Date post: | 05-Apr-2018 |
Category: |
Documents |
Upload: | logibookfree |
View: | 213 times |
Download: | 0 times |
of 84
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
1/84
Kompass der IT-Sicherheitsstandards
Leitaden und Nachschlagewerk
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
2/84
Impressum
Herausgeber:BITKOMBundesverband Inormationswirtschat,Telekommunikation und neue Medien e.V.
Albrechtstrae 1010117 Berlin-Mitte
Teleon 030/27576-0
Teleax 030/27576-400
Redaktion:Dr. Walter Fumy, Lutz Neugebauer
Verantwortliches Gremium:AK Sicherheitsmanagement
DINDeutsches Institut der Normung e.V.Normenausschuss Inormationstechnik und Anwendung (NIA)
Burggraenstrae 610787 Berlin
Teleon 030/2601-0
Teleax 030/2601-1231
Hans von Sommereld, Dr. Stean Weisgerber
Normenausschuss Inormationstechnik (NIA) im DIN,Arbeitsausschuss NIA-27,IT-Sicherheitsverahren
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
3/84
3
Stand: Oktober 2007, Version 3.0
Die Inhalte dieses Leitadens sind sorgltig recherchiert. Sie wurden unter aktiver Mitwirkung derMitglieder der o. g. BITKOM und DIN-Gremien erarbeitet. Sie spiegeln die Auassung im BITKOM undDIN bzw. den Arbeitsstand in den Normungsgremien zum Zeitpunkt der Verentlichung wider. Dievorliegende Publikation erhebt jedoch keinen Anspruch au Vollstndigkeit. Wir bernehmen trotzgrtmglicher Sorgalt keine Hatung r den Inhalt.
Der jeweils aktuelle Leitaden kann unter www.bitkom.org/publikationen bzw. unter www.beuth.dekostenlos bezogen werden. Alle Rechte, auch der auszugsweisen Vervielltigung, liegen beim BITKOMund DIN.
Ansprechpartner:
Lutz Neugebauer Dr. Stean WeisgerberTel: 030/27576242 Tel: 030/2601-2411E-Mail: [email protected] E-Mail: [email protected]
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
4/84
4
Inhalt
1 Einleitung........................................................................................................................................................7
2 Nutzen von Standards ...................... ...................... ..................... ...................... ...................... .................... 8
3 Arten von Standards, ihre Entwicklung und Mitwirkungsmglichkeiten .................... ................... 9
4 Kompass der IT-Sicherheitsstandards ..................... ..................... ...................... ...................... ................ 144.1 Tabelle mit Kompass der IT-Sicherheitsstandards ................... ...................... ...................... ................ 144.2 Beschreibung der IT-Sicherheitsstandards ..................... ...................... ...................... ...................... ..... 17
5 Einhrung von IT-Sicherheitsstandards im Unternehmen ................... ...................... ...................... . 18
6 Grundlegende Standards zum IT-Sicherheits- und Risikomanagement ................... ...................... .206.1 Inormationssicherheits-Managementsysteme (ISMS) ................... ...................... ...................... ..... 206.1.1 ISO/IEC 13335 ..................... ...................... ...................... ..................... ...................... ...................... ................ 206.1.2 ISO/IEC 27001 ...................... ...................... ...................... ...................... ...................... ...................... ............ 226.1.3 ISO/IEC 27002 (zuvor 17799) ...................... ...................... ...................... ...................... ...................... ........ 236.1.4 IT-Grundschutz .................... ...................... ...................... ...................... ...................... ...................... ............ 246.2 Sicherheitsmanahmen und Monitoring .................... ...................... ...................... ...................... ........ 266.2.1 ISO/IEC 18028 ...................... ...................... ...................... ...................... ...................... ...................... ............ 266.2.2 ISO/IEC TR 18044 ..................... ...................... ...................... ...................... ...................... ...................... ........ 276.2.3 ISO/IEC 18043 ...................... ...................... ...................... ...................... ...................... ...................... ............ 28
6.2.4 ISO/IEC TR 15947 ...................... ...................... ...................... ...................... ...................... ...................... ........ 296.2.5 ISO/IEC 15816 ...................... ...................... ...................... ...................... ...................... ...................... ............ 29
7 Standards mit IT-Sicherheitsaspekten .................... ..................... ...................... ...................... ................ 317.1 Cobit .................... ...................... ...................... ...................... ...................... ..................... ...................... ......... 317.2 ITIL .................... ...................... ...................... ...................... ...................... ...................... ...................... ............ 327.3 IDW PS 330 .................... ...................... ...................... ...................... ...................... ...................... ................... 34
8 Vorschriten ..................... ...................... ...................... ...................... ...................... ...................... ................ 368.1 KonTraG ...................... ...................... ...................... ...................... ...................... ...................... ...................... .368.2 Basel II ..................... ...................... ...................... ..................... ...................... ...................... ...................... ..... 37
8.3 SOX ................... ...................... ...................... ...................... ...................... ...................... ...................... ............ 388.4 EURO-SOX ...................... ...................... ...................... ...................... ...................... ...................... ................... 398.5 BDSG .................... ...................... ...................... ...................... ...................... ...................... ...................... ........ 39
9 Evaluierung von IT-Sicherheit .................... ...................... ...................... ...................... ...................... ........ 419.1 Common Criteria .................... ...................... ...................... ...................... ...................... ..................... ......... 419.1.1 ISO/IEC 15408 (CC) ...................... ...................... ..................... ...................... ...................... ...................... ..... 419.1.2 ISO/IEC TR 15443 ...................... ...................... ...................... ...................... ...................... ...................... ........ 439.1.3 ISO/IEC 18045 ...................... ...................... ...................... ...................... ...................... ...................... ............ 449.1.4 ISO/IEC TR 19791 ...................... ...................... ...................... ...................... ...................... ...................... ........ 459.1.5 ISO/IEC 19790 (FIPS 140-2) ...................... ...................... ...................... ...................... ...................... ............ 459.1.6 ISO/IEC 19792 .................... ...................... ...................... ..................... ...................... ...................... ................ 469.1.7 ISO/IEC 21827 (SSE-CMM) ...................... ...................... ...................... ...................... ...................... ............ 47
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
5/84
5
9.2 Schutzprole ...................... ..................... ...................... ...................... ...................... ...................... ............... 489.2.1 ISO/IEC TR 15446 ...................... ...................... ...................... ...................... ..................... ...................... ........ 48
10 Spezielle Sicherheitsunktionen 1: Normen zu kryptographischen undIT-Sicherheitsverahren ...............................................................................................................................50
10.1 Verschlsselung ................... ...................... ...................... ...................... ...................... ...................... ........... 5010.1.1 ISO/IEC 7064 ..................... ..................... ...................... ...................... ...................... ...................... ............... 5010.1.2 ISO/IEC 18033 .................... ..................... ...................... ...................... ...................... ...................... ............... 5110.1.3 ISO/IEC 10116 ..................... ..................... ...................... ...................... ...................... ...................... ............... 5210.1.4 ISO/IEC 19772 ..................... ..................... ...................... ...................... ...................... ...................... ............... 5310.2 Digitale Signaturen ..................... ..................... ...................... ...................... ...................... ...................... .... 5310.2.1 ISO/IEC 9796 ..................... ..................... ...................... ...................... ...................... ...................... ............... 5410.2.2 ISO/IEC 14888 .................... ..................... ...................... ...................... ...................... ...................... ............... 5510.2.3 ISO/IEC 15946 .................... ..................... ...................... ...................... ...................... ...................... ............... 56
10.3 Hash-Funktionen und andere Hilsunktionen ...................... ...................... ..................... ................... 5710.3.1 ISO/IEC 10118 ...................... ..................... ...................... ...................... ...................... ...................... ............... 5710.3.2 ISO/IEC 18031 ..................... ..................... ...................... ...................... ...................... ...................... ............... 5810.3.3 ISO/IEC 18032 ..................... ..................... ...................... ...................... ...................... ...................... ............... 5910.4 Authentizierung .................... ...................... ...................... ...................... ..................... ...................... ........ 6010.4.1 ISO/IEC 9798 ...................... ..................... ...................... ...................... ...................... ...................... ............... 6010.4.2 ISO/IEC 9797 ...................... ..................... ...................... ...................... ...................... ...................... ............... 6210.5 PKI-Dienste ..................... ...................... ...................... ...................... ...................... ..................... ................... 6210.5.1 ISO/IEC 15945 ..................... ..................... ...................... ...................... ...................... ...................... ............... 6310.5.2 ISO/IEC TR 14516 ................... ...................... ...................... ...................... ...................... ...................... ........... 6410.6 Schlsselmanagement ..................... ...................... ...................... ...................... ..................... ................... 6410.6.1 ISO/IEC 11770 ...................... ..................... ...................... ...................... ...................... ...................... ............... 65
10.7 Kommunikationsnachweise ................... ...................... ...................... ...................... ...................... ........... 6610.7.1 ISO/IEC 13888 .................... ..................... ...................... ...................... ...................... ...................... ............... 6610.8 Zeitstempeldienste ..................... ..................... ...................... ...................... ...................... ...................... .... 6710.8.1 ISO/IEC 18014 ..................... ..................... ...................... ...................... ...................... ...................... ............... 68
11 Spezielle Sicherheitsunktionen 2: Physische Sicherheit ..................... ...................... ...................... .... 6911.1 Technische Leitlinie 7500 ..................... ..................... ...................... ...................... ...................... ............... 6911.2 Brandschutz ................... ...................... ...................... ...................... ...................... ..................... ................... 7011.2.1 DIN 4102 ...................... ...................... ...................... ...................... ...................... ...................... ...................... 7011.2.2 DIN 18095 ................... ...................... ...................... ...................... ...................... ...................... ...................... 7111.2.3 DIN EN 1047 .................... ...................... ...................... ...................... ...................... ..................... ................... 72
11.3 Einbruchshemmung ...................... ...................... ...................... ...................... ...................... ...................... 7311.3.1 DIN EN 1143-1 ...................... ..................... ...................... ...................... ...................... ...................... ............... 7311.3.2 DIN V ENV 1627 ..................... ...................... ...................... ...................... ...................... ...................... ........... 7411.4 Gehuse ...................... ...................... ...................... ...................... ...................... ...................... ...................... 7411.4.1 DIN EN 60529 .................... ..................... ...................... ...................... ...................... ...................... ............... 74
12 Anhang .................... ...................... ...................... ...................... ...................... ...................... ...................... .... 7612.1 Bezug zu anderen Standards ...................... ...................... ..................... ...................... ...................... ........ 7612.2 Links ...................... ...................... ...................... ...................... ...................... ..................... ...................... ........ 80
13 Danksagung ................... ...................... ...................... ...................... ...................... ..................... ................... 82
14 Fragebogen .................... ...................... ...................... ..................... ...................... ...................... ................... 83
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
6/84
6
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
7/84
7
1 Einleitung
Viele Organisationen (Unternehmen oder Behrden) sind heute von modernen Inormations- undKommunikationstechniken (IuK) abhngig. Die Inormationstechnik (IT) dient als Basis r zahlreicheGeschtsprozesse: Vom Einkau ber die Produktion bis zum Verkau sowie die komplette Verwaltung.Dank Handys, PDAs und Notebooks knnen immer mehr Mitarbeiter eines Unternehmens mobil au dasirmeninterne Netz zugreien. Immer mehr Unternehmen, auch im Mittelstand, sind in immer hheremMae au eine unktionierende IT angewiesen.
