8.1 Vermögenswerte
Unter Vermögenswerten sind gemäß ISO 27002
ganz allgemein zu verstehen:
- Informationen (Daten, Verträge, Vereinbarungen,
Dokumentationen, Forschungsergebnisse, Handbücher,
Schulungsunterlagen, Verfahrensanleitungen, Pläne, Checklisten,
Protokolle, …)
- Software (System-, Anwendungssoftware)
- Gebäude, Einrichtungen, Fahrzeuge, Betriebsmittel, Hardware,
Datenträger
- Rechen- und Kommunikationsdienste,
Versorgungseinrichtungen
- MitarbeiterInnen mit ihren Qualifikationen und
Erfahrungen
- Immaterielle Werte, wie z. B. Ruf und Image der
Organisation.
Das heißt vereinfacht: Alles was für
eine Organisation einen Wert darstellt. Die folgenden Maßnahmen sollen die
Vermögenswerte der Organisation schützen. Dazu ist es zunächst notwendig,
sie zu klassifizieren, d. h. zu identifizieren, in einem Verzeichnis
aufzulisten, jeweils dazu EigentümerInnen sowie Verantwortliche zu
benennen und Regeln für den sicheren Umgang damit aufzustellen.
[Quelle: CASES Leitfaden „Klassifikation“]
8.1.1 Inventar der Vermögenswerte (Assets) mittels Strukturanalyse
Mittels Strukturanalyse werden die Geschäftsprozesse und die dafür
benötigten Assets (Informationen, Anwendungen, IT-Systeme, Räume,
Kommunikationsnetze) erhoben. Zuerst werden geschäftskritische Informationen
und Anwendungen ermittelt und die betroffenen IT-Systeme, Räume und Netze
erfasst.
Klassische Vorgehensweise ist, zuerst die
Anwendungen und ausgehend davon die weiteren betroffenen Objekte zu
ermitteln. Allerdings ist es dabei schwierig, abstrakte Anwendungen
losgelöst von konkreten technischen Komponenten zu erfassen.
Es kann daher auch zweckmäßig sein, zunächst die IT-Systeme (inklusive vorhandener Industriesteuerungen (ICS) oder Internet-of-Things (IoT)-Komponenten) zu erheben bzw. auf einen bestehenden und aktuellen Netztopologieplan zurückzugreifen. Oft lassen sich dann die Anwendungen anhand der betrachteten IT-Systeme leichter ermitteln.
Eine
weitere Vereinfachung des Vorgangs kann sich ergeben, wenn als Datenquellen
bereits aktuelle Datenbanken oder Übersichten vorhanden und nutzbar sind
(z. B. für die Inventarisierung, das Konfigurationsmanagement oder die
Gestaltung von Geschäftsprozessen).
Aktivitäten für
eine Strukturanalyse:
- Erfassung der Geschäftsprozesse, Anwendungen und Informationen im
Geltungsbereich,
- Erhebung von Datenträgern und Dokumenten,
- Erhebung von IT-, ICS- und IoT-Systemen,
- Netzplanerhebung,
- Erfassung der baulichen Gegebenheiten.
Dabei ist es oft nicht zweckmäßig, jedes Objekt
einzeln zu erfassen. Stattdessen sollten Objekte zu Gruppen zusammengefasst
werden, wenn sie folgende Ähnlichkeiten aufweisen:
- vom gleichen Typ,
- ähnliche Aufgaben,
- ähnlichen Rahmenbedingungen unterworfen,
- haben den gleichen Schutzbedarf.
Bei technischen Objekten bietet sich in folgenden Fällen eine Gruppierung an:
- ähnlich konfiguriert,
- ähnlich in das Netz eingebunden (z. B. IT-Systeme am gleichen Switch),
- ähnlichen administrativen und infrastrukturellen Rahmenbedingungen unterworfen,
- sie dienen ähnlichen Anwendungen,
- haben den gleichen Schutzbedarf.
Damit wird die Strukturanalyse hinsichtlich
Datenmenge und Komplexität handhabbar.
Gruppierung
Bei technischen Komponenten wird durch konsequente
Gruppenbildung auch die Administration wesentlich vereinfacht, weil es
dann nur wenige Grundkonfigurationen gibt. Durch eine möglichst hohe
Standardisierung innerhalb einer IT-Umgebung wird außerdem die Zahl
potenzieller Sicherheitslücken reduziert. Eine Stichprobe aus einer Gruppe
repräsentiert dann in der Regel den Sicherheitszustand der Gruppe.
Sicherheitsmaßnahmen für einen solchen Bereich können ohne Unterscheidung
verschiedenster Schwachstellen umgesetzt werden. Überdies können damit auch
Kosten gespart werden.
Ein wichtiges Beispiel ist die
Zusammenfassung von Clients. In der Regel gibt es in einer Organisation
viele Clients, die sich jedoch gemäß obigem Schema in eine überschaubare
Anzahl von Gruppen aufteilen lassen (dies gilt analog auch für Räume und
andere Objekte oder in Produktionsbetrieben für vergleichbar konfigurierte Geräte wie etwa Handscanner; in großen Informationsverbünden, wo viele Server die gleiche
Aufgaben wahrnehmen, können auch Server zu Gruppen zusammengefasst werden).
