hack‘aware – Alle Maßnahmen im Überblick
Das sind die Themenbereiche
Organisatorische Aspekte
Mit diesem Baustein werden allgemeine und übergreifende Anforderungen im Bereich Organisation aufgeführt, die dazu beitragen, das Niveau der Informationssicherheit zu erhöhen und zu erhalten. In diesem Zusammenhang sind Informationsflüsse, Prozesse, Rollenverteilungen sowie die Aufbau- und Ablauforganisation zu regeln.Technik
In diesem Bereich werden sicherheitsrelevante Aspekte zu den Themen Netze und Kommunikation und IT-Systeme abgefragtSoftwareentwicklung
Der Bereich beschäftigt sich mit relevanten Sicherheitsaspekten, die von Institutionen bei der Eigenentwicklung von Software zu beachten sind.Industrie 4.0
Prozessleit- und Automatisierungstechnik (Operational Technology, OT) ist Hard- und Software, die physische Geräte, Prozesse und Ereignisse in der Institution überwacht und steuert. Die OT weist gegenüber der klassischen IT wesentliche Unterschiede auf, die es erschweren, etablierte Sicherheitsverfahren anzuwenden. Falls OT in Ihrem Unternehmen keine Rolle spielt, kann dieser Themenbereich übersprungen werden.Ergebnisbericht
Im fünften Block erhalten Sie auch schon die Auswertung mit Handlungsempfehlungen als PDF zum Download.
Die Informationssicherheitsleitlinie bildet die Basis für die Entwicklung und die Umsetzung eines risikogerechten und wirtschaftlich angemessenen Informationssicherheitskonzeptes im Unternehmen. Sie stellt ein Grundlagendokument dar, welches die sicherheitsbezogenen Ziele, Strategien, Verantwortlichkeiten und Methoden langfristig und verbindlich festlegt.
Ziele:
- Festlegung der strategischen Informationssicherheitsziele
- Erklärung der Unternehmensleitung über die Unterstützung der Ziele (Management Commitment)
- Festlegung von Organisation und Verantwortlichkeiten für Informationssicherheit
- Verweise auf weitere Dokumente zum Thema Informationssicherheit
Referenzdokumente: Ö IT-Sih-Handbuch (BKA), BSI IT-Grundschutz Kompendium ISMS, BSI-Standard 200-1 (Kapitel 3, 7), BSI-Standard 200-2 (Kapitel 3.4), ISO/IEC 27001:2013
Um Informationssicherheit erfolgreich planen, umsetzen und aufrechterhalten zu können, muss eine geeignete Organisationsstruktur vorhanden sein und die erforderlichen Rollen sind zu definieren. Des Weiteren müssen Personen benannt sein, die qualifiziert sind und denen ausreichend Ressourcen (Zeit, Personal, Finanzmittel) zur Verfügung stehen.
Ziele:
- Schaffung der Rahmenbedingungen zur Steuerung der Informationssicherheitsprozesse
- Bereitstellen von Ressourcen für die Ausübung der Tätigkeiten
- Integration der Informationssicherheitsorganisation in Prozesse/Abläufe
- Festlegung von Zuständigkeiten (Definition von Verantwortlichkeiten im Bereich Informationssicherheit für Anwendungen, Systeme, Bereiche, usw.) und Integration in Stellen- / Rollenbeschreibungen
Referenzdokumente: Ö IT-Sih-Handbuch (BKA), BSI-Standard 200-1 (Kapitel 7), BSI-Standard 200-2 (Kapitel 4), ISO/IEC 27001:2013
Eine wesentliche Voraussetzung für erfolgreiches Informationssicherheitsmanagement ist die Einschätzung der bestehenden Sicherheitsrisiken für die Geschäftsprozesse, um die erforderlichen Sicherheitsmaßnahmen mit den entsprechenden Prioritäten ableiten zu können. Im Risikomanagement erfolgt die Identifikation und Bewertung von Risiken um daraus angemessene Informationssicherheitsmaßnahmen zur Minderung dieser Risiken abzuleiten. Ziel ist es in weiterer Folge, dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird.
Ziele:
- Definition einer Risikoanalysestrategie bzw. eines Risikomanagementprozesses inklusive Festlegung der Vorgehensweise zur (Rest-)Risiko-Identifikation und -Bewertung und Priorisierung der erforderlichen Informationssicherheitsmaßnahmen
- Definition der Rollen und Verantwortlichkeiten
- Implementierung des Risikomanagementprozesses als zyklisches Prozessmodell (PDCA)
Referenzdokumente: Ö IT-Sih-Handbuch (BKA), BSI Standard 200-3, ISO/IEC 27005:2018, ISO 31000:2018, ONR 49000:2014
Für die Einarbeitung von neuen Mitarbeitern sind konkrete Abläufe zu definieren. Der gesamte Prozess zur Einarbeitung eines neuen Mitarbeiters ist festzulegen und zu dokumentieren. Die Umsetzung kann beispielswiese in Form von Checklisten erfolgen. Es muss durch einheitlichen Prozess sichergestellt werden, dass IT-Security-Themen (E-Mail Security, Passwörter, Zugriffsrechte, sicherer Datenaustausch, Nutzung von IT-Services, Privatnutzung, …) geschult werden und die internen Regelungen sowie gesetzliche Vorgaben (z.B. Datenschutz) bekannt sind.
Ziele:
- Erstellung von Checklisten für Eintritt, Austritt und Änderung des Dienstverhältnisses von Mitarbeitern
- Schulung von Mitarbeitern über bestehende Informationssicherheits-Vorgaben, Geheimhaltung, …
- Verpflichtung der Mitarbeiter zur Einhaltung von Gesetzen (z.B. Datenschutz), Vorgaben und internen Regelungen
- Einweisung in Aufgaben und Zuständigkeiten im Rahmen des Sicherheitsprozesses
- Durchführung regelmäßiger Schulungen der Mitarbeiter
Referenzdokumente: BSI IT-Grundschutz-Kompendium (ORP: Organisation und Personal), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002:2013
Für das Ausscheiden eines Mitarbeiters aus dem Unternehmen sind konkrete Abläufe zu definieren. Der gesamte Prozess des Austritts ist festzulegen und zu dokumentieren. Die Umsetzung kann beispielswiese in Form von Checklisten erfolgen.
Inhalte:
- Rückgabe von Unterlagen, Schlüssel, Geräten, Ausweisen, usw.
- Entzug von Zutritts-/Zugriffsberechtigungen, Sperren von Home-Office/VPN-Zugängen Bei Mitarbeitern und Mitarbeiterinnen mit IT-Administrationsrechten: Änderung der internen Administratorpasswörter
- Hinweis auf Verschwiegenheitspflichten, die bei der Einstellung unterzeichnet wurden
Referenzdokumente: BSI IT-Grundschutz-Kompendium (ORP: Organisation und Personal), ISO/IEC 27001:2013 Annex A
Über Berechtigungen bzw. Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Funktion bevollmächtigt wird, IT-Systeme, Anwendungen oder Daten/Informationen zu nutzen. Die Zugriffsrechte (z. B. Lesen, Schreiben, Ausführen) auf IT-Systeme, Anwendungen oder Daten/Informationen sind von der Funktion abhängig, die die Person wahrnimmt (z. B. Anwenderbetreuung, Sachbearbeitung, usw.). Dabei sollten immer nur so viele Rechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist (Least Privilege Prinzip bzw. Need-to-know-Prinzip). Die Berechtigungsvergabe ist vom jeweiligen Verantwortlichen (Informations-/Prozesseigner) zu genehmigen. Um Risiken in der Vergabe von Berechtigungen zu minimieren, ist der Berechtigungsvergabeprozess für alle Bereiche, Systeme/Dienste (z.B. Fileserver) und Anwendungen des Unternehmens einheitlich zu gestalten und zu dokumentieren.
