Ausgewählte Standards zum IT-Risikomanagement

organisato-risches bzw. ein Managementproblem darstellt (Hirschmann, Romeike 2004, 13) und dies v.a. auch auf das Management von Wissensrisiken als zentralen Betrachtungsgegenstand dieser Arbeit zutrifft.

Dieser Ausrichtung folgen die komplementären Standards ISO/IEC 17799 und ISO/IEC 27001 (siehe 4.4.1) sowie die IT-Grundschutzkataloge (siehe 4.4.2). Zudem werden die Common Criteria (siehe 4.4.3) kurz dargestellt, die auf die Evaluierung von IT-Produkten bezogen sind. CobiT, als weit ver-breiteter „de facto“ Standard, zielt auf die Verbesserung des Kontrollsystems ab und verfügt über ein Rahmenwerk, das eine ganzheitliche Sicht der IT einnimmt (siehe 4.4.4). Zudem besteht mit SOMAP (siehe 4.4.5) auch im Open-Source Bereich ein Standard, der aufgrund der Kostenvorteile für viele Unternehmen ebenfalls von Relevanz ist und daher gesondert betrachtet wird.

4.4.1 ISO/IEC 17799 / ISO/IEC 27001

Die Standards BS 7799 und ISO/IEC 17799 verfolgen einen Best Practice Ansatz und stellen einen Leitfaden zum Aufbau und Führen eines Informationssicherheits-Managementsystems (ISMS) dar.

Unter Leitung des britischen „Departments of Trade and Industry“ wurden 1989 in Zusammenarbeit mit Unternehmen eine Verhaltensrichtlinie („Users Code of Practice“) entwickelt und in den Folge-jahren weiterentwickelt. 1995 wurde der darauf ba-sierende Standard BS 7799-1 durch das British Standard Institute (BSI) verabschiedet. In 2001 er-folgte die Überführung in einen international ver-bindlichen Standard, ISO/IEC 17799¹¹⁸. Neben BS 7799-1 besteht noch ein zweiter Teil des British Standards (BS 7799-2), durch den beschrieben wird, wie ISO/IEC 17799 anzuwenden ist.

Dabei werden die Anforderungen für Erstellung, Einführung, Betrieb, Überwachung, Wartung, und Verbesserung eines dokumentierten ISMS unter Berücksichtigung der Risiken innerhalb der gesamten Organisation spezifiziert. In 2005 wurde BS 7799-2 in ISO/IEC 27001 überführt¹¹⁹ (Junginger 2005, 146f; Hofmann 2006, 206ff).

Durch ISO/IEC 17799 werden Sicherheitsanforderungen definiert, die dann von Relevanz sind, wenn Schutzbedarf für Informationen besteht. Die Maßnahmen sind allgemein abgefasst, weshalb eine An-passung an die Spezifika des Unternehmens erforderlich ist. Dabei werden 11 Überwachungsbereiche (siehe Tab. 5) für Richtlinien und Maßnahmen definiert, die das ISMS in Bezug auf die Initiierung,

118 Die vollständige aktuelle Bezeichnung lautet (ISO/IEC 17799:2005 - Information technology - Code of practice for information security management)

119 Aufgrund der Bestrebungen, alle Standards, die ISMS betreffen, als ISO/IEC 27000er-Reihe zusammenzuführen, soll ISO/IEC 17799 ab 2007 in ISO/IEC 27002 umbenannt werden.

