IT-Sicherheit mit System Klaus-Rainer Müller IT-Sicherheit mit System Integratives IT-Sicherheits-, Kontinuitäts- und Risikomanagement – Sichere Anwendungen – Standards und Practices 5., neu bearbeitete und erweiterte Aufl age Klaus-Rainer Müller Groß-Zimmern, Deutschland Das vorliegende Buch wurde aus fachlicher, nicht aus juristischer Sicht geschrieben und nach bestem Wissen und Gewissen sowie mit größter Sorgfalt erstellt und qualitätsgesichert. Weder Autor noch Verlag können jedoch die Verantwortung oder Haft ung für Schäden übernehmen, die im Zusam- menhang mit der Verwendung des vorliegenden Werkes und seiner Inhalte entstehen. Das Buch kann eine Beratung nicht ersetzen. Bei zitierten oder ins Deutsche übersetzten Textpassagen, die aus Originaldokumenten stammen, gelten in Zweifelsfällen die Originaldokumente. Die in diesem Buch angegebenen Quellen und Webseiten wurden zum Zeitpunkt ihrer Einsicht- nahme nach bestem Wissen und Gewissen sowie mit größter Sorgfalt ausgewählt. Eine Haft ung, Garantie oder Verantwortung für die in diesem Buch angegebenen Webseiten und Quellen sowie deren Inhalte kann in keinerlei Hinsicht übernommen werden. Für Webseiten, welche aufgrund einer solchen Angabe aufgerufen werden, wird keine Verantwortung übernommen. Dementspre- chend distanziert sich der Autor ausdrücklich von ihnen. Der Umfang dieses Buches ist – im Gegensatz zur behandelten Th ematik – begrenzt. Demzufolge erhebt das Werk keinen Anspruch auf Vollständigkeit. Rechte Dritter wurden – soweit bekannt – nicht verletzt. Für in diesem Werk genannte Markennamen, Warenbezeichnungen, Gebrauchsnamen, Handelsnamen etc. gelten, auch wenn sie falsch oder nicht als solche gekennzeichnet sind, die entsprechenden Schutzbestimmungen und -rechte in ihrer jeweils aktuellen Fassung. ISBN 978-3-658-04333-9 ISBN 978-3-658-04334-6 (eBook) DOI 10.1007/978-3-658-04334-6 Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografi e; detaillierte bibliografi sche Daten sind im Internet über http://dnb.d-nb.de abrufb ar. Springer Vieweg © Springer Fachmedien Wiesbaden 2003, 2005, 2007, 2011, 2014 Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht aus- drücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfi lmungen und die Ein- speicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk be- rechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürft en. Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Springer Vieweg ist eine Marke von Springer DE. Springer DE ist Teil der Fachverlagsgruppe Springer Science+Business Media. www.springer-vieweg.de Vorwort Welches Ziel verfolgt dieses Buch? Sicherheit, Kontinuität und Risiken der Informationsverarbeitung müssen effizient und geschäftszentriert gemanagt werden, um die Existenz und Zukunft eines Un- ternehmens abzusichern. Die Bedeutung dieser Themen wächst rasant aufgrund zunehmender gesetzlicher Vorgaben wie KonTraG und UMAG. Hinzu kommen branchenspezifische Regularien in Form von Basel II und künftig Basel III, MaRisk für Banken sowie für Kapitalanlagegesellschaften und MaComp für Wertpapier- dienstleistungsunternehmen. Bei Versicherungsunternehmen ergeben sich Anfor- derungen aus Solvency II und MaRisk. In der chemischen bzw. pharmazeutischen Industrie sind das ChemG bzw. das AMG und die AMWHV sowie die verschiede- nen Guten Praktiken zu beachten. Und auch die Normung entwickelt sich in den Bereichen Sicherheit, Datenschutz, Kontinuität und Risiko dynamisch weiter. Unternehmen und unser Alltag sind durchdrungen von IT und werden es immer mehr. Begriffe wie pervasive und ubiquitous computing weisen darauf hin. So sind Geschäfts-, Produktions- und Fertigungsprozesse, Anlagen und Systeme ohne IT kaum mehr denkbar, geschweige denn wettbewerbsfähig. Dies macht Unter- nehmen verwund- und angreifbar. Deshalb ist das Sicherheits-, Kontinuitäts- und Risikomanagement – auch der IT – für Unternehmen von existenzieller Bedeutung. Auch