Ziele:
- Dokumentierte Prozesse zur Vergabe, Entzug und Änderung von Berechtigungen
- Dokumentierte Freigabe von Berechtigungen durch Informationseigner / Data-Owner
- Sicherstellung des Least Privilege Prinzips und Need-to-Know-Prinzips
Referenzdokumente: BSI IT-Grundschutz-Kompendium (ORP: Organisation und Personal), ISO/IEC 27001:2013 Annex A
Passwörter schützen IT -Systeme, Anwendungen und/oder die darin gespeicherten und verarbeiteten Daten vor unautorisiertem Zugriff und Veränderung/Löschung. Es ist daher entscheidend, dass Passwörter sicher sind und korrekt verwendet und aufbewahrt werden. Dafür ist eine Passwortrichtlinie im Unternehmen umzusetzen und mit technischen Maßnahmen auch die Verwendung von sicheren Passwörtern zu erzwingen.
Ziele:
- Definition von Regeln zur Passwortgestaltung und -gebrauch (Passwortrichtlinie) gemäß Schutzbedarf von IT-Systemen/Anwendungen/Daten
- Umsetzung der neuen Regeln auf allen IT-Systemen und Anwendungen (z.B. durch Passwortrichtlinie in Active Directory)
- Umsetzung einer Regelung für Passwörter in Bereichen mit hohem Schutzbedarf (z.B. IT-Administratoren)
- Bei Bedarf Einführung eines Passwort-Management-Tools/Systems
- Integration der Passwort-Regelungen in das Schulungsprogramm
Referenzdokumente: BSI IT-Grundschutz-Kompendium (ORP: Organisation und Personal), TeleTrusT Handreichung zum Stand der Technik
Mitarbeiter müssen bei Abwesenheit alle Informationsträger, welche personenbezogene Daten beinhalten, von ihrem Arbeitsplatz entfernen. Computer oder andere Geräte mit Benutzer-Login sind bei jedem Verlassen des Arbeitsplatzes zu sperren (auch bei kurzen Pausen). Dadurch wird verhindert, dass unbefugte Personen Zugriff auf IT-Systeme, Anwendungen und Daten bekommen.
Beim Verlassen der Büroräumlichkeiten ist auf jeden Fall dafür Sorge zu tragen, dass alle Informationen ihrem Schutzbedarf entsprechend physisch weggesperrt werden (falls andere nicht autorisierte Personen Zugang zu den schützenswerten Informationen erlangen könnten) oder der Raum so versperrt wird, dass unautorisierte Personen keinen Zutritt zum Raum erlangen können.
Ziele:
- Einführung einer „Clean Desk Policy“
- Verhinderung des Zugriffs von nicht autorisierten Personen auf Informationen, Dokumente, Daten, IT-Systeme durch Regelungen zum Sperren von Systemen, Verriegelung von Räumen (Türen, Fenster, …), etc.
Referenzdokumente: BSI IT-Grundschutz-Kompendium (INF: Infrastruktur)
Sämtliche Datenträger (Festplatten/SSDs in Geräten, Speicher von Smartphones/Tablets) und Wechselmedien (USB-Sticks, Speicherkarten, CD/DVD/Blu-ray, externe Festplatten, Backup-Tapes) können schützenswerte Daten (unternehmensrelevant, personenbezogen/DSGVO) enthalten und sind daher durch technische/organisatorische Maßnahmen vor unbefugtem Zugriff zu schützen.
Der Einsatz von betriebsfremden Wechseldatenträgern (USB-Sticks, externen Festplatten oder aber auch Smartphones), die von Externen mitgebracht oder verwendet werden, bringt eine Reihe von Risiken mit sich: über einen USB-Stick kann Schadsoftware eingeschleppt werden und Unternehmensdaten können entwendet werden, wodurch die Vertraulichkeit insbesondere von personenbezogenen Daten gefährdet wird. Es sind daher Regelungen für den Umgang mit Datenträgern und Wechselmedien für die Verwendung, Transport bis hin zur korrekten Entsorgung/Vernichtung festzulegen.
Ziele:
- Technische Maßnahmen zur Absicherung von Festplatten/SSDs in Geräten, wie z.B. Verschlüsselung
- Einführung einer Regelung zum Umgang mit Datenträgern und Wechselmedien insbesondere für klassifizierten Informationen (Unternehmensdaten, personenbezogenen Daten, …) mit folgenden Inhalten
- Handhabung von Speicher- und Aufzeichnungsmedien/Wechselmedien (Aufbewahrung, Anschluss an IT-Geräte, Verwendung von Verschlüsselung zur Speicherung von Informationen, …)
- Vernichtung/Entsorgung von Medien/Datenträgern und/oder physischen Dokumenten,
- zulässiger Austausch mit Externen,
- Regelung zur Verwendung oder Verbot von externen Datenträgern (wegen Schadsoftware)
Referenzdokumente: BSI IT-Grundschutz-Kompendium (OPS: Betrieb), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002:2013
Kritische IT-Komponenten wie beispielsweise Server oder Netzwerkkomponenten (Switches, Firewalls, etc.) müssen vor unbefugtem Zugriff geschützt werden. Dies kann entweder in einem eigenen Serverraum oder in verschließbaren Schränken (Racks) geschehen. Die Betriebsumgebung der IT-Systeme muss dabei auch ausreichenden Schutz vor Umwelteinflüssen (Brand, Hochwasser, …) sowie eine IT-geeignete Versorgungsinfrastruktur (USV, NEA, Klimaanlagen, Branderkennung und -löschung) aufweisen.
Ziele:
- Beschränkung des Zugangs zu Serverräumen und kritischen IT-Systemen (Schließsystem bzw. Zugangsschutz z.B. durch Zwei-Faktor-Authentisierung)
- Implementierung von Maßnahmen um insbesondere die Verfügbarkeit, Vertraulichkeit und Integrität der vorhandenen Geräte und gespeicherten Daten sicherzustellen.
- Schaffung geeigneter Infrastruktur zur Versorgung der IT-Systeme (USV, Klimatisierung, …) und zum Schutz vor Umgebungseinflüssen (Brand, Wasser, …)
Referenzdokumente: BSI IT-Grundschutz-Kompendium (INF: Infrastruktur), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002:2013
Sicherheitsüberprüfungen/Penetration Tests sind ein geeignetes Mittel, um die aktuelle Sicherheit eines IT-Services mit den dahinterliegenden IT-Netzen, IT-Systemen und/oder Anwendung festzustellen. Dabei werden vorrangig Schnittstellen nach außen untersucht, über die potenzielle Angreifer in die untersuchten IT-Systeme eindringen könnten. Aber auch die interne Sicherheit der IT-Systeme in Bezug auf Fehlkonfigurationen, Missbrauch, Securitypatches und eingesetzte Software ist regelmäßig zu überprüfen.
Ziele:
- Identifikation und Priorisierung von kritischen IT-Services
- Definition von Worst Case Angriffsszenarien für die einzelnen IT-Services
- Identifikation von Schwachstellen und Konfigurationsfehlern durch PenTests, Security-Analyse
- Prüfung der Aktualität der eingesetzten Komponenten (Patch-Management)
- Umsetzung von Härtungsmaßnahmen und Überprüfung der Wirksamkeit
Referenzdokumente: BSI IT-Grundschutz-Kompendium (u.a. OPS: Betrieb, APP: Anwendungen, SYS: IT-Systeme, NET: Netze und Kommunikation, ISMS: Sicherheitsmanagement), ISO/IEC 27001:2013 Annex A
Informierte und geschulte Mitarbeiter sind Voraussetzungen dafür, dass ein Unternehmen die gesteckten Ziele erreichen kann. Des Weiteren wird durch Information und Schulung sichergestellt, dass alle Mitarbeiter die Folgen und Auswirkungen ihrer Tätigkeit einschätzen können. Ziel der Sensibilisierung für Informationssicherheit ist es, das Bewusstsein der Mitarbeiter für Sicherheitsprobleme zu schärfen. Durch Schulungen zur Informationssicherheit wird den Mitarbeitern die notwendige Kompetenz zur Informationssicherheit vermittelt, die sie bei der Ausführung ihrer Fachaufgaben benötigen.
Damit das erforderliche Bewusstsein und die Kompetenzen aller Mitarbeiter sichergestellt werden kann, sind als minimales Schulungsprogramm eine verpflichtende Grundschulung zum Thema Informationssicherheit für alle Mitarbeiter sowie themenspezifische Schulungen für erforderliche Zielgruppen verpflichtend regelmäßig durchzuführen.
