kes Special 3-2021

Inhalt Optimierung der Zusammenarbeit von Informationssicherheits- und Datenschutzbeauftragten Den erfolgreichen Weg zur Integration von Regelungen des Datenschutzes und der Informationssicherheit in die vorhandenen und gelebten Prozesse einer Behörde zu ﬁ n- den, erfordert Flexibilität und persönliches Engagement. Die beteiligten Menschen und die verwendeten Software- werkzeuge ergeben gemeinsam das entscheidende Moment. Seite 4 Ressourcen optimieren, Kosten re- duzieren und Ergebnisse sichern Informationssicherheit nach IT-Grundschutz und Daten- schutz sind wichtige Themenbereiche in Organisationen. Beide Compliance-Themen sind abhängig voneinander und haben Gemeinsamkeiten. Aufgrund der Komplexität der Aufgabenstellung ist eine toolgestützte integrierte Umset- zung sinnvoll. Seite 6 Business-Continuity-Management für Ransomware-Angriffe Unternehmen unterschätzen noch immer die Gefahren durch Ransomware. Um Ausfallzeiten und Datenverluste zu vermeiden, sollten sich die Verantwortlichen Gedanken da- rüber machen, welche Schutzmaßnahmen zu ergreifen sind und wie im Ernstfall vorzugehen ist. Seite 10 Sichere Cloud-Nutzung in Unter- nehmen und Behörden Eine sichere Cloud-Nutzung ist für Unternehmen und Behörden möglich, wenn von vornherein IT-Sicherheit als Mitherausgeber Entscheidungskriterium mitgedacht wird. Besonders der Einsatz von Verschlüsselung schafft einen großen Sicher- heitsvorsprung. Seite 14 Dokumentation eines ISMS und Kompendium-Update Seit der Veröffentlichung des modernisierten BSI IT-Grund- schutzes hat eine Vielzahl von Organisationen erfolgreich ein ISMS nach der BSI-Standardreihe 200-x etabliert. Neben der initialen Dokumentation ist die Pﬂ ege und Aktualisie- rung des ISMS ein wichtiger Bestandteil. Seite 16 Nichts geht mehr – wie geht es trotzdem weiter? Nicht erst seit der Covid-19-Pandemie gibt es Ereignisse, die den Betrieb von jetzt auf gleich lahmlegen können. In solchen Notfällen sind Institutionen im Vorteil, die ein Business-Continuity-Management etabliert haben. Im Fall der Fälle können dann die betroffenen zeitkriti- schen Geschäftsprozesse in den geregelten Notbetrieb gehen. Seite 18 Vom Grundschutz zum BCM Zwischen Grundschutz und Notfallmanagement gibt es viele Synergien. Wer diese konsequent nutzt, kann den Auf- wand für die Einführung und Pﬂ ege eines BCM erheblich reduzieren und die Qualität bei der Managementsysteme verbessern. Der demnächst verfügbare BSI-Standard 200-4 bietet eine gute Grundlage dafür. Seite 22 News und Produkte Impressum Seite 25 Seite 26 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021 3

Management und Wissen ISMS und DSMS Einführung im Kreis Rendsburg-Eckernförde Optimierung der Zusammenarbeit von Informationssicherheits- und Datenschutzbeauftragten Den erfolgreichen Weg zur Integration von Regelungen des Datenschutzes und der Informationssicherheit in die vorhandenen und gelebten Prozesse einer Behörde zu finden, erfordert Flexibilität und persönliches Engagement. Die beteiligten Menschen und die verwendeten Softwarewerkzeuge ergeben gemeinsam das entscheidende Moment. Von Micha Mark Knierim, Kreisverwaltung Rendsburg-Eckernförde und Andreas Hartmann, preeco GmbH Der Kreis Rendsburg- Eckernförde in der Mitte Schleswig- Holsteins ist mit circa 270 000 Einwohnern einer von elf Kreisen Schleswig-Holsteins. Die etwa 750 Mitarbeiter:innen nutzen eine ausge- dehnte, hausinterne IT-Infrastruktur mit circa 650 Desktop-Clients und zahlreichen mobilen Endgeräten. Das haueigene IT-Management be- steht aus zwölf Mitarbeiter:innen. Die Bereiche Informationssicherheit und Datenschutz werden im Kreis von jeweils einer Vollzeitstelle be- treut. Bereits 2018 zur Einführung einer Softwarelösung im Bereich Datenschutzmanagement koope- riert der Kreis mit dem Compliance Softwarehersteller preeco GmbH aus dem schwäbischen Ulm. Die Lösung der preeco im Bereich Datenschutz- management wurde gewählt, weil der moderne Technologieansatz überzeugte und auch weil die Wei- terentwicklung der Software aus den Praxiserfahrungen in der Kreis- verwaltung heraus erfolgte. Diese Kundenzentriertheit führte in den vergangenen Jahren bereits zu zahl- reichen, durch den behördlichen Datenschutzbeauftragten (BDSB) und den Informationssicherheitsbe- auftragten (ISB) des Kreises angereg- ten Erweiterungen der Software, wie zum Beispiel individuelle Nachrich- tenformulare zur zentralen Erfassung von Anfragen über das Intranet. Aktuell wird die preeco Software deshalb in enger Verzahnung mit den Praxisanwendern um folgende Funktionsmodule erweitert: Inventarisierung (Veröf- –—— fentlichung 06/2021): hierarchische Abbildung aller Assets und Kompo- nenten einer Organisation Audit-Modul (Veröffent- –—— lichung 06/2021): BSI IT-Grund- schutz-Katalog abbilden –—— Organigramme (Veröf- fentlichung 07/2021): Verantwort- lichkeiten in einer hierarchischen Struktur klar benennen –—— Prozesse (Veröffentlichung 08/2021): Geschäftsprozesse model- lieren und beschreiben Risikomanagement (Ver- –—— öffentlichung 10/2021): Sicher- heitsniveaus festlegen und deren Einhaltung in der gesamten Prozess- kette analysieren und herbeiführen Schulungen (Veröffentli- –—— chung 06/2021): Ausweitung des Online-Schulungsangebotes zum Thema Informationssicherheit Den Beginn machen die Funktionen zur Abbildung des gesamten IT-Inventars und das Audit-Modul, welche in einer ge- schlossenen Beta-Phase vom Kreis und ausgewählten preeco ISO- 27001-Auditoren verwendet wird und zum Ende des zweiten Quartals in das öffentliche preeco-Produkt einﬂießen werden. Mit dieser stu- fenweisen Erweiterung wird die preeco-Applikation die zentrale Plattform für die Dokumentation und die Zusammenarbeit für alle Beteiligten in den Bereichen Da- tenschutz und Informationssicher- heit. Inventarisierung gemeinsam nutzen Mit klaren Rollen und Rech- ten in der Applikation können ISB und DSB zum Beispiel auch die IT- Inventarisierung für die jeweiligen Zwecke nutzen. Als Grundlage für die Abbildung des IT-Grundschutzes ist die detaillierte Auﬂistung aller 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021

integrierten Kommunikationsstärke, verbunden mit der einhergehenden Dokumentationsautomatik den Überblick zu behalten. So wird beim Kreis Rends- burg-Eckernförde zum Beispiel das sonst in Papierform geprägte Abstimmungsverfahren mit dem Personalrat seit über zwei Jahren ausschließlich auf digitalem Wege innerhalb von preeco abgebildet. Die dort hinterlegten, verfahrensbe- zogenen Dokumentationen machen es möglich, Prozesse efﬁ zient und nachhaltig zu gestalten. Bereits während der Eva- luierungsphase und auch nach der Dokumentation der ersten wichtigen Elemente für die Abbildung des IT- Grundschutzes war und bleibt ein oft gesagtes Statement der Autoren: „Wir sind mitten drin. Und das wird so bleiben“. Der Prozess der Etablie- rung des IT-Grundschutzes und der Grundsätze des Datenschutzes nach DSGVO ist keine abschließende Tä- tigkeit, sondern die Wandlung hin zu einem zirkulär deﬁ nierten und geleb- ten Prozessvorgehen. Die beständige Bewertung und Optimierung der vorhandenen und angestrebten Zu- stände der Informationssicherheit und des Datenschutzes muss im Rahmen dieser Transformation ein immanenter und zugleich obliga- torischer Bestandteil des Umgangs mit Daten und deren Sicherheit werden. n Assets- und IT-Komponenten für den ISB unerlässlich. Auch für den DSB ist die Dokumentation der verwendeten Datenverarbeitungssysteme mit den enthaltenen personenbezogenen Daten oft der Ausgangspunkt für die Dokumentation von Verarbei- tungstätigkeiten. Darüber hinaus nutzt der DSB die IT-Inventar-Do- kumentation auch für die Wahrung der Rechte betroffener Personen und die Konzeption und Durchführung eines stringenten Löschkonzep- tes. Die IT-Inventarisierung in der Kreisverwaltung war zu Beginn an dezentralen Stellen für verschiedene Einsatzzwecke vorhanden und muss- te in einem mehrwöchigen Vorgang durch den ISB analysiert und zusam- mengeführt werden. Dabei waren die einzelnen Stellen sowohl durch die Softwareapplikation als auch Workshop-Termine in die zentrale Erfassung eingebunden. Entscheidend dabei aber war und ist der enge Austausch zwischen ISB und dem Fachdienst IT-Manage- ment und Digitalisierung sowie die Bereitschaft der Beteiligten eine zentrale Erfassung des Bestands und der Veränderungen des IT-Inventars durchzuführen. Die Kommunikati- on der jeweiligen Aufgaben und die Dokumentationstätigkeiten erfolg- ten dabei über die Weboberﬂ äche der preeco Applikation. Verteiltes Arbeiten (z. B. Homeofﬁ ce oder vor Ort in verschiedenen Gebäuden) oder die Verwendung verschiedens- ter Endgeräte für die Applikation waren umstandslos möglich und erforderten keinerlei Anpassungen auf Seiten der Anwender. Herausfordernd stellt sich aktuell noch die Einführung eines Prozesses für neu zu beschaffende Systeme oder die Meldung von Än- derungen in der Systemlandschaft dar. Auch hier setzt der Kreis ver- stärkt auf digitale Kommunikation beziehungsweise Korrespondenz der beteiligten untereinander und die Abbildung der Änderungsprozesse in der preeco Applikation. Geeignete Workflows werden aktuell disku- tiert und in der Anwendung abge- bildet. Pﬂ ege und Dokumen- tation der Assets Der zweite Schritt zur Eta- blierung des BSI IT-Grundschutzes im Kreis Rendsburg-Eckernförde besteht in der Zuweisung der nöti- gen Anforderungsbausteine zu den erfassten Assets des IT-Inventars. Dabei müssen die Prozesse, Infra- struktur und Personal im Sinne der Dokumentation des abzubildenden IT-Verbunds in Einklang gebracht werden. Entscheidend wird für den weiteren Verlauf dann die „Pﬂ ege“ der einzelnen Assets und Dokumen- tationen sein. Das so entstehende Sicherheitskonzept bildet ebenfalls für den Bereich des Datenschutzes, nicht zuletzt durch die zunehmende Digitalisierung, das Fundament für einen rechtskonformen IT-Betrieb mit der dadurch angemessenen Si- cherstellung der Grundschutzziele Verfügbarkeit, Integrität und Ver- traulichkeit. Generell müssen parallel die Anforderungsbausteine des BSI- Grundschutzes gemäß des Soll-Stan- des bewertet und gegebenenfalls auf den umsetzungsfähigen Istzustand skaliert und dokumentiert werden. In der Praxis stellt es sich so dar, dass eine fundierte Zuarbeit der einzelnen Verwaltungsbereiche, insbesondere des IT-Managements nötig ist. Nicht zuletzt in Zeiten von erhöhten pandemischen Belastungsspitzen und den unter anderem daraus resultierenden neuen Prozessen ist das eine sehr kommunikations- und dokumentationsintensive Aufgabe für den ISB und den DSB. Zirkuläres Prozess- vorgehen Umso entscheidender ist es, ein leistungsfähiges Unterstützungs- tool wie preeco konsequent zu ver- wenden und somit auf Basis der dort © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021 5

