M 2.199 Aufrechterhaltung der IT-Sicherheit
Verantwortlich für Initiierung: IT-Sicherheitsmanagement-Team
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement-Team
Im IT-Sicherheitsprozess geht es nicht nur darum, das angestrebte IT-Sicherheitsniveau zu erreichen, sondern dieses auch dauerhaft zu gewährleisten. Um das bestehende IT-Sicherheitsniveau aufrechtzuerhalten und fortlaufend zu verbessern, sollten alle IT-Sicherheitsmaßnahmen regelmäßig überprüft werden.
Sowohl die korrekte Umsetzung als auch die Umsetzbarkeit eines IT-Sicherheitskonzepts müssen regelmäßig überprüft werden. Dabei ist zu unterscheiden zwischen der Prüfung, ob bestimmte Maßnahmen geeignet und effizient sind, um die gesteckten Sicherheitsziele zu erreichen (Vollständigkeits- bzw. Aktualisierungsprüfung), und der Kontrolle, inwieweit Sicherheitsmaßnahmen in den einzelnen Bereichen umgesetzt wurden (IT-Sicherheitsrevision).
Die im IT-Sicherheitskonzept geplanten IT-Sicherheitsmaßnahmen müssen gemäß des Realisierungsplans umgesetzt werden. Der Umsetzungsstatus muss dokumentiert werden. Zieltermine und Ressourceneinsatz müssen überwacht und gesteuert werden. Die Leitungsebene ist dazu regelmäßig zu informieren.
Diese Überprüfungen sollten zu festgelegten Zeitpunkten (mindestens jährlich) durchgeführt werden und können bei gegebenem Anlass auch zwischenzeitlich erfolgen. Insbesondere Erkenntnisse aus sicherheitsrelevanten Zwischenfällen, Veränderungen im technischen oder technisch-organisatorischen Umfeld sowie Änderungen von Sicherheitsanforderungen bzw. Bedrohungen erfordern eine Anpassung der bestehenden IT-Sicherheitsmaßnahmen. Die in den einzelnen Überprüfungen ermittelten Ergebnisse sollten dokumentiert werden, und es muss festgelegt sein, wie mit den Überprüfungsergebnissen zu verfahren ist. Hervorzuheben ist hierbei, dass Überprüfungen nur dann wirksam die IT-Sicherheit aufrechterhalten können, wenn aufgrund der Überprüfungsergebnisse auch die erforderlichen Korrekturmaßnahmen ergriffen werden.
Es sollte in der Behörde bzw. im Unternehmen festgelegt werden, wie die Tätigkeiten im Zusammenhang mit diesen Überprüfungen zu koordinieren sind. Dazu ist zu regeln, welche IT-Sicherheitsmaßnahmen wann und von wem zu überprüfen sind. Somit wird zum einen Doppelarbeit vermieden und zum anderen verhindert, dass bestimmte Bereiche innerhalb einer Organisation unberücksichtigt bleiben.
Die vorhandenen IT-Sicherheitsmaßnahmen sollten mindestens einmal im Jahr überprüft werden. Darüber hinaus sind sie immer dann zu prüfen, wenn
- neue IT-Komponenten oder Prozesse implementiert werden,
- größere Änderungen der Infrastruktur vorgenommen werden(z. B. Umzug),
- größere organisatorischen Änderungen anstehen (z. B. Outsourcing),
- die Gefährdungslage sich wesentlich ändert, wenn gravierende Schwachstellen oder Schadensfälle bekannt werden.
Einhaltung des IT-Sicherheitskonzeptes (IT-Sicherheitsrevision)
Hierbei muss geprüft werden, ob IT-Sicherheitsmaßnahmen tatsächlich so umgesetzt sind und eingehalten werden, wie sie im IT-Sicherheitskonzept vorgegeben wurden. Hierbei ist auch zu untersuchen, ob technische Maßnahmen korrekt implementiert und konfiguriert wurden und ob alle vorgesehenen Detektionsmaßnahmen (z. B. Auswertung von Protokolldateien) tatsächlich durchgeführt werden.
Dabei kann sich zeigen, dass beispielsweise IT-Sicherheitsmaßnahmen nicht umgesetzt worden sind oder dass sie in der Praxis nicht greifen. In beiden Fällen sollten die Ursachen für die Abweichungen ermittelt werden. Als mögliche Korrekturmaßnahmen kommen - je nach Ursache - in Frage:
- organisatorische Maßnahmen sind anzupassen,
- personelle Maßnahmen, z. B. Schulungs- und Sensibilisierungsmaßnahmen, sind zu ergreifen oder disziplinarische Maßnahmen einzuleiten,
- infrastrukturelle Maßnahmen, z. B. bauliche Veränderungen, sind zu initiieren,
- technische Maßnahmen, z. B. Änderungen an Hardware und Software oder Kommunikationsverbindungen und Netzen, sind vorzunehmen,
- Entscheidungen des verantwortlichen Vorgesetzten (bis hin zur Leitungsebene) sind einzuholen.