Gerade auch bei der Verwendung von virtuellen Maschinen (VMs) oder von Systemen bzw. Architekturen aus dem Bereich des Cloud Computings ist eine sinnvolle Strukturanalyse nur durch Gruppenbildung möglich. Besonders trifft dies zu, wenn etwa Geschäftsprozesse über Cloud Computing-Anwendungen ausgelagert werden. Gemäß demselben Prinzip können VMs mit ähnlichen Aufgaben, gleichartig konfiguriert und demselben Schutzbedarf – auch wenn sie auf verschiedenen physischen IT-Systemen laufen – zusammengefasst werden. Bei Cloud Computing-Plattformen ist eine Gruppenbildung unumgänglich und kann beispielsweise anhand des zu identifizierenden Schutzbedarfs durchgeführt werden.
Die Teilaufgaben der Strukturanalyse werden nachfolgend beschrieben. Bei allen Teilaufgaben sollten jeweils Objekte zu Gruppen
zusammengefasst werden, wenn dies sinnvoll und zulässig ist.
[Quelle: BSI-Standard 200-2]
8.1.1.1 Erfassung von Geschäftsprozessen, Anwendungen und Informationen
Auf Basis des festgelegten Geltungsbereichs (z.B. gesamte Organisation, Teilbereiche einer Organisation) sind zuerst die wesentlichen Geschäftsprozesse zu erfassen und zu dokumentieren. Wichtig ist hierbei, nicht nur den jeweiligen Hauptprozess zu erfassen, sondern auch die wichtigsten Sub-Prozesse oder Unterstützungsprozesse. Im Produktions- bzw. ICS-Bereich wären dies beispielsweise logistische oder wartungstechnische Nebenprozesse aber auch Beschaffungsprozesse.
Zur Identifizierung von Geschäftsprozessen eignen sich bestehende Geschäftslandkarten, Geschäftsverteilungspläne, Aufgabenbeschreibungen oder andere organisationsbeschreibende Unterlagen. Des Weiteren ist auch das Verfahrensverzeichnis des Datenschutzbeauftragten eine mögliche Quelle für zumindest solche Prozesse, die personenbezogene Daten verarbeiten. Sind keine entsprechenden Prozessunterlagen vorhanden, sollten Interviews oder Workshops mit den jeweiligen Verantwortlichen durchgeführt werden.
Die Erfassung von Geschäftsprozessen sollte jeweils umfassen:
- Eindeutiger Bezeichner
- Name
- Prozessverantwortlicher/Fachabteilung
- Kurze Beschreibung des Prozesses und der verarbeiteten Informationen
- Wichtige, für den Prozess benötigte Anwendungen
Anwendungen
dienen der IT-technischen Unterstützung von Geschäftsprozessen in Organisationen
(z. B. Behörden, Unternehmen). Ausgehend von jedem
Geschäftsprozess im Geltungsbereich sind die damit
zusammenhängenden Anwendungen und Informationen zu
identifizieren.
Für die geeignete Granularität ist
zwischen einerseits einer für die Feststellung des Schutzbedarfs nötige
Detaillierung, andererseits der optimalen Effizienz zu optimieren. Abgesehen
von der zuvor beschriebenen Gruppenbildung beschränkt sich die
Strukturanalyse auf Anwendungen und Informationen, die für die betrachteten
Geschäftsprozesse erforderlich sind und jedenfalls ein
Mindestniveau an
- Geheimhaltung (Vertraulichkeit) oder
- Korrektheit und Unverfälschtheit (Integrität) oder
- Verfügbarkeit
erfordern.
Um dies sicherzustellen, sollten bei der
Erfassung der Anwendungen die BenutzerInnen bzw. die für die Anwendung bzw.
für den Geschäftsprozess Verantwortlichen nach ihrer Einschätzung zum erforderlichen Sicherheitsniveau befragt
werden - ggf. in gemeinsamen Meetings der Fach-, IT-Abteilungen und
Anwendungsverantwortlichen. Denn es ist angesichts der steigenden
Komplexität oft schwierig, Abhängigkeiten zwischen Geschäftsprozess und einer konkreten Anwendung darzustellen.
- Es ist also für jeden Geschäftsprozess festzustellen, welche Anwendungen
für dessen Abwicklung notwendig sind und auf welche Daten dabei
zugegriffen wird.
- Wurden alternativ zuerst die IT-Systeme erfasst, empfiehlt es sich
oft, an ihnen orientiert die darauf laufenden Anwendungen
zusammenzutragen. Dabei sollte zumeist mit den Servern begonnen werden.
- Ergänzt wird die Erhebung mit den Clients und - mitunter mobilen -
Einzelplatzsystemen.
- Schließlich wird noch ermittelt, welche Netzkomponenten welche
Anwendungen unterstützen.
- Standard-Software der Clients (z.B. E-Mail- oder Videokonferenzprogramme) sollte als Paket betrachtet werden, um in der Erfassung nicht vergessen zu werden.
- Weiters darf bei der Erfassung auch auf virtualisierte Anwendungen nicht vergessen werden.
Pro erfasster Anwendung:
- Zwecks späterer Zuordnungen sollten die Anwendungen durchnummeriert
werden.