Ziele:
- Entwicklung eines Awareness- / Schulungsprogramms
- Ausarbeitung unterschiedlicher Themenschwerpunkte für unterschiedliche Zielgruppen
- Entwicklung von Schulungsmaßnahmen und Schulungsunterlagen (z.B. Broschüren, Plakate, Newsletter, Schaltungen im Intranet, USB-Stick usw.)
- Unterstützung durch Schulungs- / E-Learning-Plattform
Referenzdokumente: BSI IT-Grundschutz-Kompendium (ORP: Organisation und Personal), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002:2013
Eine aussagekräftige und nachvollziehbare IT-Dokumentation ist ein wesentlicher Bestandteil für eine erfolgreiche IT-Organisation und bildet die Basis für wichtige Prozesse im Bereich IT-Sicherheit / Informationssicherheit. Durch eine einheitliche, vollständige und aktuelle Dokumentation ist sichergestellt, dass beispielsweise Vertretungsregelungen umgesetzt werden können oder bei Ausfall eines Mitarbeiters dessen Tätigkeiten nachvollzogen und übernommen werden können. Im Bereich Notfallmanagement oder bei Auftreten von Sicherheitsvorfällen ist eine aktuelle IT-Dokumentation essenziell. Um eine einheitliche Dokumentation im Unternehmen zu gewährleisten, ist eine Dokumentationsrichtlinie auszuarbeiten.
Ziele:
- Erstellen einer Dokumentationsrichtlinie
- Festlegung von Mindestinhalten für die IT-Dokumentation
- Beschreibung der Applikations- und Systemlandschaft und deren Beziehungen zueinander
- Erstellen von Betriebshandbüchern, Installationsdokumentation, Wiederanlaufdokumente im Bereich Notfallmanagement usw.
Referenzdokumente: BSI IT-Grundschutz-Kompendium (u.a. NET: Netze und Kommunikation, SYS: IT-Systeme, APP: Anwendungen, IND: Industrielle IT)
Wenn von Informationssicherheit gesprochen wird, ist die Klassifikation von Informationen ein wesentliches Werkzeug, um den Schutzbedarf der unterschiedlichen Informationen einstufen zu können. Die Klassifikation der verarbeiteten, gespeicherten und übertragenen Informationen in Bezug auf ihre Vertraulichkeit ist eine wesentliche Voraussetzung für die spätere Auswahl adäquater Sicherheitsmaßnahmen. Aus diesem Grund sind im Unternehmen entsprechend Vertraulichkeitsklassen zu definieren und deren Umgang zu regeln.
Ziele:
- Festlegung von Vertraulichkeitsklassen
- Definition und Beschreibung einer Default-Klasse
- Definition, auf Basis welcher Informationen die Auswahl der Vertraulichkeitsstufe erfolgt
- Definition von Regelung für den Umgang mit klassifizierten Informationen entsprechend dem Stand der Technik (z.B. Speicherung, Weitergabe, Ausdruck usw.)
Referenzdokumente: BSI-Standard 200-2 (Kapitel 5), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002:2013
Ein Unternehmen, das personenbezogenen Daten erhebt, verarbeitet oder verwendet, muss geeignete technische und organisatorische Maßnahmen (TOM) treffen, um die DSGVO-Anforderungen zu erfüllen. Der Verantwortliche und der Auftragsverarbeiter im Sinne der DSGVO haben im Hinblick auf die Verarbeitung nach einer Risikobewertung Maßnahmen zu ergreifen (z.B. Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle, Eingabekontrolle, Transportkontrolle, Wiederherstellung, Zuverlässigkeit und Datenintegrität).
Ziele:
- Identifikation der personenbezogenen Daten und der involvierten Systeme/Anwendungen
- Implementierung der erforderlichen organisatorische und technisch Maßnahmen
Referenzdokumente: BSI IT-Grundschutz-Kompendium Bausteine (CON: Konzeption und Vorgehensweisen, ORP: Organisation und Personal), ISO/IEC 27001:2013
Aufgabe des Change-Managements ist, verändernde Eingriffe in Anwendungen, Infrastruktur, Dokumentationsunterlagen, Prozessen und Verfahren steuer- und kontrollierbar zu gestalten. Die Praxis zeigt, dass Sicherheitslücken oder Störungen beim Betrieb häufig auf fehlerhafte oder nicht erfolgte Änderungen zurückzuführen sind. Fehlendes oder vernachlässigtes Change-Management kann daher zu Lücken in der Sicherheit der einzelnen Komponenten und zu möglichen Angriffspunkten führen.
Ziele:
- Definition eines Change-Management-Prozesses
- Definition von Change-Typen
- Festlegung von Verantwortlichkeiten (insb. für Freigaben von Änderungen)
- Definition von Mindestinhalten für Change-Requests und Dokumentation
Referenzdokumente: BSI IT-Grundschutz-Kompendium (OPS: Betrieb, IND: Industrielle IT), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002:2013
Für alle externen Dienstleister müssen Vertraulichkeits- und Geheimhaltungsvereinbarungen existieren.
Ziel:
- Festlegung von Vertraulichkeits- und Geheimhaltungsvereinbarungen
Referenzdokumente: BSI IT-Grundschutz-Kompendium (OPS: Betrieb), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002:2013
Es müssen alle relevanten Sicherheitsanforderungen des Unternehmens (z.B. zulässige Plattformen für Datenaustausch, Vertraulichkeitsklassen, Fernzugriff usw.) durch externe Dienstleister eingehalten und umgesetzt werden. Bei Auftreten von Sicherheitsvorfällen müssen die Mitteilungspflichten von externen Dienstleistern geregelt werden.
Ziele:
- Festlegung der Sicherheitsanforderungen für externe Teilnehmer (Zugriff auf Daten, Zulässige Verwendung von IT-Equipment, Zugriff von außerhalb des Unternehmens usw.)
- Sicherstellung, dass der Sicherheitsstandard von externen Teilnehmern umgesetzt/eingehalten wird
- Integration der Sicherheitsvorgaben in interne Prozesse (z.B. bei Sicherheitsvorfällen hinsichtlich Meldepflichten)
- Definition von Vorgehensweisen nach Beendigung eines Auftragsverhältnisses
Referenzdokumente: BSI IT-Grundschutz-Kompendium (OPS: Betrieb, DER: Detektion und Reaktion), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002:2013
Im Zusammenhang mit externem Personal sind Sicherheitsmaßnahmen bzw. -vorgaben zu formulieren, um etwaige Risikofaktoren für den Zugriff auf vertrauliche oder personenbezogene zu minimieren. Besonderes Augenmerk ist dabei auf Bereich zu legen, wo ein praktisch uneingeschränkter Zugang zu den Räumlichkeiten des Unternehmens möglich ist (Reinigungspersonal, Wachdienst/Security, Techniker, ...)
Ziele:
- Festlegung von Sicherheitsanforderungen für externes Personal
- Sicherstellung, dass der Sicherheitsstandard von externen Reinigungspersonal umgesetzt / eingehalten wird
- Vorgehensweisen für die Beendigung eines Auftragsverhältnisses
Referenzdokumente: BSI IT-Grundschutz-Kompendium Bausteine (ORP: Organisation und Personal, IND: Industrielle IT)
Incident-Management umfasst den gesamten organisatorischen und technischen Prozess der Reaktion auf erkannte oder vermutete Sicherheitsvorfälle bzw. Störungen in IT-Bereichen. Sicherheitsvorfälle reichen dabei von technischen Problemen / Schwachstellen bis hin zu konkreten Angriffen auf die IT-Infrastruktur. Um angemessen auf Informationssicherheitsvorfälle reagieren zu können, sind entsprechende Maßnahmen zu treffen.
Ziele:
- Etablieren eines Incident-Management-Prozesses
- Definition von Vorgehensweisen für bestimmte Sicherheitsvorfälle (z.B. Hackerangriff, Defacement, Datendiebstahl, Schadsoftwarebefall usw.)