Nach Angaben des Statistischen Bundesamtes r das Jahr 2006 nutzen 96% aller Unternehmenmit mehr als 10 Mitarbeitern einen Computer. Rund 73% aller Unternehmen, also inklusive Kleinstunter-nehmen, hatten 2006 ein eigenes Angebot im Internet, 95% nutzten das Internet. Mit der zunehmenden(auch entlich gerderten) Anwendung von E-Commerce, E-Business und E-Government wird die
IT-Anwendung in den Unternehmen bis zur Ausschpung aller Rationalisierungspotentiale weiterzunehmen. Diese Entwicklung hrt zu einer zunehmenden Abhngigkeit der Organisationen von derVergbarkeit der IT, der Integritt (Unversehrtheit) von Daten und Systemen sowie dem Schutz vorunberechtigtem Zugri au Daten.
Die Risiken gilt es au ein mglichst geringes Niveau zu bringen, das wirtschatlich vertretbar ist unddauerhat gehalten werden kann. Ein IT-Risikomanagement ist daher r ein Unternehmen notwendig.Standards spielen im Rahmen eines IT-Risikomanagements eine wichtige Rolle. Der Einsatz von IT-Sicherheitsstandards im Unternehmen oder in einzelnen Bereichen verbessert die sicherheitsrelevantenIT-Prozesse zum Vorteil des Unternehmers, seiner Kunden sowie seiner Mitarbeiter und reduziert damitdas Gesamtrisiko.
Grounternehmen haben dies schon lange erkannt und setzen Standards in wachsendem Mae ein. Aberauch mittelstndische Unternehmen proitieren von der Anwendung geeigneter IT-Sicherheitsstandards.Um interessierten Geschtshrern oder IT-Leitern aus dem Mittelstand einen berblick zu geben,welche Standards r ihr Unternehmen bzw. ihre Unternehmensbereiche relevant sein knnten, wurde dervorliegende Leitaden entwickelt.
Das Herzstck des Leitadens, der Kompass der IT-Sicherheitsstandards, klassiiziert bekannte Standardssowie Standards r spezielle Sicherheitsunktionen, so dass der Leser diese r sein Unternehmenbewerten und gg. als relevant einschtzen kann. Im Kompass sind auch ausgewhlte Vorschritenaugehrt, die im Zusammenhang mit IT-Sicherheit in Medien und Publikationen immer wiedererwhnt werden. Auch diese sind klassiiziert und knnen so au ihre Relevanz berprt werden. Nicht
jeder Standard ist r jedes Unternehmen sinnvoll. Nhere Erluterungen und Inormationen zu denaugehrten Standards und Vorschriten sind in den darau olgenden Kapiteln zu inden.
Im Anhang sind die Bezge der behandelten Standards untereinander augehrt, dort beinden sich auchLinks zu weiteren Inormationen.
Noch eine Anmerkung in eigener Sache: Da BITKOM und DIN den Leitaden weiterentwickeln wollen, sindwir am Feedback des Leser interessiert. Wir wrden uns daher reuen, wenn Sie uns den Fragebogen imAnhang zuaxen, damit wir bei der nchsten Version Ihre Anregungen bercksichtigen knnen.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
8/84
8
2 Nutzen von Standards
Der Einsatz von IT in Unternehmen birgt Risiken, die im Rahmen eines IT-Risikomanagements auein angemessenes Niveau, das wirtschatlich vertretbar ist und dauerhat gehalten werden kann,reduziert werden sollten. Dabei kommt es insbesondere darau an, die Risiken umassend zu ermittelnund die Schutzmechanismen nicht auwendiger zu gestalten, als es das zulssige Risiko verlangt, aberauch keine Geahren unbercksichtigt zu lassen. Die Auswahl und die Anwendung angemessener IT-Sicherheitsstandards ist ein Teil des IT-Sicherheitsmanagements.
Die Etablierung eines umassenden IT-Sicherheitsmanagements ist eine anspruchsvolle Augabe,da Planungsehler und unpraktikable Umsetzung vermieden werden mssen. Selbst entwickelteVorgehensweisen sind teuer und knnen erahrungsgem nicht umassend dem Stand der Technikentsprechen. Hier ist es sinnvoll, au bewhrte Vorgehensweisen, die in Standards estgehalten sind,
zurck zugreien.
Standards verbessern die sicherheitsrelevanten IT-Prozesse zum Vorteil des Unternehmens, der Kunden,der eigenen Produkte sowie der Mitarbeiter. Sie bieten Hilestellung von generischen Manahmen auManagement-Ebene bis zu detaillierten technischen Implementierungen an,z. B. lieern sie Methoden r ein leistungshiges IT-Sicherheitsmanagement oder deinieren die IT-Sicherheit von ausgewiesenen Produkten. Sie knnen sowohl eigenstndig als auch methodischeingebettet in ein anderes System ortlauend betrieben werden.
Wesentliche Ziele beim Einsatz von Standards sind in Tabelle 1 zusammengeasst:
Kostensenkung Nutzung vorhandener und praxiserprobter VorgehensmodelleMethodische Vereinheitlichung und NachvollziehbarkeitRessourceneinsparung durch Kontinuitt und einheitliche QualikationInteroperabilitt
Einhrung einesangemessenenSicherheitsniveau
Orientierung am Stand der Technik und WissenschatGewhrleistung der AktualittVerbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischenBewertung
Wettbewerbsvorteile Zertizierung des Unternehmens sowie von Produkten
Nachweishigkeit bei entlichen und privatwirtschatlichenVergabeverahrenVerbesserung des UnternehmensimageStrkung der Rechtssicherheit
Tabelle 1: Ziele beim Einsatz von Standards
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
9/84
9
3 Arten von Standards, ihre Entwicklung undMitwirkungsmglichkeiten
Weltweit gibt es zahlreiche Gremien, die sich mit der Entwicklung von Sicherheitsstandards bzw. Normenbeschtigen.
Die in diesem Leitaden augehrten und beschriebenen Standards wurden von verschiedenen Gremiennach unterschiedlichen Verahren entwickelt. In der Regel kann man das verantwortliche Gremium an derZeichenkette zu Beginn der Kurzbezeichnung des Standards erkennen:
ISO/IEC-Standards
Bei der Mehrzahl handelt es sich um internationale Normen, die unter deutscher Mitwirkung imSubkomitee 27 IT-Security Techniques des Technischen Gemeinschatskomitees InormationTechnology der Internationalen Normenorganisationen ISO und IEC, ISO/IEC JTC 1/SC 27 (http://www.jtc1sc27.din.de), nach einem Konsensverahren entwickelt und in einer entlichen Umrage besttigtwurden. Diese Standards sind an der Zeichenkette ISO/IEC geolgt von der Normennummer zu erkennen(Beispiel: ISO/IEC 27001).
DIN EN-Standards
Bei Standards, die mit der Zeichenkette EN beginnen, handelt es sich um Europische Normen,die von einer der Europischen Normenorganisationen CEN, CENELEC oder ETS, ebenalls nach einemKonsensverahren mit entlicher Umrage, entwickelt wurden. Beginnt die Zeichenkette mit DIN, so
handelt es sich um eine deutsche Norm. DIN EN bezeichnet eine Europische Norm, die in das deutscheNormenwerk bernommen wurde.
Andere Standards
Andere Bezeichnungen (wie z. B. IT-GSHB) deuten au Standards, die von Konsortien, Interessen-gruppenoder Behrden nach deren jeweiligen Regeln erarbeitet wurden. Diese Regeln sehen einen gegenber denNormungsorganisationen eingeschrnkten Konsensrahmen vor und legen die Mitwirkungsmglichkeitenest.
Die Erarbeitung deutscher Beitrge und Stellungnahmen zu internationalen Normen erolgt durch das
DIN, insbesondere durch den Arbeitsausschuss IT-Sicherheitsverahren des Normenaus-schussesInormationstechnik NIA-27 (www.nia.din.de/ni27). Die Mitarbeit1 in den Gremien des DIN ist, beiangemessener Beteiligung an den Kosten der Normungsarbeit, oen r alle interessierten Kreise -unabhngig von der Mitgliedschat im DIN.
Die internationalen bzw. nationalen Standards werden im zeitlichen Abstand von maximal n Jahreneiner Revision unterzogen und bei Bedar berarbeitet. Das Verentlichungsdatum gibt jeweils denAbschluss der letzten berarbeitung an. Bei der Anwendung der Standards ist es sinnvoll, bei eineraktuellen Datenbank (z. B. www.beuth.de, Verlag des DIN) die aktuelle Ausgabe anzuragen. Hier knnendie Standards auch bezogen werden.
1 Anragen zur Mitarbeit sowie zu den Projekten und Normen knnen gern an den Ausschuss (siehe Impressum)gestellt werden.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
10/84
10
Alle in dieser Leitlinie behandelten internationalen Standards werden vom NIA-27 r die Anwendung inDeutschland empohlen.
Angelehnt an die Arbeitsgruppen des NIA-27 erolgt die Einteilung der Standards in diesem Leitaden inn Bereiche:1. Inormationssicherheits-Managementsysteme (siehe Kapitel 6.1)2. Sicherheitsmanahmen und Monitoring (siehe Kapitel 6.2)3. Evaluierung von IT-Sicherheit (siehe Kapitel 9)4. Kryptographische und IT-Sicherheitsverahren (siehe Kapitel 10)5. Physische Sicherheit (siehe Kapitel 11)
Die Einteilung ergibt sich augrund der Architekturebene und der Ausrichtung der Standards (sieheAbbildung 1). Hierdurch ist eine gewisse Klassiizierung gegeben.
In der olgenden Tabelle sind die behandelten Standards r die n Bereiche augehrt. Um diebekanntesten Vorschriten und Standards von anderen Konsortien, Interessengruppen, Behrden mitauzuhren, sind zwei zustzliche Bereiche IT-Standards mit Sicherheitsaspekten (siehe Kapitel 7) undVorschriten (siehe Kapitel 8) eingegt.
In der linken Tabellenspalte beindet sich die Abkrzung bzw. Zeichenkette, in der rechten Spalte derNamen (Englisch und/oder Deutsch). Die Reihenolge ist identisch mit dem Inhaltsverzeichnis, sodass berdiese Tabelle anhand von Begrien oder Namen, Standards bzw. Vorschriten gesucht werden knnen.