- Für Datenschutzbeauftragte/CISOs: Vermerk,
ob die beschriebene Anwendung personenbezogene Daten speichert oder
verarbeitet (Schutzbedarf der Information ergibt in der Regel Schutzbedarf der
Anwendung)
- Unterstützte Geschäftsprozesse
- Verantwortliche und BenutzerInnen der Anwendung
(Ansprechpartner für Sicherheitsfragen)
Es empfiehlt sich natürlich eine tabellarische
Darstellung bzw. die Nutzung geeigneter Software.
[Quelle: BSI-Standard 200-2]
8.1.1.2 Erfassung von Datenträgern und Dokumenten
Bei
der Erfassung der Anwendungen sollten auch Datenträger und Dokumente
mitbetrachtet werden, sie können wie Anwendungen behandelt werden. Jedoch sind
sie dann gesondert in der Strukturanalyse zu erfassen, wenn sie nicht mit
einer bestimmten Anwendung oder einem IT-System verknüpft sind. Auch dafür
sollten möglichst Gruppen gebildet und nur Datenträger und Dokumente mit einem
Mindestschutzbedarf berücksichtigt werden.
Beispiele
für gesondert erfasste Datenträger und Dokumente:
- Archiv- und Backup-Datenträger,
- Datenträger für den Austausch mit externen
Kommunikationspartnern,
- Massenspeicher für den mobilen Einsatz (z.B. externe Festplatten oder USB-Sticks),
- Ausgedruckte Notfall- und sonstige Handbücher,
- wichtige Verträge.
Empfehlenswert ist auch die Erfassung der
Abhängigkeiten zwischen Anwendungen; so sind beispielsweise Informationen
über den Lagerbestand Voraussetzungen für die Verarbeitung von
Bestellungen.
[Quelle: BSI-Standard 200-2]
8.1.1.3 Erhebung der IT-Systeme
In
ebenso tabellarischer Form wird eine Liste der vorhandenen und geplanten
IT-Systeme aufgestellt. Der Begriff „IT-System“ umfasst dabei nicht nur
Computer im engeren Sinn, sondern auch aktive Netzkomponenten, ICS- und IoT-Geräte,
Smartphones, virtuelle IT-Systeme, Netzdrucker,
Telekommunikationsanlagen etc. Im Vordergrund steht dabei die technische
Realisierung eines IT-Systems, beispielsweise Einzelplatz-PC, Server bzw.
Client mit Betriebssystemangabe.
Allerdings werden Systeme betrachtet und nicht einzelne Bestandteile (CPU,
Bildschirm, Tastatur, etc.); es sei denn sie werden im normalen Betrieb mit
unterschiedlichen Systemen verbunden (etwa externe Laufwerke). Eine
vollständige, korrekte und aktuelle Auflistung der IT-Systeme ist auch für
deren Überprüfung, Wartung, Fehlersuche und Instandsetzung
notwendig. Zu erfassen sind sowohl die vernetzten als
auch die nicht vernetzten IT-Systeme, insbesondere also auch solche, die
nicht im
Netzplan aufgeführt sind.
Weitere Geräte aus dem ICS- und IoT-Umfeld sind beispielsweise SPS-Steuerungen, Elemente der Gebäudesteuerung, Klimaanlagen, Kaffeemaschinen und weitere nicht unbedingt den Geschäftsprozessen dienende Geräte, die jedoch auch die Informationssicherheit beinträchtigen können. Davon sollten zumindest die vernetzten Geräte erfasst werden, also solche mit Netzwerk-, Internet-, Funk- oder Bluetooth-Verbindung. Solche Geräte sollten möglichst zu Gruppen zusammengefasst werden.
- eindeutige Nummerierung, Kürzel oder Bezeichnung des IT-Systems bzw. der jeweiligen Gruppe,
- bei Gruppen: Anzahl der zusammengefassten IT-Systeme,
- Beschreibung (z.B. Typ, Funktion),
- Plattform (z. B. Hardwarearchitektur/Betriebssystem, Art der Netzanbindung),
- Aufstellungsort (z. B. Ort, Gebäude, Raum),
- Status (in Betrieb, im Test, in Planung),
- Anwendungen, welche dem IT-System bzw. der Gruppe zuzuordnen sind
(Datenverarbeitung oder -transfer),
- BenutzerInnen, AnwenderInnen bzw. AdministratorInnen des
IT-Systems.
Auch dafür sollten nach Möglichkeit bereits
existierende Datenbanken oder Übersichten über die vorhandenen oder
geplanten IT-Systeme genutzt werden. Ergebnis ist eine Übersicht, aus der
die Zusammenhänge zwischen den wichtigen Anwendungen und den entsprechenden
IT-Systemen hervorgehen.
[Quelle: BSI-Standard 200-2]
8.1.1.4 Netzplan
Ein
Netzplan ist eine grafische Übersicht über die im Geltungsbereich
eingesetzten Komponenten und deren Vernetzung. Netzpläne oder ähnliche
grafische Übersichten sind auch aus betrieblichen Gründen in den meisten
Institutionen vorhanden.
Für die Informationssicherheit
sind folgende Objekte relevant:
- IT-Systeme (Client- und Server-Computer), aktive Netzkomponenten
(wie Switches, Router, WLAN Access Points), Netzdrucker etc.
- ICS- und IoT-Komponenten mit Netzanschluss: Clients, Handscanner,
Industriedrucker, Geräte mit speicherprogrammierbarer Steuerung (SPS),
Schaltschränke usw.
