Leitfaden IT-Sicherheit

Bundesamt für Sicherheit in der Informationstechnik,
Referat 114 IT-Sicherheitsmanagement und IT-Grundschutz

Einleitung

Das Leben im 21. Jahrhundert ist ohne Informations- und Kommunikationstechnik kaum mehr vorstellbar. Der Schutz von IT-Landschaften wird deshalb immer wichtiger. Auch die geänderte Gesetzeslage trägt dazu bei, die Sensibilität für IT-Sicherheitsthemen zu erhöhen: Vorstände und Geschäftsführer sind persönlich für Versäumnisse und mangelnde Risikovorsorge verantwortlich.

In der Praxis ist es aber meistens schwierig, ein angemessenes Sicherheitsniveau zu erreichen und aufrecht zu erhalten. Die Gründe dafür sind vielfältig: fehlende Ressourcen, zu knappe Budgets und nicht zuletzt die steigende Komplexität der IT-Systeme. Eine Vielzahl von IT-Sicherheitsprodukten und -beratern bieten unterschiedlichste Lösungen an. Da haben selbst Experten Mühe, den Überblick zu behalten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet bereits seit vielen Jahren Informationen und Hilfestellungen rund um das Thema IT-Sicherheit:

Als ganzheitliches Konzept für IT-Sicherheit hat sich das Vorgehen nach IT-Grundschutz zusammen mit den IT-Grundschutz-Katalogen des BSI als Standard etabliert. Diese, vom BSI seit 1994 eingeführte und weiterentwickelte Methode, bietet sowohl eine Vorgehensweise für den Aufbau einer Sicherheitsorganisation, als auch eine umfassende Basis für die Risikobewertung, die Überprüfung des vorhandenen IT-Sicherheitsniveaus und die Implementierung der angemessenen IT-Sicherheit. Die IT-Grundschutz-Kataloge dienen außerdem zahlreichen Unternehmen und Behörden als wichtiges Fundament eigener Maßnahmenkataloge. Analog zur Entwicklung in der Informationstechnik sind die Anforderungen an IT-Sicherheit immer komplexer und umfassender geworden. Besonders kleine und mittlere Institutionen mit beschränkten finanziellen und personellen Möglichkeiten wünschen sich deshalb einen leicht überschaubaren Einstieg in die Thematik.

Der vorliegende Leitfaden greift diesen Wunsch auf: Er gibt einen kompakten und allgemeinverständlichen Überblick über die wichtigsten IT-Sicherheitsmaßnahmen. Im Mittelpunkt stehen organisatorische Maßnahmen und die Veranschaulichung von Gefahren durch Praxisbeispiele. Auf technische Details wird bewusst verzichtet.

Fazit: Wer die Empfehlungen aus diesem Leitfaden konsequent umsetzt oder sich bei der Gestaltung von Serviceverträgen mit IT-Dienstleistern daran orientiert, legt bereits ein solides Fundament für ein vertrauenswürdiges IT-Sicherheitsniveau.

IT-Sicherheit im Fokus

Sicherheit ist ein Grundbedürfnis des Menschen - und damit unserer Gesellschaft. Gerade in Zeiten von Globalisierung, steigender Mobilität und wachsender Abhängigkeit der Industrienationen von Informations- und Kommunikationstechnik nimmt das Sicherheitsbedürfnis immer mehr zu.

