24.01.2018

Safety first: To-Dos für die Informationssicherheit

Von Michael Thissen

Die Bedeutung einer funktionierenden Informationssicherheit nimmt immer mehr zu. Nicht nur etablierte Regularien fordern dies, sondern die in der letzten Zeit veröffentlichten Schwachstellen zeigen immer wieder, dass viele Unternehmen dieses Thema noch nicht ganz so ernst nehmen. Eine funktionierende Informationssicherheit kann man eh nicht zu 100 % garantieren, aber man kann entsprechende Maßnahmen treffen, um zielgerichtete Schritte zu unternehmen. Wenn wir Kunden im Bereich Informationssicherheit unterstützen - eher gesagt, die Unternehmen dazu befähigen, mehr aus einem Informationssicherheitsmanagementsystem (ISMS) herauszuholen - dann starten wir immer mit der Schutzniveauberechnung der vorhandenen Werte.

Wie hoch ist der Schutzbedarf?
Der Schutzbedarf eines Informationswertes orientiert sich an dem Ausmaß der Schäden, die entstehen können, wenn die Funktionsweise beeinträchtigt ist. Da die Höhe eines Schadens häufig nicht genau bestimmt werden kann, sollte eine für den Anwendungszweck passende Anzahl von Security Controls definiert sein, anhand derer der Schutzbedarf festgelegt wird. Der BSI-IT-Grundschutz empfiehlt drei Schutzbedarfskategorien:

Normal: Die Schadensauswirkungen sind begrenzt und überschaubar.
Hoch: Die Schadensauswirkungen können beträchtlich sein.
Sehr hoch: Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß erreichen.

Eine Schutzniveauberechnung können Sie ganz einfach selber an folgenden Security-Controls für Anwendungswerte festlegen (die auszuwählenden Werte definieren Sie am besten nach eigenem Ermessen):

Sicherheitsdokumentation

  • Liegen Sicherheitsdokumentation und Betriebshandbücher vor?
  • Liegen Sicherheitsdokumentation im Sicherheitskonzept, Betriebshandbücher und IST-SOLL-Abgleich vor?
  • Liegt eine Sicherheitsdokumentation im Sicherheitskonzept, Betriebshandbücher und Risikoanalyse vor?

Berechtigungsprüfung

  • Kritische Berechtigungen werden mindestens halbjährlich überprüft.
  • Standard Berechtigungen werden mindestens ein Mal pro Jahr überprüft.

Authentifizierung - Account und Passwortverwaltung

  • Wird das System öffentlich und ohne Authentisierung genutzt?
  • Werden Vorgaben der eigenen ISMS-Passwort-Richtlinie umgesetzt?
  • Erfolgt die Authentifizierung über einen zentralen Verzeichnisdienst?

Benutzer und Rollenverwaltung (Basis)

  • Eine Benutzer- und Rollenverwaltung ist für dieses System nicht vorgesehen.
  • Die Benutzer und Rollen werden automatisch verwaltet.
  • Existiert ein auf Rollen basierendes Rechtekonzept?
  • Werden im Rollen-/Berechtigungskonzept alle Zugriffs- und Zugangsrechte geregelt?
  • Werden Abhängigkeiten zwischen Rollen berücksichtigt?
  • Ist sichergestellt, dass jeder Nutzer nur die Rechte hat, die er für die Erledigung seiner Aufgaben benötigt?

Schutz privilegierter Zugriffe

  • Werden die privilegierten Zugriffe lokal protokolliert und anlassbezogen ausgewertet?
  • Werden die privilegierten Zugriffe zentral protokolliert und anlassbezogen ausgewertet?
  • Werden die privilegierten Zugriffe über Sprung-Server geschützt, aufgezeichnet und kontrolliert?

Schutz gegen Schadsoftware

  • Das System ist nicht durch ein Anti-Viren-System schützbar.
  • Das System wird durch Anti-Viren-Systeme geschützt.

Physische Sicherheit

  • Wird das System oder der Unternehmenswert in den eigenen Sicherheitszonen betrieben?
  • Wird das System extern gehostet?
  • Sind zusätzliche physische Sicherheitsaspekte zu beachten?

Schwachstellenmanagement oder Patch-Management

  • Für das System gibt es keine Security Patches.
  • Für das System existiert ein dokumentierter Patch-Management-Prozess.
  • Das System wird durch den zentralen Schwachstellenscanner überwacht.

Härtung

  • Werden bei den IT-Systemen nur benötigte Software-Pakete und Dienste installiert?
  • Sind die Härtungsprozeduren dokumentiert?

Security Protokollierung und Auswertung

  • Sicherheitsrelevante Log-Dateien werden lokal gespeichert und anlassbezogen ausgewertet.
  • Sicherheitsrelevante Log-Dateien werden zentral gespeichert und anlassbezogen ausgewertet.
  • Sicherheitsrelevante Log-Dateien werden zentral gespeichert und mit einem Security Incident und Event Management System (SIEM) überwacht.

Verschlüsselung Transport

  • Wird die Übertragung von Kennwörtern verschlüsselt?
  • Wird die Übertragung von Daten in öffentlichen oder fremden Netzwerken verschlüsselt?
  • Die Daten werden für die Datenkommunikation "end-to-end" verschlüsselt.

Verschlüsselung Ablage

  • Werden Kennworte verschlüsselt gespeichert?
  • Die Ablage der Daten erfolgt verschlüsselt.

Trennung der Umgebungen

  • Sind Entwicklungs-, Test- und Produktionsumgebungen voneinander getrennt?

Sicherer Fernzugang von Dritten

  • Sind Fernzugriffe Dritter auf die IT-Systeme vorhanden?
  • Werden die Fernzugriffe Dritter über Sprung-Server geschützt, aufgezeichnet und kontrolliert?
  • Erfolgt eine starke und benutzerbezogene Authentisierung?
  • Werden Kommunikationsverbindungen für den Fernzugang verschlüsselt?

Datentransfer zu externen Netzen

  • Werden Informationen oder Daten mit externen Netzen ausgetauscht?
  • Sind alle Verbindungen zu externen Netzen dokumentiert und eingestuft?
  • Wird der Datentransfer zu externen Netzen über zentrale Netzübergänge geführt?
  • Wird der Datentransfer zu externen Netzen durch mehrstufigen Schutz gegen Schadsoftware abgesichert?

Mit diesen Fragen können Sie ganz einfach eine Tabelle erstellen und je nach Antwort Berechnungen des aktuellen Schutzbedarfs festlegen. Dies muss dann noch mit dem gewünschten Schutzniveau verglichen werden, damit Business-Anforderungen jederzeit beachtet sind.

Viel Erfolg!

zurück