- Netzverbindungen zwischen diesen Systemen: LANs (Ethernet),
WLANs, Backbone-Techniken (ATM) etc.
- Verbindungen nach außen (z. B. Internetzugänge über Modems und
Router aber auch Funkstrecken, Mobilfunk sowie Standleitungen zu
entfernten Gebäuden oder Liegenschaften etc.
Jedes dargestellte Objekt sollte auch in einem
zugehörigen Katalog mit folgenden Elementen eingetragen werden:
- eindeutige Nummerierung, Kürzel oder Bezeichnung als Referenz zur
Grafik,
- vollständige Bezeichnung (Hostname, Identifikationsnummer),
- Typ und Funktion (z. B. Datenbank-Server für bestimmte Anwendung
Nr. X, …),
- Plattform (Hardware, Betriebssystem),
- Standort (Gebäude-, Raumnummer),
- zuständige AdministratorInnen,
- vorhandene Kommunikationsschnittstellen (z. B. Internet, LAN,
WLAN, Bluetooth etc.),
- Art der Netzanbindung und Netzadresse.
Für die Netzverbindungen zwischen den Objekten
bzw. nach außen werden Detailinformationen eingetragen, z.B.:
- Art der Verkabelung bzw. Kommunikationsanbindung (z. B.
Lichtwellenleiter, verkabeltes LAN, WLAN, 4G, 5G etc.),
- maximale Datenübertragungsrate,
- auf den unteren Schichten verwendete Netzprotokolle (z. B. Ethernet, TCP/IP),
- externe Netzanbindungen (z. B. Internet mit Namen des Providers).
Virtuelle IT-Systeme (z.B. virtuelle Switches, virtuelle Server) und
virtuelle Netzverbindungen, wie virtuelle LANs (Virtual Local Area Networks -
VLANs) oder virtuelle private Netze (Virtual Private Networks - VPNs),
sollten ebenfalls im Netzplan dargestellt werden. Ggf. kann dafür die Aufteilung in separate Teilnetzpläne die Übersichtlichkeit
verbessern.
Eine Cloud-Infrastruktur sollte über eine Verwaltungssoftware bzw. Netzmanagement-Tools zur automatischen Erzeugung von Netzplänen verfügen. Im ICS-Bereich, welcher als eigenständiges Netz betrieben wird, sollten auch die Schnittstellen nach außen und insbesondere Internetanbindungen erfasst sowie die Trennung der Netze dargestellt werden.
Es empfiehlt sich, Bereiche mit
unterschiedlichem Schutzbedarf zu kennzeichnen.
Der
Netzplan sollte möglichst in elektronischer Form mit Hilfe geeigneter Tools
erstellt und gepflegt werden.
[Quelle: BSI-Standard 200-2]
8.1.1.5 Erfassung der Gebäude und Räume
In
ein Sicherheitskonzept müssen alle Liegenschaften und Gebäude einbezogen
werden, innerhalb derer die betrachteten Geschäftsprozesse
betrieben werden. Dazu gehören Betriebsgelände, Gebäude, Etagen, Räume sowie
die Wegstrecke zwischen diesen.
Viele Organisationen
nutzen ein Gebäude oder eine Etage allein, aber häufig nutzen Organisationen
Liegenschaften, die weit verstreut sind oder mit anderen Nutzern geteilt
werden müssen. Oft sind Geschäftsprozesse auch in fremden
oder sporadisch genutzten Räumlichkeiten angesiedelt, beispielsweise für Telearbeitsplätze.
Daher ist es oft sinnvoll,
eine je nach Gegebenheiten mehr oder weniger umfangreiche Übersicht
bzw. einen Plan über die Liegenschaften, vor allem die Räume, zu erstellen,
in denen IT-Systeme aufgestellt oder die für den IT-Betrieb genutzt
werden:
- Räume, die ausschließlich dem IT-Betrieb dienen (wie Serverräume,
Datenträgerarchive),
- Räume, in denen unter anderem IT-Systeme betrieben werden (wie
Büroräume),
- Schutzschränke, in denen IT-Systeme untergebracht sind, sind wie
Räume zu erfassen,
- weitere Räume, in denen schutzbedürftige Informationen
(Datenträger, aber auch Aktenordner) aufbewahrt
werden,
- sowie Wegstrecken, über die Kommunikationsverbindungen
laufen.
Dabei sollte auch die Art der in den Räumen jeweils
verarbeiteten Informationen nachvollziehbar sein.
[Quelle: BSI-Standard 200-2]
8.1.1.6 Aktualisierung der Strukturanalyse
In
der Regel werden die IT- und Netzwerkstrukturen ständig an neue
Anforderungen der Organisation angepasst. Nicht in jedem Fall werden solche
Änderungen umgehend in den Aufzeichnungen der Erhebung bzw. im Netzplan
nachgezogen, da dies meist aufwändig ist. In der Praxis werden oft nur
größere Änderungen an der IT-Struktur einzelner Bereiche zum Anlass
genommen, den Plan zu aktualisieren. Die Folge ist, dass die Aufzeichnungen
dann nicht auf dem aktuellen Stand sind.