Management und Wissen Datenschutz nach DSGVO und Informationssicherheitsmanagement nach IT-Grundschutz Ressourcen optimieren, Kosten reduzieren und Ergebnisse sichern Nur das integrierte Vorgehen führt zum nachhaltigen gemeinsamen Erfolg. Informationssicherheit nach IT-Grundschutz und Datenschutz sind wichtige Themenbereiche in Organisationen. Beide Compliance-Themen sind abhängig voneinander und haben Gemein- samkeiten. Aufgrund der Komplexität der Aufgabenstellung ist eine toolgestützte integrierte Umsetzung sinnvoll. Die Autoren erläutern in diesem Artikel die Vorteile und den Nutzen dieser Herangehensweise. Von Ellen Wüpper und Werner Wüpper, WMC GmbH Der BSI IT-Grundschutz ist national anerkannt und eine besonders bei öffentlichen Auftrag- gebern in Deutschland weit ver- breitete Methode für die Planung, Umsetzung und Überprüfung von Informationssicherheit. Im Kern steht die Umsetzung eines Informati- onssicherheitsmanagementsystems (ISMS) entsprechend den Anforde- rungen der ISO-27001-Norm auf Basis der Vorgehensweise nach IT- Grundschutz. Der Schwerpunkt liegt hier auf technischen, infrastrukturel- len, organisatorischen und personel- len Schutzmaßnahmen im Ermessen der jeweiligen Organisation. Die DSGVO ist die Richtlinie zum Datenschutz in der europäi- schen Union, welche die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlichen soll. Die sieben wesentlichen Grund- sätze dabei sind: Rechtmäßigkeit (Verarbeitung nach Treu und Glau- ben, Transparenz), Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit der relevanten Da- ten und die Rechenschaftspﬂicht. Der Schwerpunkt hier liegt auf der Umsetzung strenger gesetzlicher Regelungen. Für beide Compliance-Stan- dards gemeinsam gilt, dass Organisa- tionen die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Daten gewährleisten müssen. Weiter sind die Themenbereiche durch gesetz- lich deﬁnierte Schutzziele mitein- ander verknüpft: Der Datenschutz ist elementarer Bestandteil der IT- Sicherheit nach IT-Grundschutz und die Umsetzung des IT-Grundschutz- Standards kann ohne den Schutz personenbezogener Daten nicht gewährleistet werden. Es liegt auf der Hand, dass die Verbindung der bei- den Compliance-Standards sinnvoll ist. IT-Grundschutz und Datenschutz führen integriert betrachtet im Er- gebnis zu mehr Informationssicher- heit bei gleichzeitiger Optimierung von Ressourcen und Kosten. Der Weg zum Ziel Um ein nachhaltiges Kon- zept für ein integriertes Vorgehen zu den komplexen Themen IT- Grundschutz und Datenschutz nach DSGVO zu entwickeln, empﬁehlt sich ein der jeweiligen Institution an- gepasstes, methodisches Vorgehen und die Berücksichtigung der jeweiligen Ausgangslage, –—— der Gemeinsamkeiten und –—— –—— der möglichen Beneﬁts aus der Verbindung der beiden Stan- dards. Ausgangslage Bei der Analyse der Aus- gangslage ergeben sich für den Da- tenschutz folgende Punkte aus der DSGVO: Bedingungen für die Ein- –—— Grundsätze für die Verar- beitung personenbezogener Daten Art. 5 DSGVO Rechtmäßigkeit der Verar- –—— beitung personenbezogener Daten Art. 6 DSGVO –—— willigung Art. 7 DSGVO Bedingungen für die Ein- –—— willigung eines Kindes in Bezug auf Dienste der Informationsgesellschaft Art. 8 DSGVO –—— Verarbeitung besonderer Kategorien personenbezogener Da- ten Art. 9 DSGVO 6 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021

–—— Verarbeitung von perso- nenbezogenen Daten über straf- rechtliche Verfolgung Art. 10 DSGVO –—— Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist Art. 11 DSGVO –—— Umsetzung der weiteren Artikel Insgesamt deﬁniert die DS- GVO verbindliche gesetzliche Vor- gaben. Allerdings geht sie nicht auf Umsetzungsdetails ein beziehungs- weise gibt hierzu wenig konkrete Regelungen vor. Anders als bei der IT-Sicherheit nach IT-Grundschutz: Hier gibt es kaum gesetzliche Vor- gaben und das Handeln liegt im Ermessen und Interesse der Organi- sation. Allerdings geht der Standard auf zahlreiche Umsetzungsdetails ein. Bei der Analyse der Ausgangslage für die IT-Sicherheit nach IT-Grund- schutz ergeben sich folgende Punkte: –—— Anerkannte Methode und akzeptiertes Vorgehen zur Struktur- analyse, Schutzbedarfsfeststellung, Modellierung, Grundschutz-Check, Analyse von Risiken und Umsetzung erforderlicher Maßnahmen zur Risi- kobegegnung –—— Unterstützung durch Stan- dards wie ISO 27001 und „Stand der Technik“ –—— verpﬂichtungen –—— –—— Möglichkeit der Zertiﬁzie- rung Abdeckung der Vorsorge- Reifegradermittlung Die Basis ist hier ein auf dem Stand der Technik basierender Bausteinkatalog. Gemeinsamkeiten Im nächsten Schritt sind die gemeinsamen Ziele und Abhängig- keiten der Standards zu ermitteln: An erster Stelle steht die Umsetzung von Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit zum Schutz von Da- ten und Menschen. Weiter geht es Das Datenschutz-Informationssicherheits-Management-System in beiden Standards um die Risiko- reduzierung auch im Hinblick auf Haftungsreduzierungen. Zudem ste- hen sie in Abhängigkeit zueinander: IT-Sicherheit ohne Datenschutz ist nicht zielführend. Letztlich haben beide Compliance-Standards ähnli- che Vorgehensweisen und Mecha- nismen. Trotz vieler Gemeinsamkei- ten muss man jedoch auch die indi- viduellen Belange beider Standards vollumfänglich berücksichtigen. Beneﬁts durch Tool- unterstützung Zum Erreichen von Sy- nergien bei IT-Grundschutz und Datenschutz wird ausdrücklich ein toolgestütztes Vorgehen empfohlen, da sich die Nachhaltigkeit deutlich mit der Nutzung eines integrierten Managementsystems auf Daten- bankbasis erhöht. Moderne Systeme bieten die Möglichkeit des Vorge- hens nach dem IT-Grundschutz und den Anforderungen der ISO 27001 ebenso wie die integrierte Abbildung aller Datenschutzanforderungen. Mit Bordmitteln, wie beispielsweise Excel, können diese komplexen Pro- zesse längst nicht mehr zielführend und nachhaltig dargestellt werden. Wenn beide Themengebiete auf die gleiche vorhandene Datenba- sis zugreifen können, muss der Pro- zess vom Prozessverantwortlichen nur einmal erfasst werden. Die Pro- zesse sind somit die Basis für die Ver- arbeitungstätigkeit im Datenschutz und für die Kritikalitätsbewertung in der Informationssicherheit. In der Praxis wird oftmals das Verzeichnis der Verarbeitungstätigkeiten vom Datenschutzbeauftragten (DSB) un- abhängig von der Prozessdarstellung des Informationssicherheitsbeauf- tragten (ISB) erstellt. Das erzeugt Redundanzen und erhöht die Feh- lerquote. Beteiligte Rollen entlasten In der Praxis sind idealerwei- se unterschiedliche Rollen an den Aufgaben zur Umsetzung von Infor- mationssicherheit und Datenschutz sowie den zugehörigen Erfassungs-, Bewertungs- und Reportingaufgaben beteiligt. Durch die Integration von Datenschutz und IT-Grundschutz in einem System können die betei- ligten Ressourcen in die jeweiligen Aufgaben einbezogen und optimiert werden. Andernfalls werden die Ressourcen durch ein getrenntes Vor- gehen doppelt belastet und Daten doppelt erfasst. Eine Belastung über Gebühr führt häuﬁg zu sinkender Akzeptanz bei den Fachverantwort- lichen und erhöhten Fehlerquoten. Nur wenn eine prozessorientierte Vorgehensweise in der Organisation etabliert wird und auch für die ver- antwortlichen Anwender ein erkenn- © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021 7

Management und Wissen weise Neubewertung der für den Pro- zess erforderlichen Daten (Prozesse, Informationen und Assets etc.) kann mit Toolunterstützung benutzer- freundlich über die Verwendung von Workﬂows umgesetzt werden. Dieser Vorteil führt zu einer deutlichen Stei- gerung der Nutzerakzeptanz. Ferner ist ein Fachverantwortlicher oftmals nur einmal jährlich mit der Bewer- tung seiner Prozesse beauftragt. Vorteil einer intuitiven Führung für die jeweilige Aufgabenstellung im gesamten Workﬂowprozess ist hier die sich dadurch reduzierende Schu- lungsaufwendung. Haftungs- und Risikoreduzierung Die Umsetzung der Anforde- rungen der Informationssicherheit nach IT-Grundschutz und des Daten- schutzes nach der EU-DSGVO dient nicht nur zur Haftungsreduzierung, sondern auch im Wesentlichen zur Reduzierung der operationellen Risiken. Durch die toolgestützte me- thodische Risikobewertung der den Prozess unterstützenden Assets wer- den die Risiken erkannt und durch Maßnahmen reduziert. Gleichzeitig stehen alle Datenschutz- und Infor- mationssicherheitsvorfälle bei der Bewertung zur Verfügung. Fazit Datenschutz und Informati- onssicherheit nach IT-Grundschutz leisten einen wichtigen Beitrag zur Compliance und Risikoreduzierung in einer Organisation. Mit einem methodischen und integrierten Vorgehen werden die Aktivitäten vergleichbar, revisionssicher do- kumentiert und nachhaltig ent- wickelbar. Da beide Themenbereiche komplex sind, Gemeinsamkeiten haben und sich gegenseitig un- terstützen können, ist eine tool- gestützte gemeinsame Datenbasis ohne Redundanzen nicht nur „nice to have“, sondern bringt Unter- stützung, Erleichterung, Prozess-, Ressourcen- und Kostenoptimie- rung. n barer Mehrwert entsteht, werden Erhebungen und Bewertungen gern durchgeführt, und die Akzeptanz für den Prozess steigt. Umso wichtiger wird eine Softwareunterstützung für die regelmäßige Erfassung und Be- wertung der komplexen Anforderun- gen. Ohne eine datenbankorientierte Unterstützung können diese nicht qualitativ hochwertig umgesetzt werden, da die Bewertungskriterien der Disziplinen sich überschnei- den, aber dennoch die jeweiligen für das Fachgebiet erforderlichen zusätzlichen Themenerweiterungen benötigt werden. Diese Verbindung zwischen den Themenbereichen und die gleichzeitige Erweiterung um bereichsindividuelle Features ermög- licht komfortabel nur ein integriertes Tool. Dennoch sind grundsätzlich auch Schnittstellen zwischen beste- henden Tools denkbar, um zumin- dest die Doppelerfassung von Daten zu unterbinden. Es ist besonders anzumer- ken, dass auch Revisoren, Audi- toren, Qualitätsverantwortliche, IKS-Verantwortliche et cetera mit in die Anwendung einbezogen werden sollten. Damit wird eine noch höhere Akzeptanz unter allen Anwendern erzeugt. Festgelegtes, einheitliches methodisches Vorgehen Rollen und Verantwortlichkeiten Datenschutzes nach der EU-DSGVO erfolgt in der Praxis häuﬁg nur durch den ISB und den DSB. Bei Nutzung einer Toolunterstützung werden im Gegensatz zu diesem Vorgehen alle Prozessbeteiligten in den Prozess einbezogen und mit einer einheitlich festgelegten Bewertungsmethode unterstützt. Anpassungen werden nur nach einem festgelegten Verän- derungsprozess vorgenommen. Da- mit werden vergleichbare Ergebnisse und Reports über alle Organisations- einheiten erzielt. Schnellere Einführung und Betrieb Die Anforderungen an ein Datenschutz- und Informationssi- cherheitsmanagementsystem sind komplex und bewertungsintensiv. Über die in einem Tool verfügbaren und festgelegten Methoden und den mitgelieferten Content wird eine schnelle Einführung gewähr- leistet. Durch die Abbildung der Aufbau- und der Ablauforganisation mit allen erforderlichen Daten- und Bewertungsanforderungen kennt jeder Prozessbeteiligte seine Aufga- ben und wird permanent an offene Aufgabenstellungen erinnert. Damit ist eine wesentliche Zeitersparnis verbunden. Bessere Unterstützung der Fachverantwortlichen Die Umsetzung der Anfor- derungen der Informationssicher- heit nach IT-Grundschutz und des Die regelmäßige Neu- und Veränderungserfassung beziehungs- 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021

Excellence in Digital Security. Cyber-Attacke: Abgewehrt. Datenschutz: Erfüllt. Netzwerk-Performance: Gesteigert. Bringen Sie Ihre IT-Sicherheit mit dem cognitix Threat Defender von genua auf ein neues Leistungsniveau. Mit dem Starter Pack Advanced Network Protection proﬁ tieren Sie bis 30. September 2021 von exklusiven Vorteilen:    Umfassende Beratung zu internem Netzwerkschutz Vierwöchige Teststellung mit Support Hotline Umsetzung Ihrer spezifischen Anforderungen zur Netzwerkoptimierung Handeln Sie jetzt: www.genua.de/starter-pack

