IT Sicherheit

• In geplanten Abständen oder bei Änderungen eine Informationssicherheitsrisikobewertung vornehmen
• Die unter 6.1.2 festgelegten Kriterien berücksichtigen

• Plan für die Informationssicherheitsrisikobehandlung implementieren
• Dokumentierten Informationen zu den Ergebnissen der Informationssicherheitsrisikobehandlung aufbewahren

• Leistung des ISMS und Wirksamkeit auswerten
• Folgendes ermitteln:
  • Notwendige zu überwachende/messende Aspekte
  • Mess- und Überwachungsprozesse und Maßnahmen
  • Die Methoden zur Überwachung, Messung, Analyse und Auswertung
  • Den Zeitpunkt der Überwachung/Messung
  • Die zuständigen Personen
  • Zeitpunkt für die Analyse und Auswertung der Ergebnisse
• Organisation muss angemessene Dokumentation aufbewahren

• In geplanten Abständen durchführen
• Ziele:
  • Konformität mit eigenen Anforderungen ISMS und ISO 27001
  • Effektive IMplementierung und Aufrechterhaltung
• Planung, Festlegung, Implementierung und Aufrechterhaltung eines Auditprogramms
• Inhalt Auditprogramm:
  • Auditmethode
  • Häufigkeit
  • Verfahren
  • Zuständigkeiten
  • Planungsanforderungen
  • Berichterstattung
• Im Auditprogramm muss:
  • Bedeutung der betroffenen Prozesse
  • Ergebnisse vorangegangener Audits berücksichtigt werden
  • Festlegung Auditkriterien und Geltungsbereich
  • Auswahl Auditoren
  • Durchführung von Audits zur Sicherstellung der Objektivität und Unparteilichkeit
• Ergebnisse der relevanten Leitung melden
• Dokumentation des Programms und der Ergebnisse

• Pflicht der obersten Leitung (Vorstand, GF, Top Management,...)
• In planmäßigen Abständen bewerten
• Angemessenheit prüfen
• Wirksamkeit um sicherstellen
• Folgende Aspekte berücksichtigt:
  • Maßnahmen aus vorangegangenen Managementbewertungen
  • Veränderungen von externen und internen Vorgängen
  • Umgang mit Fehlern und deren Korrekturmaßnahmen
  • Rückmeldung zu Überwachung und Messergebnissen
  • Umgang mit Auditergebnissen
  • Status zu Informationssicherheitszielen
  • Rückmeldung der interessierten Parteien
  • Ergebnisse der Risikobewertung und Status der Risikobehandlung
  • Möglichkeiten zur Verbesserung
• Ergebnisse der Managementbewertung müssen Entscheidungen enthalten
• Managementbewertung muss ggf. Aussagen zu erforderlichen Änderungen am ISMS beinhalten
• Dokumentierte Informationen zum Nachweis der Managementbewertung
• Einmal jährlich laut DAkkS
• Risiken und Chancen nicht vergessen!

• Umgang mit Fehlern regeln
• Auf Fehler reagieren
• Mit Auswirkungen des Fehler auseinandersetzen
• Maßnahmen ergreifen
• Fehler beseitigen
• Fehlerursachen ermitteln
• Fehler zukünftig vermeiden
• Fehler bewerten
• Korrekturmaßnahmen bewerten, Wirksamkeit prüfen
• Ggf. Änderungen am ISMS umsetzen
• Korrekturmaßnahmen müssen geeignet sein
• Dokumentierte Informationen zum Nachweis
  • Art der Fehler, ergriffene Maßnahmen, Ergebnisse der Korrekturmaßnahmen

Das Unternehmen muss sein Informationssicherheitsmanagementsystems laufend verbessern, d.h. es muss auch zukünftig geeignet, angemessen und wirksam sein

• Physische Sicherheit, Umgebungssicherheit
• Zutrittsüberwachung
  • Türsensoren
  • Kameras
  • Bodensensoren

• Muss festgelegt und genehmigt werden
• Für alle zugänglich sein
• Regelmäßig geprüft und bei Änderungen angepasst werden
• Auf Angemessenheit und Wirksamkeit überprüft werden

• Zuständigkeiten festlegen
• Rollen, Befugnisse und Verantwortlichkeiten festlegen und kommunizieren
• Getrennte Verantwortlichkeiten (IT-Leiter darf nicht ISB sein)
• Kontakt zu Behörden (z.B. BSI)
• Kontakt zu Interessengruppen pflegen
• Sicherheitspolitik bei Mobile Devices
  • Smartphones, Tablets, Laptop, Smart Watch, externe Festplatte, Wechseldatenträger
• Nutzungspolitik bei Telearbeitsplätzen
  • Home Office oder Remote Arbeit

• Überprüfung von
  • Herkunft
  • Einklang mit dem Gesetz (Führungszeugnis)
• Einstufung der Risiken
• Mitarbeiter auf ISM, Geheimhaltung und Datenschutz verpflichten
• Management muss Mitarbeiter und Vertragspartner anhalten ISM-Politik anzuwenden, z.B. über Verträge und Audits

• Schulung
  • Richtlinien, Prozesse, Verfahren
• Gestaltung der Schulungen
  • Rollenspezifisch
  • Motivierend
  • Regelmäßig und/oder bei Änderungen (je Unternehmen → 2x oder mehr pro Jahr?, Neue Mitarbeiter → Ersteinweisung)
  • Nachweise (Urkunde)
  • Interne und externe Schulungen
• Schulungsarten:
  • e-Learning
  • Workshops
  • Lesen
  • Mentoring
  • Consulting
  • Vortrag
• Wie können die Mitarbeiter überprüft werden?
  • Stichproben → Besuch am Arbeitsplatz (Audit)

