitarbeiterbewertungenund -überwachung) und dieeingangs erwähnten Widerstän-de damit genau dort auf den

Plan rufen, wo sie ihnen aus eigenem Sachverstand am wenigsten entgegenzusetzenhat. Das geforderte Risiko-As-sessment bedeutet in vielenISO-Projekten, dass die IT-Ab-teilung vom Start weg zunächsteinen langwierigen, aus ihrerSicht schwer zu beherrschen-den Weg einzuschlagen hat,der vermutlich auch schon diehöchsten Projektrisiken in sichbirgt (Abb.ˇ1).

Um keine Missverständnisseaufkommen zu lassen: In Unter-nehmen, in denen jeder Mitar-beiter weiß, dass der Erfolg pri-mär von der Sicherheit oderVertraulichkeit von Informatio-nen abhängt (technischer Vor-sprung, Patente, einzigartigeKundenbestände und so weiter),tauchen die beschriebenen Pro-bleme gar nicht erst auf odersind durchaus überwindbar, zu-mindest wenn das Managementmitzieht.

Organisationen mit außer -gewöhnlichen IT-Infrastrukturenwiederum kommen mit denstandardisierten Grundschutz-vorgaben vielleicht gar nicht zurecht. Sie benötigen vonvornherein die individuelle Aus-prägung und den Gestaltungs-spielraum, den die ISO-Normbietet, um überhaupt mit abseh-barem Aufwand „compliant“werden zu können. In „norma-len“ Unternehmen mit typischerIT allerdings, in denen der Wertvon Informationssicherheit undDatenschutz überdies vielleicht

nicht jedem Beteiligten unmit-telbar einleuchtet, sieht dies an-ders aus. Und genau hier liefertein Vorgehen nach Grundschutzden IT-Abteilungen mitunter ei-nen argumentativen Königsweg.

Um dies zu verdeutlichen,sei ausnahmsweise der Versucherlaubt, Vergleiche zwischen derInformationssicherheit und derVerkehrssicherheit zu ziehen.Normalerweise bringt dies im-mer Verdruss und schiefe Ana-logien, aber hier passt das Vor-gehen.

Grundschutz, auf Fahrzeugeangewendet, bedeutet: Jedesrollfähige Gefährt, das mehr als Schrittgeschwindigkeit zuerreichen vermag, braucht ohneWenn und Aber adäquatesLicht (genau definiert) und adäquate Bremsen (Leistungebenfalls definiert), sonst darfes nicht auf den Markt. Hat das Fahrzeug einen Motor,muss es nachweisbar Sicher-heitsgurte, Airbags und nochein paar andere (von der Wir-kung her wiederum definierte)technische Ausstattungsmerk-male nach dem Stand der Tech-nik an Bord haben. Dies gilt zunächst unabhängig davon,ob individuell gerade ein klei-nes Cabrio, ein großer Bus oder ein Gefahrguttransporter be-trachtet wird. Dass bei kriti-schen Fahrzeugen von Fall zuFall mehr zu tun ist, ist in derNorm explizit erwähnt, kämeaber erst im nächsten Schrittauf den Tisch.

VIII iX extra 3/2015

Security

Im Grundschutzumfeld tätige FirmenAnbieter Beratung Penetrationstests Prüfung (Audit) WebsiteAirITSystems ✓, Notfallmanagement www.airitsystems.de/leistungenApplied Security ✓ ✓ https://www.apsec.de/consulting/CIO Solutions ✓ ✓ ✓ www.cio-solutions.de/Cirosec ✓ ✓ www.cirosec.de/Contechnet Notfallplanung www.contechnet.de/index.php/de/DMN Solutions Notfallplanung www.dmn-solutions.com/themen/it-notfallplanung/GPP Service ✓ ✓ www.gppag.de/de/gpp-service/IT-Sicherheit/index.htmlHiSolutions ✓ ✓ www.hisolutions.com/DE/Infodas ✓ www.infodas.de/DE/IT-Security/IT-SiKo-GSMikado ✓ www.mikado.de/revisoren#Procilon ✓ www.procilon.de/Secorvo ✓ ✓ www.secorvo.deSecunet ✓ ✓ ✓ www.secunet.com/de/Secuvera ✓ ✓ ✓ www.secuvera.de/bsi-pruefstelle/TBits.net ✓ ✓ www.tbits.net/tbitsit-sicherheit/beratungit-grundschutz.htmlTÜV Informationstechnik ✓ ✓ www.tuvit.de/deDie Übersicht erhebt keinen Anspruch auf Vollständigkeit.