Management und Wissen IT-Grundschutz-Standards: Business-Continuity-Management für Ransomware-Angriffe Unternehmen unterschätzen noch immer die Gefahren durch Ransomware. Um Ausfallzeiten und Datenverluste zu vermeiden, sollten sich die Verantwortlichen Gedanken darüber machen, welche Schutzmaßnahmen zu ergreifen sind und wie im Ernstfall vorzugehen ist. Von Sven Haubold, Arcserve Für die erfolgreiche Digitali- sierung ist laut Bundesamt für Sicher- heit in der Informationstechnik (BSI) Informationssicherheit die Grund- voraussetzung. Doch nicht nur für die erfolgreiche Digitalisierung, sondern auch damit Unternehmen ihre tägliche Arbeit machen können – Stichwort Business-Continuity – ist Daten- und Informationssicherheit das A und O. Denn, wenn auf Ser- ver nicht mehr zugegriffen werden kann, E-Mails und Bestellungen nicht mehr durchkommen oder Buchhaltung und Kassensysteme ausfallen, wird das für Unterneh- men sehr kostenintensiv. Wer kann sich heute noch lange Ausfallzeiten oder gar Datenverlust leisten? Das BSI bietet mit dem IT-Grundschutz und den entsprechenden Standards bewährte Vorgehensweisen, um Si- cherheitsmaßnahmen systematisch umsetzen zu können. Dafür wurde auch der BSI-Standard 200-4 zur Business-Continuity entwickelt, um beispielsweise Unternehmen einen Leitfaden an die Hand zu geben, mit dem sie ein eigenes Business- Continuity-Management-System (BCMS) aufbauen und etablieren können. Ein erfolgreiches BCMS sollte daher immer aktuell sein, um das Unternehmen bestmöglich auf ein Schadensereignis vorzuberei- ten. Ransomware- Prävention: Ein ganzheitlicher Ansatz Weit unterschätzt: Ransomware Die weitläuﬁg am häuﬁgsten unterschätzte Gefahr, die mittler- weile zur größten Bedrohung für Unternehmen geworden ist, sind Cyber-Attacken durch Ransomware. Denn nicht nur große Konzerne sind von Ransomware-Angriffen betrof- fen, auch mittlere und kleine Unter- nehmen sind vor ihnen nicht gefeit. Daher ist es ausschlaggebend, die drohende Gefahr zu kennen und zu verstehen. So können entsprechende Maßnahmen ergriffen werden, die vor langen Ausfallzeiten und hohen Datenverlusten schützen. Dabei gilt es einige Hürden zu überwinden: Das oft leidige Thema des IT-Budgets, bei- spielsweise. Oder, dass den genutz- ten Systemen wichtige Funktionen fehlen. Zudem ist die Handhabung von Tools und Anwendungen un- terschiedlicher Hersteller oftmals schwierig und unübersichtlich. Das alles führt dazu, dass die IT-Systeme weiterhin anfällig für Cyber-Angriffe sind. Ein ganzheitlicher und proaktiver Ansatz Der richtige Ansatz bei der Sicherheitsarchitektur ist daher von größter Bedeutung. Dieser Ansatz sollte multi-dimensional, ganzheit- lich und proaktiv sein. Daher sollte der Fokus auf folgenden vier Ebenen liegen: 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021

Unveränderlicher Objektspeicher mit scale-out: X-Series von StorageCraft - an Arcserve Company –—— Anti-Malware- und Anti- Ransomware-Endpoint-Protection der nächsten Generation auch für die Backup-Infrastruktur Implementierung stren- –—— ger Datensicherungshygiene, wie beispielsweise die 3-2-1-1-Regel mit Air-Gapped-Kopien Regelmäßige Mitarbei- –—— terschulungen und -trainings zum Thema Cybersicherheit –—— Bessere Kontrolle über offene Remote-Desktop-Protokolle, Zugriffskontrollen mit Multifaktor- Authentiﬁzierung und Immutable- Storage-Kopien Verschiedene Lösungen, für verschiedene Bedürfnisse Für die Umsetzung eines guten BCMS bietet Arcserve auf die vier Ebenen ausgelegte Alles-aus- einer-Hand-Lösungen an. Zu diesem Zweck ist Arcserve eine strategische Partnerschaft mit dem Security- Spezialisten Sophos eingegangen. Dessen Endpoint-Protection-Pro- dukte Intercept X und CryptoGuard können von Ransomware ange- griffene Daten schützen, indem sie die Ransomware-Verschlüsselung rückgängig machen. Und sie können Malware durch Deep-Learning auch signaturlos erkennen. Die beiden Lö- sungen sind in der Lizenz einer Appli- ance inbegriffen. Damit lassen sich auch Außenstellen schützen. Mit der X-Series, die sich On-Premises und mit Cloud-Add-on betreiben lässt, kann Arcserve auch die Bedürfnisse des oberen Mittelstands und der Großunternehmen befriedigen. Die anfängliche Speicherkapazität kann bis zu 1 Petabyte auf HDD erreichen. UDP Cloud Hybrid 8.0 Arcserve UDP Cloud Hybrid Secured by Sophos wird als vollstän- dig verwaltete Service-Erweiterung zur Unified-Data-Protection-Soft- ware (UDP) und den Arcserve-Appli- ances angeboten. Die Lösung soll das BCMS unterstützend, eine kohärente Strategie für Datensicherheit, -schutz und -aufbewahrung mit cloudbasier- ten Backups und Disaster Recovery (DR) in öffentlichen und privaten Clouds sowie Endpoint Protection ermöglichen. Sophos Intercept X ist dabei schon vorinstalliert. Zusätzlich bietet Arcserve nun mit AWS Object Lock unveränderlichen S3-Speicher, um die Abwehr von Ransomware- und anderen Hackerangriffen zu ermöglichen. Arcserve UDP Cloud Hybrid nutzt für die Sicherung in der Cloud zwei Medienbrüche: ein lokales Backup von Disk auf Tape und von dort in die Cloud. Dabei kann der Nutzer zwischen der Arcserve UDP Appliance und einem Recovery Point Server (RPS) wählen. Hier werden das Primär-Backup und sämtliche wei- tere Snapshots verwaltet. Und von hier kann auch eine granulare Daten- wiederherstellung erfolgen. Arcserve Cloud Hybrid repliziert die Backups auf dem RPS oder der Appliance in die Cloud. Diese wird wahlweise bei Arc- serve in Manchester, Großbritanni- en, oder im Arcserve-Rechenzentrum bei Amazon in Frankfurt/Main be- trieben. Der nächste Schritt ist dann der vollständige Betrieb von Arcserve UDP in der Cloud. Das erlaubt eine höhere Verfügbarkeit – insbesonde- re dann, wenn die Option „Virtual Standby“ gewählt wird. Support für Nutanix, Oracle und Bare Metal Neu in der UDP-Version 8.0 ist die Unterstützung für Nutanix Objects für Datenspeicher und für Nutanix-Files-Backup, um einen um- fassenden Schutz für Nutanix HCI (Hyper-Converged Infrastructure) zu bieten. Zu den Neuerungen gehört auch die Sicherungsmöglichkeit für Oracle-Datenbanken. Die Sicherung und Wiederherstellung erfolgt über das native RMAN-Tool zur Unterstüt- © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021 11

Umgebungen, vor Datenverlust, Cyberkriminellen und anhaltenden Bedrohungen wie Ransomware verfolgt. Somit lassen sich Ransom- ware-Angriffe in Hardware-, Cloud-, SaaS- und anderen Umgebungen effektiv verhindern. n Management und Wissen zung von Oracle RAC (Real Applica- tion Cluster) und Oracle Automatic Storage Management (ASM). Auch Bare Metal Restore ist ein großes Thema, wenn von Hardware A auf Hardware B oder von Infrastruktur A auf Infrastruktur B wiedergestellt werden soll (Restore). In diesem Fall kann problemlos und sicher ein Sys- tem oder eine Infrastruktur geklont werden. Erweitertes Backup für Ofﬁce 365 „Cloud Backup for Office 365“ schützt Microsoft-Office- 365-Daten vor absichtlicher oder unabsichtlicher Löschung, pro- grammatischen Problemen und externen Sicherheitsbedrohungen mit Cloud-to-Cloud-Backup für Ex- change Online, OneDrive for Busi- ness und SharePoint Online, sowie neu hinzugekommen MS Teams. Arcserve Cloud Backup für Ofﬁce 365 repliziert automatisch Postfä- cher und Nutzerdaten von Ofﬁce 365 direkt in die Arcserve Cloud. Die Systemanforderungen wurden gesenkt und die Leistung gesteigert, während die Lizenzkosten halbiert werden konnten. Die auf Arcserve UDP und Sophos Intercept X Advanced for Server basierende Lösung bietet Cyberschutz auf einem RPS, richt- linienbasierte Verwaltung, schnelle Wiederherstellung in Office 365 und die granulare Wiederherstel- lung mit einem Granular Restore Tool (GRT). Cloud Backup for Office 365 ermöglicht nicht nur den Schutz von Daten, die von Microsoft nicht geschützt werden, sondern erfüllt auch die steigenden Anforderungen zum Schutz von Mitarbeitern nach der Datenschutz- Grundverordnung (DSGVO). Zudem ermöglicht es einen höheren Return on Investment (ROI) bei 50 Prozent niedrigerem Total Cost of Owner- ship (TCO), da die Datensicherung vollautomatisch erfolgt und KI- basierte Scans sowie Deduplizierung beinhaltet. Immutable Storage Die Frage, die sich nach einem Angriff stellt, ist nicht ob sich ein Unternehmen von einem Angriff erholen kann, sondern wann. Daher ist es besonders wichtig, Da- ten durch einen unveränderlichen Objektspeicher und kontinuierliche Datensicherung zu schützen. Dieser erstellt beispielsweise alle 90 Sekun- den einen Snapshot der Daten. So bleiben auch ältere Objekte als Teil des Snapshots – also die Originalda- ten – erhalten. Mit der Eingliederung von StorageCraft, kann Arcserve auch scale-out Immutable-Storage- Konzepte, wie OneXafe, anbieten. Fazit Die Datensicherheitslösun- gen von Arcserve bieten Ransom- ware-Schutz für hyperkonvergente, Hardware-, Cloud- und SaaS-Umge- bungen, sodass nach Ransomware- Attacken bei allen Kunden der Arcserve Unified Data Protection (UDP) 8.0 die Kundendaten inner- halb weniger Stunden zu 100 Prozent und frei von Ransomware wiederher- gestellt werden können. Sollte das nicht möglich sein, erhalten „UDP 8.0“-Kunden den vollen Kaufpreis der Arcserve-Lösung zurück. Im Gegensatz zu anderen Datenschutz- anbietern garantiert Arcserve, bei der Implementierung einer von Sophos geschützten Arcserve-Lösung und der Einhaltung der 3-2-1-1-Best- Practice-Leitlinien die Daten seiner Kunden nach Ransomware-Angrif- fen wiederherzustellen und auch virtuelle Maschinen wieder hochzu- fahren, sodass wichtige Geschäfts- anwendungen sofort gestartet und der Geschäftsbetrieb nach wenigen Minuten wieder aufgenommen wer- den kann. Die Daten werden dabei parallel wiederhergestellt. Arcserve kann dieses Garantieversprechen geben, da das Unternehmen einen ganzheitlichen Ansatz für die Daten- sicherung zum Schutz der gesamten Infrastruktur von Unternehmen, einschließlich hyperkonvergenter 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021

Boarding completed… BSI IT-Grundschutz ab Juni 2021 in Ihrer preeco Software www.preeco.de/kes preeco GmbH, Magirus-Deutz-Straße 14, 89077 Ulm, Mo-Fr 9–17 Uhr, Tel. 0731 96589258, E-Mail support@preeco.de

Management und Wissen Wie Verschlüsselung zur sicheren Unternehmens-IT beitragen kann Sichere Cloud-Nutzung in Unternehmen und Behörden Cloud-Nutzung kann vielen Gefahren für Daten vorbeugen, birgt aber gleichzeitig auch Risiken. Trotzdem ist eine sichere Nutzung für Unternehmen und Behörden möglich, wenn von vornherein IT-Sicherheit als Entscheidungskriterium mitgedacht wird. Besonders der Einsatz von Verschlüsselung schafft einen großen Sicherheitsvorsprung. Von Moritz Ober, Secomba GmbH | Boxcryptor Cloud-Dienste, allen vor- an Speicheranbieter, erfreuen sich stetig wachsender Beliebtheit. Ihre erfolgreiche Einführung in Un- ternehmen setzt aber auch ein gutes Sicherheitskonzept voraus. So ist Cloud-Nutzung seit 2019 als „OPS.2.2“ ein eigener Baustein im IT- Grundschutz-Kompendium (ITGK) des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Da- mit trägt das ITGK der wachsenden Bedeutung von Cloud-Computing in der Unternehmens-IT Rechnung. Die Vorteile der Cloud sind auch nicht von der Hand zu weisen, können durch sie doch benötigte Rechenres- sourcen und Dienstleistungen ﬂexi- bel und skalierbar genutzt werden. Auch vielen im ITGK als „elemen- tare Gefährdungen“ bezeichneten Risiken, kann die Cloud vorbeugen. Das liegt hauptsächlich an der Cloud selbst: Als redundantes und örtlich unabhängiges Netzwerk lassen sich mit ihrer Hilfe viele Gefahren ein- facher, zentralisierter IT-Strukturen durch Auslagerung abwenden. Gleichzeitig – und hierin be- gründen sich noch immer viele Vor- behalte gegenüber der Cloud – birgt das Cloud-Computing auch neue Risiken. Vor allem Datensicherheit und ein gefürchteter Kontrollverlust können die Einführung von Cloud- Services in Unternehmen und Be- hörden hemmen. Damit die Vorteile der Cloud vollständig ausgeschöpft und nicht durch mangelhafte Si- cherheitsvorkehrungen zum Risiko werden, sollten grundsätzliche Si- cherheitsmaßnahmen deshalb von vornherein mitgedacht werden, wie auch das ITGK zeigt. Angst sollte die Überlegungen dabei nicht beherr- schen – das gesunde Bewusstsein, dass die Cloud im Wesentlichen „jemandes anderen“ Computer ist, darf aber ebenso wenig fehlen. Voraussetzungen für einen sicheren und produktiven Einsatz der Cloud Elementar für die erfolgrei- che und sichere Einführung eines Cloud-Dienstes in ein Unternehmen oder eine Behörde ist die vorausge- hende, gründliche Planung. Dazu gehören beispielsweise die Ausfor- mulierung einer Cloud-Strategie, die gründliche Prüfung der rechtlichen, technischen und organisatorischen Rahmenbedingungen sowie die Absi- cherung gegen mögliche Risiken wie Ausfall oder Datenverlust. Eine wichtige Voraussetzung für die sichere Nutzung von Cloud- Diensten, insbesondere Cloud- Datenspeichern, wie Microsoft OneDrive oder Dropbox, ist dabei, Daten vor unberechtigten Zugriffen zu schützen. Dafür empﬁehlt sich 14 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021