- Definition von Eskalationsprozeduren und Informationspflichten entsprechend des Sicherheitsvorfalls
Referenzdokumente: BSI IT-Grundschutz-Kompendium (DER: Detektion und Reaktion), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002:2013
Ziel des Business Continuity Managements ist es, sicherzustellen, dass wichtige Geschäftsprozesse selbst in kritischen Situationen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz des Unternehmens auch bei einem größeren Schadensereignis gesichert bleibt.
Ziele:
- Etablierung eines Business Continuity Management Prozesses
- Festlegung von Zuständigkeiten/Verantwortlichkeiten (proaktiv/reaktiv)
- Durchführung einer Business Impact Analyse (BIA)
- Festlegung von Notfallszenarien für die kritischen Geschäftsprozesse
- Regelmäßige Notfallübungen/Tests
Referenzdokumente: BSI-Standard 100-4, ISO 22301:2019, ISO/IEC 27001:2013 Annex A, ISO/IEC 27002, BSI IT-Grundschutz-Kompendium (DER: Detektion und Reaktion)
Damit von kritischen Systemen und Anwendungen die Funktionalität und die Systemsicherheit überwacht werden kann, müssen Ereignisse geloggt/protokolliert werden.
Ziele:
- Erstellung eines Konzepts zur Überwachung von IT-Systemen, Anwendungen usw.
- Definition von Mindestanforderungen für Monitoring, Protokollierung und Logging
- Alarmierung bei Überschreitung von definierten Schwellwerten
Referenzdokumente: BSI IT-Grundschutz-Kompendium (u.a. DER: Detektion und Reaktion, OPS: Betrieb, SYS: IT-Systeme, APP: Anwendungen, NET: Netze und Kommunikation), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002
Für die identifizierten kritischen IT-Systeme und Anwendungen sind Wiederanlaufprozesse, Notfalldokumente, Eskalationsprozeduren, Verantwortlichkeiten, Ansprechpartner, Dienstleister usw. zu definieren und schriftlich zu dokumentieren.
Ziele:
- Erstellung von Wiederanlaufprozesse für kritische IT-Systeme und Anwendungen
- Erstellung der erforderlichen IT-Dokumente und Notfalldokumentation inkl. Verantwortlichkeiten/Ansprechpartner
Referenzdokumente: BSI IT-Grundschutz-Kompendium (OPS: Betrieb, DER: Detektion und Reaktion), BSI-Standard 100-4, ISO/IEC 27001:2013 Annex A, ISO/IEC 27002
Eine wesentliche Voraussetzung für ein erfolgreiches Informationssicherheitsmanagement ist die Durchführung von internen Audits/Prüfungen der Maßnahmen. Diese Audits sind zu definieren und regelmäßig durchzuführen.
Ziele:
- Analyse der Anforderungen an interne Audits
- Erstellung eines Auditplans (Intervalle, Themenbereiche usw.)
- Definition der Anforderungen für Reports und Managementreviews
Referenzdokumente: BSI-Standard 200-1 (Kapitel 7), BSI-Standard 200-2 (Kapitel 10), BSI IT-Grundschutz-Kompendium (u.a. DER: Detektion und Reaktion, SYS: IT-Systeme, APP: Anwendungen, NET: Netze und Kommunikation), ISO/IEC 27001:2013, ISO/IEC 27002:2013
Zur Sicherstellung der Umsetzung von gesetzlichen oder normativen Rahmenbedingungen in Bezug auf die Verarbeitung von Informationen, den Betrieb von informationsverarbeitenden Systemen oder die Verwendung von externen IT-Services (z.B. Cloud-Services) sind die implementierten Regelungen und getroffenen Maßnahmen regelmäßig zu überprüfen. Dazu ist eine verantwortliche Person/Stelle festzulegen.
Ziele:
- Festlegung der Verantwortung für die Prüfung geltender Compliance Vorgaben (gesetzlich, normativ, Stand der Technik) hinsichtlich Informationssicherheits- und Datenschutzaspekten
- Ableitung erforderlicher Maßnahmen
- Laufende Aktualisierung der Compliance-Vorgaben
Referenzdokumente: BSI IT-Grundschutzkompendium (ORP: Organisation und Personal), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002
IT-Systeme sind typischerweise in lokale Netze (LANs) integriert, die wiederum mit anderen Netzen verbunden sind. Neben technischen Gründen ist es auch aus Gründen der Informationssicherheit erforderlich, ein LAN in mehrere Teilnetze (Segmenten) aufzuteilen um vertrauliche Daten auf bestimmte Bereiche innerhalb des LANs zu begrenzen und andererseits zu verhindern, dass Störungen oder Angriffe das gesamte LAN beeinträchtigen.
Ziele:
- Erstellung eines Netzwerk-Zonenkonzepts zu Isolation von kritischen bzw. Systemen mit unterschiedlichen Schutzbedarf und der Schutzmechanismen zwischen den Zonen (Firewall, Access Control Lists)
- Regelung bzw. Vorgaben, die bei Zugriffen auf unterschiedliche Netzwerkzonen berücksichtigt werden müssen
Referenzdokumente: BSI IT-Grundschutz-Kompendium (NET: Netze und Kommunikation und u.a. SYS: IT-Systeme, APP: Anwendungen, DER: Detektion und Reaktion, IND: Industrielle IT), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002
Um das sichere firmeninterne Netzwerk vor dem Internet zu schützen, muss eine Firewall eingesetzt werden. Die Firewall regelt den Informationsfluss zwischen dem internen Netzwerk und dem Internet, sodass ausschließlich solche Zugriffe und Datenströme (Ein-/Ausgehend) möglich sind, die explizit erlaubt werden.
Ziele:
- Festlegung der Anforderungen für die Internet-Firewall hinsichtlich Leistungsfähigkeit und technischer Ausstattung (mit/ohne Virenschutz, Geoblocking, ...)
- Implementierung der Firewall zur Absicherung des internen Netzwerks gegenüber dem Internet
- Laufende Aktualisierung der Firewallkonfiguration und Software (Updates)
Referenzdokumente: BSI IT-Grundschutz-Kompendium (NET: Netze und Kommunikation)
Damit Angriffe und Sicherheitsvorfälle auf das Firmennetzwerk erkannt werden können, müssen die Netzwerkkomponenten (Switches, WLAN-Komponenten, Router, Firewalls, ...) überwacht, Ereignisse protokolliert und Alarmierungswege definiert werden. Dafür kann der Einsatz eines Netzwerkmonitoring mit Log-Auswertung und automatischer Alarmierung sinnvoll sein.
Damit die Netzwerkkomponenten selbst vor Angriffen geschützt sind, sind Sicherheitsmaßnahmen wie z.B. Schutz vor physischen Zugriffen, Änderung von Standard-Passwörtern, Deaktivierung nicht benötigter Ports/Schnittstellen, Verwendung von sicheren Managementprotokollen usw. umzusetzen.
Ziele:
- Absicherung von Netzwerkkomponenten, Ändern von Standard-Passwörter, Sperren nicht benötigter Ports/Schnittstellen
- Netzwerkmonitoring für Monitoring, Protokollierung, Logging und Alarmierung sowie zum Auswerten von Trends zur Erkennung von Betriebsstörungen, Angriffen, Fehlverhalten usw.
- Entwicklung und Umsetzung von Härtungsmaßnahmen für Netzwerkkomponenten
Referenzdokumente: BSI IT-Grundschutz-Kompendium (u.a. DER: Detektion und Reaktion, OPS: Betrieb, NET: Netze und Kommunikation), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002
Um ein WLAN sicher zu betreiben, muss für die Verschlüsselung WPA2 eingesetzt werden. Alle anderen Verfahren gelten nach Stand der Technik als unsicher. Für WPA2 mit Pre-Shared Key (WPA2-PSK) muss ein komplexes Passwort mit einer Länge von mindestens 20 Zeichen verwendet werden. Für Unternehmen wird der Einsatz von WPA2 Enterprise empfohlen, um eine sichere Authentifizierung der WLAN Endgeräte zu ermöglichen.
Bei allen WLAN Geräten ist sicherzustellen, dass die Treiber, Firmware usw. auf dem aktuellsten Stand sind, um Sicherheitslücke zu schließen.