Auf jeden Fall sollte für jede Abweichung eine Korrekturmaßnahme vorgeschlagen werden. Außerdem sollte festgelegt werden, wer für die Umsetzung der Korrekturmaßnahme zuständig und bis wann die Umsetzung durchzuführen ist.
Kontinuierliche Verbesserung des IT-Sicherheitskonzeptes (Vollständigkeits- bzw. Aktualisierungsprüfung)
Das IT-Sicherheitskonzept muss regelmäßig aktualisiert, verbessert und an neue Rahmenbedingungen angepasst werden. Es muss regelmäßig geprüft werden, ob die IT-Sicherheitsmaßnahmen geeignet sind, um die IT-Sicherheitsziele zu erreichen. Dazu gehört auch, technische und regulatorische Entwicklungen zu verfolgen. Hierfür sollten externe Wissensquellen, wie Standards oder Fachpublikationen, verfolgt werden.
Außerdem sollte überlegt werden, Kontakte mit Gremien und Interessengruppen aufzunehmen, die sich mit Sicherheitsaspekten beschäftigen, die für die eigene Institution von Interesse sind. Dies unterstützt das IT-Sicherheitsmanagement-Team dabei, das Wissen über sicherheitsrelevante Methoden und Lösungen zu erweitern und aktuell zu halten. Außerdem werden dabei auch wertvolle Kontakte mit anderen IT-Sicherheitsbeauftragten geknüpft, um Lösungen anderer Institutionen kennen zu lernen und Praxiserfahrungen auszutauschen. Es werden dadurch auch Wege geebnet, um frühzeitig Warnungen über aufkommende Sicherheitsprobleme zu erhalten. Das IT-Sicherheitsmanagement-Team sollte einen Überblick besitzen, bei welchen Gremien und Interessengruppen aktiv mitgearbeitet werden sollte und bei welchen die Ergebnisse regelmäßig beobachtet und ausgewertet werden sollten.
Außerdem muss regelmäßig überprüft werden, ob die eingesetzten IT-Sicherheitsmaßnahmen effizient sind oder ob die IT-Sicherheitsziele mit anderen Maßnahmen ressourcenschonender erreicht werden könnten.
Durchführung der Prüfungen
Entsprechend dem Prüfungszweck sind Umfang und Tiefe der Überprüfung festzulegen. Als Grundlage für die Überprüfung dient das IT-Sicherheitskonzept und die vorhandene Dokumentation des IT-Sicherheitsprozesses. Die Überprüfung, die von internen oder externen Personen durchgeführt werden kann, ist sorgfältig zu planen. Während der Durchführung sind alle relevanten Feststellungen von den Prüfenden zu dokumentieren und auszuwerten.
Alle Prüfungen müssen von geeigneten Personen durchgeführt werden. Vollständigkeitsprüfungen sollten nicht durch die Ersteller der Konzepte durchgegeführt werden. Prüfer bzw. Auditoren müssen die notwendigen Qualifikationen mitbringen. Außerdem sollten Prüfer möglichst unabhängig sein.
Die Ergebnisse sind in einem Bericht festzuhalten. Dieser sollte auch die vorgeschlagenen Korrekturmaßnahmen aus fachlicher Sicht enthalten. Der Bericht sollte dem Leiter des überprüften Bereiches sowie dem IT-Sicherheitsmanagement-Team zur Kenntnis gegeben werden. Bei schwerwiegenden Problemen sollte die Leitungsebene mit einbezogen werden, damit auch weitreichende Entscheidungen zeitnah getroffen werden können.
Bei Prüfungen werden oft spezielle Werkzeuge eingesetzt. Ebenso wie bei den Berichten muss sichergestellt sein, dass nur dazu autorisierte Personen darauf Zugriff haben. Diagnose- und Prüftools sowie die Prüfergebnisse müssen daher besonders geschützt werden.
Korrekturmaßnahmen
Erkannte Fehler und Schwachstellen müssen abgestellt werden. Der identifizierte Optimierungsbedarf bei Effizienz und Effektivität von IT-Sicherheitsmaßnahmen muss umgesetzt werden.
Daher sind aufgrund der Überprüfungsergebnisse Entscheidungen über das weitere Vorgehen zu treffen. Insbesondere sind alle erforderlichen Korrekturmaßnahmen zu beschließen und in Form eines Umsetzungsplans festzuhalten. Auch hierfür sind die Verantwortlichen für die Umsetzung der Korrekturmaßnahmen zu benennen und mit den notwendigen Ressourcen auszustatten.
Ergänzende Kontrollfragen:
- Wird eine regelmäßige IT-Sicherheitsrevision durchgeführt?
- Werden regelmäßig Vollständigkeits- und Aktualisierungsprüfungen durchgeführt?
- Werden IT-Sicherheitsrevisionen gegebenenfalls auch von einer Revisionsabteilung oder mit externer Unterstützung durchgeführt?