• Maßregelungsprozess für ISM-Verstöße
• Verantwortung und Pflicht auch nach dem Arbeitsende hinaus müssen definiert, überwacht und durchgesetzt werden

• Assets ermitteln und Inventarverzeichnis erstellen
• Regeln für Gebrauch und Verantwortliche für Assets festlegen und dokumentieren
  • z.B. muss ein Mitarbeiter seinen Arbeitslaptop wieder zurückgeben?
• Assets sind nach Ihrem Wert zu klassifizieren:
  • Informationen
  • Arbeitsplatz Ausstattung
  • Warenbestand (Material)
  • IT-Infrastruktur
  • Know-How der Mitarbeiter
  • Gebäude
• Schutzklassen
  • Vertraulich
  • Intern
  • Öffentlich

• Zugriffspolitik
• Zugriffsüberwachungspolitik
• Benutzerrechteverwaltung
• Sonderzugriffsrechte
  • z.B. 15 Admins → 1x Super Admin (Sonderzugriffsrechte)
• Zugriffe für Systeme
  • Anwendungen, die Systemüberwachungen umgehen können, müssen eingeschränkt und überwacht werden
  • Zugriffsbeschränkung auf Software/Quellcode
  • Wie kann diese Beschränkung geschützt werden?
    • PGP (Public Key und Private

• Alles, was für eine Organisation von Wert ist (materiell und immateriell)

• Bei diesen Gesprächen werden Arbeitsabläufe, Prozesse, Fertigungsverfahren, Richtlinien und Standards betrachtet
• Ziel ist es, Verbesserungspotentiale und Abweichungen zu erkennem

• Darlegung eines Sachverhalts auf Richtigkeit einer Behauptung und Bestätigung einer Vermutung

• Elektronisch gespeicherte Informationen und IT-Systeme
• Nicht nur Schutz der technischen Verarbeitung
• Fehlerfreies Funktionieren und Zuverlässigkeit der IT-Systeme

• Ziel: Schutz von Informationen
• Alle Informationen: Digital + Analog (mit und ohne Personenbezug)

• Schutz von Daten aller Art (mit und ohne Personenbezug)
• Digitale und analoge Daten
• Schutz vor Manipulation, Verlust, unberechtigter Kenntnisnahme

• Nur personenbezogene Daten
• Jeder Bürger hat das Recht auf informationelle Selbstbestimmung und Schutz vor missbräuchlichen Verwendung seiner Daten
• Dürfen die Daten überhaupt verarbeitet werden?

Vorteile für ein Unternehmen, Beweggründe dafür, etc.

• Gesetzliche Vorgaben einhalten: IT Sicherheitsgesetz, DSGVO, TKG, TMG
• Vertrauen gegenüber Kunden
• Sicherheit, Geheimnisse bewahren
• Kundenanforderung
• Strukturierte Prozesse und Abläufe
• Positiver Effekt für das Marketing (damit man nicht negativ auf Heise landet..)
• Sanktionen und Präventionen
• Wissensvorsprung durch Informationen ist ein Wettbewerbsvorteil

• Vergleichbarkeit
• “Rezeptbuch” für die wichtigsten Vorgaben, Technologien, Prozesse für IT-Sicherheit
• Geprüfte Standards

• Sicheres Informationsmanagement
• Spezifiziert Anforderungen eines ISMS unter Berücksichtigung der Risiken des Unternehmens
• Entwickelt, um die Auswahl geeigneter Sicherheitsmechanismen aller Unternehmenswerte in den Geschäftsprozessen sicherzustellen

• Vertraulichkeit
  • Nur befugte Personen haben Zugang zu Daten, Systemen, Konfigurationen, etc.
• Integrität
  • Daten und Systeme sind korrekt, unverändert bzw. verlässlich
  • Beispiel für einen Angriff auf die Integrität: Empfänger erhält eine andere Nachricht, als die vom Sender versandte
• Authentizität
  • Echtzeit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung
  • Beispiel für einen Angriff auf die Authentizität: Unbefugte Erzeugung einer Nachricht unter einer falschen Identität
• Verfügbarkeit
  • Daten und IT-Systeme müssen bei Bedarf für autorisierte Personen zur Verfügung stehen
  • Beispiel für einen Angriff auf die Verfügbarkeit: Unbefugte Unterbrechung, z.B. durch Ausfall von Servern oder Kommunikationsmitteln

• Branche, in der das Unternehmen tätig ist
• Regional/lokal, national, global agierend
• Ermittlung externer und interner Aspekte, welche sich auf Fähigkeiten des Unternehmens im Bezug auf das ISMS auswirken
  • Externe Aspekte:
    • Marketinganalyse (Märkte, Zielgruppe, Branche, etc.)
    • PEST-Analyse (political, economical, social, technological)
  • Interne Aspekte:
    • Kernkompetenz
    • Portfolio
    • Kostenstruktur
    • Kundenzufriedenheit
• Dauerhaftes Überwachen und Überprüfen der Aspekte

• Externe Parteien
  • Kunden
  • Lieferanten
  • Staat
• Interne Parteien
  • Mitarbeiter
  • Manager
  • Eigentümer
• Anforderungen
  • explizit (Angebot, Vertrag, Lastenheft)
  • implizit (rechtlich normativ, stillschweigend vorausgesetzt, etc.)
  • selbst auferlegt

• Gestaltungsbereich festlegen
  • Für wen gilt das ISMS?
  • Unternehmen, Abteilung, Organisationseinheit, etc.
• Schnittstellen und Abhängigkeiten definieren
• in dokumentierter Form zusätzlich
  • Themen aus “Organisation und ihr Kontext” berücksichtigen
  • Anforderungen aus “Interessierte Parteien” berücksichtigen
  • Ausschlüsse begründen
  • Link zu A.18 Compilance