die Anforderungen interner und externer Kunden steigen. Gesetzliche und aufsichtsbehördliche Vorgaben sowie Gute Praktiken stellen zudem oftmals direkt oder indirekt Anforderungen an die Sicherheit und Kontinuität der IT. Nationale und internationale Normen und Practices kennzeichnen den Stand der Technik und entwickeln sich dynamisch weiter wie u. a. die ISO-27000-Familie zeigt. Wirtschaftliches, transparentes und durchgängiges Sicherheits-, Kontinuitäts- und Risikomanagement sind gefordert. Dafür sind Investitionen notwendig, deren Um- fang von der Effizienz und Effektivität des Sicherheits-, Kontinuitäts- und Risiko- managements abhängt. Trotz der hohen Bedeutung und der Haftungsrisiken weist die Sicherheits- bzw. Risikosituation in Unternehmen häufig Defizite auf, z. B. hinsichtlich Zielen, Strate- gie, Struktur, Transparenz sowie anforderungsgerechter Umsetzung und Effizienz. Hinzu kommt eine separate oder gering vernetzte Betrachtung sowohl der Ge- schäftsprozesse als auch der IT, eine autarke Behandlung des Sicherheitsmanage- ments, des Kontinuitätsmanagements und des Risikomanagements sowie eine Fo- kussierung des Sicherheits-, Kontinuitäts- und Risikomanagements auf den IT- Betrieb. Dadurch erfolgt oftmals keine oder eine nur unzureichende Integration in die IT-Prozesse sowie den Lebenszyklus von IT-Prozessen und -Systemen. Vor diesem Hintergrund habe ich die dreidimensionale IT- bzw. Informations- sicherheits(management)pyramideDr.-Ing. Müller entwickelt. Sie ist top-down struktu- VI Vorwort riert und berücksichtigt die Prozesse, die Ressourcen, die Organisation, die Pro- dukte und die Dienstleistungen sowie den Lebenszyklus der Informationsverarbei- tungssysteme bzw. der IT bzw. IKT. Sie dient als durchgängiges, praxisorientier- tes, systematisches und ingenieurmäßiges Vorgehensmodell für den Aufbau und die Weiterentwicklung des Sicherheits-, Kontinuitäts- und Risikomanagements. In ihren mehrdimensionalen Rahmen können Sie die unterschiedlichsten Sicherheits-, Kontinuitäts- und Risikothematiken „einklinken”. So lassen sich Defizite reduzie- ren oder beseitigen und die Effizienz durch Standardisierung steigern. Zu den Abgrenzungs- und Alleinstellungsmerkmalen der Sicherheitspyramide ge- hören (cid:134) ihr dreidimensionales Vorgehensmodell, die dazu konsistente Darstellung und Bezeichnung, (cid:134) ihr hierarchisch durchgängiger Aufbau, der sich von der Sicherheits-, Kontinui- täts- und Risikopolitik über Anforderungen, die Transformationsschicht, Merk- male, Architektur, Richtlinien und Konzepte bis zu den Maßnahmen erstreckt, (cid:134) die Vernetzung des Unternehmens, seiner Geschäfts-, Support- und Begleit- prozesse sowie der IT und anderer Ressourcen bis hin zur Organisation (cid:134) die Integration des hierarchischen Aufbaus mit den Themenfeldern Prozesse, Ressourcen und Organisation sowie dem Lebenszyklus, (cid:134) die integrative Behandlung des Sicherheits-, Kontinuitäts- und Risiko- sowie Compliance- und Datenschutzmanagements, (cid:134) der PDCA-orientierte Sicherheitsmanagementprozess, (cid:134) die Überwachung und Steuerung anhand des Sicherheitsregelkreises und der Balanced Pyramid Scorecard. Die Sicherheitspyramide stellt ein gesamtheitliches, systematisches und dadurch effizientes Vorgehensmodell dar. Sie integriert auf innovative Weise neben den Disziplinen Sicherheits-, Kontinuitäts- und Risiko- sowie Compliance- und Daten- schutzmanagement Kernelemente und -methodiken, die, wenn auch in unter- schiedlicher Ausprägung, Vollständigkeit, Detaillierung, Konkretisierung und Qualität sowie teilweise nach Erscheinen meiner Publikationen in bestehenden Standards und Practices vorkommen. Die 1995 vorgestellte Sicherheitspyramide [1] lässt sich für die gesamte Palette von Sicherheitsthemen eines Unternehmens nutzen. In diesem Buch beschreibe ich ihre Version V unter dem Fokus der – von mir oftmals synonym verwendeten – Informations- bzw. IT- bzw. ITK-Sicherheit (IT + TK = ITK) bzw. – angelehnt an den englischsprachigen Begriff ICT (Infomation and Communication Technology) – IKT-Sicherheit. Dementsprechend bezeichne ich sie als Informations- bzw. IT- bzw. ITK- bzw. IKT-Sicherheits- bzw. -Sicherheitsmanagementpyramide, oder kurz ISiPyr, ITK-/IKT-SiPyr (ISP), ISimPyr oder ISMP. Sie berücksichtigt das Si- cherheits-, Kontinuitäts- und Risiko- sowie Compliance- und Datenschutz- management. Vorwort VII Das Buch bietet Ihnen durch die Struktur der Sicherheitspyramide das notwendige Handlungswissen, um die IKT, ihre Prozesse, Ressourcen und Organisation ent- lang dem IKT-Lebenszyklus systematisch, anschaulich, effizient und ganzheitlich sowohl national als auch international auf die geforderte IKT-Sicherheit auszurich- ten. Neben den Erläuterungen illustrieren Abbildungen die Sachverhalte. Checklis- ten, Gliederungen und Tabellen aus der Beratungspraxis beschleunigen den Ein- stieg. Wer sollte dieses Buch lesen? Der Titel sagt es bereits – das Buch richtet sich an Leserinnen und Leser, die sich direkt oder indirekt mit der IT-Sicherheit bzw. dem Informationssicherheits- management befassen, aber auch an jene, die für das Kontinuitäts-, das Risiko- oder das Compliance Management zuständig sind: (cid:134) Chief Information Security Officers (CISO) und IT-Sicherheitsbeauftragte, die für die Sicherheit der Informations- und Kommunikationstechnologie (IKT) im Unternehmen bzw. von Teilen davon sowie für deren zielgerichteten strategi- schen Aufbau verantwortlich sind, sollten wissen, wie sich der Schutzbedarf und die Bedrohungslage entwickeln, wie das Informations- bzw. IKT- Sicherheitsmanagement in das Sicherheitsmanagement des Unternehmens in- tegriert sein sollte, welche Zusammenhänge zwischen Sicherheits-, Kontinui- täts-, Risiko- und Compliancemanagement sowie der IKT, den Prozessen, den Ressourcen und der Organisation bestehen und wie sich das IKT-Sicherheits- management ganzheitlich, systematisch, strategisch und praxisorientiert auf- bauen und steuern lässt. (cid:134) Chief Information Officers (CIO) sowie IT-Verantwortliche, die für die IKT so- wie für deren Sicherheit verantwortlich sind, sollten wissen, mit welchem Vor- gehensmodell das Sicherheitsmanagement aufgebaut, gesteuert und weiter- entwickelt werden kann. (cid:134) Notfallmanager, die für die Notfall-, Krisen- und Katastrophenvorsorge (NKK) des Unternehmens insgesamt oder nur für die IKT verantwortlich sind, sollten wissen, wie die NKK-Planung zielgerichtet aufgebaut und weiterentwickelt werden kann. (cid:134) Sicherheitsauditoren, welche die IKT-Sicherheit im Unternehmen prüfen und Handlungsempfehlungen geben, sollten wissen, wie diese Prüfungen in das Si- cherheitsmanagement eingebettet sind, wie sie durchgeführt werden können und wie die Zielkonstellation eines Sicherheitsmanagements aussehen sollte. (cid:134) Chief Risk Officer (CRO) und Risikomanager, die für das Risikomanagement im Unternehmen verantwortlich sind, sollten wissen, wie sich dieses anhand der Sicherheits-, der Kontinuitäts- bzw. der Risiko(management)pyramide strukturieren lässt und welche Verbindungsstellen es vom Risiko- zum Sicher- heits- und zum Kontinuitätsmanagement gibt. (cid:134) Chief Compliance Officers (CCO) sollten die gesetzlichen und aufsichtsbehörd- lichen Anforderungen kennen, deren Einhaltung einfordern, verfolgen und VIII Vorwort steuern sowie die Anforderungen an das Sicherheits-, Kontinuitäts- und Risiko- management kennen. (cid:134) Leiter Organisation oder Verwaltung sowie Bereichsleiter, die für Geschäfts- prozesse bzw. Organisationseinheiten verantwortlich sind und die Informa- tionsverarbeitung zur Unterstützung ihrer Geschäftsprozesse nutzen, sollten wissen, wie sie ihre Sicherheitsanforderungen – einschließlich derer an die IKT – erheben und an den Geschäftsbereich IKT-Services weitergeben können. (cid:134) Vorstände und