Überwachungsbereiche IT-Sicherheitsleitlinie

Organisation der Informationssicherheit Management von Ressourcen

personelle Sicherheit

physische und umgebungsbezogene Sicherheit Betriebs- und Kommunikationsmanagement Zugriffskontrolle

Beschaffung, Entwicklung und Wartung Management von Sicherheitsvorfällen Geschäftskontinuitätsplanung Einhaltung der Verpflichtungen

Tab. 5 Überwachungsbereiche nach ISO/IEC 17799

Umsetzung und Verbesserung unterstützen. Diese werden wiederum in 39 Hauptkategorien, so ge-nannte Kontrollziele untergliedert, zu deren Erreichung 133 Sicherheitsmaßnahmen unterlegt sind (Bitkom 2006, 25f). Eine Zertifizierung nach ISO/IEC 17799 ist grundsätzlich nicht möglich. Soll ein ISMS zertifiziert werden, kann dies nur nach ISO/IEC 27001 erfolgen. Dabei kann das Erfüllen der Anforderungen bzgl. der Umsetzung des ISMS von internen oder externen Auditoren überprüft wer-den (Bitkom 2006, 25)¹²⁰.

4.4.2 IT-Grundschutzkataloge

Die IT-Grundschutzkataloge¹²¹ wurden aufgrund der zunehmenden Gefährdung in einer ersten Versi-on 1995 durch das Bundesamt für Sicherheit in der InformatiVersi-onstechnik (BSI) veröffentlicht. Es stellt in mehreren Katalogen Methodiken und praktische Umsetzungshilfen zur Etablierung eines kontinu-ierlichen und effektiven IT-RM-Prozesses bereit.

Das Ziel der Grundschutzkataloge besteht darin, durch infrastrukturelle, technische, organisatorische und personelle Standardmaßnahmen ein Sicherheitsniveau zu erreichen, das ein Mindestmaß an Si-cherheit, also einen so genannten Grundschutz, bietet, um somit eine ausbaufähige Basis zu schaffen.

Aufgrund der ausgeprägten Heterogenität der in der Praxis eingesetzten Systeme folgen die IT-Grundschutzkataloge einem Baukastenprinzip, das unterschiedlichsten Systemen und Anwendungen Rechnung tragen soll (BSI 2006, 14). Die Erstellung eines IT-Sicherheitskonzeptes wird dadurch er-leichtert, dass keine Risikoanalyse im klassischen Sinne erforderlich ist, sondern ein Soll-Ist-Vergleich zwischen empfohlenen und ergriffenen Maßnahmen durchgeführt wird (BSI 2006, 14).

Hinsichtlich der Maßnahmen erfolgt eine Unterscheidung in solche, die zur Erfüllung der Minimalan-forderungen erforderlich sind und zusätzlichen Maßnahmen, die sich in der Praxis bewährt haben (BSI 2006, 14).

Die IT-Grunschutzkataloge sind in Bausteine, Gefährdungs- und Maßnahmenkataloge gegliedert (sie-he Tab. 6), die untereinander vernetzt sind.

Bausteine Gefährdungskataloge Maßnahmenkataloge

(B1) übergeordnete Aspekte der IT-Sicherheit

(B2) Sicherheit der Infrastruktur (B3) Sicherheit der IT-Systeme (B4) Sicherheit im Netz

(B5) Sicherheit in Anwendungen

(G1) höhere Gewalt

(G2) organisatorische Mängel (G3) menschliche Fehlhandlungen (G4) technisches Versagen (G5) vorsätzliche Handlungen

(M1) Infrastruktur (M2) Organisation (M3) Personal

(M4) Hard- und Software (M5) Kommunikation (M6) Notfallvorsorge Tab. 6 zentrale Elemente der IT-Grundschutzkataloge

Bausteine detaillieren die betrachteten Komponenten, Vorgehensweisen und IT-Systeme, wobei die entsprechenden Gefahren und Standardmaßnahmen referenziert werden. Durch die Gefährdungskata-loge werden Gefährdungen entsprechend ihrer Kategorisierung mit den einzelnen Bausteinen in

Be-120 Weitere Details siehe auch (Völker 2005).