Wachsende Verwundbarkeit und die Gefahr massiver wirtschaftlicher Schäden in Folge von IT-Risiken erhöhen den Handlungsdruck, durch aktives IT-Sicherheitsmanagement Schäden zu verhindern und das Restrisiko zu minimieren. Die Verantwortung beschränkt sich keineswegs auf die jeweiligen IT-Fachabteilungen. Vielmehr gilt: Sicherheit ist Chefsache. Dem hat auch der Gesetzgeber Rechnung getragen. Verschiedene Gesetze und Regelungen belegen die persönliche Haftung von Geschäftsführern bzw. Vorständen im Falle von Versäumnissen.
Eine weit verbreitete Ansicht ist, dass IT-Sicherheitsmaßnahmen zwangsläufig mit hohen Investitionen in Sicherheitstechnik und der Beschäftigung von hoch qualifiziertem Personal verknüpft sind. Dem ist jedoch nicht so. Die wichtigsten Erfolgsfaktoren sind gesunder Menschenverstand, durchdachte organisatorische Regelungen und zuverlässige, gut informierte Mitarbeiter, die selbständig Sicherheitserfordernisse diszipliniert und routiniert beachten. Die Erstellung und Umsetzung eines wirksamen und effektiven IT-Sicherheitskonzeptes muss darum nicht zwangsläufig unbezahlbar sein. Die wirksamsten Maßnahmen sind überraschend simpel und noch dazu oft kostenlos!

Eine andere weit verbreitete Fehleinschätzung betrifft den eigenen Schutzbedarf. Oft stößt man auf die folgenden Aussagen:

"Bei uns ist noch nie etwas passiert". Diese Aussage ist mutig. Vielleicht hat bei früheren Sicherheitsvorfällen niemand etwas bemerkt!

"Was soll bei uns schon zu holen sein, so geheim sind unsere Daten nicht." Diese Einschätzung ist in den meisten Fällen zu oberflächlich. Bei sorgfältiger Betrachtung von möglichen Schadensszenarien zeigt sich schnell: Es können durchaus Daten verarbeitet werden, die vielfältigen Missbrauch ermöglichen, wenn sie in die falschen Hände fallen.

"Unser Netz ist sicher." Die Fähigkeiten potentieller Angreifer werden oft unterschätzt. Hinzu kommt, dass selbst ein erfahrener Netz- oder Sicherheitsspezialist nicht alles wissen und gelegentlich Fehler machen kann. Externe Überprüfungen decken nahezu immer ernste Schwachstellen auf und sind ein guter Schutz vor "Betriebsblindheit".

"Unsere Mitarbeiter sind vertrauenswürdig." Verschiedene Statistiken zeichnen ein anderes Bild: Die Mehrzahl der Sicherheitsverstöße wird durch Innentäter verursacht. Dabei muss nicht immer Vorsatz im Spiel sein. Auch durch Versehen, Übereifer oder Neugierde gepaart mit mangelndem Problembewusstsein entstehen manchmal große Schäden.

Jeder sollte sich bewusst machen: Sicherheit ist kein statischer Zustand, sondern ein ständiger Prozess. Stellen Sie sich daher immer wieder die folgenden Fragen:

  • Welche Formen von Missbrauch wären möglich, wenn vertrauliche Informationen Ihres Unternehmens oder Ihrer Behörde in die Hände Dritter gelangten?
  • Welche Konsequenzen hätte es für Sie, wenn wichtige Informationen, z. B. während einer Datenübertragung oder auf Ihrem Server, verändert würden? Als Ursache kann nicht nur böse Absicht unbekannter Dritter, sondern auch technisches Versagen in Frage kommen.
  • Was würde geschehen, wenn in Ihrer Organisation wichtige Computer oder andere IT-Komponenten plötzlich ausfielen und einen längeren Zeitraum
    (Tage, Wochen, ...) nicht mehr nutzbar wären? Könnte die Arbeit fortgesetzt werden? Wie hoch wäre der mögliche Schaden?

Wenn Sie ein gut durchdachtes IT-Sicherheitskonzept umsetzen, werden sich nach einiger Zeit - neben dem Sicherheitsgewinn - weitere Vorteile einstellen. IT-Leiter beobachten häufig folgende "Nebeneffekte":

Die Mitarbeiter sind zuverlässiger, die Arbeitsqualität steigt.

Gelebte IT-Sicherheit fördert eine Unternehmenskultur, in der verantwortungsbewusstes Handeln, Kundenorientierung und die Identifikation mit den Unternehmenszielen fest verankert sind.