Eine häufige
Vorgehensweise besteht darin, die vorliegenden Aufzeichnungen periodisch
oder anlässlich größerer Änderungen bzw. im Zuge von Audits mit den
tatsächlich vorhandenen Strukturen und Objekten abzugleichen und
gegebenenfalls auf den neuesten Stand zu bringen:
- Existierende Übersichten, grafische Darstellungen und Netzpläne
sichten,
- Diese ggf. aktualisieren oder neu erstellen,
- Existierende Informationen über die enthaltenen IT-, ICS- und IoT-Systeme sichten
und gegebenenfalls aktualisieren und vervollständigen,
- Existierende Informationen über die enthaltenen
Kommunikationsverbindungen sichten und gegebenenfalls aktualisieren und
vervollständigen,
- Existierende Informationen über Liegenschaften, Gebäude und
Wegstrecken sichten und gegebenenfalls aktualisieren und
vervollständigen.
Dazu sollten auch die IT-Verantwortlichen und
AdministratorInnen der einzelnen Anwendungen bzw. Netze konsultiert werden, sowie MitarbeiterInnen der Haustechnik für den Bereich der industriellen Steuerung.
Einige Programme zum zentralisierten Netz- und
Systemmanagement unterstützen Objektlisten bzw. Netzpläne, indem sie
beispielsweise aktive Komponenten automatisch erkennen. Zu beachten ist
jedoch, dass solche Funktionen temporär zusätzlichen Netzverkehr erzeugen. Es
muss sichergestellt sein, dass dieser Netzverkehr nicht zu
Beeinträchtigungen des IT-Betriebs führt. Ebenso sollte das Ergebnis von
automatischen bzw. halb-automatischen Erkennungen stets daraufhin geprüft
werden, ob wirklich alle relevanten Komponenten ermittelt wurden - etwa
solche, die sich zum Zeitpunkt des Erkennungslaufes nicht in Betrieb
befunden haben.
[Quelle: BSI-Standard 200-2]
8.1.2 Eigentum von Vermögenswerten
Zu jedem
Vermögenswert (Asset) muss es eine klar definierte Verantwortlichkeit geben.
Dazu wird in der Organisation jedem Vermögenswert bzw. jeder Art von
Vermögenswert ein „Eigentümer“ zugewiesen. Dabei ist normalerweise nicht die
Eigentümer oder Inhaber im rechtlichen Sinn gemeint, sondern ManagerInnen
bzw. Beauftragte, die die Verantwortung für die Verwaltung dieses
Vermögenswertes und somit für dessen Sicherheit tragen. Insbesondere
sind sie für die
Klassifikation des Vermögenswertes und die darauf anzuwendenden Sicherheitsregeln
und -maßnahmen verantwortlich. Dazu müssen sie jedoch auch ausreichende und
entsprechende Befugnisse besitzen.
Diese Verantwortung
kann zwar nicht delegiert werden, aber Eigentümer können MitarbeiterInnen
oder BeraterInnen mit der Verwaltung und Ausarbeitung der Regeln beauftragen
und genehmigen schließlich die vorgeschlagenen Regeln.
[Quelle: CASES Leitfaden „Klassifikation“]
8.1.2.1 Verantwortliche für Vermögenswerte (Assets)
Grundsätzlich ist die Beteiligung und Mitwirkung aller
MitarbeiterInnen einer Organisation an der Umsetzung der erforderlichen
Sicherheitsmaßnahmen erforderlich. Dazu müssen sie allerdings wissen, für
welche Informationen, Anwendungen und IT-Komponenten sie in welcher Weise
verantwortlich sind.
Alle MitarbeiterInnen sind
für das verantwortlich, was in ihrem Einflussbereich liegt (es sei
denn, es ist explizit anders geregelt). Beispielsweise ist die Leitungsebene
der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei
der Einführung einer neuen Anwendung, die Leitung der IT zusammen mit dem
Informationssicherheitsmanagement für die Ausarbeitung von
Sicherheitsvorgaben für die IT-Komponenten, die AdministratorInnen für deren
korrekte Umsetzung und die BenutzerInnen für den sorgfältigen Umgang mit
den zugehörigen Informationen, Anwendungen und Systemen.
Es muss jedoch konkret und exakt für alle Informationen,
Anwendungen und IT-Komponenten festgelegt werden, wer für diese und deren
Sicherheit verantwortlich ist. Dazu sollte immer eine konkrete Person
(inklusive Vertretung) und keine abstrakte Gruppe benannt werden, damit die
Zuständigkeit jederzeit deutlich erkennbar ist. Bei komplexeren
Informationen, Anwendungen und IT-Komponenten sollten alle Verantwortlichen
und deren Vertretungen namentlich genannt sein.
[Quelle:
BSI M 2.225]
8.1.2.2 Aufgaben der Eigentümer und Verantwortlichen
Die
Fachverantwortlichen als Eigentümer von Informationen und Anwendungen müssen
die Sicherheitsmaßnahmen zu deren Schutz sicherstellen, das bedeutet, dass
- der Schutzbedarf der Informationen, Anwendungen und IT-Komponenten
korrekt festgestellt wird,
- die Aufgaben für die Umsetzung der Sicherheitsmaßnahmen klar
definiert und zugewiesen werden,
- die erforderlichen Sicherheitsmaßnahmen umgesetzt werden,
- dies regelmäßig überprüft wird,
- der Zugang bzw. Zugriff zu den Informationen, Anwendungen und
IT-Komponenten geregelt ist,
- die Informationssicherheit gefährdende Abweichungen schriftlich
dokumentiert werden.