besonders der Einsatz von Ver- schlüsselung, wobei es verschiedene Anforderungen zu beachten gibt. Das ITGK in der Version von Februar 2021 nennt konkrete Anforderungen an Cloud-Verschlüsselung im Ab- schnitt OPS.2.2.A17 beziehungswei- se Anforderungen an ein allgemeines Kryptokonzept als Baustein CON.1. In diesem Baustein werden „(…) allgemeine Anforderungen, orga- nisatorische Rahmenbedingungen und prozessuale Abläufe für kryp- tograﬁsche Produkte und Verfahren behandelt“ (1.3). Das Kryptokonzept gibt entsprechend wichtige Hinweise auf allgemeine Kriterien, die bei der Auswahl einer Verschlüsselungs- lösung beachtet werden sollten, wobei hierunter auch Aspekte wie Funktionsumfang und Aspekte der Nutzungsfreundlichkeit und -sicher- heit fallen. Verschlüsselung für mehr Datensicher- heit In Bezug auf cloudbasierte Datenverarbeitung ist – neben der grundsätzlichen Entscheidung für starke Verschlüsselungsalgorithmen nach dem Stand der Technik – be- sonders relevant, welche Daten zu welchem Zeitpunkt verschlüsselt werden müssen. Soll die Verschlüs- selung von Daten während der Übertragung, also „in transit/moti- on“, „in use“ während der Bearbei- tung oder „at rest“, also während der Speicherung, vorhanden sein? Gerade sensible Daten (z. B. perso- nenbezogene Daten) sollten nicht nur bei der Übertragung, sondern auch im ruhenden Zustand (auf einer Festplatte oder eben in der Cloud), verschlüsselt sein. Zero Trust Das Ziel ist einfach: Unbe- fugte Dritte dürfen keinen Zugriff auf Daten erhalten, unabhängig davon, wo diese gelagert werden. Das schließt die Cloud-Provider ein, weshalb Unternehmen und Das Konzept von Boxcryptor Dieses Konzept setzt die Augsburger Secomba GmbH mit ihrer Verschlüsselungssoftware Box- cryptor seit zehn Jahren erfolgreich um. Cloud-Speicher, Netzlaufwerke und Fileserver wie auch lokale Daten lassen sich mithilfe eines virtuellen Laufwerks verschlüsseln. Seit knapp einem Jahr lassen sich auch Doku- mente sicher in die weit verbreitete Kollaborationsplattform Microsoft Teams hochladen. Die Verschlüsse- lung ﬁndet dank nutzungsfreund- licher Oberfläche vollständig im Hintergrund statt. Außerdem schützt das persönliche Konto-Passwort der Nutzerinnen und Nutzer die verwendeten Schlüssel selbst, so- dass die Anbieter von Boxcryptor niemals vertrauliche Kundendaten entschlüsseln können – auch nicht, wenn sie das wollten oder dazu auf- gefordert würden. Das Beispiel Boxcryptor zeigt: Sichere, datenschutzkonforme Cloud-Nutzung ist auch für Unter- nehmen und Behörden inzwischen einfach umsetzbar und damit kein Problem mehr. Die dafür notwen- digen Prinzipien „Zero Trust“ und „Zero Knowledge“ lassen sich mit wenig Aufwand und vor allem ohne Störung der eigentlichen Arbeitspro- zesse umsetzen. n Behörden hier auf eine Trennung der Anbieter von Speicher und Verschlüsselung achten sollten („Zero Trust“). Verschlüsselung und Speicher zu trennen bedeutet jedoch kaum Mehraufwand. Aus- gereifte Produkte hierfür gibt es inzwischen leicht verfügbar auf dem Markt. Ende-zu-Ende-Verschlüsselung und Zero Knowledge Diese externen Verschlüs- selungsanbieter setzen auf starke Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass Daten niemals unver- schlüsselt übermittelt werden und zu jedem Zeitpunkt geschützt sind. Darüber hinaus sollte jedoch auch auf „Zero-Knowledge“-Versprechen geachtet werden. Damit werden Hin- tertüren ausgeschlossen, indem auch die Verschlüsselungsanbieter selbst keine Möglichkeit haben, Daten einzusehen oder zu entschlüsseln. Alle kryptograﬁschen Prozesse wer- den hierfür durch das Passwort der Nutzenden oder den Master Key des Unternehmens geschützt, welche nie an den Verschlüsselungsdienst übermittelt werden. Anwendungsfreundlichkeit der Software Zuletzt ist bei der Planung ei- ner sicheren Cloud auch die Anwen- dungsfreundlichkeit von Anfang an ein wichtiges Auswahlkriterium: Große Public-Cloud-Anbieter achten auf besonders nutzungsfreundliche Software, sodass für den produktiven Betrieb kein besonderes technisches Know-how der Nutzerinnen und Nutzer nötig ist. Auch Sicherheits- funktionen, wie Auditing, sind bereits Bestandteil vieler Cloud-An- bieter. Eine gute Verschlüsselungslö- sung ergänzt eine Sicherheitsschicht, ohne diese Anwendungsfreund- lichkeit zu beeinträchtigen. Das ist besonders dort relevant, wo Da- teien mit vielen Beteiligten geteilt oder gemeinsam bearbeitet werden sollen. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021 15

Management und Wissen IT-Grundschutz umsetzen mit DocSetMinder Dokumentation eines ISMS und Kom- pendium-Update Seit der Veröffentlichung des modernisierten BSI IT-Grund- schutzes im Oktober 2017 hat eine Vielzahl von Organisati- onen erfolgreich ein Informationssicherheitsmanagement- system (ISMS) nach der BSI-Standardreihe 200-x etabliert. Neben der initialen Dokumentation ist die Pflege und Ak- tualisierung des ISMS ein wichtiger Bestandteil. Der nach- folgende Text soll einen allgemeinen Überblick über die Um- setzung geben. Von Benjamin Heruth, Allgeier GRC GmbH Eine wichtige Komponente, die in Bezug auf die Umsetzung eines ISMS entschieden werden muss, ist unter anderem, wie die Dokumen- tation erfolgen soll. Viele Organisa- tionen entscheiden sich zunächst für die Nutzung von zum Beispiel Ofﬁce-Produkten. Die Verwendung einer auf Dokumentation von Ma- nagementsystemen spezialisierten Software wie DocSetMinder bietet bei der initialen Erstellung und fort- laufenden Pﬂege eines ISMS jedoch entscheidende Vorteile. Strukturanalyse – die Basis der Dokumen- tation Die Strukturanalyse wird in der ISMS-Lösung DocSetMinder grundsätzlich in den beiden Mo- dulen „Organisation“ und „IT-Do- kumentation“ vorgenommen. Das DocSetMinder-Modul „Organisati- on“, auf dessen Inhalte alle weiteren Module in DocSetMinder aufbauen, besteht im Wesentlichen aus drei Komponenten: der Dokumentati- on der Aufbauorganisation (z. B. organisatorische Einheiten, Rollen, Mitarbeiter:innen, Dienstleister, Behörden etc.), der Ablauforganisa- tion (Prozesskatalog) und Organi- sationsanweisungen und Verträgen (z. B. Leit- und Richtlinien, Verträge, Versicherungen etc.). Das Modul „IT-Dokumenta- tion“ unterstützt den Anwender und die Anwenderin bei der Erfassung der IT-Infrastruktur. In dem Modul können unter anderem Geschäfts- anwendungen, Server (physisch und virtuell), Arbeitsplätze, Netzwerke und Netzwerkverbindungen, Be- triebssysteme, Gebäude, Räume etc. erfasst und die logischen Verbindun- gen der Objekte untereinander und zu den Prozessen und Verantwort- lichkeiten im Organisationsmodul hergestellt werden. Für die Erstellung der Struk- turanalyse (das gilt grundlegend auch für alle anderen Module in Doc- SetMinder) stehen den Anwendern eine vorgefertigte Verzeichnisstruk- tur, welche sich an einschlägigen Normen und Standards sowie „Best Practice“ orientiert, und Dokument- vorlagen zur Verfügung. Sowohl die Verzeichnisstruktur als auch die Do- kumentvorlagen sind grundsätzlich durch die Anwender selbst mit sehr geringem Aufwand an die individu- ellen Gegebenheiten seiner Orga- nisation anpassbar. So unterstützt DocSetMinder zum einen gezielt bei der Dokumentation und bietet zum anderen auch genügend Flexibilität in Bezug auf die Anpassbarkeit der Anwendung. Modellierung, Risikoanalyse und Berichte Das DocSetMinder-Modul „IT-Grundschutz“ bildet das Schich- tenmodell des IT-Grundschutz- Kompendiums ab. Bei Bedarf lassen sich die Schichten jederzeit vom dazu berechtigten Benutzer erweitern. In den systemorientierten Schichten kann zunächst aus der Dokumenta- tion der IT-Infrastruktur im Modul „IT-Dokumentation“ die Komple- xitätsreduktion und Bildung von Zielobjekten vorgenommen werden. Anschließend werden den Zielob- jekten ebenso wie den prozessorien- tierten Schichten die Bausteine aus dem IT-Grundschutz-Kompendium hinzugefügt. Dabei erkennt DocSetMin- der automatisch die jeweilige Schicht und schlägt die entsprechenden Bausteine vor. Bereits in anderen, gleichartigen Zielobjekten beﬁndli- che Bausteine lassen sich kopieren oder verlinken, was zu einer Re- duktion des Dokumentationsauf- wandes führt. Je nach gewählter Absicherungsmethode („Basis-Absi- cherung“, „Standard-Absicherung“ oder „erhöhter Schutzbedarf“) werden in den Bausteinen nur die der Methode entsprechenden Sicher- heitsanforderungen dargestellt. Auf dieser Basis kann die Dokumentati- on der Umsetzung vorgenommen werden. 16 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021