ISO 27001 würde demgegen-über – überspitzt formuliert –von vornherein erst einmal garnichts definieren, sondern fest-legen, dass der Erbauer einesFahrzeugs sein Fahrzeug aufGefahrenpotenziale für Nutzerund Unbeteiligte zu untersu-chen habe und dann die geeig-nete (!) Technik einbauen solle,um die Risiken auf ein ver -nünftiges (!) Niveau herunterzu-schrauben. Dies wiederum habeer nachvollziehbar zu dokumen-tieren, und dies wiederum habeein externer Auditor für gut ge-nug oder schlecht zu befinden.

Es ist unmittelbar klar, inwelchem Fall mehr interne Dis-kussionen, Widerworte und gu-te Gründe gegen Bremsen (zuteuer), Licht (stört das Design)und andere Punkte (allesamtviel zu teuer) auf die Tagesord-nung gerieten. Die Autowelt istdeshalb aus guten Gründen inallen Ländern eine „Grund-schutzwelt“ mit scharfen Sicher-heitsnormen, die auf einem be-

stimmten Niveau keinerlei Dis-kussionsspielraum zulassen.Ähnliches gilt im Grunde fürviele andere Maschinen, fürChemikalien, für Gebäude undfür andere Gegenstände ausdem realen Leben.

Natürlich ist dieses Prinzipauf die komplexe IT-Welt nichteindeutig anwendbar. Die ge-speicherten Informationen, soKritiker, haben einen von Orga-nisation zu Organisation viel zuunterschiedlichen Wert, als dassein gemeinsamer Basisstandardfür alle zu definieren sei. Aberwer zum Beispiel will tatsäch-lich keine Ausfallsicherheit unddeshalb auf Firewalls und Viren-schutz verzichten? Außerdemarbeiten viele Unternehmendurchaus mit vergleichbarer,eben „typischer“ Hard- undSoftware und entsprechend vor-hersagbaren Netzarchitekturen,und schließlich hat der Grund-schutzansatz den bereits ange-deuteten, unbestreitbaren Vor-teil in Sachen Durchsetzbarkeit:

In einem Unternehmen wirdsich wohl kaum jemand demAnsinnen entgegenstemmen,mindestens eine allgemein ak-zeptierte Basissicherheit durch-zusetzen, um in der eigenenBranche nicht als unzuverlässigdazustehen.

Ein Risiko-Assessment da -gegen öffnet das Tor zu einerFülle von Einspruchsmöglich-keiten und Ideen, wie man dieIT-Abteilung als weltfremd oder kontraproduktiv darstellenkönnte. Da für viele Organisa-tionen mit mäßigem oder mitt-

iX extra 3/2015 IX

Security

Je „normaler“ die IT eines Unternehmens, desto geringer ist derAufwand zur ISO-Zertifizierung auf der Basis von IT-Grundschutz(Abb.ˇ2).

Que

lle: B

SI

lerem Risiko-Level das Ergebnis in beidenFällen das gleiche nach ISO 27001 zertifi-zierbare Sicherheitsmanagement sein kann,ist der Grundschutzansatz also eine Über -legung wert – und sei es als Abkür zung zueinem sonst eher steinigen Weg. Läuft einProjekt erst einmal, lassen sich ja immernoch einzelne Risiken gesondert erheben,um nicht zu hohe Kosten ent stehen zu lassen.

