M 2.182 Regelmäßige Kontrollen der IT-Sicherheitsmaßnahmen
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsmanagement
In den IT-Grundschutz-Katalogen werden eine Vielzahl von Regelungen, Sicherheitsmaßnahmen und Konfigurationshinweisen vorgestellt, die für die Erreichung der angestrebten IT-Sicherheit notwendig sind. Es ist aber nicht ausreichend, diese Regelungen bekannt zu geben, es muss auch regelmäßig deren Einhaltung kontrolliert werden. Regelmäßig heißt hierbei aber nicht, dass die Kontrollen an vorhersagbaren Terminen stattfinden, da angekündigte Kontrollen meist ein verzerrtes Bild des Untersuchungsgegenstands ergeben.
Kontrollen sollten vor allen Dingen darauf ausgerichtet sein, Mängel abzustellen. Für die Akzeptanz von Kontrollen ist es wichtig, dass dies allen Beteiligten als Ziel der Kontrollen erkennbar ist und dass die Kontrollen nicht den Charakter von Schulmeisterei haben. Es ist daher sinnvoll, während einer Kontrolle mit den Beteiligten über mögliche Problemlösungen zu sprechen und entsprechende Abhilfen vorzubereiten.
Wenn Mitarbeiter eine Regelung ignorieren oder umgehen, ist das meist ein Zeichen dafür, dass diese nicht mit den Arbeitsabläufen vereinbar ist oder durch die Mitarbeiter nicht umgesetzt werden kann. Beispielsweise ist eine Anweisung, vertrauliche Schreiben nicht unbeaufsichtigt am Drucker liegen zu lassen, unsinnig, wenn zum Drucken nur ein weit entfernter Netzdrucker zur Verfügung steht.
Wenn bei Kontrollen Mängel festgestellt werden, kommt es nicht darauf an, nur die Symptome zu beseitigen. Vielmehr ist es wichtig, die Ursachen für diese Probleme festzustellen und Lösungen aufzuzeigen. Diese können beispielsweise in der Änderung bestehender Regelungen oder in der Hinzunahme technischer Maßnahmen bestehen.
Kontrollen sollen helfen, Fehlerquellen abzustellen. Es ist für die Akzeptanz von Kontrollen extrem wichtig, dass dabei keine Personen bloßgestellt werden oder als "Schuldige" identifiziert werden. Wenn die Mitarbeiter dies befürchten müssen, besteht die Gefahr, dass sie nicht offen über ihnen bekannte Schwachstellen und Sicherheitslücken berichten, sondern versuchen, bestehende Probleme zu vertuschen.
Ergänzende Kontrollfragen:
- Werden alle Regelungen und IT-Sicherheitsmaßnahmen auf ihre Umsetzbarkeit untersucht?
- Wie häufig werden die bestehenden Regelungen und IT-Sicherheitsmaßnahmen auf ihre Einhaltung kontrolliert?