Eine Risikoanalyse nach dem BSI Standard 200-3 kann in DocSetMinder entweder auf ei- nen ganzen IT-Verbund oder auf einzelne Zielobjekte durchgeführt werden sowie bei Bedarf losge- löst von Zielobjekten in eigenen Verzeichnissen. In Abhängigkeit von der Zuordnung der Bausteine zum Zielobjekt werden potenzielle Gefährdungen des G0-Katalogs an- hand der BSI-Kreuzreferenztabellen bereits vorausgewählt; die Auswahl lässt sich vom Anwender reduzieren oder erweitern. Nach Bestätigung der relevanten Gefährdungen wird für jede ausgewählte Gefährdung eine Risikoanalyse erstellt, in der die Risikobewertung und die Risiko- behandlung dokumentiert werden können. Hierzu wird zunächst die Beeinträchtigung der Schutzziele (Vertraulichkeit, Integrität, Verfüg- barkeit und optional auch Authenti- zität) dokumentiert, wobei auch hier DocSetMinder je nach betrachteter Gefährdung eine Vorauswahl für den Anwender trifft. Anschließend wird das Risiko vor und nach Um- setzung von ergänzenden Maßnah- men mit einer 4x4-Matrix nach Eintrittswahrscheinlichkeit und Auswirkung bewertet. Falls erforder- lich, kann die Dimensionierung der Matrix leicht angepasst werden. Für die Dokumentation von ergän- zenden Sicherheitsmaßnahmen kann man sich entweder der Sicher- heitsanforderungen aus dem BSI- Kompendium bedienen oder eigene Maßnahmen dokumentieren und an- schließend in den Risikoanalysen ver- linken. Für die Auswertung der im Modul „IT-Grundschutz“ erfassten Inhalte steht das Berichtsmodul in DocSetMinder zur Verfügung. Neben den Standard-Reports (A0-A6), die nach den Vorgaben des BSI entwi- ckelt wurden, ist es möglich, mithilfe des integrierten Berichtsdesigners benutzerdeﬁnierte Berichte zu er- stellen oder die Standard-Berichte anzupassen, sollte diesbezüglich Bedarf bestehen. DocSetMinder ist modular aufgebaut. Kompendium Update in DocSetMinder Wie zuvor beschrieben wer- den unter anderem bei der Doku- mentation des IT-Grundschutzes die Bausteine aus dem IT-Grundschutz- Kompendium und die darin beﬁnd- lichen Sicherheitsanforderungen genutzt. Die jeweils aktuelle Version des Kompendiums befindet sich in den Stammdaten (Katalogen) in der jeweiligen DocSetMinder-Ins- tallation (Datenbank). Auf Basis der Stammdaten werden die Bausteine und Sicherheitsanforderungen in den jeweiligen IT-Verbünden und Schichten beziehungsweise Zielob- jekten hinzugefügt und deren Um- setzung dokumentiert. Das BSI veröffentlicht jähr- lich im Februar eine neue Edition des Kompendiums. Die Kompendium- Aktualisierungen werden umgehend in DocSetMinder übernommen und können anschließend in die Kunden- installation geladen werden. Der Benutzer kann selbst entscheiden, wann das Update der für die Mo- dellierung verwendeten Bausteine stattﬁnden soll, zum Beispiel für den Fall, dass ein Audit unmittelbar bevorsteht. Im Zuge des Updates werden neue Bausteine und Sicher- heitsanforderungen ergänzt und vorhandene aktualisiert. Entfallene Bausteine werden als solche gekenn- zeichnet. Sie stehen weiterhin zur Verfügung, lassen sich bei Bedarf aber komfortabel ausblenden. Durch das Update erhalten alle angepassten Elemente einen gut erkennbaren Hinweis in den Metadaten des Dokuments, welcher ebenfalls als Parameter für eine auto- matisierte Suche nach aktualisierten Inhalten genutzt werden kann. Zusätzlich werden die jeweiligen Sicherheitsanforderungen mit einem speziellen Icon versehen. Dieses sig- nalisiert dem Anwender, dass etwaige Änderungen bewertet werden soll- ten. Über das Änderungsprotokoll, das für jedes Element (Dokument) in DocSetMinder geführt wird, und die darin verfügbare Funktion, sich Änderungen anzeigen lassen zu können, kann der Anwender jederzeit komfortabel bewerten und entscheiden, ob bei der Dokumenta- tion „nachgebessert“ werden muss. So kann die Dokumentation aktuell gehalten werden und Sie sind „Ready for Audit.“ n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021 17

Management und Wissen Business-Continuity-Management Nichts geht mehr – wie geht es trotzdem weiter? Der Strom fällt aus, ein wichtiger Dienstleister kann nicht mehr liefern, in Büroräumen werden Schadstoffe entdeckt: Nicht erst seit der Covid-19-Pandemie gibt es Ereignisse, die den Betrieb von jetzt auf gleich lahmlegen können. In solchen Notfällen sind Institutionen im Vorteil, die ein Business-Continuity-Management etabliert haben. Im Fall der Fälle kön- nen dann die betroffenen zeitkritischen Geschäftsprozesse in den geregelten Notbetrieb gehen. Die handelnden Personen haben wichtige Zeit gewonnen, um das Ereignis zu be- wältigen. Von Christian Bergmann, secunet Security Networks AG Norddeutscher Rundfunk (NDR), November 2018: Bei Um- bauarbeiten in einem Bürohochhaus kommt ein zuvor eingeschlossenes Füllmaterial mit Luft in Verbindung. Messungen in den betroffenen Bü- ros ergeben Asbestpartikel in der Luft. Die Geschäftsleitung lässt das Gebäude sicherheitshalber komplett schließen. Für 300 Beschäftigte wer- den innerhalb von 18 Stunden Aus- weicharbeitsplätze bereitgestellt. Im September 2019 wird die Entschei- dung zum Ersatzneubau bekannt ge- geben. Das zweite Beispiel kennt jeder: Die Covid-19-Pandemie sorgte 2020 dafür, dass weltweit unzählige Büroarbeitsplätze innerhalb kurzer Zeit nicht mehr genutzt werden konnten. Schnell mussten in großer Anzahl Mobile-Ofﬁce-Arbeitsplätze eingerichtet werden. Seitdem ist die Aufmerksamkeit für das Thema Business-Continuity-Management (BCM) deutlich gestiegen. Im BCM wird zunächst mit einer Business-Impact-Analyse ermittelt, welche Geschäftsabläufe auch im Notfall unbedingt fortge- führt werden müssen. Das sind die sogenannten „zeitkritischen Ge- schäftsprozesse“ (GP). Anschließend werden für die so ermittelten GP je- weils „Geschäftsfortführungspläne“ (GFP) konzipiert, in denen geregelt ist, was im Fall der Fälle getan werden muss, damit die GP weiterlaufen kön- nen. Auch führen Anforderungen des IT-Grundschutzes zu Schnittpunk- ten mit den GFP, zum Beispiel die Maßnahmen „APP.3.6.A9 Erstellung eines Notfallplans für DNS-Server (Basis)“ oder „SYS.1.1.A22 Einbin- dung in die Notfallplanung (Stan- dard)“. Doch wie kommen Behörden und Unternehmen zu zielführenden Geschäftsfortführungsplänen? An dieser Stelle ist es not- wendig, einige Abgrenzungen vor- zunehmen. Das BCM ist ein System zur Organisation und Sicherstellung der Geschäftsfortführung auf Ge- schäftsprozessebene. Je nach Ansatz ist die Rechenzentrums-Ebene mit abgedeckt (so wie teilweise im kom- menden BSI-Standard 200-4) oder sie ist eigenständig als IT-Service- Continuity-Management (ITSCM (ITIL)) organisiert. Im Folgenden werden ausschließlich Ausfallszena- rien für die Geschäftsprozessebene vorgestellt. Abbildung 1: Standard-Aus- fallszenarien für Geschäftsprozesse Ausfall Dienstleister Ausfall Gebäude Ausfall IT kein ITSCM Ausfall Personal Ausfall Produktionsanlagen 18 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021 B C M

Vom individuellen zum standardisierten GFP Die traditionelle Vorgehens- weise im BCM ist es, pro Geschäfts- prozess einen GFP zu erstellen. Dabei werden Fokus und Umfang oft für jeden GFP individuell festgelegt, je nach Kapazitäten oder Fachabtei- lungswünschen. Tritt dann der Not- fall ein, setzen sich Außenstehende zum ersten Mal im Detail mit dem Dokument auseinander. Nicht selten stehen sie dann vor Überraschungen. Sie müssen Zeit aufwenden, um die Logik des individuell erstellten GFP zu verstehen – Zeit, die im Notfall sinnvoller genutzt werden sollte. Zudem sind manche GFP für den konkreten Fall lückenhaft oder gar nicht anwendbar. Aus diesen Gründen hat sich eine alternative Vorgehensweise entwickelt, die mit standardisierten Ausfallszenarien arbeitet. Diese Vor- gehensweise bietet eine Reihe von Vorteilen. Erstens können sich alle Beteiligten auf ein gleichwertiges Abdeckungslevel verlassen: Ist ein Thema als Standard-Ausfallszenario deﬁniert, wird es für sämtliche GP angewendet. Etabliert haben sich die Ausfallszenarien „Dienstleister“, „Gebäude“, „IT“, „Personal“ und „Produktionsanlagen“ (siehe Ab- bildung 1). Die Vorgaben, etwa im Hinblick auf Fokus und Umfang, erfolgen zentral. Zweitens lassen sich die GFP nach dem Baukastenprinzip nutzen. Ausfälle können individuell kombi- niert werden und bei Bedarf einem Eskalationsablauf folgen. Drittens ist die Vergleich- barkeit der Pläne gegeben, denn je Ausfallszenario gibt es nur eine Dokumentenvorlage. Der Austausch unter den Fachabteilungen wird gefördert und spätere Notfallteams können verschiedenste GFP schnell anwenden. Viertens ist jederzeit die Transparenz des Umsetzungsstan- des gewährleistet: Auch wenn der Notfall eingetreten ist, kann der Notfallstab schnell erkennen, wofür ein bestimmter GFP vorliegt. Die Hürde, die Pläne im Detail inhaltlich kennen zu müssen, entfällt (siehe Abbildung 2). Grundprinzipien für den Erfolg Die Vorgehensweise mit Aus- fallszenarien basiert auf einer Reihe von Grundprinzipien: –—— Alle GP werden neutral und einheitlich analysiert, unabhängig von der Aufbauorganisation. Ausfallszenarien sind ur- –—— sachenneutral: Die Planung setzt Abbildung 2: GFP-Übersicht für den Notfall- stab immer mit dem Fakt ein, dass der zeitkritische GP ad hoc durch eine geeignete Kontinuitätsstrategie kompensiert werden muss. Beim Szenario „Ausfall Dienstleister“ kommt es zum Beispiel nicht darauf an, ob der Dienstleister wegen eines Maschinenbrands, eines Unwetters, einer Insolvenz oder ungenügender Produktqualität aktuell nicht zur Verfügung steht. –—— Planungsgrundlage ist der Worst-Case-Ansatz. So wird verhin- dert, dass der Notfallstab durch Es- kalationen von Ausfallursachen, die anfangs noch begrenzt erscheinen, überrascht wird. Bei dem Szenario „Ausfall Personal“ wird unterstellt, dass ausnahmslos alle an diesem GP Beteiligten nicht mehr verfügbar sind. Jede Stellvertretungsregelung innerhalb dieser Gruppe greift ins Leere. Es steht niemand für Rückfra- gen zur Verfügung. Die zu entwickelnden Kon- tinuitätsstrategien leiten sich alle von vier Grundintentionen ab (siehe Tabelle 1). Einstieg ins BCM mit einer Reihe von Fragen Wer sich einen ersten Über- blick über den Stand der Dinge hin- sichtlich BCM-relevanter Themen in der eigenen Institution verschaffen © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021 19

Management und Wissen Intention Diversiﬁkation Replikation Standby Ableitung auf Ausfallszenarien ➔ produktiver Betrieb läuft mit aktiver Aufteilung Dienstleister: z. B. vergebene Auftragslose 50:50 Gebäude: z. B. zwei entfernte Gebäude gleichzeitig genutzt IT: z. B. aktive Georedundanz mit Synchronisation Personal: z. B. Personal arbeitet auf zwei Standorte aufgeteilt ➔ fertig vorbereitet (Nutzung: sofort) Dienstleister: z. B. alternativer Dienstleister wartet (Vertrag) Gebäude: z. B. Ausweichstandort komplett eingerichtet IT: z.B. RZ-Container steht eingerichtet bereit Personal: z. B. anderes Personal wird immer voll mitgeschult ➔ gleichwertig bzw. rudimentär vorbereitet (Nutzung: längere/unbekannte Vorlaufzeit) Dienstleister: z. B. alternativer Dienstleister bekannt Gebäude: z. B. leeres Gebäude könnte umgerüstet werden IT: z. B. gelagerte Hardware könnte konﬁguriert werden Personal: z. B. ähnliches Personal könnte angeleitet werden Tabelle 1: Grundintentionen der Kontinuitäts- strategien Neubeschaffung nach dem Ereignis ➔ Beschaffung/Auswahl erst nach Ereignis angehen … möchte, sollte sich die folgenden Fragen stellen: –—— Gibt es Geschäftsprozesse, die unbedingt weiterlaufen müssen und damit zeitkritische Geschäfts- prozesse sind? –—— Ist dokumentiert, welche konkrete Arbeitsumgebung für einen zeitkritischen Geschäftsprozess wie beispielsweise die Finanzbuchhal- tung bereitzustellen ist, wenn diese ad hoc „auf der grünen Wiese“ neu aufgebaut werden muss (Vernetzung, Anwendungen, geschaltete Telefon- nummern etc.)? Sind zeitkritische Dienst- –—— leister bei Bedarf auch abends erreichbar und zwar so lange der Notfall andauert? –—— Wer entscheidet ganz kon- kret nach einem Brand im Server- raum am Sonntagnachmittag, wer was wann wie zu tun hat? secunet verfügt über lang- jährige Erfahrung mit dem Thema Business-Continuity-Management und unterstützt Unternehmen wie auch Behörden dabei, zielführende Geschäftsfortführungspläne auf- zubauen. Der Aufwand für diesen Prozess lohnt sich, wenn im Notfall wertvolle Zeit gewonnen werden kann. n 20 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021