)NFORMATIONSSICHERHEITS-ANAGEMENTSYSTEME
0HYSISCHE3ICHERHEIT
0RODUKT
4ECHNIK
2ICHTLINIE
"EWERTUNG
!USRICHTUNG
3YSTEM 0ROZESS 5MGEBUNG
!RCHITEKTUREBENE
3ICHERHEITSMANAHMENUND-ONITORING
%VALUIERUNGVON)43ICHERHEIT
+RYPTOGRAPHISCHEUND)43ICHERHEITSVERFAHREN
)NFORMATIONSSICHERHEITS-ANAGEMENTSYSTEME
0HYSISCHE3ICHERHEIT
0RODUKT
4ECHNIK
2ICHTLINIE
"EWERTUNG
!USRICHTUNG
3YSTEM 0ROZESS 5MGEBUNG
!RCHITEKTUREBENE
3ICHERHEITSMANAHMENUND-ONITORING
%VALUIERUNGVON)43ICHERHEIT
+RYPTOGRAPHISCHEUND)43ICHERHEITSVERFAHREN
Abbildung 1: Einteilung von Standards in Bereich (angelehnt an Dr. Walter Fumy, Chairman ISO/IEC JTC 1/SC 27)
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
11/84
11
Grundlegende Standards zum IT-Sicherheits- und Risikomanagement
Inormationssicherheits-Managementsysteme (ISMS)
ISO/IEC 13335 Management o inormation and communications technology securityManagement von Sicherheit der Inormations- und Kommunikationstechnik (IuK)
ISO/IEC 27001 Inormation security management systems RequirementsInormationssicherheits-Managementsysteme - Anorderungen
ISO/IEC 27002 Code o practice or inormation security managementLeitaden zum Inormationssicherheitsmanagement
IT-GS IT-Grundschutz
Sicherheitsmanahmen und Monitoring
ISO/IEC 18028
IT network securityIT NetzwerksicherheitISO/IEC TR 18044 Inormation security incident management
Management von Sicherheitsvorllen in der InormationssicherheitISO/IEC 18043 Selection, deployment and operation o intrusion detection systems (IDS)
Auswahl, Einsatz und Betrieb von Systemen zur Erkennung des Eindringens inNetze und Systeme (IDS)
ISO/IEC TR 15947 IT intrusion detection systems (IDS)Leitaden r Systeme zur Erkennung des Eindringens in Netze und Systeme (IDS)
ISO/IEC 15816 Security inormation objects or access controlSicherheitsobjekte r Zugriskontrolle
Standards mit IT-Sicherheitsaspekten
Cobit Control Objectives or Inormation and Related TechnologyKontrollziele r Inormations- und verwandete Technologie
ITIL IT Inrastructure LibraryIT Inrastruktur Verahrensbibliothek
IDW PS 330 Abschlussprung bei Einsatz von Inormationstechnologie
Vorschriften
KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
Basel II -SOX Sarbanes-Oxley ActBDSG Bundesdatenschutzgesetz
Evaluierung von IT-Sicherheit
Common Criteria
ISO/IEC 15408 (CC) Evaluation criteria or IT security (Common Criteria)Evaluationskriterien r IT-Sicherheit
ISO/IEC TR 15443 A ramework or IT security assuranceRahmenrichtlinien r Sicherung von IT-Sicherheit
ISO/IEC 18045 Methodology or IT security evaluationMethodik zur Evaluation von IT-Sicherheit
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
12/84
12
ISO/IEC TR 19791 Security assessment or operational systemsBewertung der Sicherheit von Systemen im Betrieb
ISO/IEC 19790
(FIPS 140-2)
Security Requirements or Cryptographic Modules
Anorderungen an kryptographische ModuleISO/IEC 19792 Security evaluation o biometrics
Evaluierung der IT-Sicherheit biometrischer TechnologienISO/IEC 21827(SSE-CMM)
System Security Engineering Capability Maturity ModelModell der Ablaustauglichkeit (auch ISO 21827)
Schutzproile
ISO/IEC TR 15446 Guide on the production o protection proles and security targetsLeitaden zum Erstellen von Schutzprolen und Sicherheitsvorgaben
Spezielle Sicherheitsfunktionen 1: Normen zu kryptographischen und IT-Sicherheitsverfahren
Verschlsselung
ISO/IEC 7064 Check character systemsPrsummensysteme
ISO/IEC 18033 Encryption algorithmsVerschlsselungsalgorithmen
ISO/IEC 10116 Modes o operation or an n-bit block cipherBetriebsarten r einen n-bit-Blockschlssel-Algorithmus
ISO/IEC 19772 Data encapsulation mechanismsDaten verkapselnde Mechanismen
Digitale Signaturen
ISO/IEC 9796 Digital signature schemes giving message recoveryDigitaler Unterschritsmechanismus mit Rckgewinnung der Nachricht
ISO/IEC 14888 Digital signatures with appendixDigitale Signaturen mit Anhang
ISO/IEC 15946 Cryptographic techniques based on elliptic curvesAu elliptischen Kurven aubauende kryptographische Techniken
Hash-Funktionen und andere Hilsunktionen
ISO/IEC 10118 Hash unctionsHash-Funktionen
ISO/IEC 18031 Random bit generationErzeugung von Zuallszahlen
ISO/IEC 18032 Prime number generationPrimzahlerzeugung
Authentiizierung
ISO/IEC 9798 Entity authenticationAuthentisierung von Instanzen
ISO/IEC 9797 Message Authentication Codes (MACs)Nachrichten-Authentisierungscodes (MACs)
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
13/84
13
PKI-Dienste
ISO/IEC 15945 Specication o TTP services to support the application o digital signatures
Spezizierung der Dienste eines vertrauenswrdigen Drittens zur Untersttzungder Anwendung von digitalen Signaturen
ISO/IEC TR 14516 Guidelines or the use and management o Trusted Third Party ServicesRichtlinien r die Nutzung und das Management eines vertrauenswrdigenDritten
Schlsselmanagement
ISO/IEC 11770 Key managementSchlsselmanagement
Kommunikationsnachweise
ISO/IEC 13888 Non-repudiationNicht-Abstreitbarkeit
Zeitstempeldienste
ISO/IEC 18014 Time-stamping servicesZeitstempeldienste
Spezielle Sicherheitsfunktionen 2: Physische Sicherheit
TechnischeLeitlinie 7500
Produkte r die materielle Sicherheit
Brandschutz
DIN 4102 Brandverhalten von Baustoen und BauteilenDIN 18095 RauchschutztrenDIN EN 1047 Wertbehltnisse - Klassizierung und Methoden zur Prung des Widerstandes
gegen Brand
Einbruchshemmung
DIN EN 1143-1 WiderstandsgradDIN V ENV 1627 Fenster, Tren, Abschlsse - Einbruchhemmung
Gehuse
DIN EN 60529 Schutzart durch Gehuse
Sichere Lschung von Datentrgern
DIN 32757 Vernichtung von Inormationstrgern
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
14/84
14
4 Kompass der IT-Sicherheitsstandards
4.1 Tabelle mit Kompass der IT-Sicherheitsstandards
In der Tabelle 2 ist der Kompass der IT-Sicherheitsstandards (Version 3) dargestellt. Er beinhaltetbesonders relevante Standards und Vorschriten der IT-Sicherheit r Unternehmen bzw.Unternehmensbereiche.
Um die Relevanz eines Standards/einer Vorschrit r das eigene Unternehmen einschtzen zu knnen,wurden vier Klassizierungsbereiche eingehrt:
Art des Unternehmens
Rolle innerhalb des UnternehmensMerkmal des Standards/der VorschritQuelle des Standards.
Diese vier Klassiizierungsbereiche sind in Eigenschaten weiter unterteilt, deren Relevanz bewertet ist.Bei Art des Unternehmens und Rolle innerhalb des Unternehmens werden die mglichen Zielgruppenals Eigenschaten augehrt; bei Merkmal des Standards/der Vorschrit sind die Schwerpunkte alsEigenschat dargelegt.
Legende r die Tabelle 2:
Relevanz
Hoch Partiell NiedrigKosten Kostenpfichtig KostenlosSonstiges Zertizierung (Gtesiegel, Zertikat, Akkreditierhiges Verahren) ist mglich Relevant, wenn Unternehmen an der US Brse notiert ist Angabe woher der Standard kommt
* rzte, Apotheken, Krankenhuser** Rechtsanwlte, Steuerberater
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
15/84
Schutzprofile
ISO/IEC13335
ISO/IEC27001
ISO/IEC17799
ISO/IEC27004
IT-GS
HB
ISO/IEC18028
ISO/IECTR18044
ISO/IEC18043
ISO/IECTR15947
ISO/IEC15816
Cobit
ITILIDW
PS330
KonT
raG
Base
lII
SOXBDSG
ISO/IEC15408(CC)
ISO/IECTR15443
ISO/IEC18045
ISO/IECTR19791
ISO/IEC19790(FIPS140-2)
ISO/IEC19792
ISO/IEC21827(SSE-CMM)
ISO/IECTR15446
!RTDES5NTERNEHMENS
"ANKEN6ERSICHERUNGEN
"EHyRDEN6ERWALTUNGEN
"ERATUNG
(737(ERSTELLER
)4$IENSTLEISTER
'ESUNDHEITSWESEN
+ANZLEIEN
(ANDWERKUND)NDUSTRIE
$IENSTLEISTER INTERNAT!USRICHTUNG
2OLLEINNERHALBDES5NTERNEHMENS
-ANAGEMENT
2EVISOREN
)43ICHERHEITSBEAUFTRAGTER
)4,EITUNG
!DMINISTRATOREN
0ROJEKTMANAGEMENT
%NTWICKLUNG
-ERKMALEDES3TANDARDSDER6ORSCHRIFTPRODUKTORIENTIERT
SYSTEMORIENTIERT
TECHNISCH
ORGANISATORISCH
STRATEGISCH
KONZEPTIONELL
OPERATIONELL
:ERTIFIZIERUNG U
5MFANG3EITEN K +
+OSTEN
1UELLEDES3TANDARDS
.ATIONALE.ORMUNGSORG
%UROPiISCH.ORMUNGSORG
INTERNAT.ORMUNGSORG
!NDERENAT2EGELWERKE
%VALUIERUNGVON)43ICHERHEIT
Informationssicherheits-
Managementsy
steme
(ISMS)
Sicherheitmanahmen
undMonitoring
CommonCriteriaund
andere
Evaluationskriterien
4ABELLE+OMPASSDER)43ICHERHEITSSTANDARDS6 'RUNDLEGENDE3TANDARDSZUM
)43ICHERHEITSUND2ISIKOMANAGEMENT
3TANDARDSMIT)4
3ICHERHEITSASPEKTEN
6ORSCHRIFTEN
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
16/84
3CHL~SSELMANAGEMENT
+OMMUNIKATIONSNACHW
:EITSTEMPELDIENSTE
4,
'EHiUSE
)3/)%#
)3/)%#
)3/)%#
)3/)%#
)3/)%#
)3/)%#
)3/)%#
)3/)%#
)3/)%#
)3/)%#
)3/)%#
)3/)%#
)3/)%#
)3/)%#42
)3/)%#
)3/)%#
)3/)%#
$).
$).
$).%
.
$).%
.
$).6
%.6
$).%
.
!RTDES5NTERNEHMENS
"ANKEN6ERSICHERUNGEN
"EHyRDEN6ERWALTUNGEN
"ERATUNG
(737(ERSTELLER
)4$IENSTLEISTER
'ESUNDHEITSWESEN
+ANZLEIEN
(ANDWERKUND)NDUSTRIE
$IENSTLEISTER INTERNAT!USRICHTUNG
2OLLEINNERHALBDES5NTERNEHMENS
-ANAGEMENT
2EVISOREN
)43ICHERHEITSBEAUFTRAGTER
)4,EITUNG
!DMINISTRATOREN
0ROJEKTMANAGEMENT
%NTWICKLUNG
-ERKMALEDES3TANDARDSDER6ORSCHRIFTPRODUKTORIENTIERT
SYSTEMORIENTIERT
TECHNISCH
ORGANISATORISCH
STRATEGISCH
KONZEPTIONELL
OPERATIONELL
:ERTIFIZIERUNG
5MFANG3EITEN
+OSTEN
1UELLEDES3TANDARDS
.ATIONALE.ORMUNGSORG
%UROPiISCH.ORMUNGSORG
INTERNAT.ORMUNGSORG
!NDERENAT2EGELWERKE
!UTHENTIFIZIERUN
G
0+)$IENSTE
"RANDSCHUTZ
%INBRUCHSHEMM
UNG
.ORMENZU+RYPTOGRAPHIEUND)43ICHERHEITSTECHNIKEN 0HYSISCHE3ICHERHEIT
6ERSCH~SSELUNG
$IGITALE3IGNATU
REN
(ASH&UNKTIONEN
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
17/84
17
4.2 Beschreibung der IT-Sicherheitsstandards
Jeder augehrte Standard bzw. Norm und jede augehrte Vorschrit wird in den olgenden Kapiteln
kurz beschrieben:
Die Beschreibung r jeden Standard, jede Vorschrit ist nach einem einheitlichen Schema strukturiert:
Inhalt und AnwendungsbereichMethodik (wo sinnvoll)Zertizierung (wo sinnvoll)Weitere AnmerkungenBisherige AusgabenFalls ein Abschnitt ohne Inhalte wre, ist dieser in der Beschreibung nicht augehrt, z. B. knnenVorschriten nicht zertiziert werden, so entllt bei der Vorschrit Basel II der Abschnitt
Zertizierung.