Ziele:
- Implementierung des WLANs mit WPA2 (PSK, Enterprise)
- Komplexes WLAN-Passwort (WPA2-PSK) mit mindestens 20 Zeichen Länge
- Regelmäßige Updates von WLAN Geräten
Referenzdokumente: BSI IT-Grundschutz-Kompendium (NET: Netze und Kommunikation)
Bei der Bereitstellung eines Gäste-WLANs ist sicherzustellen, dass dieses WLAN vollständig getrennt vom internen Firmennetzwerk ist, d.h. es darf keine Zugriffsmöglichkeit zwischen diesen beiden Netzwerken geben. Optimal wird für das Gäste-WLAN ein eigener Internetzugang bereitgestellt. Um das Gäste-WLAN vor unerlaubter Nutzung zu sichern, ist es mit einem WLAN-Passwort (WPA2-PSK) abzusichern. Dieses Passwort muss regelmäßig gewechselt werden, damit keine dauerhafte unberechtigte Verwendung möglich ist. Empfohlen wird eine persönliche Registrierung der Teilnehmer mit einem eigenen, zeitlich befristeten Zugangspasswort für das Gäste-WLAN pro Teilnehmer.
Ziele:
- Implementierung des Gäste-WLANs mit einer isolierten Netzwerkinfrastruktur und einem eigenen Internetzugang
- Absicherung des Gäste-WLANs nach Stand der Technik zumindest mit einem WLAN-Passwort (WPA2-PSK)
- Bereitstellung von personalisierten WLAN-Zugangsdaten mit zeitlicher Beschränkung (WLAN-Tickets)
Referenzdokumente: BSI IT-Grundschutz-Kompendium (NET: Netze und Kommunikation)
Mit Hilfe von Sicherheitsmaßnahmen wird für IT-Systeme (insb. Serverinfrastruktur) eine Erhöhung des Sicherheitsniveaus angestrebt um die Angriffsfläche auf ein Minimum zu reduzieren. Sicherheitsmaßnahmen sind u.a. die Etablierung eines geeigneten Virenschutzkonzepts, die Einschränkung von lokalen Accounts zur Umsetzung des Least-Privilege Prinzips, die Deaktivierung nicht benötigter Dienste, die Änderung von Standard-Passwörtern, die Umsetzung von Passwort-Regeln, die Erstellung einer IT-Dokumentation insb. zur Wiederherstellung von IT-Systemen im Bereich Notfallmanagement, die Durchführung von Backups usw.
Zur Sicherstellung der Wirksamkeit der der umgesetzten Sicherheits- bzw. Härtungsmaßnahmen muss eine regelmäßige Überprüfung dieser Maßnahmen erfolgen. Die Kontrolle sollte dabei neben technischen Prüfungen (z.B. Penetration Tests, Konfigurationsanalysen usw.) auch organisatorische Aspekte (z.B. IT-Dokumentenation, Berechtigungsvergabe usw.) berücksichtigen.
Ziele:
- Identifikation aller IT-Systeme und deren Schutzbedarf
- Ableitung der erforderlichen Sicherheitsanforderungen und Entwicklung von Sicherheitsmaßnahmen / Härtungsguidelines
- Durchführen von Sicherheitsüberprüfungen und -tests (Penetration Tests) zur Überprüfung der Einhaltung / Umsetzung der Maßnahmen
Referenzdokumente: BSI IT-Grundschutz-Kompendium (u.a. OPS: Betrieb, SYS: IT-Systeme, CON: Konzeption und Vorgehensweisen), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002, TeleTrusT Handreichung zum Stand der Technik
Mobile Geräte werden für Angreifer immer interessanter, da diese im beruflichen und privaten Alltag vermehrt Verwendung finden. Der Verlust oder Diebstahl von Notebooks, Smartphones und Tablets birgt daher erhebliche Gefahren, wenn fremde Personen unbefugten Zugriff auf firmeninterne Informationen erhalten. Daher müssen mobile Geräte höheren Sicherheitsstandards entsprechen als stationäre Arbeitsplatzcomputer.
Um die sichere Nutzung von mobilen Endgeräten zu gewährleisten und um insb. diese vor Zugriffen durch Dritte zu schützen, sind im Unternehmen entsprechende organisatorische und technische Maßnahmen zu etablieren.
Ziele:
- Durchgängiger, dem Stand der Technik entsprechender Schutz von mobilen Endgeräten * Absicherung des Logins mit Passwort/PIN
- Verschlüsselung der Festplatten/Flash-Speicher der Mobilen Endgeräte
- Regelungen zur Nutzung von mobilen Endgeräten (Sperren, wenn diese nicht verwendet werden, Verwendung in fremden Netzwerken/öffentliche Hotspots, sichere Verwahrung bei Reisen usw.)
Referenzdokumente: BSI IT-Grundschutz-Kompendium (u.a. SYS: IT-Systeme, OPS: Betrieb, NET: Netze und Kommunikation, APP: Anwendungen, INF: Infrastruktur, IND: Industrielle IT), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002, TeleTrusT Handreichung zum Stand der Technik
Zur Absicherung der Arbeitsplatzrechner (PCs, Laptops) vor Schadsoftware ist ein entsprechendes Virenschutzkonzept für Endgeräte zu erstellen und jedes Endgerät mit einem Virenschutz auszustatten, welcher laufend aktualisiert werden muss.
Ziele:
- Etablierung eines Virenschutzkonzepts für Endgeräte
- Installation eines Virenschutzprogramms auf allen Endgeräten
- Sichere Konfiguration des Virenschutzprogramms und laufenden Aktualisierung (Software, Signaturen usw.)
Referenzdokumente: BSI IT-Grundschutz-Kompendium (OPS: Betrieb, SYS: IT-Systeme), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002
Der Verlust oder Diebstahl von Smartphones, Tablets und Notebooks birgt erhebliche Gefahren. Wenn dadurch fremde Personen unbefugten Zugriff auf firmeninterne Informationen erhalten, droht Vertraulichkeits- oder auch Datenverlust. Daher müssen die Daten auf mobilen Endgeräten verschlüsselt und der Zugriff auf die Geräte durch Sperrmechanismen (PIN, Fingerprint, Gesichtserkennung, Passwort) geschützt werden.
Ziele:
- Implementierung von sicheren Authentisierungsverfahren / Sperrmechanismen für mobile Endgeräte (PIN, Fingerprint, Gesichtserkennung, komplexes/langes Passwort, usw.)
- Vollständige Verschlüsselung der mobilen Endgeräte und Regelungen für die sichere Aufbewahrung von erforderlichen Schlüsseln (z.B. Bitlocker)
Referenzdokumente: BSI IT-Grundschutz-Kompendium (CON: Konzeption und Vorgehensweisen, SYS: IT-Systeme), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002, BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen
Um sicherzustellen, dass keine unerwünschte Software (Programme, Softwarekomponenten, Plugins usw.) verwendet und diese nicht über den festgelegten Zweck/Funktionsumfang hinaus unkontrolliert genutzt wird, muss das Einspielen nicht freigegebener Software bzw. die Nutzung verboten und, soweit technisch möglich, verhindert werden.
Um Verstöße gegen das Verbot der Nutzung nicht freigegebener Software feststellen zu können, ist eine regelmäßige Überprüfung des Softwarebestandes notwendig.
Ziele:
- Festlegung der Verantwortlichkeiten für die Freigabe von Software
- Auswahl und Auflistung der freigegebenen Software
- Prozess für Ausnahmeregelungen inkl. Genehmigung / Freigabe
- Prüfung der installierten / verwendeten Software, ob ausschließlich freigegeben und lizenzierte Software verwendet wird
Referenzdokumente: BSI IT-Grundschutz-Kompendium (CON: Konzepte und Vorgehensweisen, OPS: Betrieb), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002
Für die regelmäßige Aktualisierung der eingesetzten Software ist ein Patch-Management Prozess zu implementieren, in dem die Planung und Installation von Patches (Software-Updates) samt Verantwortlichkeiten festgelegt wird. Wichtig ist, dass Patches abhängig von deren Kritikalität installiert werden. Je nach Größe und Komplexität eines Patches wird empfohlen, in einem Durchführungsplan Tests, Kontroll- und Abbruchpunkte sowie Prioritäten für die Verteilung zu definieren. Im Zusammenhang mit Informationssicherheit ist der zeitnahen Installation von sicherheitsrelevanten Updates (Security Patches / Updates) besonders Augenmerk zu schenken.