Management und Wissen m o c . k c o t s r e t t u h s – t i . t i r i p s a h p a © l Warum der BSI IT-Grundschutz die perfekte Grundlage für das Business- Continuity-Management ist Vom Grundschutz zum BCM Zwischen Grundschutz und Notfallmanagement gibt es viele Synergien. Wer diese konsequent nutzt, kann den Aufwand für die Einführung und Pflege eines BCM erheblich reduzie- ren und die Qualität beider Managementsysteme verbessern. Der demnächst verfügbare BSI-Standard 200-4 bietet eine gute Grundlage dafür. Von Nicole Mittendorf, HiScout GmbH Es brauchte eine weltweite Pandemie, um uns wieder bewusst zu machen, dass sich nicht alle per- sönlichen, gesellschaftlichen und wirtschaftlichen Risiken mit dem Ab- schluss von Versicherungsverträgen oder der Bildung von Rückstellungen erfolgreich abwehren lassen. Die Un- einigkeit des politischen Handelns hat uns vor Augen geführt, wie wichtig effektive Entscheidungsstrukturen im Notfall sind. Zudem sind die Risiken unserer modernen, arbeitsteiligen und vernetzten Welt komplexer geworden. Die resultierenden Schadensszenarien sind oft schwer vorhersehbar, wirken schneller und erreichen eine weite Verbreitung. Die hohe Technisierung und Spezialisierung von Unterneh- men und Organisationen erfordert heute mehr Spezialwissen und mehr übergreifende Koordination als früher, um im Ernstfall erfolgreich agieren zu können. Viele Organisationen haben mit Schrecken festgestellt, dass weder ihre Risiken im Normalbetrieb abgesi- chert sind noch für Notfälle vorgesorgt und vorgeplant wurde. Glücklicherweise haben mit den Bedrohungen auch die Schutz- und Vorsorgemöglichkeiten zuge- nommen. Diese neuen Technologien können aber nur helfen, wenn sie in einem regelmäßigen systematischen Verfahren als geeignet identiﬁziert, be- schafft und in die praktische Nutzung überführt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit den BSI-Standards 200-1 bis 200-3 für den IT-Grundschutz ein etabliertes und praxiserprobtes Verfahren für die Einführung eines Informationssi- cherheitsmanagement-Systems (ISMS) bereit und ist im Begriff im Laufe dieses Jahres mit dem neuen BSI-Standard 200-4 ähnlich praktikable Handlungs- empfehlungen für die Einführung eines Business-Continuity- oder Not fall- Managements (BCM) zu verabschieden. Das BSI legt dabei ein besonde- res Augenmerk auf Synergien zwischen BCM und anderen Sicherheitsthemen wie Informationssicherheitsmanage- ment (ISM) und IT-Service-Continuity- Management (ITSCM) und empﬁehlt, eine themenübergreifende Sicher- heitsstrategie anzustreben. Welche Gemeinsamkeiten zwischen Grund- schutz und Notfallmanagement gibt es und wie können Verantwortliche diese für ihre Organisation nutzen? Wie proﬁtiert das BCM? Auch wenn durch den IT- Grundschutz nur die im Normal- betrieb auftretenden Bedrohungen abgefangen werden, erhöhen diese Maßnahmen die Widerstandsfähig- keit und Belastbarkeit der Prozesse und Systeme im Notfall und heben die Schwellen für das Eintreten ei- nes Notfalls beziehungsweise einer Krise an. Bei der Etablierung von Verantwortlichen und Prozessen, der Durchführung von Datenerhebungen und Analysen sowie der Aneignung von Wissen und Verfahren lassen sich weitere Synergien nutzen. Grundlagen und Verantwortlichkeiten Die in der Leitlinie des ISMS beschriebenen Ziele, Strategien und anderen Grundlagen des Manage- mentsystems können als Vorlage für das BCM verwendet werden, ebenso die für den Grundschutz hinterlegten gesetzlichen Grundlagen. Je nach Größe der Organisation kann die Rolle des BCM-Beauftragten vom Informationssicherheits-Beauftragten wahrgenommen werden oder ein gemeinsames Gremium der für ISM und BCM verantwortlichen Personen gebildet werden. Datenerhebung und Strukturanalyse Das BSI empﬁehlt, für ISMS und BCMS den gleichen Geltungsbe- 22 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021

reich und die gleichen Stammdaten zu verwenden. Die Ergebnisse der Strukturanalyse von Informations- verbund, Geschäftsprozessen und Ressourcen können eine gemeinsame Datengrundlage für Grundschutz und BCM bilden. Das vermeidet doppelte Arbeit, doppelte Datenhaltung und eine doppelte Vorhaltung notwen- diger Infrastruktur und macht viele Schnittstellen überﬂüssig. Maßnahmen erheblich verschieben. Viele Ressourcen und Prozesse, die im Normalbetrieb eine hohe Priorität be- sitzen, sind im Notfall weniger wich- tig, andere nehmen an Bedeutung zu. Neben den vielen Synergien zwischen beiden Themen müssen derartige Widersprüche identifiziert werden, damit es im Notfall nicht zu Verzöge- rungen oder falschen Entscheidungen kommt. Schutzbedarfsfeststellung und Business-Impact-Analyse (BIA) Maßnahmenplanung Auch wenn aus Sicht des Grundschutzes der Schutzbedarf einzelner Prozesse und Ressourcen ein ganz anderer sein kann als der aus Perspektive des BCM, lassen sich Schutzbedarfsklassen, Schadensszena- rien und Schadenskategorien laut BSI 200-2 in der Aufbauphase des BCMS als Grundlage nutzen. Risikoanalyse und Risikobehandlung Der BSI Standard 200-3 deﬁ- niert eine Risikoanalyse für Elemente, die nicht durch die Grundschutzbau- steine abgedeckt sind. Sowohl die Verfahrensweise als auch die Kataloge mit Gefährdungen, Kriterien und Me- thoden zur Risikobewertung können für den BSI-Standard 200-4 verwendet werden. Vorfallbehandlung Um Störungen des Normalbe- triebes zu beheben, werden im Grund- schutz Prozesse zur Benachrichtigung von Personen und zur Auslösung von Maßnahmen deﬁniert. Bei der Erstellung von Notfallplänen für das BCM kann auf diesen bestehenden Strukturen aufgebaut werden. Weitere Aspekte des BCM Im BCM wird die Perspektive vom Normalbetrieb auf den Not- fall erweitert. Dabei kann sich der Schutzbedarf einzelner Geschäftspro- zesse und damit die Priorisierung der Die Business-Impact-Analyse ist ein grundlegender Prozess für den Aufbau eines BCM, um die zeit- kritischen Geschäftsprozesse und Ressourcen zu ermitteln. Diese sind ein wichtiger Bestandteil der Not- fallvorsorge und werden durch ent- sprechende Maßnahmen zusätzlich abgesichert. Dabei kann häuﬁg auf dieselben Ansprechpartner und ähn- liche Bewertungsmethoden wie im Grundschutz zurückgegriffen werden. Besondere Aufbauorganisation (BAO) In Notfall- und Krisensituati- onen müssen Entscheidungen schnel- ler als im Normalbetrieb getroffen werden. Dafür muss eine besondere Aufbauorganisation (BAO) mit zeitlich begrenzten Zuständigkeiten, Hierar- chien sowie Kommunikations- und Entscheidungswegen etabliert und befähigt werden. Unter anderem wird festgelegt, welche Personen beteiligt sind und welche Aufgaben, Rechte und Pﬂichten ihnen zugordnet sind. Notfallbewältigung In Notfallplänen werden Maß- nahmen deﬁniert, die im Ernstfall den Geschäftsbetrieb aufrechterhalten sol- len. Um diese zum richtigen Zeitpunkt aktivieren zu können, muss festgelegt werden, wie die Eskalation einer Störung zu einem Notfall (drohende erhebliche Unterbrechung eines zeit- kritischen Geschäftsprozesses) oder einer Krise (massive Unterbrechung ei- nes zeitkritischen Geschäftsprozesses bei unzureichender Notfallplanung) erkannt wird und welche Alarmie- rungsprozesse jeweils in Gang gesetzt werden. Nutzung von Synergien in übergreifender GRC-Software In Kenntnis aller Gemeinsam- keiten zwischen Grundschutz und BCM ist es selbstverständlich, diese auch bei der digitalen Verwaltung und Organisation der Management- systeme nutzen zu wollen. In einer übergreifenden Softwarelösung mit gemeinsamer Datenbasis werden die inhaltlichen und fachlichen Syner- gien gespiegelt und gestärkt. Die Or- ganisationsstammdaten müssen nur einmal erfasst und gepﬂegt werden. Schutzbedarfsfeststellungen, Risiko- analysen und Maßnahmenplanungen können für Grundschutz und BCM verwendet werden. Schnittstellen zwi- schen verschiedenen Softwaretools entfallen. Themenübergreifend agie- rende Verantwortliche und Bearbeiter müssen nur in einer Software geschult werden. Fazit Unternehmen und Organisa- tionen sollten einen Prozess starten, der sie widerstandsfähiger gegen alltägliche und außerordentliche Be- drohungen macht. Die Einführung des BSI IT-Grundschutzes oder eines ISMS nach ISO 27001/2 ist ein her- vorragender Ausgangspunkt für den Aufbau eines Business-Continuity- Management-Systems, zum Beispiel nach dem bald verfügbaren neuen BSI-Standard 200-4. Die Nutzung der inhaltlichen und fachlichen Synergi- en kann durch die Nutzung techno- logischer Synergien verstärkt werden, insbesondere durch den Einsatz einer themenübergreifenden Software mit gemeinsamer Datenplattform für Grundschutz/ISM und BCM. Als be- reichernde vertiefende Lektüre bietet sich der hier mehrfach zitierte Com- munity Draft des BSI Standards 200-4 an. n © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021 23

News und Produkte BSI stellt Sicherheits- einstellungen für Win- dows 10 zur Verfügung Ein Großteil der erfolgrei- chen Angriffe auf IT-Systeme mit Microsoft Windows 10 lasse sich bereits mit den im Betriebssystem vorhandenen Bordmitteln erkennen oder verhindern, so das Bundesamt für Sicherheit in der Informati- onstechnik (BSI). Um die nötige Konﬁguration des Betriebssystems zu erleichtern, hat das Amt im Rahmen der „Studie zu Systemauf- bau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10“ (SiSyPHuS Win10) Handlungs- empfehlungen zur Absicherung der Windows-Systeme veröffentlicht. Ein Fokus bei der Erstellung lag auf der einfachen Umsetzung und prak- tischen Anwendung. Daher stellt das BSI die empfohlenen Konﬁgurations- einstellungen als direkt in Windows importierbare Gruppenrichtlinien- objekte (GPO) zum Download bereit. Untersuchungsgegenstand ist Win- dows 10 Enterprise LTSC 2019 64-bit in deutscher Sprache. Die bereits abgeschlossenen und auf Basis der LTSC-Version 1607 durchgeführten Analysen werden mit der aktuellen LTSC-Version abgeglichen und auf die neue Betriebssystemversion ak- tualisiert. Die Empfehlungen aus SiSy- PHuS Win10 richten sich in erster Linie an Behörden in Bund und Ländern sowie an Unternehmen. Die Empfehlungen, GPO sowie andere bereits veröffentlichte Teilergebnisse zur Studie sind auf der Website des BSI abrufbar: https://www.bsi.bund. de/DE/Service-Navi/Publikationen/ Studien/SiSyPHuS_Win10/SiSy PHuS_node.html (www.bsi.bund.de) IT-Grundschutz-Proﬁl für Leitstellen veröffentlicht Bei dem neuen IT-Grund- schutz-Proﬁl für Leitstellen handelt es sich um ein Ergebnis einer Koope- ration zwischen dem Fachverband Leitstellen e. V. und dem BSI. Das IT- Grundschutz-Proﬁl hilft Anwendern einen Informationssicherheitspro- zess in einer Leitstelle zu installieren und diesen an deren Bedürfnisse anzupassen. Es soll als Schablone dienen, den IT-Grundschutz des BSI in geeigneter Weise zu implementie- ren. Das IT-Grundschutz-Proﬁl für Leitstellen richtet sich laut BSI an die für Informationstechnik verantwort- lichen Entscheidungsträger aus dem Bereich der Leitstellen. Ebenso soll es aber auch Herstellern von Leitstel- lentechnik und mit der technischen Planung von Leitstellen beauftragten Fachplanern als Handlungsleitfaden für die Informationssicherheitskon- zeption in Leitstellen dienen. Das neue Proﬁl kann kos- tenfrei heruntergeladen werden: https://www.bsi.bund.de/DE/The- men/Unternehmen-und-Organisati- onen/Standards-und-Zertiﬁzierung/ IT-Grundschutz/IT-Grundschutz- Profile/Profile/itgrundschutzProfi le_Proﬁle_node.html (www.bsi.bund.de) Mehr DDoS-Angriffe im ersten Quartal Im ersten Quartal 2021 ist laut dem DDoS-Report von Kas- persky die Anzahl an Distributed- Denial-of-Service-(DDoS)-Angriffen gegenüber dem Vorjahreszeitraum um 29 Prozent gesunken, im Ver- gleich zum vierten Quartal 2020 jedoch um 47 Prozent gestiegen. Der Zuwachs sei auf ein ungewöhnlich hohes Aufkommen im Monat Ja- nuar zurückzuführen – dort wurden 43 Prozent aller DDoS-Angriffe des Quartals erfasst. Dieses Hoch korre- spondiere mit einem gleichzeitigen Kurseinbruch bei Kryptowährungen, der vermutlich auch die Strategie cy- berkrimineller Akteure beeinﬂusse. Zu Beginn dieses Jahres wa- ren noch immer viele Menschen im Homeofﬁce tätig und verbrachten ihre Freizeit vorwiegend zu Hause. Cyberkriminelle nutzten diesen Umstand und zielten mit ihren DDoS-Angriffen daher vorwiegend auf die dafür genutzten Inter- net-Ressourcen, darunter Anbieter von Telekommunikationsdienst- leistungen sowie Online-Spielen. Dennoch zeigen die Zahlen eine allgemeine Stabilisierung hinsicht- lich DDoS-Attacken, führt Kaspersky aus. Den aktuellen Rückgang gegenüber dem gleichen Quartal des Vorjahres erklären Kaspersky- Experten mit der außergewöhnlich hohen Aktivität zu Beginn der Pan- demie Anfang 2020. Der plötzliche Umzug ins Homeoffice machte VPN-Gateways und den Zugang auf vormals nur am Arbeitsplatz ge- nutzte Ressourcen, wie E-Mails und unternehmenseigene Datenbanken, zur Zielscheibe von DDoS-Attacken. Im weiteren Verlauf des vergangenen Jahres haben die meisten Unterneh- men jedoch damit begonnen, ihre IT-Infrastruktur besser zu schützen, sodass DDoS-Angriffe für Cyberkri- minelle weniger lukrativ wurden. Dementsprechend ging ihre Zahl im Februar und März 2021 auf das Niveau vor dem Ausbruch der Pan- demie zurück. Die Zahlen des „Kaspersky DDoS Intelligence System“, das Kommandos zwischen Bots und ih- ren Command-and-Control-Servern (C&C) abfängt und analysiert, zeigen ein auffälliges Zwischenhoch im Januar 2021. Am 10. und 11. Januar 2021 wurden mehr als 1800 Attacken gemessen und an zahlreichen wei- teren Januartagen wurde die Marke von 1500 überschritten. „Das erste Quartal 2021 war eher ruhig, auch wenn es bei DDoS- Aktivitäten im Januar einen Schub gab“, erklärt Alexey Kiselev, Busi- ness Development Manager beim Kaspersky DDoS Protection Team. „Die Ursache für die Januarspitze war vermutlich der Kurseinbruch bei Kryptowährungen, der den Fo- © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021 25