Soern es sich um internationale oder europische Standards handelt, sind der Titel, das Arbeits-gebietund der Name des Standards (englisch) augehrt. Englische Titel wurden verstndnis-halber umeine inozielle deutsche bersetzung ergnzt; nur die in das deutsche Normenwerk bernommenenDokumente tragen einen oziellen deutschen Titel. Bei mehrteiligen Standards bzw. einerNormenreihe wird die Nummer des jeweiligen Teils mit einem Bindestrich nach der Normennummerangegt.
Internationale und europische Standards wurden ormal meist nicht in das deutsche Normen-werkbernommen, weil die auwndige bersetzung in der Regel keinen entsprechenden Mehrwert r dieAnwender schat. Ist die bernahme einer internationalen Norm ins deutsche Normenwerk erolgt
oder geplant, so wird dies bei den Erluterungen im Abschnitt "Weitere Anmerkungen" ausgewiesen.
Standards sind von anderen Standards abhngig oder beeinfussen diese. Der Bezug von Standardszu anderen Standards ist im Anhang ab Seite 85 erlutert. Diese Bezge sind mglichst umassendangegeben, eine Vollstndigkeit kann nicht garantiert werden.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
18/84
18
5 Einhrung von IT-Sicherheitsstandards im
Unternehmen
Die Einhrung von Standards im Unternehmen erolgt in drei generischen Schritten:
Auswahl des Standards
In der Regel entscheidet die Geschtshrung mit Untersttzung des - alls vorhanden -IT-Sicherheitsbeautragten, IT-Risikobeautragten und IT-Verantwortlichen den IT-Betrieb vomUnternehmen an einem IT-Sicherheitsstandard auszurichten. Welcher Standard der richtige r einUnternehmen ist, hngt von einigen Faktoren (siehe Kompass) ab:
Art des UnternehmensRelevanter Unternehmensbereich r die StandardisierungRelevante Charakteristika des Standards
Einhrung
Die Einhrung von IT-Sicherheits-standardsim Unternehmen erolgt nach dem jeweiligenVorgehensmodell des ausgewhlten Standards.Als Beispiel sei hier das Vorgehensmodell nachBSI IT-Grundschutz augehrt:Die Notwendigkeit der einzelnen Schritte
des jeweiligen Vorgehensmodell sollten vorder Einhrung au Relevanz geprt werden.Anschlieend sind die ausgewhlten Schrittedurchzuhren und die Manahmen zurUmsetzung des Standards estzulegen. Hierbeiist zu beachten, dass r die Umsetzung desModells externes Know-how zugezogen bzw.Mitarbeiter entsprechend geschult werdensollten. Die Einhrung eines Standards ohneexternes oder internes Know-how hrt in derRegel zu einem hheren Auwand bei eventuell
schlechterem Ergebnis.
Betrieb
Nach der Einhrung des Standards mssendie getroenen Manahmen (personell,organisato-risch, technisch) in den regulrenBetrieb bergehen. Hierr sind Mitarbeiterschulungen, -inormation sowie gg. Prozessanpassungennotwendig. Im Rahmen des regulren IT-Betriebs kann die Einhaltung des Standards durch zweiaueinander aubauende Verahren berprt und gewhrleistet werden:
AuditierungEin wichtiges Element des Vorgehensmodells ist, die Einhaltung und Aktualitt derSicherheitsmanahmen in regelmigen Audits von internen oder externen Partnern zu
)NITIIERUNGDES)43ICHERHEITSPROZESSES%RSTELLUNGEINER)43ICHERHEITSLEITLINIE%INRICHTUNGDES)43ICHERHEITSMANAGEMENT
%RSTELLUNGEINES)43ICHERHEITSKONZEPTES
!UFRECHTERHALTUNGIMLAUFENDEN"ETRIEB
5MSETZUNG2EALISIERUNGFEHLENDER-ANAHMENINDEN"EREICHEN)NFRASTRUKTUR/RGANISATION0ERSONAL4ECHNIK+OMMUNIKATIONUND.OTFALLVORSORGEINSBESONDERE
3ENSIBILISIERUNGF~R)43ICHERHEIT3CHULUNGZUR)43ICHERHEIT
)NITIIERUNGDES)43ICHERHEITSPROZESSES%RSTELLUNGEINER)43ICHERHEITSLEITLINIE%INRICHTUNGDES)43ICHERHEITSMANAGEMENT
%RSTELLUNGEINES)43ICHERHEITSKONZEPTES
!UFRECHTERHALTUNGIMLAUFENDEN"ETRIEB
5MSETZUNG2EALISIERUNGFEHLENDER-ANAHMENINDEN"EREICHEN)NFRASTRUKTUR/RGANISATION0ERSONAL4ECHNIK+OMMUNIKATIONUND.OTFALLVORSORGEINSBESONDERE
3ENSIBILISIERUNGF~R)43ICHERHEIT3CHULUNGZUR)43ICHERHEIT
Abbildung 2: Vorgehensmodell nach BSI IT-Grundschutz.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
19/84
19
berpren. Mit diesem Vorgehen knnen Unternehmen ihre IT-Sicherheit immer weiter verbessernund sukzessive Sicherheitslcken schlieen.Im Rahmen eines Audits kommt ein externer (zertizierter) Auditor r einige Tage ins
Unternehmen. Anhand der Vorgaben des Standards bzw. der Dokumentation des IT-Betriebs wirdder Ist-Stand mit dem Soll-Konzept verglichen. Empehlungen r die Verbesserung der IT-Sicherheitwerden ausgesprochen. Diese sollten vom Unternehmen im Nachgang umgesetzt werden.Eine Auditierung kann den gesamten IT-Betrieb umassen, kann sich aber auch nur aubeispielsweise neu eingesetzte Sicherheitskomponenten beschrnken (z. B. neue Firewall).
ZertizierungEinige IT-Sicherheitsstandards knnen als Grundlage r eine Zertizierung herangezogenwerden. Ein Zertikat ist eine unabhngige Besttigung dar, dass alle (soweit anwendbare) imStandard georderten Sicherheitsmanahmen zum Zeitpunkt der Zertizierung doku-mentiert undtatschlich umgesetzt sind. Durch die Ausstellung eines Zertikates, mit dem die Umsetzung des
Standards besttigt wird, kann dies Dritten transparent gemacht werden. Dritte knnen hierbeiKunden, Banken, Versicherungen oder auch die entlichkeit sein.Der Auwand r die Zertizierung ist abhngig vom Unternehmen und dem Zertizierungsziel.Hierbei kann jedoch von einem externen Auwand von einigen Tagen bis einigen Wochenausgegangen werden. Der interne Auwand kann deutlich hher sein, je nach Vorbereitungsstanddes Unternehmens. Eine generelle Aussage kann nicht getroen werden.Bei der Auswahl des Zertizierers ist zu beachten, dass einige Standards einen akkreditiertenZertizierer ordern.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
20/84
20
6 Grundlegende Standards zum IT-Sicherheits- und
Risikomanagement
Die olgenden Standards bieten Richtlinien r einzelne Aspektedes IT-Sicherheits- und Risikomanagements an. Hierzu gehrt:Sicherheitsstrategien und Sicherheitsleitlinien von Organisa-tionen estzulegen, Risiken der IT-Sicherheit zu bewerten,Sicherheitsziele zu ermitteln und Sicherheitsanorderungenabzuleiten, geeignete Gegenmanahmen (u. a. auch Grund-schutzmanahmen) auszuwhlen und deren dauerhateUmsetzung sicherzustellen. Dies alles erolgt in der Regel im
Rahmen des IT-Sicherheits- bzw. IT-Risikomanage-ments2,welches das systematische Erkennen, Bewerten, Steuern undberwachen von IT-Sicherheitsrisiken umasst. DieseAktivitten werden im Allgemeinen auch als Regelkreislaudargestellt und setzen sich aus den Elementen Plan, Do, Check,Act (Englisch r Planen, Durchhren, berpren undVerbessern) zusammen, dem sog. PDCA-Modell, das dieGrundlage eines Inormationssicherheits-Managementsystemes (ISMS) bildet.
6.1 Inormationssicherheits-Managementsysteme (ISMS)
Der grundlegende Standard r ein ISMS ist die ISO/IEC 27001. Sie beschreibt die Anorderungen an dasInormationssicherheits-Managementsystem in einer Organisation (Unternehmen oder Behrde).
Weitere Standards aus diesem Kapitel ergnzen die ISO/IEC 27001. So wird in der ISO/IEC 13335 dieTerminologie und die Methodik, in der ISO/IEC 27002 (zuvor 17799) die Manahmen erlutert. Darberhinaus werden in der ISO/IEC 27006 die Anorderungen an Stellen beschrieben, die ISMS auditieren undzertiizieren; augrund des Zielpublikums dieses Kompasses wird au eine Darstellung von ISO/IEC 27006verzichtet. Weitere Standards in der 27000er-Reihe beinden sich zurzeit in der Erstellung.
Das IT-GSHB erlutert auch die Anorderungen eines ISMS und ist mit dem ISO/IEC 27001 kompatibel.
6.1.1 ISO/IEC 13335
Titel: Inormationstechnik
Arbeitsgebiet: IT-Sicherheitsverahren
Name des Standards: Management o inormation and communications technology securityManagement von Sicherheit der Inormations- undKommunikationstechnik (IuK)
2 Siehe dazu auch BITKOM-Leitaden Leitaden IT-Risiko- und Chancenmanagement r kleine und mittlereUnternehmen, http://www.bitkom.org/de/publikationen/38337_39864.aspx
)3-3)3-3
Abbildung 3: Regelkreislau des ISMS
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
21/84
21
Inhalt und Anwendungsbereich
Ziel des Standards ist es, Inormations- und Kommunikationssicherheit als einen Prozess von Planen,
Umsetzen und Betreiben darzustellen. Er dient damit dem Managen von Sicherheit in einerOrganisation, indem er die einzelnen Aktivitten also das wie beschreibt. Dieses Dokument richtetsich an IT-Sicherheitsbeautragte.
Dieser Standard besteht aus zwei Teilen. Der erste Teil Concepts and models or inormation andcommunications technology security management ist bereits verentlicht, der zweite Teil Inormationsecurity risk management beindet sich gerade in der berarbeitung.
Methodik
Im Teil 1 werden sicherheitsrelevante Begrie wie u. a. Werte, Bedrohungen, Schwachstellen, Schden,
Risiken, Sicherheitsmanahmen und deren Beziehung zueinander sowie Ziele, Strategien und Leitlinienvorgestellt. Neben organisatorischen Aspekten wie z. B. Rollen und Zustndigkeiten werden auchSicherheitsmanagement-Funktionen angerissen sowie die Notwendigkeit von Risikomanagement betont.