Geschäftsführer, die für die Sicherheit, die Geschäftskontinuität und das Risikomanagement im Unternehmen verantwortlich sind, sollten die Entwicklung der Bedrohungslage, die gesetzlichen Rahmenbedingungen und ihre persönlichen Haftungsrisiken kennen und wissen, wie das Sicherheits- management durch Sicherheitspolitik, Sicherheitspyramide und Sicherheits- regelkreis zielgerichtet und effizienzorientiert gesteuert werden kann. Auch Aufsichtsräte sollten ihr Haftungsrisiken kennen. Wie können Sie dieses Buch nutzen? Sie können das Buch komplett oder auch nur einzelne Kapitel lesen. Wer es insge- samt liest, kann sich einen Überblick über Trends bei Bedrohungen und Schutzbe- darf sowie häufige Schwachstellen verschaffen. Gleichzeitig findet er eine syste- matische, durchgängige und ganzheitliche Vorgehensweise zum Aufbau eines ge- schäftszentrierten Sicherheits-, Kontinuitäts- und Risikomanagements für die IKT anhand der dreidimensionalen SicherheitspyramideDr.-Ing. Müller, ferner weitere von mir entwickelte Begrifflichkeiten und Methoden sowie Beispiele und Checklisten. Alternativ können sich die Leserin oder der Leser ihrem Wissensbedarf entspre- chend einzelnen Kapiteln zuwenden, beispielsweise dem Thema Sicherheits-, Kon- tinuitäts- und Risikopolitik, sicherheitsbezogene Anforderungen und Business Im- pact Analysis, Sicherheitsmerkmale, Sicherheitsarchitektur mit prinzipiellen Be- drohungen und Sicherheitsprinzipien sowie dem Sicherheitsschalenmodell und Si- cherheitselementen für Prozesse, Ressourcen und Organisation, Richtlinien, Kon- zepte und Lebenszyklus, z. B. von IKT-Systemen. Auch der Sicherheitsmanage- mentprozess und der Sicherheitsregelkreis mit Sicherheitsprüfungen sowie Reife- gradmodelle sind dargestellt. Darüber hinaus behandelt das Buch spezifische Themen wie z. B. Verschlüsselung, Speichertopologie und Datensicherung. Checklisten, Verzeichnisse, das Kapitel für Eilige und Zusammenfassungen ver- schaffen schnell gezielten Nutzen Sie können das Buch außerdem als Nachschlagewerk verwenden, indem Sie die bereitgestellten Checklisten, das Verzeichnis über Gesetze, Vorschriften, Standards, Normen und Practices, das Glossar und Abkürzungsverzeichnis sowie das Sach- wortverzeichnis nutzen. Kapitel 2 bietet Eiligen einen ersten schnellen Überblick. Die Einleitungen der Ka- pitel geben Ihnen einen Einblick in die jeweils behandelten Themen. Die Zusam- Vorwort IX menfassungen am Kapitelende sind für den „Schnelldurchlauf” gedacht und ver- schaffen schnell gezielten Nutzen. Außerdem können Sie sich anhand der illustrierenden Abbildungen die Sachver- halte vor Augen führen oder die Checklisten, Gliederungen und Tabellen verwen- den, um den Einstieg in die Thematik des Sicherheits-, Kontinuitäts- und Risiko- managements zu beschleunigen. Für welche Unternehmensgröße eignet sich der Buchinhalt? Die vorangegangenen Ausführungen deuten bereits an, dass die hier vorgestellte Vorgehensweise einem ganzheitlichen Ansatz folgt. Dies erweckt leicht den Ein- druck, dass sie nur für mittlere und große Unternehmen geeignet ist. Ist dies tat- sächlich so? Ich denke: nein. Gesetze, Verordnungen, Standards und Normen gelten meist für alle Unternehmensgrößen. Der Unterschied zwischen großen und kleinen Unter- nehmen liegt häufig darin, dass sich Umfang, Detaillierungsgrad, Sicherheits- und Regelungsbedarf unterscheiden. Während Sie bei größeren Unternehmen unter- schiedliche Standorte, mehrere Gebäude, differenzierte Verantwortlichkeiten, viel- fältige und zum Teil komplexe IT-Infrastruktur sowie eigene Softwareentwicklung finden, nehmen die Komplexität und die Sicherheitsanforderungen bei kleineren Unternehmen oftmals ab, sind aber vorhanden. Jedes Unternehmen sollte sich da- her Gedanken über Sicherheitsbedarf, Risikotragfähigkeit und Risikobereitschaft machen. Ein häufig auch für kleine und mittlere Unternehmen (KMUs) erforderlicher zu- sätzlicher Regelungs- und Schutzbedarf