News und Produkte kus von Cyberkriminellen wohl auf die Nutzung von inﬁ zierten Geräten in Botnetzen umgelenkt hat. Sie versendeten dann lieber Junk, als Kryptowährungen zu schürfen. Trotz des allgemeinen Rückgangs im ersten Quartal empfehlen wir weiterhin, Internet-Ressourcen vor DDoS- Attacken zu schützen. Denn wie wir jetzt gesehen haben, können die vom ﬁ nanziellen Gewinn getriebenen Cy- berkriminellen ihre Taktik leicht an die gegebenen Umstände anpassen.“ (www.kaspersky.de) Hohe Risiken für Patientendaten Der Datenrisiko-Report für den Gesundheitssektor von Varonis Systems zeige ein enormes Ausmaß an Exposition interner und sen- sibler Dateien in Krankenhäusern, Biotech- und Pharmaunternehmen. So habe jeder Mitarbeiter durch- schnittlich Zugriff auf knapp 11 Millionen Dateien, was knapp 20 Prozent des gesamten Datenbestands entspreche. Besonders kritisch sei laut Varonis, dass im Durchschnitt 12 Prozent der sensiblen Daten, wie Forschungsergebnisse, geistiges Ei- gentum und Gesundheitsdaten, für jeden Mitarbeiter zugänglich waren. In kleineren Krankenhäusern und Unternehmen (bis 500 Mitarbeiter) betrage dieser Wert sogar 22 Pro- zent. Für den Report wurden rund drei Milliarden Dateien im Rahmen Impressum von Datenrisikobewertungen bei 58 Healthcare-Unternehmen weltweit analysiert. „Der medizinische Bereich kämpft derzeit an mehreren Fronten: So müssen Krankenhäuser nicht nur Pandemie-Opfer versorgen und Pharmaunternehmen die Herstel- lung von Impfstoffen vorantreiben, sondern gleichzeitig auch eine steigende Anzahl an Cyberangriffen abwehren“, erklärt Michael Schefﬂ er, Country Manager DACH von Varo- nis. „Allein im letzten Jahr wurden bis November laut Bundesregierung in Deutschland 43 erfolgreiche An- griffe auf Gesundheitsdienstleister registriert – und eine Entspannung der Lage ist nicht in Sicht.“ Neben der verschärften Be- drohungslage müsse vor allem aber auch die eigene Cyberhygiene und das damit verbundene Datenrisiko in den Blick genommen werden. Die jüngste Untersuchung zeige ver- schiedene Problemfelder auf, welche die Gefährdung durch Datenschutz- verletzungen, Insider-Bedrohungen und Ransomware-Angriffe zusätzlich deutlich vergrößern: für jeden Mitarbeiter zugänglich. Darüber hinaus vergrößern exzes- sive Zugriffsrechte die potenziellen Auswirkungen eines Cyberangriffs, da sämtliche Daten, auf die ein kom- promittiertes Konto zugreifen kann, entwendet und/oder verschlüsselt werden können. –—— Zeitlich unbegrenzte Pass- wörter geben Cyberkriminellen ausreichend Zeit für ihre Angriffe. 77 Prozent der Krankenhäuser und Unternehmen verfügen laut Stu- die über mehr als 500 unbefristete Nutzer-Passwörter. –—— Nicht mehr benötigte, aber noch vorhandene Nutzerkonten und Daten: Durchschnittlich werden mehr als zwei Drittel der Dateien (69 %) nicht mehr genutzt, erhöhen jedoch das Risiko für Verstöße gegen Vorschriften wie die DSGVO und stellen für Angreifer eine interessante Beute dar. Nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten, er- lauben ehemaligen Mitarbeitern und Partnern unnötigen Zugang zu Infor- mationen und eignen sich ideal für Cyberkriminelle, um sich unauffällig in den Systemen zu bewegen. 79 Prozent der Unternehmen verfügen über mehr als 1000 solcher Konten. –—— Zu weit gefasste Zugriffs- rechte: Im Durchschnitt seien 31000 sensible Dateien (wie vertrauliche Forschungsergebnisse, geistiges Eigentum sowie Gesundheits- und andere personenbezogene Daten) Der komplette Report steht als PDF kostenfrei zur Verfügung: https://info.varonis.com/hubfs/ Files/docs/research_reports/2021- Healthcare-Data-Risk-Report.pdf (www.varonis.de) GmbH Bankverbindung: UniCredit Bank AG, München, IBAN: DE34 7002 0270 0015 7644 54 Media-Daten: Unsere Media-Daten ﬁ nden Sie online auf www.kes.info/media/. Augustinusstraße 9d, 50226 Frechen (DE) Tel.: +49 2234 98949-30, Fax: +49 2234 98949-32 redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Hans-Günter Böse, Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Alle Rechte vorbehalten, auch die des aus- zugsweisen Nachdrucks, der Reproduktion durch Fotokopie, Mikroﬁ lm und andere Ver- fahren, der Speicherung und Auswertung für Datenbanken und ähnliche Einrichtungen. Zurzeit gültige Anzeigenpreisliste: Nr. 39 vom 01. Januar 2021 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Herstellungsleitung und Vertrieb: Dieter Schulz, dieter.schulz@datakontext.com, Tel.: +49 2334 98949-99 Satz: BLACK ART Werbestudio Stromberger Straße 43a, 55413 Weiler Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover Titelbild: FR Design / stock.adobe.com 26 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special IT-Grundschutz, Juni 2021

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ ✓ ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ ✓ Printausgabe liegt <kes> bei ✓ ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ ✓ hohes technisches Niveau und redaktionell unabhängig ✓ ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ kes.info/service/probeheft/ Leseproben <kes> unter: kes.info/archiv/leseproben/

] B G R 0 2 P O D [ / n i l r e B l a t r o p o e G e : l l e u Q Damit Dienstgeheimnisse nicht in die falschen Kanäle geraten. Mit SINA sind Behörden- Netzwerke premiumsicher. Wo Behörden und Verwaltungen ihre Daten und IT-Infrastrukturen gegen Eindringlinge sichern müssen, steht secunet bereit. Als IT-Sicherheitspartner der Bundesrepublik Deutschland sind wir Spezialisten für den Schutz von Verschlusssachen. Expertenberatung und BSI-zugelassene SINA Technologie machen Netzwerke, Clients und Prozesse premiumsicher. secunet.com protecting digital infrastructures

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ LESEPROBE <kes> AUF DEN FOLGESEITEN weitere Leseproben unter: kes.info/archiv/leseproben/

IT-Grundschutz Sicherheitsmanagement z t u h c s d n u r G - T I Die Quadratur der Dokumenten-Pyramide Wie man mit einem datenbankgestützten Framework verständliche Vorgaben macht, statt Richtlinien-Bibliotheken aufzutürmen Wo jeder sein eigenes Süppchen kocht, kann man kaum erwarten, dass alle jedes Rezept kennen – in Sachen Sicherheit und Compliance häufen jedoch viele Organisationen unzählige verschiedene Richtlinien und Regelungswerke an, die kaum überschaubare Bibliotheken oder monumentale Strukturen bilden. Besser wäre es, Mitarbeiter:inne:n genau die Vorgaben zur Sicherheit zu präsentieren, die für sie und ihre Arbeit wichtig sind – passgenau, aktuell und interdisziplinär. Von Theo Nick, Berlin Jede Organisation bildet eine eigene Kultur – das geht von informellen Ritualen, wie dem Geburtstags- kuchen in der Teeküche, über die Wahl der Du- oder Sie-Form bis hin zum Umgang mit verschiedenen Arten von Risiken. Als Sicherheitsberater lernt man, das ergibt sich schon aus der Stellenbezeichnung, in erster Linie die Sicherheitskultur von Unternehmen kennen – von der freundlichen Begrüßung an der Pforte oder dem Empfang, dem Gang durch geschäftige Büroräume bis hin zur auﬂadbaren Casinokarte. Überall lassen sich kleine Details der Sicherheitskultur erkennen: Wird am Eingang ein Besucherausweis geprüft? Wird eine Clear- Desk-Policy umgesetzt und sind die Bildschirme gesperrt? Welche Informationen geben die Casinokarten über ihre Besitzer:innen preis? Ein großer Teil der Sicherheitskultur, nämlich das individuelle Verhalten der Beschäftigten, lässt sich nur sehr bedingt beeinﬂussen. Entsprechende Schulungen erfreuen sich, sagen wir mal, einer „durchmischten“ Beliebtheit (s. a. S. 38). Auf der anderen Seite steht die niedergeschrie- bene Sicherheitskultur, die sich in mehr oder minder vielen Leitlinien, Konzepten und Richtlinien manifestiert. Wären all diese Dokumente nicht mittlerweile digital, so könnte wohl jedes mittelgroße Unternehmen eine kleine Bibliothek betreiben: In hohen und staubigen Regalen stehen darin Richtlinien zur Kryptograﬁe, dem sicheren IT-Betrieb, dem Dienstleistermanagement und viele mehr. Hinzu kommen die sogenannten dokumen- tierten Informationen, die eine Zertiﬁzierung nach bei- spielsweise ISO 27001 voraussetzt. All das füllt zusammen die erste Regalreihe. Doch Richtlinien entwickeln sich: Neue Risiken werden identiﬁziert und ihnen müssen Maßnahmen entgegengestellt werden. Im Laufe der Jahre entstehen immer neue Versionen der Dokumente und füllen die (nunmehr virtuelle und womöglich verteilte) Bibliothek immer weiter – manchmal zieht auch jemand eine Richtlinie aus den Regalen und sortiert sie an anderer Stelle wieder ein; vielleicht geht sogar mal eine verloren. Letztendlich entsteht eine Bibliothek von Sicher- heitsvorgaben, die für unterschiedliche Personen gelten und die unterschiedlich aktuell sind. Wer etwa in der Personalabteilung arbeitet und alle für ihn einschlägigen Vorgaben kennen soll (von Interviews bis zum Onboar- ding-Prozess), der kann schnell frustriert aufgeben oder sich im Versions- und Zuständigkeitswirrwarr verirren. Richtlinien, die man nicht kennt, kann man aber nicht einhalten – selbst wenn Wille und Bereitschaft noch so groß sind. Und wer sich an Richtlinien orientiert, die nicht mehr aktuell sind, dessen Bemühungen sind schnell wirkungs- oder schlicht sinnlos. Letztlich sucht manch einer den kurzen Dienstweg und fragt einfach mal bei den Verantwortlichen in der Hoffnung, dass die Kolleg:inn:en alle Regeln auswendig kennen. Die sollten einem doch sagen können, was aus Sicherheitsperspektive zu beachten ist – und idealerweise auch warum?! Doch das ist längst nicht immer so. Dynamische Digitalisierung In wenigen Jahren wird es solche Richtlinien- Bibliotheken wohl nicht mehr geben: Die Sicherheitsor- ganisation innerhalb von Unternehmen sollte antiquierte statische Richtlinienlandschaften hinter sich lassen und 22 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2021#3