Wettbewerbsvorteile

Nachgewiesene IT-Sicherheit schafft Vertrauen bei Kunden und anderen Geschäftspartnern und wird zunehmend von diesen auch eingefordert.

Wartungsarbeiten an IT-Systemen erfordern deutlich weniger Zeit. Administratoren arbeiten effektiver.

Administratoren und Anwender kennen sich besser mit Ihren Systemen aus. IT-Systeme sind gut dokumentiert, was Administrationsarbeiten, Planung, Neuinstallation von Software und Fehlerbeseitigung erleichtert. Ein gutes IT-Sicherheitskonzept vermeidet zudem einige Probleme, unter denen Administratoren normalerweise besonders leiden: Anwender setzen verschiedene Programme für den gleichen Zweck ein, unterschiedliche Betriebssysteme müssen betreut werden, verschiedene Versionen der gleichen Software sind im Einsatz, jeder Anwender hat individuelle Rechte, Anwender nutzen private Software und gestalten ihren Arbeitsplatz-PC selbst, ohne entsprechendes Know-How. Eine zentrale Administration des ?Rechnerzoos? ist so kaum möglich. Jeder Rechner muss mit hohem Aufwand individuell analysiert und betreut werden.

Wichtige Begriffe rund um die IT-Sicherheit

Es gibt drei Grundwerte der IT-Sicherheit: Vertraulichkeit, Verfügbarkeit und Integrität

Vertraulichkeit: Vertrauliche Informationen müssen vor unbefugter Preisgabe geschützt werden.

Verfügbarkeit: Dem Benutzer stehen Dienstleistungen, Funktionen eines IT-Systems oder auch Informationen zum geforderten Zeitpunkt zur Verfügung.

Integrität: Die Daten sind vollständig und unverändert. Der Begriff "Information" wird in der Informationstechnik für ?Daten? verwendet, denen je nach Zusammenhang bestimmte Attribute, wie z. B. Autor oder Zeitpunkt der Erstellung, zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder der Zeitpunkt der Erstellung manipuliert wurde.

Weitere häufig verwendete Begriffe sind:

Authentisierung: Bei der Anmeldung an einem System wird im Rahmen der Authentisierung die Identität der Person, die sich anmeldet, geprüft und verifiziert. Der Begriff wird auch verwendet, wenn die Identität von IT-Komponenten oder Anwendungen geprüft wird.

Autorisierung: Bei einer Autorisierung wird geprüft, ob eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist.

Datenschutz: Unter Datenschutz versteht man den Schutz personenbezogener Daten vor dem Missbrauch durch Dritte (nicht zu verwechseln mit Datensicherheit).

Datensicherheit: Mit Datensicherheit wird der Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeichnet. Ein anderer Begriff dafür ist "IT-Sicherheit".

Datensicherung (engl. Backup): Bei einer Datensicherung werden, zum Schutz vor Datenverlust, Sicherungskopien von vorhandenen Datenbeständen erstellt.

Penetrationstest: Ein Penetrationstest ist ein gezielter, in der Regel simulierter, Angriffsversuch auf ein IT-System. Er wird als Wirksamkeitsprüfung vorhandener Sicherheitsmaßnahmen eingesetzt.

Risikoanalyse (engl. Risk Assessment/Analysis): Mit einer Risikoanalyse wird untersucht, wie wahrscheinlich das Eintreten eines bestimmten Schadens ist und welche negativen Folgen der Schaden hätte.

Sicherheitsrichtlinie (engl. Security Policy): In einer Sicherheitsrichtlinie werden Schutzziele und allgemeine Sicherheitsmaßnahmen im Sinne offizieller Vorgaben eines Unternehmens oder einer Behörde formuliert. Detaillierte Sicherheitsmaßnahmen sind in einem umfangreicheren Sicherheitskonzept enthalten.