Im Teil 2 wird der Risikomanagement-Prozess (Rahmenbedingungen estlegen, Risiken bewerten undBehandlung von Risiken) dargestellt. Die Aktivitten der Risikobewertung (Risikoermittlung, -analyseund -abschtzung) werden detailliert beschrieben. Weitere Sicherheitsmanagement-Funktionen(Kommunikation von Risiken, deren berwachung und Nachverolgung) werden dem Risikomanagement-Prozess zugeordnet. Die inormativen Anhnge geben Hilestellungen bei der Bearbeitung der einzelnenProzessschritte.
Weitere Anmerkungen
Beide Teile von ISO/IEC 13335 werden in die ISO/IEC 27000er-Reihe berhrt. Teil 1 soll zum ISO/IEC 27000-Standard Inormation security management system - overview and vocabulary und Teil 2 zum ISO/IEC27005-Standard Inormation security risk management berarbeitet werden. Die Verentlichung vonISO/IEC 27005 wird r 2008 erwartet.
Im Vergleich zu ISO/IEC 27001 und ISO/IEC 27002 beschreibt die ISO/IEC 13335 den Sicherheits-prozessaushrlicher und zeigt insbesondere Anstze r die Durchhrung einer Risikobewer-tung au. Doch sindISO/IEC 13335 wie auch ISO/IEC 27001 und ISO/IEC 27002 als Leitden zumIT-Sicherheitsmanagement anzusehen und bieten keine konkreten Lsungen. ISO/IEC 13335 und derIT-Grundschutz des BSI sind untereinander kompatibel, wobei letzteres r den deutschen Bereich
detailliertere und konkretere Handreichung zum IT-Sicherheitsmanagement lieert.
Die ISO/IEC 13335-1:2004 wurde als DIN ISO/IEC 13335-1 ins Deutsche Normenwerk bernommen.
Bisherige Ausgaben
ISO/IEC 13335-1:2004ISO/IEC 27005 (voraussichtliche Verentlichung 2008)
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
22/84
22
6.1.2 ISO/IEC 27001
Titel: Inormationstechnik
Arbeitsgebiet: IT-Sicherheitsverahren
Name des Standards: Inormation security management systems - RequirementsInormationssicherheitsmanagementsysteme Anorderungen
Inhalt und Anwendungsbereich
Die ISO/IEC 27001 ist aus dem Teil 2 des britischen Standards BS 7799-2 hervorgegangen. Erklrtes Ziel desStandards ist es, die Anorderungen an ein ISMS im Rahmen eines Prozess-Ansatzes darzustellen.
Das Dokument beinhaltet Anorderungen an ein ISMS, das mittelbar zur Inormationssicherheitbeitrgt. Da das Dokument sehr generisch gehalten ist, um au alle Organisationen unabhngig von Typ,Gre und Geschtseld anwendbar zu sein, haben diese Anorderungen einen niedrigen technischenDetaillierungsgrad, wobei die Anorderungen an die Prozesse wohldeiniert sind. Aubauend au der Normknnen nationale Zertiizierungsschemata deiniert werden.
Methodik
Das Dokument basiert au dem PDCA-Modell, das im Kontext eines ISMS angewandt wird. EinISMS erlaubt es, ermittelte Risiken durch geeignete, in die Organisationsprozesse eingebetteteKontrollmechanismen zu reduzieren, zu verlagern oder anders zu kontrollieren. Hierbei sind dieGeschtsziele und die resultierenden Sicherheitsanorderungen als Input sowie gemanagte
Inormationssicherheit als Output anzusehen. Die transormierenden Systemprozesse sind das Aubauen,das Umsetzen und Betreiben, das berpren sowie das Aurechterhalten und Verbessern. Ergnzendtreten die Verantwortung des Managements und das Management-Review hinzu.
Als Managementstandard richtet sich das Dokument an die Geschtsleitung und den IT-Sicherheitsbeautragten weniger an die Umsetzungsverantwortlichen, Techniker oder Administratoren.
Zertizierung
Der Grad der Umsetzung des Inormationssicherheits-Managementsystems kann von internen oderexternen Parteien (Auditoren) kontrolliert werden.
Bis Mitte Juli 2006 konnte noch eine Zertiizierung nach BS 7799-2:2002 erolgen, die Zertiikate konntensowohl nach BS 7799-2 als auch nach ISO/IEC 27001 ausgestellt werden. Seit Mitte Juli 2006 kann nur nochnach ISO/IEC 27001 zertiiziert werden. Das Umschreiben der Zertiikate - ausgestellt nach BS7799-2:2002- lie im Juli 2007 ab. Alle anderen Zertiikate verlieren dann ihre Gltigkeit.
Es ist auch mglich, nur Teilbereiche eines Unternehmens zertiizieren zu lassen. Die Zertiizie-rung erolgtdurch akkreditierte Unternehmen, sog. Zertiizierungsstellen. Eine aktuelle Liste der akkreditierten Stellen,auch r andere Zertiizierungen, kann bei der TGA - Trgergemeinschat r Akkreditierung GmbH (www.tga-gmbh.de) abgeruen werden.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
23/84
23
Weitere Anmerkungen
Wegen der engen methodischen Anlehnung an die ISO 9000 (Qualittsmanagement) und die ISO 14000
(Umweltmanagement) kann die ISO/IEC 27001 als ein Qualittsstandard r Management-systeme bzgl.Inormationssicherheit angesehen werden.
Die ISO/IEC 27001:2005 wurde als DIN ISO/IEC 27001 ins Deutsche Normenwerk bernommen.
Bisherige Ausgaben
ISO/IEC 27001:2005
6.1.3 ISO/IEC 27002 (zuvor 17799)
Titel: Inormationstechnik
Arbeitsgebiet: IT-Sicherheitsverahren
Name des Standards: Code o practice or inormation security managementLeitaden zum Inormationssicherheitsmanagement
Inhalt und Anwendungsbereich
Die ISO/IEC 27002 ist aus dem Teil 1 des britischen Standards BS 7799 hervorgegangen.Grundstzlich ist dieser Standard dort anzuwenden, wo ein Schutzbedar r Inormationen besteht.Ziel des Dokuments ist es, Inormationssicherheit als Gesamtaugabe darzustellen, da es guidelines and
general principles or [...] inormation security management in an organization enthlt. In den Prozessder Inormationssicherheit sind alle Bereiche der Organisation einzube-ziehen, da alle an der Erhebung,Verarbeitung, Speicherung, Lschung von Inormationen beteiligt sind. Der Anwendungsbereich ist somitohne einen konkreten Bezug zu den Anorderungen in einer Organisation nicht abgrenzbar. Das Dokumentrichtet sich an IT-Sicherheitsbeautragte.
Methodik
Der Standard legt Richtlinien und allgemeine Prinzipien r das Initiieren, Umsetzen, Aurecht-erhaltenund Verbessern des Inormationssicherheitsmanagements in einer Organisation est.
Das Sicherheitsmanagement wird thematisch angewendet au:
Risikoeinschtzung und behandlung (risk assessment and treatment)Sicherheitsleilinie (security policy)Organisation der Inormationssicherheit (organizing inormation security)Management von organisationseigenen Werten (asset managment )Personalsicherheit (human resources security)Physische und umgebungsbezogene Sicherheit (physical and environmental security)Betriebs- und Kommunikationsmanagement (communications and operations management)Zugangskontrolle (access control)Beschaung, Entwicklung und Wartung von Inormationssystemen (inormation systemsacquisition, development and maintenance)
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
24/84
24
Umgang mit Inormationssicherheitsvorllen (inormation security incident management)Sicherstellung des Geschtsbetriebs (business continuity management)Einhaltung von Vorgaben (compliance)
Augrund der Bestrebungen, alle Standards, die ISMS betreen, als ISO/IEC 27000er-Reihezusammenzuhren, wurde ISO/IEC 17799 im Jahr 2007 in ISO/IEC 27002:2005 umbenannt.
Die ISO/IEC 17799:2005 wurde als DIN ISO/IEC 17799 ins Deutsche Normenwerk bernommen.
Bisherige Ausgaben
ISO/IEC 17799:2000ISO/IEC 17799:2005 (2. Ausgabe)ISO/IEC 27002:2005
6.1.4 IT-Grundschutz
Das Bundesamt r Sicherheit in der Inormationstechnik (BSI) als nachgeordnete Behrde desBundesministeriums des Innern, bietet bereits seit 1994 das IT-Grundschutzhandbuch (GSHB) an,welches detailliert IT-Sicherheitsmanahmen aus verschiedenen Bereichen (Technik, Organisa-tion,Inrastruktur und Personal) sowie Anorderungen an das IT-Sicherheitsmanagement beschreibt. Damitauch der internationale Standard r Inormationssicherheits-Management-systeme abdeckt werdenkann, wurde das Vorgehen nach IT-Grundschutz im Jahr 2006 an die ISO/IEC 27001 angepasst. Es istvollstndig kompatibel zur ISO/IEC 27001 und bercksichtigt weiterhin die Empehlungen von 13335und 17799. Die empohlene Vorgehensweise bei der Umsetzung von IT-Grundschutz wird nun in so
genannten BSI-Standards beschrieben, wobei Bausteine, Gehrdungen und Sicherheitsmanahmen ausdem IT-Grundschutzhandbuch weiterhin in den IT-Grundschutz-Katalogen vergbar sind:
BSI-Standard 100-1: Managementsysteme r Inormationssicherheit [BSI1]BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise [BSI2]BSI-Standard 100-3: Risikoanalyse au der Basis von IT-Grundschutz [BSI3]IT-Grundschutz-Kataloge [GS-KAT]
Darber hinaus werden eine Schulung (Web-Kurs) r einen kompakten Einstieg in die Materie undein Leitaden mit einem allgemein verstndlichen berblick ber wichtige IT-Sicherheits-manahmenangeboten. Zur Untersttzung der Dokumentation eines IT- Sicherheitskonzeptes werden diverse Toolsangeboten, z. B. das GSTOOL3 des BSI, das die IT-Grundschutz-Methodik untersttzt.
Inhalt und Anwendungsbereich
In den Dokumenten wird beschrieben, mit welchen Methoden Inormationssicherheit ineinem Unternehmen generell initiiert und gesteuert werden kann. Dieses Rahmenwerk kannau die individuellen Belange eines Unternehmens angepasst werden, so dass ein eektivesInormationssicherheits-Managementsystem augebaut werden kann. Dies schliet Kataloge mitbewhrten Vorgehensweisen (best practices) und przisen Umsetzungshilen mit ein.
Der zentrale Anwendungsbereich des IT-Grundschutzes ist ein IT-Verbund. Hierunter ist das
3 GSTOOL - Das BSI Tool zum IT-Grundschutz: http://www.bsi.bund.de/gstool/index.htm
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
25/84
25
Zusammenspiel von organisatorischen, personellen, inrastrukturellen und technischen Komponenten zuverstehen, die zur Umsetzung von Geschtsprozessen erorderlich sind. Die Deinition eines IT-Verbundswird demnach durch einen konkreten Bezug zu den Anorderungen eines Unternehmens abgegrenzt und
erolgt au Basis einer Untersuchung und Bewertung der Risiken durch die verantwortliche Leitungsebene.