121 In den Versionen 1996-2005 wurden die IT-Grundschutzkataloge "IT-Grundschutzhandbuch" genannt.

ziehung gesetzt. Maßnahmen aus unterschiedlichen Bereichen werden innerhalb der Maßnahmenkata-loge betrachtet und mit den beiden anderen Elementen vernetzt (BSI 2006, 14). Das BSI ermöglicht eine mehrstufige Zertifizierung. Die beiden Selbsterklärungen Grundschutz-Einstiegsstufe und IT-Grundschutz-Ausbaustufe können ohne Beteiligung Dritter von den Zeichnungsbefugten der jeweili-gen Institution vorjeweili-genommen werden. Für die Erteilung eines IT-Grundschutz-Zertifikates bedarf es eines Audit-Reports eines lizenzierten IT-Grundschutz-Auditors (Bitkom 2005, 13).

4.4.3 Common Criteria

Die Common Criteria¹²² sind ein internationaler Standard (ISO/IEC 15408) zur Bewertung und Zerti-fizierung der Sicherheit von IT-Produkten. Als IT-Produkte werden in diesem Standard Hard-, Soft-und Firmware bezeichnet (CC 2006c, 9). Dazu werden im Standard Kriterien zur Evaluierung der Datensicherheit und des Datenschutzes definiert, die vorwiegend auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit (siehe Abschnitt 4.2) fokussiert sind. Der Standard findet dabei sowohl für die Entwicklung von IT-Produkten mit Sicherheitsfunktionalität als auch bei deren Beschaffung Anwendung (CC 2006c, 9). Die Common Criteria, die aktuell in der Version 3.1 vorliegen, zielen auf eine Vereinheitlichung und Weiterentwicklung der europäischen ITSEC¹²³, der kanadischen CTCPEC¹²⁴ und der amerikanischen TCSEC¹²⁵ ab. Der Standard soll somit eine international einheit-liche Grundlage zur Prüfung und Zertifizierung bieten. Durch die positive Prüfung wird der Nachweis erbracht, dass alle Sicherheitsanforderungen an die IT-Produkte vollständig erfüllt sind und nicht durch Schwachstellen im System umgangen werden können. Zentrale Oberpunkte für Prüfkriterien sind der Funktionsumfang und die Vertrauenswürdigkeit. Die Common Criteria bieten die Möglich-keit, Sicherheitsanforderungen in vorevaluierten Schutzprofilen zusammenzufassen. Diese stellen unabhängig von der Implementierung eine Beschreibung der Sicherheitsanforderungen an bestimmte Typen von IT-Produkten dar und können somit auf verschiedene Instanzen (Produkte) des entspre-chenden Typs angewandt werden (CC 2006c, 16, 40). Diese Schutzprofile umfassen ein Sicherheits-konzept und eine Auflistung der Bedrohungen, denen IT-Produkte ausgesetzt sind. Daneben bestehen so genannte Sicherheitsziele (Security Targets), die in Abhängigkeit der Implementierung eines kon-kreten IT-Produkts Sicherheitsanforderungen spezifizieren. Sie dienen somit der Überprüfung der Erfüllung der allgemeinen Sicherheitsanforderungen aus den Schutzprofilen und werden durch die Hersteller umgesetzt bzw. dienen der Zertifizierungsstelle als Evaluierungsbasis (CC 2006c, 17, 30).

Die Common Criteria bestehen aus drei Teilen.

122 Die vollständige Bezeichnung lautet: Common Criteria for Information Technology Security Evaluation.

123 Information Technology Security Evaluation Criteria

124 Canadian Trusted Computer Product Evaluation Criteria

125 Trusted Computer System Evaluation Criteria werden auch als Orange Book bezeichnet.

Teil 1 dient zur Einführung und zur Darstellung der Definitionen des allgemeinen Modells und des Geltungsbereiches. Zudem werden Schutzprofile und Sicherheitsziele beschrieben.