Vorschriften und Gesetzesanforderungen

Stellen Sie sich vor, bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit, Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört. Oder aus Ihrem Haus werden Massen-eMails mit Computer-Viren verschickt. Welche Konsequenzen drohen dem Unternehmen bzw. der Behörde und den verantwortlichen Personen?

Überblick über gesetzliche Regelungen mit Bezug zur IT-Sicherheit geben.

Während der vergangenen Jahre wurden mehrere Rechtsvorschriften erlassen, aus denen sich zu Fragen der IT-Sicherheit unmittelbare Handlungs- und Haftungsverpflichtungen der Geschäftsführung bzw. des Vorstands eines Unternehmens ableiten lassen. Diese Regelungen gelten sowohl für Aktiengesellschaften als auch für GmbHs. Dies ist in der Öffentlichkeit noch nicht hinreichend bekannt.

In diesem Zusammenhang wird immer wieder auf das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hingewiesen. Das KonTraG ist ein sog. Artikelgesetz und ergänzt bzw. ändert verschiedene Gesetze, wie das Handelsgesetzbuch und das Aktiengesetz. Insbesondere die Forderung nach einem Risikomanagement für Kapitalgesellschaften, d. h. für Aktiengesellschaften und GmbHs, waren in den bisherigen Vorschriften nicht enthalten.

Im Einzelnen könnten Sie z. B. von folgenden Regelungen betroffen sein:

Im Aktiengesetz wird festgelegt, dass ein Vorstand persönlich haftet, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten,
nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt (§ 91 Abs. 2 und § 93 Abs. 2 AktG).

Geschäftsführern einer GmbH wird im GmbH-Gesetz ?die Sorgfalt eines ordentlichen Geschäftsmannes? auferlegt (§ 43 Abs. 1 GmbHG).

Die im Aktiengesetz genannten Pflichten eines Vorstands gelten auch im Rahmen des Handelsgesetzbuches (§ 317 Abs. 4 HGB). Weiterhin verpflichtet das Handelsgesetzbuch Abschlussprüfer zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind" (§ 317 Abs. 2HGB).

Die oben genannten Formulierungen klingen für den juristischen Laien teilweise recht allgemein und unverbindlich. In der Tat lassen sich hieraus jedoch konkrete Verpflichtungen für die Gewährleistung eines angemessenen IT-Sicherheitsniveaus im eigenen Unternehmen ableiten. IT-Sicherheitsvorfälle können massive wirtschaftliche Schäden verursachen und schlimmstenfalls den Bestand eines Unternehmens gefährden.

Für bestimmte Berufsgruppen, wie Ärzte, Rechtsanwälte oder Angehörige sozialer Berufe, gibt es darüber hinaus Sonderregelungen im Strafgesetzbuch, die sogar Freiheitsstrafen vorsehen, wenn vertrauliche Angaben von Patienten, Mandanten bzw. Klienten ohne Einwilligung öffentlich gemacht werden (§ 203 StGB). Ein fahrlässiger Umgang mit Informationstechnik kann diesen Tatbestand unter Umständen bereits erfüllen.

Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt. Die Verwendung von Informationstechnik, die Nutzung des Internets oder von Telekommunikationsdiensten werden zum Teil sehr genau geregelt. Einschlägig sind z. B.: Gesetz zur Nutzung von Telediensten, Telekommunikationsgesetz, Mediendienste-Staatsvertrag, Urheberrecht sowie verschiedene Richtlinien auf EU-Ebene.

Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung, sowie teilweise in den bereits aufgezählten Gesetzen geregelt.

Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird (Stichwort: Basel II).

Sie sehen, es gibt genügend Gründe, sich mit dem Thema IT-Sicherheit eingehend zu beschäftigen. Lassen Sie sich zu Ihrer Sicherheit die individuelle Rechtslage von einem Experten erklären und nehmen Sie Kontakt zu uns auf!

Den kompletten Leitfaden können Sie hier als PDF herunterladen.