Ziele:
- Definition und Implementierung eines Patch-Management Prozesses
- Regelung der Verantwortlichkeiten (z.B. Freigabe, Installation usw.)
- Definition von Patch-Klassen (z.B. Festlegung von Zeitpunkten für die Installation)
- Regelungen bei erforderlichen Tests
- Planung und Installation von Patches/Updates
- Prozessdefinition für periodische Kontrolle der aktuellen Patch-Situation
Referenzdokumente: BSI IT-Grundschutz-Kompendium (OPS: Betrieb), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002, TeleTrusT Handreichung zum Stand der Technik
Gehen Daten verloren, z.B. durch defekte Hardware, Fehlbedienung oder Schadsoftware (z.B. Verschlüsselungstrojaner/Ransomware), können diese ohne Datensicherung (Backups) nicht mehr hergestellt werden und es entsteht uU ein existenzbedrohender Schaden für das Unternehmen. Durch regelmäßige Datensicherungen lassen sich solche Auswirkungen jedoch minimieren. Eine Datensicherung soll gewährleisten, dass durch einen redundanten Datenbestand der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen. Es ist daher ein Datensicherungskonzept für alle wichtigen Daten zu etablieren und der Zugriff auf die Backups auf die minimal erforderlichen Personen einzuschränken, um einen Datendiebstahl zu verhindern.
Ziele:
- Erstellung eines Datensicherungskonzepts inkl. Verantwortlichkeiten
- Festlegung der Art der Datensicherung, erforderlicher Zeitintervalle, Speichermedium, Aufbewahrungsort, Transportwege usw.
- Implementierung von Sicherheitsmaßnahmen zum Schutz vor unberechtigten Zugriffen auf Backup-Medien (Verschlüsselung, physischer Sicherheitsmaßnahmen)
- Durchführung von periodischen Prüfungen der Datensicherung (Recovery Tests)
Referenzdokumente: BSI IT-Grundschutz-Kompendium (CON: Konzeption und Vorgehensweisen), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002
Die Fernwartung von IT-Systemen birgt besondere Sicherheitsrisiken, wobei Fernwartung über externe Netze oder durch Dritte als besonders kritisch eingestuft werden muss. Wenn möglich sollte daher aus Sicherheitsgründen auf externe Fernwartungszugänge verzichtet werden. Ist dies nicht möglich, so sind entsprechende Sicherheitsmaßnahmen und Vorkehrungen für einen Fernwartungszugriff zu treffen (z.B. Zugriff über dezidierte Systeme / Sprungserver, Verwendung von SSL-/VPN, Protokollierung von Zugriffen, 4-Augen-Prinzip, explizite Freigabe/Freischaltung, Einschränkung der Dauer der Freigabe, Einschränkung der Rechte (Least Privilege Prinzip), verpflichtende Vorankündigung, eigener Benutzer, Zwei-Faktor-Authentifizierung, automatisches Logout usw.).
Ziele:
- Festlegung von Sicherheitsanforderungen bei Fernwartung
- Implementierung sicherer Fernwartungszugänge
- Umsetzung und Kontrolle der Sicherheitsmaßnahmen
Referenzdokumente: BSI IT-Grundschutz-Kompendium (OPS: Betrieb, IND: Industrielle IT), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002, TeleTrusT Handreichung zum Stand der Technik
Zum Umgang mit externen Teilnehmern ist sicherzustellen, dass der elektronische Datenaustausch auf einem sicheren Weg erfolgt, damit es nicht zu einem Datenverlust kommt. Für jeden externen Teilnehmer sind entsprechend der Kritikalität der zu übertragenden Informationen die zulässigen sicheren Verfahren für den Datenaustausch festzulegen (z.B. E-Mail Verschlüsselung, Verwendung von Datenaustauschplattformen, verschlüsselte Anhänge bei E-Mails usw.). Werden zum Datenaustausch Cloud-Dienst verwendet, muss sichergestellt sein, dass diese die IT-Security- (Verfügbarkeit, Vertraulichkeit) sowie die Datenschutz-Anforderungen des Unternehmens erfüllen bzw. einhalten.
Ziele:
- Festlegung der Sicherheitsanforderungen für externe Teilnehmer für den elektronische Datenaustausch
- Festlegung der zulässigen Wege (E-Mail, Datenaustauschplattformen, Cloud-Dienst usw.)
- Sicherstellung der IT-Security- und Datenschutz-Anforderungen bei Verwendung von Cloud-Dienst
Referenzdokumente: BSI IT-Grundschutz-Kompendium (OPS: Betrieb, CON: Konzeption und Vorgehensweisen), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002
Für die Entwicklung sicherer Software sind im gesamten Softwareentwicklungsprozess Informationssicherheitsaspekte zu berücksichtigen. Hierzu ist die Befolgung von etablierten Vorgehensmodellen und Best Practices für sichere Softwareentwicklung sowie die Definition von Coding-Guidelines und weiterer Regelungen erforderlich (z.B. Durchführung von Tests, Prüfung und Validierung von Eingabedaten, sichere Standardeinstellungen, Einschränkung erlaubter Software-Bibliotheken, durchzuführende Dokumentation usw.). Durch die Verwendung etablierter Vorgehensmodelle und Best Practices können bereits frühzeitig Probleme/Fehler im Softwareentwicklungsprozess - insb. auch Probleme im Software-Design und in der Architektur - vermieden bzw. entdeckt und behoben werden, welche andernfalls nach einem Release durch Updates behandelt werden müssen und gegebenenfalls bis zu diesem Zeitpunkt ein Sicherheitsproblem darstellen.
Ziele:
- Hohes Sicherheitsniveau entwickelter Software durch die Einhaltung von etablierten Vorgehensmodellen und Best Practices für die sichere Softwareentwicklung
- Verabschiedung, Anwendung und Kontrolle von Richtlinien und Coding-Guidelines für die Softwareentwicklung
Referenzdokumente: BSI IT-Grundschutz-Kompendium (CON: Software-Entwicklung), ISO/IEC 27002, TeleTrusT Handreichung zum Stand der Technik 2020
Quellcode von Entwicklungsprojekten muss in einer Versionsverwaltung verwaltet werden, damit Änderungen am Quellcode nachvollziehbar und gegebenenfalls reversibel sind. Es sind Regeln zum Umgang mit der Versionsverwaltung festzulegen und zu kontrollieren. Zu diesen Regelungen gehören beispielsweise auf welchen Systemen die Versionsverwaltung verwendet werden darf, welche Benutzerrollen (z.B. Entwickler) auf welche Teile des Quellcodes zugreifen dürfen, welche Daten nicht im System gespeichert werden dürfen (z.B. Passwörter), wie Änderungen zu dokumentieren sind usw.
Ziele:
- Verwaltung von Quellcode in einer Versionsverwaltung
- Regelungen zum Umgang mit der eingesetzten Versionsverwaltung
Referenzdokumente: BSI IT-Grundschutz-Kompendium (CON: Software-Entwicklung), TeleTrusT Handreichung zum Stand der Technik 2020
Für die Gewährleistung der Sicherheit von Softwarekomponenten bzw. Anwendungen ist es erforderlich, dass diese vor dem Einsatz in einer produktiven Umgebung in Test- und Qualitätsmanagement-Umgebungen getestet werden. Werden Softwarekomponenten bzw. Anwendungen selbst entwickelt, ist zusätzlich eigene Entwicklungsumgebungen erforderlich. Entsprechend der Sicherheitsanforderungen der Softwarekomponenten bzw. Anwendungen ist zu entscheiden, ob eine Trennung von Entwicklungs-, Test und Produktivumgebung erforderlich ist.