Die Fachverantwortlichen müssen zusammen mit
dem Management über eine Vorgehensweise befinden, wie mit eventuellen
Restrisiken umgegangen werden soll. Die verantwortliche Entscheidung obliegt
der Managementebene.
[Quelle: BSI M 2.225]
8.1.3 Zulässige Nutzung von Vermögenswerten
BenutzerInnen von Informationen und die sie verarbeitenden
Einrichtungen sind dafür verantwortlich, dass diese nur gemäß ihrer
vorgesehenen Bestimmung verwendet und vor Verlust, Diebstahl, Beschädigung,
Kompromittierung etc. geschützt werden. Selbstverständlich gehört dazu auch
ein generell sorgfältiger und schonender Umgang mit Geräten wie etwa PCs.
Speziell AdministratorInnen und IT-Verantwortliche
müssen mit den ihnen eingeräumten, oft weitreichenden Privilegien sorgfältig
und nur im vorgesehenen Ausmaß umgehen - dies gilt auch für Notfälle und
Ausnahmesituationen.
Bedeutend ist in diesem
Zusammenhang auch eine Clear-Desk-Policy, um Kompromittierungen von
gedruckten Informationen zu vermeiden.
8.1.3.1 Herausgabe einer PC-Richtlinie
Um einen sicheren und ordnungsgemäßen Einsatz von
PCs in größeren Organisationen zu gewährleisten, sollte eine
PC-Richtlinie erstellt werden, in der verbindlich vorgeschrieben wird,
welche Randbedingungen eingehalten werden müssen und welche
IT-Sicherheitsmaßnahmen zu ergreifen sind. Diese PC-Richtlinie soll
zumindest den Einsatz von unvernetzten PCs regeln; werden PCs vernetzt
betrieben oder als intelligente Terminals genutzt, ist die Richtlinie um
diese meist weiter einschränkenden Punkte zu erweitern.
Im Folgenden wird grob umrissen, welche Inhalte für eine solche
PC-Richtlinie sinnvoll sind.
Möglicher
inhaltlicher Aufbau einer PC-Richtlinie:
-
Zielsetzung und
Begriffsdefinitionen:
Dieser erste Teil der PC-Richtlinie
soll dazu dienen, die PC-AnwenderInnen für IT-Sicherheit zu
sensibilisieren und zu motivieren. Gleichzeitig werden die für das
gemeinsame Verständnis notwendigen Begriffe definiert und eine
einheitliche Sprachregelung geschaffen.
-
Geltungsbereich:
In diesem
Teil muss verbindlich festgelegt werden, für welche Teile des
Unternehmens bzw. der Behörde die PC-Richtlinie gilt.
-
Rechtsvorschriften und interne
Regelungen:
Hier wird auf wichtige Rechtsvorschriften (z. B.
das Datenschutzgesetz und das Urheberrechtsgesetz) hingewiesen. Darüber hinaus kann diese Stelle genutzt
werden, um alle relevanten betriebsinternen Regelungen
aufzuführen.
-
Verantwortungsverteilung:
In
diesem Teil wird definiert, wer im Zusammenhang mit dem PC-Einsatz
welche Verantwortung trägt. Dabei sind insbesondere die Funktionen
IT-BenutzerInnen, Vorgesetzte, PC-AdministratorInnen,
Datenschutzbeauftragte/CISOs,
Informationssicherheitskoordinatoren im Bereichs und
Applikations-/Projektverantwortliche zu unterscheiden.
-
Umzusetzende und einzuhaltende
IT-Sicherheitsmaßnahmen:
Im letzten Teil der PC-Richtlinie
ist festzulegen, welche IT-Sicherheitsmaßnahmen von den
IT-BenutzerInnen einzuhalten bzw. umzusetzen sind. Es kann je nach
Schutzbedarf auch über die IT-Grundschutzmaßnahmen hinausgehen.
Die PC-Richtlinie muss regelmäßig -
insbesondere im Hinblick auf die IT-Sicherheitsmaßnahmen - aktualisiert
werden.
Es ist dafür Sorge zu tragen, dass
alle PC-BenutzerInnen ein Exemplar dieser Richtlinie besitzen und dass die
Einhaltung regelmäßig überprüft wird.
8.1.3.2 Einführung eines PC-Checkheftes
Um die durchgeführten
IT-Sicherheitsmaßnahmen am PC zu dokumentieren, kann ein PC-Checkheft
eingeführt werden, in dem die PC-NutzerInnen die wichtigsten Angaben zum
Gerät dokumentiert. Diese Maßnahme bietet sich in erster Linie für kleine
und mittlere Organisationen an, große Organisationen führen und verwalten
diese Dokumentationen i. Allg. zentral.
Kommt ein PC-Checkheft zum Einsatz, so sollte es folgende
Informationen enthalten:
-
Name der PC-Benutzerin bzw. des PC-Benutzers,
-
Aufstellungsort des PC,
-
Einsatzgebiet (z. B. Kundendienst Inland)
-
Erlaubnis (Notebook) aus den Betriebsräumen zu entfernen
-
Beschreibung der Konfiguration,
-
Zugangsmittel,
-
eingesetzte Hard- und Software,
-
planmäßige Zeitpunkte für die Datensicherungen,
-
durchgeführte Wartungen und Reparaturen,
-
durchgeführte Virenkontrollen,
-
Zeitpunkt von Passwortänderungen,
-
zur Verfügung stehendes Zubehör,
-
durchgeführte Revisionen,
-
Ansprechpartner für Problemfälle und
-
Zeitpunkte der durchgeführten Datensicherungen.