Der Vorschlag, native ISO-27001-Vor -gehensweisen mit einem Ansatz auf Grund-schutzbasis vor dem Hintergrund der kom-munikativen Durchsetzbarkeit zu ergleichen,ist das Ergebnis einer kühlen Abwägung der Erfolgsaussichten in typischen IT-Um -gebungen.

Ein Bezug auf die Bausteine der über-dies frei verfügbaren und damit jedem Ge-sprächspartner zugänglichen Grunds -chutzkataloge macht Argumentationengegenüber IT-fremden Fachabteilungen undManagern recht einfach. Die Grundprämis-se der Grundschutzautoren lautet: Es gibt in einer Organisation Prozesse, die Anwen-dungen benötigen, welche auf verschiede-nen (typischen) IT-Systemen laufen, welchesich wiederum in dazu mehr (Rechenzen-trum) oder weniger (Büros) geeignetenRäumen innerhalb von Gebäuden befindenmüssen. Für die Anwendungen, die IT-Sys-teme und die Räume liefert die Norm dann„Gefährdungskataloge“ mit Listen von mög-lichst all gemeingültigen Gefahren und An-griffsflächen und „Maßnahmenkataloge“mit typischen Gegenmitteln. Gefährdungenund Eintrittswahrscheinlich keiten werdenpauschalisiert, und für einen durchschnitt -lichen Schutzbedarf finden sich konkreteHinweise für die Umsetzung von Standard-sicherheitsmaßnahmen.

Bei den ersten Schritten zu einem Si-cherheitsmanagement nach Grundschutz-vorgaben befindet sich die IT-Abteilung so-

mit fast ausschließlich auf vertrautem Terrain, denn die Norm nähert sich der kon -kreten IT-Landschaft auf der Basis einer Strukturanalyse der IT-Ressourcen: Anwen-dungen und Programme auf Computernund Netzwerkhardware im Rechenzentrumund in der Hand der Anwender, jeweils vernetzt oder nicht. Organisatorische undpersonelle Aspekte werden dabei nicht aus -geklammert, aber auf eine Art einbezogen,wie sie die IT-Abteilung normalerweisesieht: von ihren Systemen aus. Hier alsodürfen die IT-Fachleute nicht nur so vor -gehen, wie sie es gewohnt sind, sondern sie müssen es sogar. Dies betrifft auch das,was im PCI-DSS- und ISO-Umfeld als „Scoping“ bezeichnet würde, nämlich dasFestlegen jener Teile der IT, die nach derGrundschutz norm überhaupt gesichert werden sollen, um ein Projekt nicht zu groß werden zu lassen. Im Grundschutzjar-gon geht es dabei um einen „Informations-verbund“, das heißt Systeme, die logisch eine Einheit bilden. Auch hier ist die IT-Struktur, ähnlich dem in PCI-DSS-Audits so bedeutsamen Netzwerk diagramm, dieGrundlage – ebenfalls vertrautes Terrain für die IT (Abb.ˇ2).

Grundschutz ist basisorientiertund „bequemer“Die IT-zentrierte Perspektive bleibt auch bei jenem Schritt bestehen, der dem Risiko-Assessment eines nativen ISO-27001- Vorgehens am nächsten kommt: die Schutz-bedarfsanalyse. Für einzelne IT-Einheiten,etwa Server, wird bestimmt, welche Anwen-dungen darauf laufen, welche Informatio-nen deshalb verarbeitet werden und wiehoch somit das Gefährdungspotenzial fürVertraulichkeit, Integrität oder Verfügbarkeitist: „normal“, „hoch“ oder „sehr hoch“. DieAnwendung mit dem höchsten Gefähr-

dungspotenzial bestimmt dann das Schutz-niveau für den Server, auf dem sie läuft.