Methodik
Die Erstellung der IT-Sicherheitskonzeption ist eine der zentralen Augaben des IT-Sicherheits-managements. Es mssen die erorderlichen IT-Sicherheitsmanahmen identiziert und in einemKonzept dokumentiert werden. Um den unterschiedlichen Anwendungsszenarien in den Unternehmengerecht zu werden, erolgt eine strukturierte Vorgehensweise nach dem Baukastenprinzip.Zu bergeordneten Themen, wie u. a. dem Sicherheitsmanagement, Notall-vorsorge sowietypischen Bereichen des technischen IT-Einsatzes sind Bausteine vergbar, die Gehrdungen undManahmenempehlungen zusammenassen. Im Rahmen der Erstellung eines IT-Sicherheitskonzeptes
wird die Umsetzung der olgenden Schritte empohlen:IT-StrukturanalyseSchutzbedarseststellungModellierung des IT-Verbunds (Auswahl der Manahmen, Soll-Ist-Vergleich)Ergnzende SicherheitsanalyseKonsolidierung und Umsetzung der ManahmenAudit / Aurechterhaltung u. VerbesserungZertizierung
Seit Anang des Jahres 2006 knnen ISO/IEC 27001-Zertiikate au der Basis von IT-Grundschutz beim BSIbeantragt werden. Diese Zertiizierung umasst eine Prung des IT-Sicherheitsmana-gements sowie einedarber hinausgehende Bewertung konkreter IT-Sicherheitsmanahmen anhand von IT-Grundschutz und
bietet durch diese Kombination einen nachvollziehbareren berblick ber die eingesetzten Manahmenals eine reine ISO-Zertiizierung.
Um Unternehmen einen Migrationspad anzubieten und wichtige Meilensteine bei der schritt-weisenUmsetzung der Standard-Sicherheitsmanahmen transparent machen zu knnen, werden weiterhinzwei Vorstuen des eigentlichen IT-Grundschutz-Zertikats deniert:
das Auditor-Testat "IT-Grundschutz Einstiegsstue" unddas Auditor-Testat "IT-Grundschutz Aubaustue".
Damit bleibt das Qualiizierungsverahren ber Einstiegstue und Aubaustue weiterhin bestehen,allerdings dren die Testate nur von beim BSI lizenzierten Auditoren vergeben werden. Voraussetzung r
die Vergabe eines ISO 27001 Zertiikats ist eine berprung durch einen vom BSI lizenzierten ISO 27001-Grundschutz-Auditor. Die Augaben eines ISO 27001-Grundschutz-Auditors umassen eine Sichtung dervon der Organisation erstellten Reerenzdokumente, die Durchhrung einer Vor-Ort-Prung und dieErstellung eines Audit-Reports. Fr die Vergabe eines ISO 27001-Zertiikats muss dieser Audit-Report zurberprung dem BSI vorgelegt werden. Au Grundlage des Audit-Reports und des Zertiizierungsschemas[BSI-ZERT] wird entschieden, ob ein Zertiikat ausgestellt werden kann oder nicht.
Weitere Anmerkungen
Das rhere IT-Grundschutz-Zertiizierungsverahren ist inzwischen durch das Zertiizie-rungsverahrenr ISO-27001-Zertiikate au der Basis von IT-Grundschutz abgelst worden.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
26/84
26
6.2 Sicherheitsmanahmen und Monitoring
In den olgenden Kapiteln werden ausgewiesene Standards zur Erhhung der IT-Netzwerk-sicherheit einer
Organisation augehrt. Die IT-Netzwerksicherheit beschrnkt sich nicht au das unternehmensinterneNetz sondern berhrt auch die Absicherung der Netzzugnge von auen.IT-Sicherheit kann nur gewhrleistet werden, wenn eine regelmige berwachung der durchgehrtenSicherheitsmanahmen im IT-Betrieb stattindet. Hierzu gehrt auch das systematische Erkennen von IT-Sicherheitsvorllen und deren Bewertung sowie Behandlung.
6.2.1 ISO/IEC 18028
Titel: Inormationstechnik
Arbeitsgebiet: IT-Sicherheitsverahren
Name des Standards: IT Network securityIT-Netzwerksicherheit
Inhalt und Anwendungsbereich
Ziel dieses Standards ist es, IT-Netzwerksicherheit mittels verschiedener Richtlinien detailliert runterschiedliche Zielgruppen in einer Organisation zu adressieren. Dabei werden Sicherheitsaspektebei Umgang, Wartung und Betrieb von IT-Netzwerken und deren Beziehung, auch Auenverbindungen,betrachtet. Unter Auenverbindung ist sowohl der Fernzugri von Nutzern, als auch die logischenVerbindungen zu verstehen. Fr diejenigen die innerhalb einer Organisation r die IT-Sicherheit im
Allgemeinen, und im speziellen r IT-Netzwerksicherheit, verantwortlich sind, knnen die Inormationendieses Standards in eigene speziische Anorderungen adaptiert werden.
Dieser Standard besteht aus n Teilen:
Part 1: Network security managementPart 2: Network security architecturePart 3 Securing communications between networks using Security GatewaysPart 4: Remote accessPart 5: Securing communications between networks using Virtual Private Networks (VPN)
Methodik
Das Dokument vermittelt zunchst in dem bergeordneten Teil (Teil 1) nach Einordnung bzw.Klassiizierung der Netzwerkverbindungstypen die generelle Vorgehensweise zur Erreichung einesgeeigneten Sicherheitsniveaus mittels Risikobewertung in Bezug zu den Organisationsprozessen.Damit indet eine enge Anlehnung an andere Standards statt. Im Teil 2 wird dann die Architektur zur IT-Netzwerksicherheit deiniert. In den verbleibenden Teilen (Teil 3, 4, 5) sind spezielle Netzwerktypen undderen Einbettung in die IT-Netzwerksicherheitsarchitektur adressiert.
Weitere Anmerkungen
Das Dokument olgt in seiner generellen Vorgehensweise der ISO/IEC 17799 zur Etablierung eines IT-Sicherheitsniveaus und einer IT-Sicherheitsleitlinie.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
27/84
27
Bisherige Ausgaben
ISO/IEC 18028-1:2006
ISO/IEC 18028-2:2006ISO/IEC 18028-3:2005ISO/IEC 18028-4:2005ISO/IEC 18028-5:2006
6.2.2 ISO/IEC TR 18044
Titel: Inormationstechnik
Arbeitsgebiet: IT-Sicherheitsverahren
Name des Standards: Inormation security incident managementManagement von Vorllen in der Inormationssicherheit
Inhalt und Anwendungsbereich
Bei ISO/IEC TR 18044 handelt es sich um einen technischen Bericht, der Hinweise und Anleitungenzur systematischen Erkennung, Evaluierung, Behandlung, Dokumentation, Reporting und Bewertungvon IT-Sicherheitsvorllen im Unternehmen gibt. Zielgruppe des Standards ist hierbei das IT-Sicherheitsmanagement-Team. Der Standard gibt des Weiteren Richtlinien r die Identiizierung undImplementierung notwendiger technischer, organisatorischer Manahmen und Verahren zur Behebungbzw. zur Ausschlieung von IT-Strungen vor.
Als Sicherheitsvorlle werden beispielsweise genannt:Denial-o-Service Vorlle,Aussphung durch Dritte oderUnberechtigte Zugrie au Inormationen
Methodik
Es wird vorgeschlagen, die Aktivitten zum Management von Sicherheitsvorllen in vier Phasen zubetrachten, und zwar
Planung und VorbereitungIn dieser Phase werden Aktivitten durchgehrt, um au kntige Sicherheitsvorlle vorbereitet zusein.Erkennung und BehandlungDiese Phase umasst die Kernaktivitten, die durchgehrt werden, wenn ein Sicherheitsvorallgeschehen ist.Analyse der eigenen VorgehensweisenNachdem ein Sicherheitsvorall behandelt wurde, wird abschlieend analysiert, ob dieeigenen Vorkehrungen und Verahren vor und whrend der Erkennung und Behandlung desSicherheitsvoralls angemessen und wirksam genug waren.VerbesserungSchlielich werden Verbesserungen, die durch die vorangegangene Analysephase erkannt wurden,umgesetzt und die eigenen Vorkehrungen und Prozesse optimiert.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
28/84
28
Bisherige Ausgaben
ISO/IEC TR 18044:2004
6.2.3 ISO/IEC 18043
Titel: Inormationstechnik
Arbeitsgebiet: IT-Sicherheitsverahren
Name des Standards: Selection, deployment and operation o Intrusion Detection Systems (IDS)Auswahl, Einsatz und Betrieb von Systemen zur Erkennung des Eindringensin Netze und Systeme (IDS)
Inhalt und Anwendungsbereich
Ziel des Standards ist es, die Auswahl, Entwicklung und den Betrieb eines IDS im Unternehmen zubeschreiben. Im aushrlichen Anhang werden grundlegende Konzepte der Erkennung von Angrien bzw.des Eindringens in Netze und Systeme dargestellt.
Methodik
Die Einhrung eines IDS gliedert sich in drei Phasen, in die auch der Standard eingeteilt ist:Phase 1: AuswahlDer Auswahl eines Systems zur Erkennung des Eindringens in Netze und Systeme (IDS) sollte eine
Risikoanalyse vorangehen, mit der estgestellt wird, ob ein IDS erorderlich ist und r welcheSysteme bzw. Netze. Fr die Auswahl eines Produktes mssen verschiedene Kriterien bercksichtigtwerden wie netzwerk- oder systembasiertes IDS, Perormanz, Sicherheit oder Kosten rAnschaung und Betrieb.Es werden insbesondere weiter technische und organisatorische Aspekte wieAlarmierungsstrategien, Zusatzwerkzeuge oder Korrelation mit anderen Inormationsquellendiskutiert, die r den ezienten und wirksamen Einsatz eines IDS berlegt werden mssen.Phase 2: EinsatzDer Einsatz eines IDS umasst Aktivitten, die der Inbetriebnahme des Systems dienen.Insbesondere werden die Unterschiede in der Inbetriebnahme bei netzwerk- und systembasiertenIDS augezeigt. Auch die verschiedenen Platzierungsmglichkeiten r ein netzwerkbasiertes IDS
sowie die Sicherheitsaspekte des IDS selbst werden erlutert.Phase 3: BetriebDer Standard nennt als wesentliche Aspekte beim Betrieb eines IDS die Etablierung derBetriebsprozesse, die Feineinstellung (Tuning) des IDS, die Behandlung von Schwachstellen undden Umgang mit Alarmen sowie deren Behandlung. Letztere knnen durch ein hauseigenesExpertenteam (CSIRT) oder aber auch durch externe Dienstleister ausgewertet werden. Schlielichwird au die Bedeutung des Rechtsrahmens bei der Erkennung und vor allem bei der Behandlungvon IT-Eingrien hingewiesen.
Weitere Anmerkungen
Der Standard weist darau hin, dass bestimmte Inhalte Patentansprchen unterliegen knnten. Bei derAnwendung des Standards sollte dies vom Anwender geprt werden.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
29/84
29
Weiterhin wird mehrach darau hingewiesen, dass Planung, Auswahl und Einsatz von Systemen zurErkennung von Angrien in Netzen und Systemen durch entsprechend geschultes und erahrenesPersonal erolgen sollte.
Bisherige Ausgaben
ISO/IEC 18043:2006
6.2.4 ISO/IEC TR 15947
Titel: Inormationstechnik
Arbeitsgebiet: IT-Sicherheitsverahren
Name des Standards: IT intrusion detection rameworkRahmenangaben r die Erkennung des Eindringens in IT-Systeme
Inhalt und Anwendungsbereich
ISO/IEC TR 15947 deiniert allgemeine Rahmenvorgaben r ein IDS. Zielsetzung dieses techni-schenBerichts ist es, allgemeine Konzepte, Begrie und Deinitionen r ein IDS zu lieern sowie eine Methodikbereitzustellen, um die verschiedenen IDS miteinander vergleichen zu knnen.So lassen sich alle plausiblen Anordnungen von IDS-Funktionen verschiedener IDS-Architekturenkombinieren und deren Zusammenwirken auzeigen. Diese Vorgehensweise erlaubt es einerOrganisation, ein au die eigenen Bedrnisse zugeschnittenes IDS-Konzept zu erstellen.