Ziele:
- Trennung der Entwicklungs-, Test- und Produktivumgebung bei entsprechenden Anforderungen
- Entwicklungs- und Testsysteme entsprechen der Produktivumgebung
- Sicherstellung identischer Sicherheitsanforderungen für Entwicklungs- und Testumgebung
- Verfahren für Entwicklung, Tests, Abnahme/Freigabe usw. sowie die Übernahme in die Produktivumgebung
Referenzdokumente: BSI IT-Grundschutz-Kompendium (CON: Software-Entwicklung), ISO/IEC 27002, Österreichisches Informationssicherheitshandbuch 4.1.1
Für durch Durchführung von Softwaretests bzw. für die Überprüfung von Funktionalitäten / Sicherheitsanforderungen sind meist Testdaten oder simulierte Daten erforderlich. Wird mit Echt- oder Produktivdaten gearbeitet, sind diese vor der Weitergabe an die Entwicklungs- und Testabteilung zu anonymisieren. Dies gilt insb. auch bei Weitergabe an externe Partner. Ist eine Anonymisierung nicht möglich oder beinhalten die erforderlichen Testdaten beispielsweise interne Informationen bzw. Betriebsgeheim sind zusätzliche Sicherheitsmaßnahmen zu treffen.
Ziele:
- Verwendung von Testdaten für die Softwareentwicklung und für Softwaretests
- Anonymisierung von Echt- oder Produktivdaten
- Prozess für die Genehmigung, Verwendung und Vernichtung von Testdaten
- Umsetzung erforderlicher Sicherheitsmaßnahmen (z.B. Berechtigungsvergabe) zum Schutz der Testdaten
Referenzdokumente: BSI IT-Grundschutz-Kompendium (CON: Software-Entwicklung), Österreichisches Informationssicherheitshandbuch 4.1.1
Es ist eine aktuelle Dokumentation aller Assets, Netzwerke, Konfigurationen sowie aller für den Betrieb der Infrastruktur notwendigen Informationen wie z.B. Administrations- und Benutzerhandbücher, Arbeitsanweisungen und -abläufe usw. anzulegen und aktuell zu halten. In die Dokumentation sind zusätzlich die eingesetzten Produkt- und Protokollversionen der betriebenen Systeme und Anwendungen aufzunehmen. Die Dokumentation muss für jene Personen zur Verfügung stehen, welche diese für ihre Arbeit benötigten. Die Dokumentation ist vor unbefugtem Zugriff oder vor Manipulationen zu schützen.
Ziele:
- Erstellung und Umsetzung einer Dokumentationsrichtlinie mit Vorgaben zur Dokumentation im ICS-Bereich mit definierten Verantwortlichkeiten und Mindestanforderungen in Bezug auf zu dokumentierende Systeme, dem Umfang der Dokumentation und dessen Aktualität
- Erstellung eines Asset-Verzeichnisses mit allen Assets (Geräte, Systeme, Wechseldatenträger, Software ...)
- Dokumentation der Netzwerkinfrastruktur inkl. physischen und logischen Netzwerkplänen, Netzwerkzonen und Zonenübergängen sowie aller Schnittstellen
- Dokumentation aller Accounts und deren Berechtigungen
- Dokumentation aller Fernwartungszugänge
- Schutz der Dokumentation vor unerlaubtem Zugriff oder Manipulation
Referenzdokumente: BSI IT-Grundschutz-Kompendium (IND: Industrielle IT), BSI ICS-Security-Kompendium
Die Verfügbarkeit von Systemen und Netzwerken im ICS-Bereich ist auf Basis von Anforderungen der Geschäftsprozesse oder geltender Compliance-Vorgaben sicherzustellen. Die Verfügbarkeitsanforderungen müssen in einem ersten Schritt, z.B. durch eine Business-Impact-Analyse, ermittelt werden. Anschließend sind Maßnahmen zu treffen bzw. umzusetzen, um diese Verfügbarkeiten zu erreichen (z.B. Schaffung von Redundanzen, Vorhaltung von Ersatzteilen, Sicherstellung benötigter Backup- und Restore-Zeiten). Um die Wiederherstellungszeiten bei Notfällen/Ausfällen auf das erforderliche Maß zu reduzieren, ist des Weiteren die Ausarbeitung und Testung von Wiederherstellungs- und Notfallpläne erforderlich.
Ziele:
- Erhebung der Verfügbarkeitsanforderungen für die Systeme und Netzwerke im ICS-Bereich (z.B. Business Impact Analyse)
- Sicherstellung erforderlicher OLAs und SLAs für Systeme und Netzwerke
- Umsetzung von Maßnahmen wie beispielsweise der Aufbau von Redundanzen und/oder Vorhaltung von Ersatzteilen für die Behandlung von (Einzel-)Komponentenausfällen
- Erstellung von Wiederherstellungs- und Notfallpläne inkl. Durchführung von periodischen Tests
Referenzdokumente: BSI IT-Grundschutz-Kompendium (IND: Industrielle IT), BSI ICS-Security-Kompendium
Um die Systeme in einem ICS-Netzwerk entsprechend ihres Schutzbedarfes zu schützen, ist das ICS-Netzwerk in einzelne Netzwerkzonen zu segmentieren, in denen jeweils Systeme mit gleichem Schutzbedarf betrieben werden. Ein Datenverkehr zwischen diesen Zonen darf nur über definierte Zonenübergänge mit festgelegten Kontrollmaßnahmen (z.B. ACL, Firewall, IDS, IPS usw.) für freigegebene Ports und Protokolle erfolgen (Whitelisting-Ansatz). Der erlaubte Netzwerkverkehr zwischen den Zonen muss dabei auf das erforderliche Minimum beschränkt werden. Es muss eine Terminierung aller in das ICS-Netzwerk eingehenden und vom ICS-Netzwerk ausgehenden Verbindungen in einer DMZ-Zone erfolgen und der Datenverkehr nach Möglichkeit auf Anwendungsebene zu prüfen. Dies ist beispielsweise für Fernwartungen und für Verbindungen in Office-/Büronetzwerke erforderlich. Die einzelnen Netzwerksegmente und alle definierten Schnittstellen und Zonenübergänge sind zu dokumentieren.
Ziele:
- Erstellung und Dokumentation eines Netzwerkzonenkonzepts
- Trennung des ICS-Netzwerkes in Netzwerksegmente für den Betrieb von Systemen mit gleichem Schutzbedarf
- Verbindungen zwischen den Netzwerksegmenten nur über definierte Übergangspunkte / Schnittstellen
- Verbindungen zum Büro-/Office-Netzwerk sowie zu Lieferanten/Dienstleistern/Dritten sind dokumentiert und durch technische Maßnahmen abgesichert
Referenzdokumente: BSI IT-Grundschutz-Kompendium (IND: Industrielle IT), BSI ICS-Security-Kompendium, IEC 62443-3-3:2013, ISO/IEC 27002:2013
Die Fernwartung von IT-Systemen birgt besondere Sicherheitsrisiken, wobei Fernwartungen über externe Netze oder durch Dritte als besonders kritisch eingestuft werden müssen. Es sind daher technische und organisatorische Sicherheitsmaßnahmen und Vorkehrungen für Fernwartungszugriffe zu treffen (z.B. keine direkten Zugriffe auf ICS-Systeme von externen Netzwerken, Einsatz dezidierter Systeme/Sprungserver in eigenen ICS-Netzwerkzonen, Verwendung von verschlüsselten Protokollen, explizite Freigabe/Freischaltung von Fernwartungen nach verpflichtender Vorankündigung für eine beschränkte Zeitdauer, Einschränkung der Rechte (Least Privilege Prinzip), Verwendung personalisierter Accounts, Einsatz von starken Authentifizierungsverfahren mit Multi-Faktor-Authentifizierung, Protokollierung und Kontrolle/Audit von Zugriffen usw.).