dynamische Sicherheitsvorgaben entwickeln. Beschäftigte können dann auf ein zentrales Verwaltungs- system zugreifen, um exakt die für sie zutreffenden Sicherheitsvorgaben zu erhalten – immer in der aktuellen Version und der individuellen Risiko- exposition angemessen. Möglich wird das durch eine Datenbank vieler einzelner Sicherheitsvorgaben – ein Sicher- heitsvorgaben-Framework. Atomare Vorgaben adressieren darin einen Aspekt an eine umsetzungsverant- wortliche Rolle. Diese ist wiederum nur eines von mehreren Attribu- ten, die an eine Sicherheitsvorgabe geknüpft sind (vgl. Abb. 1). Diese Attribute deﬁnieren letztlich, wer eine Sicherheitsvorgabe umsetzt, für welche Werte (Assets) sie gilt, welche Schutzziele sie erfasst und welches Sicherheitsniveau sich durch sie erreichen lässt. Mitarbeiter der Personalabteilung können etwa die Sicherheitsvorgaben ﬁltern und so genau die Vorgaben selektieren, die sie umsetzen müssen – so lässt sich herausﬁnden, in welchem Ar- beitskontext sie anzuwenden sind und welche Erwartungshaltung das Management hier an den Tag legt. Eine solche Datenbank wirkt sich positiv auf eine breite Akzeptanz notwendiger Sicherheitsvorgaben in Unternehmen aus: Denn Abfragen erfolgen individuell und geben nur die gerade geltenden Vorgaben zu- rück. Beschäftigte geben dazu an, welche Rolle(n) sie innehaben und erhalten nur die Sicherheitsvorga- ben, für deren Umsetzung sie tat- sächlich verantwortlich sind. In der Branche der Finanz- leistungen wird mehrheitlich auf das so genannte „Three Lines of Defense“-Modell verwiesen – verein- facht ausgedrückt eine Funktions- trennung zwischen Vorgabe und Umsetzung. Dieses Modell lässt sich sehr gut durch ein Sicherheitsvorga- ben-Framework umsetzen: Die Rege- lungen des CISO (2nd Line of Defense) werden dazu mit den Umsetzungs- hinweisen der IT (1st Line of Defense) verknüpft und gehen so Hand in Hand. Das Sicherheitsvorgaben- Framework trägt indirekt auch zu ei- ner Erhöhung des Sicherheitsniveaus bei, da bekannte und akzeptierte Normen nachvollziehbarerweise eher umgesetzt werden, als solche, die Beschäftigten unbekannt oder für sie nur schwer verständlich sind. Link zum Risiko- management Die Attribute der Sicher- heitsvorgaben können jedoch noch mehr: Viele Organisationen betrei- ben bereits ein Informationssicher- heitsmanagementsystem (ISMS). Zentraler Bestandteil dieses Manage- mentsystems ist es, regelmäßig den Schutzbedarf von Informationen zu ermitteln. Ohne das Wissen darum, welche Informationen man schützen möchte und welchen Wert sie haben, ist eine effektive und wirtschaft- liche Sicherheitsplanung schließlich unmöglich. Der Schutzbedarf der Informationen lässt sich auch auf die sogenannten informationsverar- beitenden Einrichtungen vererben – üblicherweise die Anwendungen, welche die Informationen verarbei- ten und die Systeme auf denen sie gehostet werden. Schlussendlich wird der Schutzbedarf auf die ge- samte Infrastruktur vererbt, die zum Einsatz kommt. Diese Infrastruktur ist Ge- fährdungen ausgesetzt, die von mut- williger Zerstörung oder mensch- lichem Versagen herrühren oder natürlichen Ursprungs sein können. Im Rahmen des Information-Risk- Management sollten diese Gefähr- dungen ermittelt und das Risiko ana- lysiert werden, das durch sie für In- formationen entsteht. Das Ergebnis ist die Übersicht der schützenswerten Informationen auf der einen und der Gefährdungen, denen informa- tionsverarbeitende Einrichtungen ausgesetzt sind, auf der anderen Seite. An dieser Stelle kommt das Sicherheitsvorgaben-Framework ins Spiel: Jede Vorgabe im Framework zielt darauf ab, Gefährdungen für genutzte Einrichtungen und damit auch für die Informationen selbst zu reduzieren. Jeder Vorgabe ist zu- dem zugeordnet, auf welchen Assets sie umzusetzen ist: Vorgaben zur Systemprotokollierung werden zum Abbildung 1: Eine parametrisier- te Anfrage beim Sicherheitsvorga- ben-Framework liefert Mitarbei- tern passgenau die durch sie im konkreten Umfeld einzuhaltenden Vorgaben. © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2021#3 23

IT-Grundschutz Sicherheitsmanagement Beispiel mit dem Asset „Firewall“ verknüpft, Vorgaben zur physischen Sicherheit mit dem Asset „Gebäude“ oder „Raum“. Allen Informationssicher- heits-Risiken werden eine oder meh- rere Sicherheitsvorgaben gegenüber- gestellt, um die Risiken zu reduzieren. Alle Sicherheitsvorgaben beﬁnden sich in einer zentralen Datenbank und sind für die umsetzungsverant- wortlichen Rollen leicht verfügbar – wird eine Sicherheitsvorgabe nicht umgesetzt, ist das entstandene Risiko sofort transparent erkennbar (vgl. Abb. 2). Die klare Verknüpfung von Risiko zu Asset zu Sicherheitsvorgabe macht dies möglich. Eins für alles Nicht alle Vorgaben der Informationssicherheit basieren jedoch auf einem erkannten Risiko: Das Thema Security erfreut sich seit einigen Jahren auch einer großen Beliebtheit bei der Gesetzgebung und dem Erlass von Verordnungen. All diese Anforderungen sind in interne Vorgaben zu übersetzen und müssen auch tatsächlich umgesetzt werden. Dabei entstehen unange- nehme Verantwortungsüberschnei- dungen, wenn zum Beispiel der Datenschutzbeauftragte technische und organisatorische Maßnahmen (TOM) empﬁehlt, die etwa unwis- sentlich nicht im Einklang mit den Kryptograﬁevorgaben der Informati- onssicherheit stehen. Ein gutes Sicherheitsvor- gaben-Framework verfolgt daher einen Multi-Normen-Ansatz: Jeder Sicherheitsvorgabe im Framework wird über ein Attribut die zugehörige Anforderungsquelle zugeordnet – da- durch ist bekannt, aufgrund welcher Norm, durch welches Gesetzes oder welche Verordnung dieser Aspekt geregelt wird. Auf der Basis eines etablier- ten Standards, etwa der ISO 27001, kann man dafür zunächst ein Basis- Set an Sicherheitsvorgaben erstellen: Jeder Aspekt, den die ISO 27001 behandelt, wird in eine oder mehrere Sicherheitsvorgaben formuliert, und operationalisiert – so entsteht ein Basisframework der Informations- sicherheit. Im Anschluss kann man alle relevanten externen Anforde- rungsquellen heranziehen, auf ihren Regelungsgehalt hin prüfen und mit dem Basisframework abgleichen: Basis-Sicherheitsvorgaben können ergänzt, angepasst oder ersetzt wer- den – vielleicht ergeben sich Wider- sprüche, die vorher nicht ersichtlich waren und nun im Detail abgewogen werden müssen. In jedem Fall ist es mög- lich, jede Sicherheitsmaßnahme zu ihrem gesetzlichen Ursprung zu- rückzuverfolgen und zu begründen. Unternehmen, die ihre Produkte in unterschiedlichen Branchen und regulatorischen Kontexten anbieten, können jeder externen regulato- rischen Anforderung eine interne Sicherheitsvorgabe gegenüberstel- len. Inhaltlich redundante Anforde- rungen lassen sich in einer einzelnen Sicherheitsvorgabe zusammenfassen und erfüllen. Zudem kann man bei externen Anforderungen eine ge- wisse Auslegungsfreiheit nutzen, um individuelle Lösungen zu ﬁnden, die gleich mehreren Regularien gerecht wird. Trotz einer Vielzahl von externen Anforderungen muss auf diese Weise die Richtlinienbibliothek nicht mehr wachsen – vielmehr kann sie sogar schrumpfen. Unternehmen können zudem darauf verzichten, ihre Bibliotheken in Sektionen zu unterteilen und komplizierte Regi- ster zu pﬂegen. Gleichzeitig bewegen sie sich souverän in den Regularien ihres jeweiligen Branchenumfelds oder etwa denen kritischer Infra- strukturen. Fortlaufende Aktualisierung Wie bereits erörtert, ist durch das Sicherheitsvorgaben-Framework erkennbar, welche Risikoexposition und/oder Compliance-Verstöße entstehen, wenn eine Sicherheits- vorgabe nicht eingehalten wird. Die Abbildung 2: Die Nutzung eines Sicherheitsvorga- ben-Frameworks ermöglicht durch die Verknüpfung von Risiken und Sicherheitsvor- gaben eine hohe Transparenz von „offenen“ Risiken. 24 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2021#3

Risikoexposition sowie gestellten Anforderungen sind jedoch generell permanenten Änderungen unter- worfen – daher ist ein kontinuier- liches Monitoring der Bedrohungsla- ge und der externen Anforderungen erforderlich, um das Framework aktuell zu halten. Eine mögliche Umsetzung dieser Beobachtungen ist das Kon- zept der Radare: Der Kontext, der Einfluss auf die Gestaltung des Sicherheitsvorgaben-Frameworks hat, wird dazu beobachtet und thematisch sortiert. Es kann dabei sinnvoll sein, zwischen einem Bedro- hungsradar, einem regulatorischen Radar und einem Technologieradar zu unterscheiden (vgl. Abb. 3). So erfasst man (thematisch sortiert) Ereignisse und Entwicklungen, die sich auf die Vorgabengestaltung aus- wirken können und priorisiert. Genau wie bei einem klas- sischen Radar, das die Entfernung von Objekten rund um die Mess- stelle erfasst, ordnet man auch die Beobachtungen in Sachen Security und Compliance in konzentrische Ringe ein: Im äußersten Ring des regulatorischen Radars erscheinen Normen und Gesetze, in deren Re- gelungsbereich ein Unternehmen erst perspektivisch fallen kann. Im mittleren Ring werden anstehende Änderungen von Gesetzen oder Normen erfasst, die direkte Auswir- kungen auf die Vorgabengestaltung des Unternehmens haben. Im Jahr 2020 hätte dies beispielsweise die Novellierung der bankaufsichtlichen Anforderungen an die IT (BAIT) sein können – im Laufe des Jahres 2021 wird diese Anforderungsquelle bis in das Zentrum der Radarscheibe vorrücken. Ein gleichartiges Beobach- tungs- und Priorisierungsverfahren bietet sich für Themen, wie Tech- nologieentwicklung und die Bedro- hungslage an. Der Output dieser Radarschirme dient als Input für das Framework und garantiert dessen Aktualität und Angemessenheit – das aktuelle Framework ist gegen neue und veränderte Anforderungen zu prüfen und Sicherheitsvorgaben sind gegebenenfalls anzupassen. Auch Umkehrschlüsse sind möglich: Bestehen keine externen Anforderungen, einen bestimmten Aspekt zu regeln, und würde da- durch kein Risiko behandelt, dann ist eine Sicherheitsvorgabe unnötig. Jede Maßnahme, die unternommen wird, um eine unbegründete Sicher- heitsvorgabe zu erfüllen, ist unwirt- schaftlich. So lassen sich Ressourcen für die Sicherheit ermitteln, die an anderer Stelle sinnvoller eingesetzt werden können. Fazit kumentenbibliotheken sind jedoch geduldig – mit althergebrachten Richtlinienbibliotheken werden wir diesen Herausforderungen nicht gerecht werden können. Das hier vorgestellte Kon- zept ist nicht fundamental neu, sondern basiert auf Bestehendem – im Bankenumfeld gibt es beispiels- weise bereits solche Kataloge. Der Autor plädiert jedoch dafür, weiter zu gehen: Integrierte Management- systeme sind bekannt, aber ihre Re- gelungen sollten auch miteinander im Einklang stehen. Das dargestellte Sicherheitsvorgaben-Framework sollte daher mit verschiedenen Diszi- plinen – von der Informationssicher- heit über den Datenschutz bis hin zur physischen Sicherheit – und ihren Akteur:inn:en interagieren. Wichtiger als Sicherheits- richtlinien, die bis ins letzte Detail durchdacht wurden, ist zudem eine reaktionsschnelle Anpassung an Bedrohungslagen sowie die breite Akzeptanz und Umsetzung der enthaltenen Sicherheitsvorgaben. Vorgaben müssen für die Menschen gemacht werden, die sie umsetzen, nicht für externe Prüfer:innen oder den oder die CISO. Sicherheit derart integriert umzusetzen, erfordert ein zentrales und disziplinübergreifen- ■ des Vorgaben-Framework. Regelmäßig hört man von einer immer komplexer werdenden Welt und von dynamischen Bedro- hungslagen. Papiere oder große Do- Theo Nick ist Managing Consultant Security Consulting bei der HiSolutions AG. Abbildung 3: Mittels thematisch sortierter „Radar- ortungen“ lassen sich Bedrohungs- lage und externe Anforderungen beobachten, die Einﬂuss auf interne Vorgaben ausüben, um das Sicherheits- vorgaben-Frame- work aktuell zu halten. © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2021#3 25