Bisherige Ausgaben
ISO/IEC TR 15947: 2002
6.2.5 ISO/IEC 15816
Titel: Inormationstechnik
Arbeitsgebiet: IT-Sicherheitsverahren
Name des Standards: Security inormation objects or access controlSicherheitsobjekte r Zugriskontrolle
Inhalt und Anwendungsbereich
Das Dokument legt eine Leitlinie und weitere Methoden zur Kurzschreibweise von Sicherheits-inormationsobjekten (Security Inormation Objects (SIOs)) r die Zugriskontrolle est. Dazu werdendie allgemeinen und speziellen Anorderungen augestellt und eine Semantik r die verschiedenen SIO-Bausteine deiniert. Dadurch wird eine einheitliche Bezeichnung von Sicherheitsinormationsobjektenunter der Anwendung der s. g. ASN.1-Notation (Abstract Syntax Notation 1) gewhrleistet. Der Fokusdabei liegt au gleich bleibenden Komponenten der SIO und nicht au den vernderlichen. So wird eineeinheitliche Begrilichkeit r verschiedene Sicherheitsstandards geschaen.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
30/84
30
Weitere Anmerkungen
ITU-T publiziert ISO/IEC 18516 textgleich als Recommendation ITU-T X.841.
Bisherige Ausgaben
ISO/IEC 15816:2002
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
31/84
31
7 Standards mit IT-Sicherheitsaspekten
In den olgenden Kapiteln sind generell akzeptierte, vielach angewendete Standards/Vorschritenaugehrt, die im Sinne einer best-practice von Verbnden, Interessenvereinigungen o.. rihre Mitglieder erstellt worden sind. Schwerpunkte dieser Standards sind die Erreichung vonUnternehmenszielen, z. B. durch die Verbesserung des Kontrollsystems (Cobit) bzw. durch die Einhrungvon Prozessen (ITIL) in Unternehmen. Darber hinaus tragen sie auch zur Erhhung der IT-Sicherheit bei,weshalb sie hier augehrt sind.
7.1 Cobit
Inhalt und Anwendungsbereich
Das Management eines Unternehmens ist u. a. r die Erreichung der Geschtsziele, die Kontrolleder dabei verwendeten Ressourcen hinsichtlich Eektivitt und Eizienz, die Einhaltung recht-licherRahmenbedingungen sowie die Handhabung der mit der Geschtsttigkeit und dem Ressourceneinsatzverbundenen Risiken (z. B. Sicherheitsrisiken) verantwortlich. Dies gilt insbesondere r den Einsatz der ITals Ressource zur Realisierung von Geschtsprozessen.
Zur Untersttzung des Managements und der damit beassten Fachabteilungen wie z. B. Interne Revisionbei der Wahrnehmung dieser Verantwortung wurde mit Cobit (Control Objectives or Inormationand Related Technology) von der ISACA (Inormation Systems Audit and Control Association VerbandInternationaler Auditoren der Inormatik) ein umassendes Kontrollsystem bzw. Rahmenwerk geschaen,
das alle Aspekte des IT-Einsatzes von der Planung bis zum Betrieb und der Entsorgung bercksichtigt undsomit eine ganzheitliche Sicht au die IT einnimmt.
Die Cobit umasst eine Sammlung international akzeptierter und allgemein einsetzbarer Kontroll-ziele.Diese reprsentieren drei Sichten au die IT und stellen die Interessen der jeweiligen Gruppe und derenZiele dar. Sie umassen olgende Aspekte:
Managementsicht: Untersttzung bei der Risikobehandlung in der sich stndig nderndenUmgebung und bei der Entscheidung ber Investitionen, die zur Gestaltung der Kontrolle ntig sindAnwendersicht: Kontrolle und Sicherheit der InormatikdienstleistungenRevisionssicht: Einheitliche Grundlage r die Wertung der inneren Kontrollen
Damit untersttzt Cobit die Ziele der IT-Governance4
im Unternehmen (als Teil der Corporate bzw.Enterprise Governance):Ausrichtung der IT au die Geschtsttigkeit: NutzenmaximierungWirtschatlicher Einsatz von IT-RessourcenAngemessenes Risikomanagement IT-bezogener Risiken
4 Der Begri IT-Governance bezeichnet die Organisation, Steuerung und Kontrolle der IT eines Unternehmensdurch die Unternehmenshrung zur konsequenten Ausrichtung der IT-Prozesse an der Unternehmensstrategie.Diese Steuerung (engl. Governance) durch die Unternehmenshrung ist notwendig, da die Inormations-unktion in vielen Unternehmen eine zunehmend wichtige Rolle spielen und somit deren reibungsloser Ablauund konsequente Verbesserung der IT-Prozesse ein wesentlicher Erolgsaktor r die Unternehmen darstellt.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
32/84
32
Methodik
Cobit stellt sich als Sammlung von Inormationen, Werkzeugen und Richtlinien dar, die die Sichtweisen
der einzelnen durch IT-Governance angesprochenen Gruppen umassend und spezisch abbilden. DieElemente von Cobit (und die jeweilige Zielgruppe im Unternehmen) sind:
Executive Summary (Senior Executives wie CEO, CIO)Framework (Senior Operational Management)Implementation Toolset (Mittleres Management, Direktoren)Management Richtlinien (Mittleres Management, Direktoren)Kontrollziele (Mittleres Management)Audit-Richtlinien (Linien-Management und Revisoren)
Das Cobit-Framework enthlt Anorderungen an die Geschtsprozesse in den Kategorien Qualitt,Sicherheit und Ordnungsmigkeit und den sieben Zielkriterien Vertraulichkeit, Vergbarkeit, Integritt,
Eektivitt, Eizienz, Zuverlssigkeit und Einhaltung rechtlicher Erordernisse.
Diese werden mit den verwendeten IT-Ressourcen in den Kategorien Daten, Anwendungen,Technologien, Anlagen und Personal in Zusammenhang gestellt und in die Gesamtsicht des zyklischenProzesses Planung & Organisation, Beschaung & Implementierung, Betrieb & Untersttzung undberwachung eingegt, der den gesamten Lebenszyklus aller Ressourcen umasst. Dabei steht dasZiel im Vordergrund, dass IT-Ressourcen kontrolliert geplant, entwickelt, implementiert sowie betriebenund berwacht werden. Diese vier bergeordneten Prozesse sind in insgesamt 34 kritische IT-Prozesseunterteilt, die r ein angemessenes Management der IT ausschlaggebend sind.
Durch Bercksichtigung entsprechender Prozesse und Festlegung von Kontrollziele werden die Ziele derInormationssicherheit im Unternehmen systematisch bercksichtigt. Durch Audit-Richtlinien wird der
Stand der Implementierung berprbar und im Rahmen des zugehrigen Cobit-Reiegradmodelles mitsechs Reie-Stuen, z. B. nicht-existent, deinierter Prozess, optimiert, dierenziert bewertbar und derFortschritt in der Implementierung messbar.
Bisherige Ausgaben
Cobit 4.0: November 2005
7.2 ITIL
Inhalt und Anwendungsbereich
IT Inrastructure Library (ITIL) ist ein Best Practice Reerenzmodell r IT-Serviceprozesse und sieht alssolches, Sicherheitsaspekte als unverzichtbare Bestandteile eines ordnungsgemenIT-Betriebs an. ITIL bietet somit die Basis, Verbindungen bezglich der Sicherheitsanorderungen zwischenGeschts- und IT-Prozessen zu erkennen und Synergiepotenziale zu nutzen.
Die IT Inrastructure Library hat sich inzwischen als weltweit akzeptierter Deacto-Standard rGestaltung, Implementierung und Management wesentlicher Steuerungsprozesse in der IT etabliert.ITIL ist eine Verahrensbibliothek, die hierr Best Practices lieert also Erahrungen aus der Praxiszusammentrgt und vermittelt. Unternehmen haben an der Erstellung mitgewirkt. Im Sicherheitsumeldbesteht eine enge Verbindung zum BS 7799-Standard bzw. ISO/IEC 17799.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
33/84
33
Das Ziel von ITIL besteht im Wesentlichen darin, die bislang technologiezentrierte IT-Organisationprozess-, service- und kundenorientiert auszurichten. Damit sind die ITIL-Empehlungen eineentscheidende Grundlage r zuverlssige, sichere und wirtschatliche IT-Services aus Sicht eines
IT-Dienstleisters.
Das gesammelte ITIL-Wissen ist entlich zugnglich. Es ist in einer Bibliothek von circa 40englischsprachigen Publikationen vergbar:
IT Service Provision and IT Inrastructure Management SetsManagers Set (inkl. ITIL Security Management)Sotware Support SetComputer Operations SetEnvironmental SetBusiness Perspective Set
Zwei wesentliche Bestandteile von ITIL die Managementprozesse zur Untersttzung und Lieerung vonIT-Services (IT-Service Support, IT-Service Delivery) wurden zudem bereits in einer deutschsprachigenAusgabe zusammengeasst und berarbeitet. Gerade zwischen den in diesen zwei Werken beschriebenenThemen und dem ITIL Security Management bestehen eine Vielzahl von Synergieeekten undAbhngigkeiten, die es ermglichen, ein Sicherheitsmanagement wirtschatlicher und hochwertiger zuetablieren.
Methodik
Die Sicherheitsanorderungen r die IT-Services werden au Grundlage der Geschtsprozesse bzw. -anorderungen deniert. Folgende Prozesse stehen dabei im Vordergrund:
Service Desk
Incident ManagementProblem ManagementChange ManagementRelease ManagementConguration ManagementService Level ManagementAvailability ManagementCapacity ManagementService Continuity ManagementFinancial Management
Mit dem IT-Dienstleister werden die Anorderungen in Service Level Agreement (SLA) augenommen,abgestimmt, umgesetzt, evaluiert und dokumentiert.
ITIL hat keine eigenen IT-Sicherheitsmanahmen deiniert. Hier bezieht sich der Standard auBS 7799 bzw. ISO/IEC 17799.
Zertizierung
Personen knnen ihr ITIL-Wissen zertiizieren lassen. Hierr gibt es verschiedene Zertiizierungs-stuensowohl au Managementebene als auch r Praktiker. Die Grundlagenschulung beginnt mit dem ITILFoundation Certiicate, au dem das ITIL Service Manager Certiicate aubaut. Praktiker knnen sich in deneinzelnen ITIL Prozessen zum ITIL Practicioner zertiizieren lassen.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
34/84
34
Um auch Institutionen zertiizieren zu knnen, wurde der britische Standard BS 15000 geschaen.
Die BS 15000 gliedert sich in zwei Teile:
Part 1: Specication or Service-Management deniert die Anorderungen an dasManagement von IT-Dienstleistungen
Part 2: Code o Practice or Service-Management lieert Empehlungen zur Etablierung desService-Managements
Mittlerweile wurde die BS 15000 in den internationalen Standard ISO 20000 berhrt und ist als ISO/IEC20000:2005 verentlicht.
Weitere Anmerkungen
Der Standard ITIL ist Ende der 80iger Jahre von der britischen Behrde CCTA (Central Computer andTelecommunication Agency) als Sammlung von Best Practices r die Regierung entwickelt worden. Einestndige Erweiterung wird durch das Oice o Government Commerce gewhr-leistet. Dies erolgt durchdie Hinzuziehung von Anwendern, Herstellern und Beratern.