Das Führen eines solchen PC-Checkheftes
erleichtert Kontrolltätigkeiten und unterstützt eine notwendige
Selbstkontrolle der PC-BenutzerInnen, damit sie
regelmäßig Datensicherungen, Passwortänderungen und Viren-Checks durchführen
(sofern dies nicht zentral erfolgt (s. o.)).
8.1.3.3 Geeignete Aufbewahrung tragbarer IT-Systeme
Tragbare IT-Systeme wie Notebooks, Netbooks, Tablets oder
Smartphones sind durch ihre Bauform immer beliebte Ziele für Diebstähle und müssen sicher
aufbewahrt werden - auch dann, wenn sie sich im vermeintlich sicheren Büro
befinden. Weil ein tragbares IT-Systeme besonders leicht zu transportieren
und zu verbergen ist, sollte das Gerät außerhalb der Nutzungszeiten
(beispielsweise in einem Schrank oder Schreibtisch) weggeschlossen oder
angekettet werden.
Bei mobilem
Einsatz müssen die BenutzerInnen versuchen, die tragbaren IT-Systeme auch
außer Haus sicher aufzubewahren. Vgl.
6.3.1 Mobile IT-Geräte.
Einige Hinweise für die mobile Nutzung:
- Schutz vor Diebstahl und Verlust:
- Das Gerät sollte gar nicht oder nur in einem minimalen Zeitraum
unbeaufsichtigt sein,
- bei Aufbewahrung eines tragbaren IT-Systems in einem
Kraftfahrzeug sollte das Gerät von außen nicht sichtbar sein (Abdecken
oder Einschließen in den Kofferraum),
- jedenfalls sollte das Gerät nur so kurz wie möglich in einem
Kraftfahrzeug aufbewahrt werden (keinesfalls über Nacht),
- wird das mobile IT-System in einem fremden Büro vor Ort benutzt,
so ist entweder dieser Raum nach Möglichkeit auch bei kurzzeitigem
Verlassen zu verschließen oder das Gerät mitzunehmen. Zusätzlich ist ein
Zugriffschutz zu aktivieren oder das Gerät auszuschalten, um unerlaubte
Nutzung zu verhindern,
- in Hotelzimmern sollte das mobile IT-System nicht offen
herumliegen, sondern in einem Schrank verschlossen werden.
- Bietet das Gerät eine Möglichkeit zum Anketten, sollte sie wo
möglich genutzt werden.
- Zur Beaufsichtigung des Geräts gehört auch, es nicht etwa im Taxi,
am Flughafen, im Flugzeug oder im Hotelzimmer zu vergessen.
- Schutz vor Beschädigung:
- Ein mobiles IT-System sollte nie extremen Temperaturen ausgesetzt
werden. Insbesondere der Akku, aber auch das Display können anderenfalls
beschädigt werden. Auch deshalb sollten IT-Geräte (aber auch ihre Akkus)
nicht in geparkten Autos zurückgelassen werden.
- Ebenso sollten mobile Endgeräte vor schädlichen Umwelteinflüssen
geschützt werden, also beispielsweise vor Feuchtigkeit durch Regen oder
Spritzwasser.
- Mobile IT-Systeme sind heute zwar robust, aber dennoch sollten sie
auch bei kürzeren Transportwegen möglichst stoßgeschützt befördert
werden. Bei Notebooks sollte beispielsweise das Gerät zusammengeklappt
werden, da sowohl die Scharniere als auch der Bildschirm bei einem Sturz
leicht beschädigt werden können. Grundsätzlich ist es immer
empfehlenswert, für den Transport ein schützendes Behältnis zu
verwenden.
Es ist empfehlenswert, für die BenutzerInnen mobiler
IT-Systeme ein Merkblatt zu erstellen, das die wichtigsten Hinweise und
Vorsichtsmaßnahmen zur geeigneten Aufbewahrung und zum sicheren Transport
der Geräte enthält.
[Quelle: BSI M 1.33, M
1.34]
8.1.3.4 Mitnahme von Datenträgern und IT-Komponenten
Datenträger und IT-Komponenten sind meist innerhalb der
Liegenschaft(en) der eigenen Organisation hinreichend vor Missbrauch und
Diebstahl geschützt. Oft sollen sie aber auch außer Haus eingesetzt werden,
z. B. bei Dienstreisen oder Telearbeit. Für einen ausreichenden Schutz muss
die Mitnahme von Datenträgern und IT-Komponenten klar geregelt
werden.
Dabei muss festgelegt werden
- welche IT-Komponenten bzw. Datenträger außer Haus mitgenommen
werden dürfen,
- wer IT-Komponenten bzw. Datenträger außer Haus mitnehmen
darf,
- welche grundlegenden IT-Sicherheitsmaßnahmen dabei beachtet werden
müssen (Virenschutz, Verschlüsselung sensitiver Daten, Aufbewahrung
etc.).
Die Art und der Umfang der anzuwendenden
IT-Sicherheitsmaßnahmen für extern eingesetzte IT-Komponenten hängt
einerseits vom Schutzbedarf der darauf gespeicherten IT-Anwendungen und
Daten und andererseits von der Sicherheit der Einsatz- bzw.