wird so manches Mal übersehen und führt dann zu unliebsamen Folgen. Zwar ist es für viele Unternehmen selbstverständ- lich, dass der Zutritt zu den Räumlichkeiten geschützt ist, dass das Verhalten in Notfällen dokumentiert ist, dass Lizenzen eingehalten werden und dass Vereinba- rungen zur Geheimhaltung, zum Datenschutz und zum Surfen im Internet existie- ren. Auch Datensicherungen und Virenscanner gehören quasi zum Standard, eben- so wie Firewalls und Spam-Filter. Doch kennen Sie auch Ihre Risiken? Ist Ihnen bekannt, welche Folgen der Ausfall eines Geschäftsprozesses, der Räumlichkeiten, der IT, der Telefonanlage oder eines Service-Gebers hat und in welcher Kosten-Nutzen-Relation entsprechende Sicher- heitsmaßnahmen stehen? Was dürfen Ihre Mitarbeiter? Kennen die Verantwortli- chen die gesetzlichen Anforderungen? Werden Datensicherungen an einen siche- ren Ort ausgelagert und ihre Lesbarkeit geprüft? Werden Virenscanner aktuell ge- halten? Betreiben Sie insgesamt eine angemessene Unternehmenssicherung? Zugegebenermaßen: Fragen über Fragen und noch längst nicht alle. Doch ihre Be- antwortung liefert einen Beitrag zur Risikolage und durch entsprechende oftmals einfache Umsetzung in der Folge zur Unternehmens- und Existenzsicherung. Ge- ringere Komplexität und Anforderungsfülle bei kleinen Unternehmen führen so zu X Vorwort einem schlankeren Sicherheits-, Kontinuitäts- und Risikomanagement, das aber trotzdem ganzheitlich, systematisch und unternehmensbezogen vollständig sein sollte. Wie ist dieses Buch aufgebaut? Kapitel 1 geht auf die Ausgangssituation und Entwicklungstrends bei Bedrohun- gen und Schutzbedarf sowie die Sicherheitssituation in Unternehmen ein. Ferner erläutert es die Notwendigkeit für ein systematisches und strategisches Sicher- heits-, Kontinuitäts- und Risikomanagement. Für Eilige gibt Kapitel 2 einen kurzgefassten Überblick über die Inhalte der Sicher- heitspyramide. Kapitel 3 nennt Ihnen kurz und prägnant 10 Schritte zum Sicherheits-, Kontinui- täts- und Risikomanagement. Kapitel 4 gibt einen kurzgefassten auszugsweisen Überblick über Gesetze, Verord- nungen, Vorschriften und Anforderungen. Kapitel 5 geht übersichtsartig auf Standards, Normen und Practices ein. Kapitel 6 stellt verschiedene Begriffe und Definitionen aus dem Sicherheits-, Konti- nuitäts- und Risikomanagement vor, die in diesem Buch verwendet werden. Es behandelt u. a. das Sicherheitsmanagement, die ingenieurmäßige Sicherheit, die Sicherheitspyramide und -politik, Ressourcen, Schutzobjekte und -subjekte sowie Sicherheitskriterien, die Business Impact Analysis, Geschäftskontinuität (Business Continuity), Sicherheits- und Risikodreiklang sowie Risikomanagement. Kapitel 7 gibt eine zusammenfassende Beschreibung des Aufbaus und der Inhalte der dreidimensionalen Sicherheitspyramide. Die Kapitel 8 bis 16 erläutern die einzelnen Elemente der Sicherheitspyramide. Hierbei fokussieren sich die Kapitel 8 bis 14 auf den hierarchischen Aufbau, d. h. die Sicherheitshierarchie. Sie beginnt bei der Sicherheits-, Kontinuitäts- und Risiko- politik, gefolgt von der Ebene der Sicherheitsziele und -anforderungen, die Schutz- bedarfsklassen sowie Schutzbedarfs- bzw. Geschäfts- und Betriebseinflussanalysen für Prozesse und Ressourcen enthält. Die anschließende Transformationsschicht mit dem Haus zur Sicherheit („House of Safety, Security and Continuity“) wandelt die Sicherheitsanforderungen in Sicherheitsmerkmale der genutzten Ressourcen und Prozesse sowie der Organisation. Die Architektur liefert die Basis für die Richtlinien, Konzepte und Maßnahmen und wird in diesem Buch daher ausgiebig behandelt. Sie umfasst prinzipielle Si- cherheitsanforderungen und Bedrohungen, Strategien, Prinzipien und Sicherheits- elemente sowie die Kern-, Support- und Begleitprozesse. Dem Architekturkapitel folgen die Sicherheitsrichtlinien mit prinzipiellen Beispielen sowie die Sicherheits- konzepte und -maßnahmen.