7.3 IDW PS 330
Inhalt und Anwendungsbereich
Das Institut der Wirtschatsprer in Deutschland e.V. (IDW) gibt den IDW Prungsstandard:Abschlussprung bei Einsatz von Inormationstechnologie (IDW PS 330) heraus. Dieser Standard dient
als Leitaden r Wirtschatsprer zur IT-Prung rechnungslegungsrelevanter IT-Systeme, wie zumJahresabschluss.
Methodik
Der Prer bewertet das interne Kontrollsystem au seine Angemessenheit und Wirksamkeit in Bezugau inhrente Risiken der rechnungslegungsrelevanten IT-Systeme. Dazu werden olgende Schrittedurchgehrt:
Aunahme des IT-Systems zur Einschtzung des IT-KontrollsystemsAubauprung des IT-KontrollsystemsFunktionsprung des IT-Kontrollsystems
Hierzu bewertet der Prer das eingesetzte IT-Risikomanagement und dessen Prozesse zurIdentizierung und Analyse von IT-Risiken. Bei dieser werden olgende IT-Risikoindikatorenherangezogen:
Abhngigkeit von der IT(Automatisierungsgrad, Systemkomplexitt und Sensitivitt der Daten)nderungsprozesse(Projektmanagement, Customizing, Prozess-Reengineering durch von neue IT)Know-How und Ressourcen(erorderliches Spezialistenwissen, Bewusstsein der Nutzer)Geschtliche Ausrichtung des Unternehmens bzw. seiner IT
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
35/84
35
Fr die Bewertung der Risikoindikatoren bietet der Standards eigene Tests an. Insbesondere wirddem Risiko des IT-Outsourcing ein eigenes Kapitel gewidmet. Abschlieend ist die Sicherheit des IT-Kontrollsystems selbst und die zur Prung untersttzende IT zu bewerten.
Zertizierung
Nach einer Prung dar ein Unternehmen angeben, dass seine Systeme gegen den Standard geprtwurden. Da das Ergebnis und die Qualitt jedoch individuell von der Erahrung und der Einschtzung desPrers abhngig sind, ist das Niveau der IT-Sicherheit in zwei geprten Unternehmen nicht unbedingtvergleichbar. Hinzu kommt, dass der Standard die Bewertung der Angemessenheit der Manahmenbetont und der Aspekt des IT-Grundschutzes in den Hintergrund rckt.
Bisherige Ausgaben
Die endgltige Version des IDW PS 330 ist im September 2002 erschienen und direkt ber das IDW gegeneine Schutzgebhr zu beziehen. Diese umasst ca. 30 Seiten.
Eine Vorabversion vom 3.7.2001 steht unter dem Titel Entwur IDW Prungsstandard: Abschlussprungbei Einsatz von Inormationstechnologie (IDW EPS 330) von der Webseite des IDW kostenlos zumDownload bereit. Die Struktur stimmt mit der endgltigen Fassung berein,inhaltlich wurden nurFeinheiten bis zur endgltigen Verabschiedung gendert.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
36/84
36
8 Vorschriten
In den olgenden Kapiteln sind bekannte Vorschriten bzw. Gesetze, z. B. das Bundesdatenschutz-gesetz,erlutert, die ot im Zusammenhang mit IT-Sicherheit im Unternehmen genannt werden.
Zur Erllung der Anorderungen von KonTraG, Basel II sowie SOX ist ein IT-Risiko- und Chancenmanage-mentsystem5 (IT-RCM) sinnvoll, welches das allgemeine Risikomanagement (RCM) des Unternehmensuntersttzt.
Die Abbildung 4 verdeutlichtdie Abhngigkeiten zwischenUnter-nehmensstrategie,IT-Strategie, IT-
Risikomanagement sowie ITSicherheits-management.Die Unternehmens-strategieist die Leitlinie r allelang- und mittelristigenPlanungen der einzelnenagierenden Einheiten desUnternehmens, also auchder IT. Die IT-Strategieleitet sich somit aus derUnternehmens-strategie ab.Sie legt die zukntigen Ziele
der IT sowie die lang- undmittelristigen Manahmenest. Das IT-Risiko- undChancenmanagementsetzt sich mit den IT-Risiken,der IT-Sicherheit und derGewhrleistung eineskontinuierlichen IT-Betriebes auseinander.
8.1 KonTraG
Das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) ist zum1. Mai 1998 in Krat getreten. Ausschlaggebend waren zahlreiche Unternehmenskrisen, die zunehmendeInternationalisierung der Kapitalmrkte sowie eine steigende Globalisierung der Aktionrsstrukturen.
KonTraG ist kein eigenstndiges Gesetz, sondern ein sogenanntes Artikelgesetz, das Ergnzungen undnderungen in anderen Wirtschatsgesetzen wie z. B. Aktiengesetz, Handelsgesetzbuch oder dem Gesetzbetreend der Gesellschaten mit beschrnkter Hatung bewirkt. Das vorhandene Aktiengesetz sowiedas GmbH-Gesetz wurden entsprechend ergnzt (91 II AktG, 116 AktG) bzw. werden entsprechend
5 Siehe dazu auch BITKOM-Leitaden Leitaden IT-Risiko- und Chancenmanagement r kleine und mittlere
Unternehmen, http://www.bitkom.org/de/publikationen/38337_39864.aspx
5NTERNEHMENSSTRATEGIE
3TRATEGISCHE%
BENE
&INANZEN 6ERTRIEB )4
WIRKTAUF
WIRKTAUF
WIRKTAUF
4AKTISCHEUND
OP
ERATIVE%BENE
)43TRATEGIE
3TRATEGISCHE%BENE
4AKTISCHE%BENE
/PERATIVE%BENE
3TRATEGISCHE%BENE
4AKTISCHE%BENE
/PERATIVE%BENE
2ISIKOMANAGEMENT
)42ISIKOMANAGEMENT
)43ICHERHEITSMANAG
5NTERNEHMENSSTRATEGIE
3TRATEGISCHE%
BENE
&INANZEN 6ERTRIEB )4
WIRKTAUF
WIRKTAUF
WIRKTAUF
4AKTISCHEUND
OP
ERATIVE%BENE
)43TRATEGIE
3TRATEGISCHE%BENE
4AKTISCHE%BENE
/PERATIVE%BENE
3TRATEGISCHE%BENE
4AKTISCHE%BENE
/PERATIVE%BENE
2ISIKOMANAGEMENT
)42ISIKOMANAGEMENT
)43ICHERHEITSMANAG
Abbildung 4: Schematische Darstellung der Beziehungen zwischen
Unternehmensstrategie, IT-Strategie, IT-Risikomanagement und IT-
Sicherheitsmanagement (Quelle: Hanau (selbsterstellt)
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
37/84
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
38/84
38
Die Einrichtung von internen Kontrollen und (IT-)Sicherheitsmanahmen, die mageblich Risiken r dasUnternehmen mindern, werden sich nach den bisherigen Erwartungen augrund von Basel II positiv aumgliche Kreditkonditionen auswirken. Es kann davon ausgegangen werden, dass dies Insbesondere r
Unternehmen zutrit, deren Geschtseld stark von der IT abhngig ist.
8.3 SOX
Der Sarbanes-Oxley Act (SOA oder SOX) ist ein US-amerikanisches Gesetz, welches am 23. Januar 2002erlassen und am 20. Juli vom Prsidenten der Vereinigten Staaten unterzeichnet wurde. Mageblichgestaltet wurde es durch die beiden Senatoren Sarbanes und Oxley. Das Gesetz ist eine Reaktion audiverse Finanzskandale in den USA (z. B. Enron und Worldcom). Ziel ist es, Investoren zu schtzen undverlorengegangenes Vertrauen wiederzugewinnen, indem die Genauigkeit und Verlsslichkeit derRechnungslegung u. a. in bereinstimmung mit Sicherheits-Gesetzen verbessert wird.
Dabei werden die Verantwortlichkeiten der Unternehmenshrung und der Wirtschatsprergrundlegend neu geregelt und Regeln r die Zusammenarbeit zwischen Wirtschatsprern undUnternehmensleitung deiniert. Die Unternehmen mssen nachweisen, dass sie ein unktions-higesinternes Kontrollsystem haben, dies umasst z. B. die Verahren der Rechnungsprung und -zeichnungdurch die Vorstnde. Vorstnde haten mit Gltigkeit dieses Gesetzes persnlich r die Richtigkeit derJahresabschlsse.
Die Regelungen des Gesetzes betreen alle Unternehmen weltweit, die an einer amerikanischenWertpapierbrse notiert sind sowie unter bestimmten Voraussetzungen auch deren Tochterirmen.
Aus Sicht IT-Sicherheit wird die grte Relevanz aus Sektion 404 des Sarbanes-Oxley Act abgeleitet.
Der Sarbanes-Oxley Act will sichergestellt haben, dass die Ordnungsmigkeit der Verarbeitung unddie Integritt der verarbeiteten relevanten Finanzdaten jederzeit gewhrleistet ist. Weiterhin sollte derZugri au die Finanzdaten jederzeit, bzw. speziell zu Zeiten der Jahresabschlsse oder Quartalsberichtesichergestellt sein. Zustzlich soll eine Missbrauchs-erkennung ermglicht werden. Schwachpunkte imIKS sollten deshalb rechtzeitig entdeckt und ausgebessert werden. Sektion 404 schreibt daher olgendeProzess im Unternehmen vor:1. Auswahl und Beurteilung eines Regelwerks r ein internes Kontrollsystem2. Dokumentation des internen Kontrollsystem (IKS)3. berwachung des IKS.
ber die Funktionshigkeit dieses IKS muss in dem periodischen Unternehmensreports berichtet werden.
Hierbei wird au die Managementverantwortung zur Einrichtung und zum Betrieb vom IKS und zu denProzessen zum Finanz-Reporting hingewiesen. Die Einsetzung eines IT-Risiko-management spielt hierbeieine wichtige Rolle.
Der SOX ist zur Zeit nur r eine Minderheit der deutschen Unternehmen bindend. Eine rhzeitigeBetrachtung lohnt sich jedoch, da eine vergleichbare Regelung im deutschen resp. europischen Rahmennur eine Frage der Zeit zu sein scheint. Bezogen au die IT-Sicherheit ergeben sich hier sicherlich keinevollkommen neuen Anorderungen, der Ru nach ihr wird jedoch verstrkt.
7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007
39/84
39
8.4 EURO-SOX
Im Juli 2006 ist die auch als EURO-SOX bezeichnete 8. EU-Richtlinie in Krat getreten. Ziel ist die Schaung
einer international anerkannten Regelung r EU-Unternehmensabschlsse. Hierbei gibt es deutlichebereinstimmungen mit dem Vorbild SOX (siehe oben). So wird beispielsweise die Einrichtung einesinternen Kontrollsystems (IKS) geordert, das die Wirksamkeit von internen Kontrollen, Innenrevision undRisikomanagement berwachen soll.
EURO-SOX ist bis sptestens 29. Juni 2008 in nationales Gesetz umzusetzen. Im Gegensatz zu SOX werdenvon EURO-SOX alle Kapitalgesellschaten betroen sein, nicht nur brsennotierte Firmen. Damit werdenauch kleinere und mittelstndische Unternehmen gezwungen, sich mit den Themen Risikomanagement,IT-Security und Sicherheitsaudits intensiver auseinderzusetzen.
8.5 BDSG
Die Verarbeitung personenbezogener Daten unterliegt vor allem der Reglementierung desBundesdatenschutzgesetzes (BDSG). Zweck des Gesetzes ist es, den einzelnen davor zu schtzen, dass erdurch den Umgang mit seinen personenbezogenen Daten in seinem P