Um eine Auseinandersetzung mit denFachabteilungen und eine Diskussion zur ge-meinsamen Einschätzung kommt die IT hier-bei natürlich nicht herum, aber sie kann eswiederum von ihrer Basis aus tun. Dies istaus Administra tionssicht tendenziell beque-mer als eine Herangehensweise, die erst dieAnalyse der Business-Prozesse nahelegt undanschließend prüft, welche Sicherheitsange-bote die IT dafür zur Verfügung stellt. Diegleiche Bequemlichkeit bietet auch jenesElement, das in der PCI-DSS- oder ISO-Sichteine „Gap-Analyse“ ist: der Abgleich der be-reits umgesetzten Sicherheitsmaßnahmenmit den Anforderungen, die sich aus derSchutzbedarfsanalyse ergeben. Im Grund-schutzumfeld heißt dieser Schritt „Basis-Si-cherheitscheck“ und wird, da hier grundsätz-lich auch Standardsicherheitsmaßnahmenohne vorheriges Risiko-Assessment zählen,fast immer das beru higende Ergebnis liefern,dass die IT wichtige Schritte hin zur Compli-ance bereits ganz von allein gegangen ist.

Risiko-Assessment durch die HintertürEchte Risikoanalyse fordert der Grund-schutz immer, wenn die oben beschriebeneBedarfserhebung ein „erhöhtes Gefähr-dungspotenzial“ zutage ge för dert hat. Auchhier ist der argumentative Vorteil nicht zuunterschätzen. Die IT-Ab tei lung geht zu-nächst davon aus, ein Standardprogrammum setzen zu können. Dann findet sie mit-hilfe der Fachabteilungen heraus, dass be-stimmte Informationen innerhalb der Orga-nisation viel wichtiger für deren Überlebensind als ursprünglich angenommen. Dafüreine partielle, zielgerichtete, genaue Analy-se einzufordern, ist weit einfacher, als eineglobale Risiko ermittlung für ein gan zes Unternehmen anzustoßen – und das Glei-che gilt für die Umsetzung der Maßnah-men, auf die man sich dann einigen kann.

Die Grundschutzausrichtung auf ver -allgemeinerbare Maßnahmen macht sichauch im Umgang mit externen Dienstleis-tern positiv bemerkbar. Sowohl Berater alsauch Auditoren können zumindest zu Be-ginn ihrer Tätigkeit Schritt für Schritt vieleklare Vorgaben an die IT aus den Grund-schutzkatalogen auf weitgehend vorher -sagbare Weise abhaken. Die Gefahr, über individuelle Auslegungen der Norm streitenzu müssen, ist also reduziert. GrößererRaum für Interpretationen findet sich erst injenen Bereichen, die bereits als besondersheikle Sektoren mit erhöhtem Schutzbedarfdefiniert sind und bei denen alle Beteiligtenim Unternehmen einen gewissen Diskus -sionsbedarf akzeptieren werden.

X iX extra 3/2015

Security

Zahlreiche Hilfsmittelermöglichen esUnternehmen, eigeneSicherheitskonzepte zuerstellen – hier mithilfevon Webschulungen(Abb. 3).

Den Weg zum grundschutz konformenIT-Dasein kann sich eine Organisation miteiner Reihe von Werkzeugen leichter gestal-ten. Diese Tools kommen eher als beim ISO-orientierten Vorgehen „von der Stange“. Zu den nützlichen Tools gehören zunächstDokumentenmanagementsysteme, die au-tomatisch über die Versionen und die Fort-schritte der Dokumentationen des IT-Ma-nagements und der Maßnahmen wachen.Zum Erfassen der IT-Infrastruktur dienen banale Hilfsmittel wie Tabellenkalkulationenund Software zum Zeichnen von techni-schen Diagrammen einerseits und Prozess-abläufen andererseits, aber auch Inventari-sierungshilfen, die die Systeme im Netzwerkso weit wie möglich automatisch erfassenund die typische Zuordnung von Namen,Softwareversionen, Benutzergruppen,Patch-Level und Weiteres mehr erleichtern.