Ziele:
- Definierte Richtlinien und Regelungen für den Einsatz von Fernwartungszugriffen, insbesondere für Fernwartungen durch Dritte
- Überwachung und Steuerung von Fernwartungszugängen und -Verbindungen
- Definierter Prozess für die Vergabe, Verwaltung und Dokumentation von Fernwartungen
- Verhinderung nicht kontrollierter, unerwünschter und nicht genehmigter Fernwartungen
- Technische Absicherung von Fernwartungszugängen entsprechend dem Schutzbedarf und Stand der Technik
Referenzdokumente: BSI IT-Grundschutz-Kompendium (OPS: Betrieb, IND: Industrielle IT), BSI ICS-Security-Kompendium), ISO/IEC 27001:2013 Annex A, ISO/IEC 27002, TeleTrusT Handreichung zum Stand der Technik
Über Berechtigungen bzw. Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Funktion bevollmächtigt wird, Systeme bzw. Informationen im ICS-Bereich zu nutzen. Es ist sicherzustellen, dass Benutzer nur jene Zugriffsrechte erhalten, die sie für ihre Arbeit benötigten (Least Privilege-Prinzip). Die Berechtigungsvergabe hat durch einen definierten Prozess zu erfolgen und ist vom jeweiligen Verantwortlichen (Informations-/Prozesseigner) zu genehmigen. Um Risiken in der Vergabe von Berechtigungen zu minimieren, ist der Berechtigungsvergabeprozess für alle Bereiche, Systeme/Dienste einheitlich zu gestalten. Vergebene Benutzer und Berechtigungen sind zu dokumentieren und regelmäßig auf Erfordernis zu prüfen.
Ziele:
- Umsetzung eines Prozesses für die Vergabe, den Entzug und die Änderung von Berechtigungen mit einer dokumentierten Freigabe der Berechtigungen durch Informations-/Prozesseigner
- Vergabe von Berechtigungen nach dem Least Privilege-Prinzip
- Dokumentation der vergebenen Accounts und Berechtigungen
- Regelmäßige Prüfung der vergebenen Accounts und deren Berechtigungen
Referenzdokumente: BSI IT-Grundschutz-Kompendium (ORP: Organisation und Personal, (IND: Industrielle IT), BSI ICS-Security-Kompendium, ISO/IEC 27001:2013 Annex A
Es ist sicherzustellen, dass Schwachstellen auf eingesetzten Systemen im ICS-Bereich behandelt werden. Hierzu ist ein Patch-Management-Prozess für eine sichere und zeitnahe Aktualisierung der eingesetzten Produkte zu definieren und zu implementieren, bei welchem auch alle eingesetzten IDS-/IPS-Systeme sowie die verwendete Virenschutzsoftware mit aktuellen Updates und Signaturen versorgt wird. In diesem Prozess sind die Planung und Installation von Patches samt Verantwortlichkeiten und die Prioritäten für die Verteilung festzulegen. Ist ein Einspielen von Updates/Patches nicht möglich, sind kompensierende technische und/oder organisatorische Maßnahmen zu implementieren (z.B. Migration auf neue Versionen/Produkte oder Separierung/Abschottung vom Netzwerk).
Ziele:
- Definition und Implementierung eines Schwachstellenmanagements
- Regelmäßige Installation von Patches/Updates entsprechend des Patch-Management-Prozesses
- Regelung der Verantwortlichkeiten z.B. für Freigabe, Installation usw.
- Definition von Patch-Klassen inkl. Festlegung von Zeitpunkten/Wartungsfenstern für die Installation sowie Definition von kompensierenden Sicherheitsmaßnahmen, wenn keine Patches verfügbar sind oder eingespielt werden können
Referenzdokumente: BSI IT-Grundschutz-Kompendium (OPS: Betrieb, IND: Industrielle IT), BSI ICS-Security-Kompendium, ISO/IEC 27001:2013 Annex A, ISO/IEC 27002, TeleTrusT Handreichung zum Stand der Technik
Mit Hilfe von Härtungsmaßnahmen wird für ICS-Systeme eine Erhöhung des Sicherheitsniveaus angestrebt, um die Angriffsfläche auf ein Minimum zu reduzieren. Härtungsmaßnahmen sind u.a. die Umsetzung eines geeigneten Virenschutzkonzepts, die Deaktivierung/Löschung von Standardaccounts, die Änderung von Standard-Passwörtern, die Verwendung von personalisierten Accounts, die Umsetzung von Passwort-Regeln, das Löschen/Deaktivieren nicht benötigter Software oder Funktionalitäten, eine Anpassung von Standard-Einstellungen, die Deaktivierung nicht benötigter Hardware/Schnittstellen usw. Zur Sicherstellung der Wirksamkeit der der umgesetzten Härtungsmaßnahmen muss eine regelmäßige Kontrolle/Überprüfung dieser Maßnahmen erfolgen. Diese Kontrollen haben neben technischen Prüfungen (z.B. Penetration Tests, Konfigurationsanalysen usw.) auch organisatorische Aspekte (z.B. IT-Dokumentation, Berechtigungsvergabe usw.) zu berücksichtigen.
Ziele:
- Identifikation aller IT-Systeme inkl. deren Schutzbedarf und Ableitung der erforderlichen Sicherheitsanforderungen
- Entwicklung und Umsetzung von Härtungsmaßnahmen /-guidelines
- Durchführen von Sicherheitsüberprüfungen und -tests zur Überprüfung der Einhaltung / Umsetzung der Maßnahmen
Referenzdokumente: BSI IT-Grundschutz-Kompendium (u.a. OPS: Betrieb, SYS: IT-Systeme, CON: Konzeption und Vorgehensweisen, IND: Industrielle IT), BSI ICS-Security-Kompendium, ISO/IEC 27001:2013 Annex A, ISO/IEC 27002, TeleTrusT Handreichung zum Stand der Technik
Bei der Beschaffung von Komponenten im ICS-Umfeld sind Sicherheitsvorgaben zu definieren und zu befolgen und/oder es ist eine frühzeitige Einbindung von Sicherheitsverantwortlichen (z.B. CISO) in den Beschaffungsprozess sicherzustellen. Aufgrund der zumeist langen Nutzungsdauer und hohen Kritikalität von ICS-Systemen ist es wesentlich, dass Informationssicherheitsaspekte schon vor der Beschaffung berücksichtigt werden.
Ziele:
- Definition von Sicherheitsvorgaben / Sicherheitsanforderungen bei der Beschaffung von ICS-Systemen
- Berücksichtigung von Sicherheitsanforderungen im Beschaffungsprozess
Referenzdokumente: BSI IT-Grundschutz-Kompendium (IND: Industrielle IT), BSI ICS-Security-Kompendium
Mit der Durchführung von regelmäßigen Sicherheitsüberprüfungen/Penetration Tests kann die aktuelle Sicherheit von ICS-Netzwerken und der eingesetzten Systeme und Anwendungen festgestellt werden. Im Zuge von Sicherheitsüberprüfungen/Penetration Tests sind die interne Sicherheit der ICS-Systeme in Bezug auf Fehlkonfigurationen, möglichem Systemmissbrauch und fehlenden Sicherheits-Patches sowie die die angebotenen Schnittstellen zu überprüfen. Zusätzlich sind auch das implementierte Sicherheitskonzept und die implementierten Sicherheitsmaßnahmen zu prüfen. Jede Sicherheitsüberprüfungen/Penetration Test ist in einem Bericht zu dokumentieren. Ausgehend von den Ergebnissen der durchgeführten Überprüfungen können Maßnahmen für die weitere Absicherung der Netzwerke und Systeme abgeleitet und implementiert werden, welche gleichermaßen regelmäßig auf ihre Wirksamkeit zu prüfen sind.
Ziele:
- Planung von regelmäßigen Sicherheitsüberprüfungen/Penetration Tests
- Definition von Worst Case Angriffsszenarien für die einzelnen IT-Services
- Analyse und Auswertung von Sicherheitsüberprüfungen/Penetration Tests (Berichten)
- Umsetzung von Sicherheitsmaßnahmen und Integration der Maßnahmen in regelmäßige Überprüfung der Wirksamkeit
Referenzdokumente: BSI IT-Grundschutz-Kompendium (u.a. OPS: Betrieb, APP: Anwendungen, SYS: IT-Systeme, NET: Netze und Kommunikation, ISMS: Sicherheitsmanagement, IND: Industrielle IT), ISO/IEC 27001:2013 Annex A