Teil 2 umfasst die Definition funktionaler Sicherheitsanforderungen. Diese stellen eine Empfeh-lung zur Beschreibung der Funktionalität eines IT-Produkts dar. Dabei werden die Anforderungen verschiedener Funktionsklassen, wie z.B. Sicherheitsprotokollierung, Kommunikation, Schutz der Nutzerdaten, Unterstützung der Verschlüsselung oder Authentifizierung, zugeordnet. Dabei sind die Anforderungen zielgruppenspezifisch für Entwickler und Auditoren differenziert (CC 2006a, 18ff).

Teil 3 definiert Anforderungen an die Vertrauenswürdigkeit, die die Korrektheit der Implementie-rung des betrachteten Systems bzw. die Prüftiefe beschreiben. Dabei bestehen verschiedene Klas-sen an Kriterien, wie z.B. Entwicklung, Dokumentation, Unterstützung des Lebenszyklus oder Evaluierung der Sicherheitsziele. Es erfolgt dabei eine Unterteilung in sieben Stufen, die von

„funktionell getestet“ als niedrigste bis hin zu „formal verifizierter Entwurf und getestet“ als höchste Vertrauenswürdigkeitsstufe reichen (CC 2006b, 30ff).

Neben der Verbesserung der unternehmensinternen IT-Sicherheit, kann der Beitrag der Common Cri-teria zur Risikoreduktion insbesondere auch in der interorganisationalen Zusammenarbeit gesehen werden, da durch die Zertifizierung Kunden, Lieferanten und Partnern ein hoher Sicherheitsstandard gewährleistet werden kann (Junginger 2005, 148).

4.4.4 CobiT

CobiT (Control Objectives for Information and Related Technology) ist ein international anerkannter Standard zur IT-Governance und soll ein Bindeglied zwischen Risiko, IT sowie Prüfungs- und Kon-trollanforderungen schaffen (Junginger 2005, 149). Der „de facto“ Standard berücksichtigt seinerseits wiederum über 40 international anerkannte Standards (Rentschler 2005, 26). CobiT wurde 1993 durch die Information Systems Audit and Control Association (ISACA), einem internationalen Verband der die Interessen von IT-Fachleuten in den Bereichen Prüfung, Überwachung und Sicherheit vertritt, entwickelt und 1996 als Werkzeug angeboten. Seit 2000 ist das IT-Governance Institute für die Wei-terentwicklung von CobiT, das mittlerweile in der vierten Version vorliegt, zuständig. CobiT dient sowohl zur Steuerung der IT aus Unternehmenssicht als auch als Beurteilung der Reife, wobei eine formale Zertifizierung nicht möglich ist (Rentschler 2005, 26). CobiT basiert auf der Annahme, dass IT am besten gesteuert werden kann, wenn die in den Geschäftsobjekten benötigten Informationen den Ausgangspunkt darstellen. Dabei erfolgt eine Fokussierung auf die Wechselbeziehungen zwi-schen Unternehmenszielen und IT. So werden die Ziele einer Unternehmung durch die IT erst ermög-licht und auf der anderen Seite die Unternehmensziele mit Hilfe der IT umgesetzt. Zentral sind in die-sem Zusammenhang die IT-Ressourcen, die die Geschäftsprozesse mit Informationen versorgen.

Co-biT folgt der Prozessorientierung, nimmt eine ganzheitliche Sicht auf die IT ein und strukturiert die IT in 34 Prozesse, die ihrerseits den Domänen Planung und Organisation, Beschaffung und Implementie-rung, Betrieb und Unterstützung sowie Überwachung zugewiesen sind. Je Prozess sind eine Prozess-beschreibung, das Ziel des Prozesses, die Aktivitäten, wesentliche Messgrößen, die Anforderungen und Handlungsempfehlungen definiert (IT-Governance-Institute 2005, 30ff).