Gibt es „erhöhten Schutzbedarf“ undsomit Grund für eine Risikoanalyse, kannder Anwender auf eine angesichts andererCompliance-Anforderungen stetig steigen-de Zahl an Werkzeugen zurückgreifen, die die Arbeit mit den Risikoparametern er-leichtern. Wunder darf man von diesenmeist hochkomplexen und durchaus nichtimmer intuitiv bedienbaren Tools allerdingsnicht erwarten – das Nachdenken und dieDiskussion über Angriffs- und Folgeszena-rien kann keine Software den Verantwort -lichen abnehmen.

Die Kontrolle der Umsetzung schließlichist das Terrain von Security-Scannern oderScan- und Penetration-Testing-Services. Imtechnischen Bereich zeigen sie, ob nach

Grundschutz gesicherte Systeme tatsächlichhinreichend geschützt oder gehärtet sind,um gängigen Angriffen zu widerstehen. DerVertrieb des lange Zeit immer wieder disku-tierten und häufig kritisierten, im Auftragdes BSI entwickelten GSTOOL als Gesamt-werkzeug für die Grundschutzumsetzung ist übrigens Ende 2014 ausgelaufen, da dasProjekt zu dessen Aktualisierung scheiterte.

Fazit

Klagen über endlose oder schließlich auf -gegebene Projekte zum Einrichten eines Sicherheitsmanagements nach ISO 27001gehören zu den Standardthemen der IT-Branche. Manchem Unternehmen könntees helfen, wenn es auf die möglichen kom-munikativen Projekt risiken und zu erwar-tenden Widerstände vor Beginn der Com-pliance-Arbeiten wenigstens einen Bruchteilder Energie verwendet, die bei einem nati-ven ISO-Ansatz für das initiale Risiko-As-sessment fällig wäre. Kommt dabei heraus,dass das an IT-Strukturen orientierte, weni-ger individualisierte Grundschutzvorgehenmit der zumindest zu Beginn geringerenPräsenz des Problemfaktors „Risiko-Assess-ment“ strategische Vorteile bietet, sollte dieIT-Abteilung diesen Weg einschlagen. Dasist kein Zeichen von Feigheit, sondern Prag-matismus im Dienste der Sicherheit. Dennein gescheitertes Projekt bringt den Betei-ligten am wenigsten. (ur)

Johannes Wieleist Sicherheitsberater, Dozent

und Awareness-Experte.

iX extra 3/2015

Security

Wenn dedizierte Mietserver nicht alle An-forderungen er füllen, können Kunden auch eigene Geräte im Rechenzentrum ei-nes Hosters unterstellen. Fürs Server-Hou-sing – auch als Colocation bezeichnet –lässt sich nicht nur kundenspezifischeHardware nutzen, sondern ebenso ein eige-nes Sicherheitskonzept umsetzen. Da sichRackmount-Gehäuse als Formfaktor durch-gesetzt haben, findet das Housing meist

in Gestalt von Höheneinheiten in einem 19-Zoll-Schrank statt. Reicht das nicht aus,können Kunden sogar separate Räume an-mieten und darin eigene Serverschränkeaufstellen. Das kommende iX extra gibt einen Überblick über die An gebote derdeutschen Hosting-Provider.

Erscheinungstermin: 26. März 2015

In iX extra 04/2015Server-Housing: Die Kür für den Webhoster

Die weiteren iX extras:

Ausgabe Thema Erscheinungstermin

07/15 Cloud-Computing Geschäftskritische Daten absichern 25.06.2015

09/15 Webhosting Application-Hosting 27.08.2015

10/15 Security Trends & News 2015 24.09.2015