SECURITY MANAGEMENT | KONZEPTE Gegenüber dem Bundesamt für Sicherheit in der Infor- mationstechnik (BSI) äußern Anwender häufig, dass Informationssicherheit nicht umgesetzt werden könne, weil „viel zu viel Dokumentation erforderlich sei“ und keine Ressourcen mehr vorhanden seien, um die „ei- gentlichen“ Sicherheitsmaßnahmen durchzu- führen, wie beispielsweise Patches einzu- spielen. Daher wollen wir im Folgenden kurz aufzeigen, welche typischen Aussagen wir über die Umsetzung von Informationssicherheit zu hören bekommen und welche Missverständ- nisse diesen zugrunde liegen: „ISMS – allein das Wort ‚Informationssicher- heitsmanagementsystem‘ ist ja schon so lang! Das ist doch viel zu viel Aufwand. Wenn es brennt, möchte ich einfach nur schnell löschen und nicht vorher noch Prozesse aufsetzen und Papiere erstellen müssen.“ „IT-Grundschutz, ISO 27001, Nachweise nach § 8a BSIG – oder andere Vorgaben, die hier beliebig ergänzt werden können, fordern alle zu viel Dokumentation. Das ist alles viel zu aufwendig und bindet technisches Personal, das mit Schreiben beschäftigt ist, ohne eine einzige Sicherheitsmaßnahme in die Praxis umgesetzt zu haben.“ Ja, tatsächlich ist auch Dokumentation nötig, um Informationssicherheit erfolgreich und ganz- heitlich implementieren zu können, ebenso wie transparente Prozesse und Vorgaben. Auch bei der Umsetzung von einfachen technischen Maß- nahmen ist es erforderlich, sich dazu kurz zu- rückzulehnen und zu überlegen, für was und mit welchen Rahmenbedingungen sie umgesetzt werden sollen, also mit welchen Parametern. So ist ein Backup nur dann sinnvoll, wenn vor der Durchführung zumindest geklärt wird, für welche Speicherbereiche, für welche Daten, wie oft, wo die Backups gespeichert werden, wie die Wiederherstellung erfolgen kann. Allein um ein Backup erstmalig konfigurieren zu können, müssen die Verantwortlichen diese und diverse weitere Punkte festlegen. Damit sie die Arbeit nicht eine Woche später erneut machen müssen, sollten sie die Antworten notieren und so ablegen, dass die Kolleginnen und Kollegen damit weiterarbeiten können. Damit ist bereits ein erstes Konzept erstellt, auf dem der oder die Sicherheitsbeauftragte aufbauen kann. MISSVERSTÄNDNISSE UM BEGRIFFE WIE KONZEPT, RICHTLINIE ODER DOKU- MENTATION Oft gibt es Irrtümer um Begriffe wie Konzept, Richtlinie oder Dokumentation. Die am häu- figsten geäußerten Vorstellungen hierüber sind „umfangreich, komplex, schwierig zu verstehen, nur für Audits erforderlich“. Der ein oder andere Punkt mag leider für einige (schlechte) Beispiele aus der Praxis der Angesprochenen zutreffen – das muss aber nicht so sein. Wie lang muss ein Konzept sein? Um zu beleuchten, was mit diesen Begriffen im Umfeld Informationssicherheit gemeint ist, hilft ein Blick in die ISO/IEC 27001 [1]. Der internationa- le Standard ISO/IEC 27001 sagt dazu am Beispiel „information security policy“ Folgendes: „5.2 Policy Top management shall establish an informa- tion security policy that: a) is appropriate to the purpose of the orga- nization; b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives; includes a commitment to satisfy appli- cable requirements related to information security; and c) d) includes a commitment to continual im- provement of the information security management system. The information security policy shall: e) be available as documented information; f) be communicated within the organizati- on; and g) be available to interested parties, as ap- propriate.“ Hier steht nicht, dass eine Policy, also eine zu erstellende Richtlinie, eine Mindestlänge auf- weisen muss. Im Gegenteil, die Aussage ist, dass sie für die Zwecke der Institution angemessen sein sollte. Gute Sicherheitsrichtlinien und gute Sicherheitskonzepte sind nur so lang wie not- wendig und bilden das Wesentliche ab. Warum brauche ich so viele Konzepte? Und nun kommen wir zum Plural: Standards wie die ISO/IEC 2700x-Reihe oder der IT-Grundschutz fordern aus Sicht vieler Anwender eine Vielzahl von unterschiedlichen Konzepten, Richtlinien oder Dokumentationen („topic-specific policy“), also eine Unmenge Papier, falls sie ausgedruckt würden. Dazu gehören spezifische Konzepte beispielsweise zu Backups, Patches oder Zu- gangskontrolle. Aber das lässt sich durch ein paar Maßnahmen reduzieren: Es muss nicht hunderte einzelne Dokumente geben, man kann sie zusammenfassen. Sofern es sich nicht um spezielle Notfalldoku- mentation handelt, müssen Konzepte, Richt- linien und andere Dokumentationen nicht notwendigerweise in Papierform vorgehal- ten werden. Wichtig ist stattdessen, dass die adressierten Rollen leicht darauf zugreifen können und dass sich die Unterlagen prob- lemlos aktualisieren lassen. Es gibt keinen vorgegebenen Mindestumfang. Stattdessen sollten die Verantwortlichen die üblichen W-Fragen beantworten: - Wer macht es? - Wann wird es gemacht? - Welche Bereiche sind betroffen? - Was wird gemacht? - Wie ist vorzugehen (Prozesse oder Tools)? Beim Erstellen von Richtlinien, Konzepten oder sonstigen Dokumentation ist es also wichtig, den Zweck und das Zielpublikum im Auge zu behalten. Typischerweise wachsen solche Do- kumente im Laufe der Zeit, weil immer mehr gute Ideen, neue Randbedingungen oder das Zusammenspiel von Technik mehrerer Gene- rationen aufgenommen werden. Dann sollten die Zuständigen überlegen, ob es nicht besser wäre, wenn sie die Dokumente auf die jeweilige Zielgruppe zuschneiden. Veraltete Inhalte sollten aus den aktuellen Unterlagen entfernt und – bei Bedarf – archiviert werden, damit sie handhab- bar bleiben. Am obigen Beispiel eines Backup-Konzeptes könnte das heißen, dass die Mitarbeiter eine halbe Bildschirmseite zu sehen bekommen, als Erläuterung, wie Daten in der Institution gesichert werden, IT-SICHERHEIT_3/2023 17 m o c . e b o d a k c o t s - o r c i . i M a d e m k a e r b e v a W d : l i B