Zentral sind dabei die Anforderungen (control objectives), mittels derer eine ausreichende Informati-onsversorgung der Geschäftsprozesse gewährleistet werden soll. Zentrale Anforderungen an Informa-tionen stellen die Wirksamkeit, Wirtschaftlichkeit, Vertraulichkeit, Integrität, Verfügbarkeit, Compli-ance und Verlässlichkeit dar. Aus der Perspektive des Sicherheitsmanagements ist dabei insbesondere die Einhaltung der in Abschnitt 4.2 dargestellten Schutzziele von Bedeutung. Zudem ist die Anforde-rung Compliance, die die Einhaltung von Gesetzen, Richtlinien, Regularien oder vertraglichen Ver-einbarungen einfordert, bei der Durchführung der Geschäftsprozesse bedeutend (IT-Governance-Institute 2005, 14). CobiT adressiert IT-Sicherheitsmanagement direkt und indirekt. So besteht expli-zit ein Prozess zum RM, der sich mit den in Abschnitt 3.5 erläuterten Kernaufgaben des RM deckt.

Eine Nichtberücksichtigung bestimmter Maßnahmen geht nach dem Verständnis von CobiT mit IT-Risiken einher und stellt somit deren indirekte Adressierung dar (IT-Governance-Institute 2005, 67ff;

Book, Rudolph 2005, 58).

Durch Audit-Richtlinien wird der Stand der Implementierung überprüfbar und im Rahmen des zuge-hörigen CobiT-Reifegradmodells mit sechs Reifestufen, z.B. nicht-existent, definierter Prozess oder optimiert, differenziert bewertbar und somit der Fortschritt in der Implementierung messbar (Bitkom 2006, 36).

4.4.5 SOMAP

Neben den vorgestellten Standards bestehen auch im Open Source Bereich Bestrebungen zum IT-RM.

Dies wird beispielsweise durch das Security Officers Management and Analysis Project (SOMAP) vorangetrieben¹²⁶. Das Projekt hat zum Ziel, die Risikoanalyse und Steuerung von IT-Risiken insbe-sondere durch einen Katalog an Best Practice Maßnahmen sowie ein Werkzeug zur Risikoanalyse zu unterstützen (Wiesmann 2006, 65). SOMAP umfasst mehrere Bestandteile, die auch von kommerziel-len Standards abgedeckt werden. Mittels eines Handbuchs soll das grundlegende Verständnis zum RM geschaffen werden. Zentrale Begriffe werden definiert und gegeneinander abgegrenzt. Ebenso werden die einzelnen Schritte, die im Rahmen der Risikoanalyse erforderlich sind, in einem zweiten Hand-buch beschrieben. Zudem besteht eine Sammlung an Best Practices zu Sicherheitsmaßnahmen in Form eines Repository, während darüber hinaus mittels Vorlagen für Reports die Risikoanalyse unter-stützt wird. Das Projekt befindet sich aktuell noch in Entwicklung.

126 Siehe auch http://www.somap.org/.

In Abgrenzung zu kommerziellen Anbietern ist für SOMAP wie auch für andere Open Source Projek-te kennzeichnend, dass den verProjek-teilt gesammelProjek-ten InhalProjek-ten eine Struktur fehlt und dadurch die Operati-onalisierung in Unternehmen erschwert wird. Andererseits hat die verteilte Sammlung der Inhalte zum Vorteil, dass die Weiterentwicklung des Ansatzes gefördert wird und nicht wie bei vielen kommer-ziellen Standards zum Teil langwierig ist (Wiesmann 2006, 66). Als besonders positiv kann die Open Source Entwicklung des Tools zur Risikoanalyse beurteilt werden, da in diesem Zusammenhang Syn-ergien zu vermuten sind.

Neben den angeführten Standards im Bereich ISMS besteht eine Vielzahl an spezialisierten Standards, die die Erstellung eines IT-Sicherheitskonzeptes bzw. die Umsetzung von IT-Sicherheitsmaßnahmen unterstützen. Für eine detaillierte Übersicht wird auf den Kompass zu IT-Sicherheitsstandards verwie-sen, der durch Bitkom erstellt wurde¹²⁷.