Aufbewahrungsorte ab.
Grundsätzlich sollte für alle
IT-Komponenten, die extern eingesetzt werden sollen, eine entsprechende
Genehmigung eingeholt werden müssen.
Gibt es (z. B. in
größeren Organisationen) Zutrittskontrollen durch Portier- oder Wachdienste,
kann mittels Stichproben kontrolliert werden, inwieweit die Regelungen für
die Mitnahme von Datenträgern und IT-Komponenten eingehalten werden. Dabei
ist jedoch darauf zu achten, dass solche Kontrollen nicht in unnötig
schikanöse Durchsuchungen ausarten.
Außerhalb der organisationseigenen Büros
bzw. Liegenschaften sind die BenutzerInnen für den Schutz der ihnen
anvertrauten IT verantwortlich und darauf sowie auf zu ergreifende
Vorsichtsmaßnahmen sind sie hinzuweisen, etwa:
- IT-Systeme müssen stets sicher aufbewahrt werden. Bei Dienstreisen
sollten sie nicht unbeaufsichtigt bleiben oder in Fahrzeugen
zurückgelassen werden (siehe auch 8.1.3.3 Geeignete Aufbewahrung tragbarer IT-Systeme).
- IT-Systeme wie Notebooks oder Mobiltelefone und deren Anwendungen
können i. Allg. durch PINs, Passwörter oder anderen Mechanismen abgesichert werden.
Diese sollten auch genutzt werden.
- IT-Systeme oder Datenträger, die sensitive Daten enthalten,
sollten möglichst komplett verschlüsselt werden.
- Die Verwaltung, Wartung und Weitergabe von extern eingesetzten
IT-Systemen sollte geregelt werden.
- Es sollte protokolliert werden, wann und von wem welche
IT-Komponenten außer Haus eingesetzt wurden.
- Bei Mitnahme ins Ausland ist zu beachten, ob es ein unerlaubter
Import von Verschlüsselungstechnik sein könnte.
- Es ist mit der Offenlegung der Daten vor Zollbeamten zu
rechnen.
[Quelle: BSI M 1.218]
8.1.3.5 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Videokameras
Das Mikrofon bzw. die Videokamera eines vernetzten Rechners
kann von denjenigen benutzt werden, die Zugriffsrechte auf die entsprechende
Gerätedatei haben. Der Zugriff auf die Gerätedatei sollte nur möglich sein,
solange jemand an dem IT-System arbeitet. Wenn die Benutzung eines
vorhandenen Mikrofons oder einer Kamera generell verhindert werden soll,
müssen diese - wenn möglich - ausgeschaltet oder physikalisch vom Gerät
getrennt werden bzw. die Kamera überklebt werden.
Falls das Mikrofon bzw. die
Kamera in den Rechner (bzw. den Bildschirm) integriert ist und nur durch
Software ein- und ausgeschaltet werden kann, müssen die Zugriffsrechte so
gesetzt sein, dass es keine Unbefugten benutzen können.
Es ist zu prüfen, ob Zugriffsrechte und Eigentümer bei einem Zugriff
auf die Gerätedatei verändert werden. Falls dies der Fall ist oder falls
gewünscht ist, dass alle BenutzerInnen das Mikrofon bzw. die Kamera benutzen
können (und nicht nur in Einzelfällen eine Freigabe durch die
SystemadministratorInnen erfolgen soll), muss die Systemadministration ein
Kommando zur Verfügung stellen, das
-
nur aktiviert werden kann, wenn jemand an dem IT-System
angemeldet ist,
-
nur durch diese BenutzerInnen aktiviert werden kann und
-
die Zugriffsberechtigungen den BenutzerInnen nach dem
Abmelden wieder entzieht.
Wünschenswert wäre es auch, Mikrofon und
Kamera nach einer voreingestellten Zeitspanne ohne Aktivität automatisch
abzuschalten (Timeout).
8.1.3.6 Absicherung von Wechselmedien
Wechselmedien, wie etwa USB-Sticks, USB-Festplatten,
SD-Karten etc., ermöglichen raschen und einfachen Transfer von
Daten und Programmen, bringen aber auch eine Reihe von Risiken mit
sich.
Als derartige Risiken wären unter anderem
zu nennen:
-
unkontrolliertes Booten von Geräten etwa von USB-Sticks, USB-Festplatten oder DVD-ROM,
-
unautorisierte Installation von Software und
-
unberechtigte Kopien von Daten auf Wechselmedien (Verlust der
Vertraulichkeit).
Zur Verringerung dieser Bedrohungen stehen -
abhängig von der Art der Wechselmedien und dem zugrunde liegenden
Betriebssystem - eine Reihe von Möglichkeiten zur Verfügung, die unten
beispielhaft angeführt werden. Es ist aber zu betonen, dass in vielen Fällen
eine völlige Sperre der Wechselmedien entweder technisch nicht möglich oder
aber aus betrieblichen Gründen nicht durchsetzbar ist. Hier sind zusätzliche
personelle (Anweisungen, Verbote, …) und organisatorische Maßnahmen
(Kontrollen, …) erforderlich.
Maßnahmen zur
Sicherung von Wechselmedien:
-
Verzicht auf USB-, DVD-ROM-, …, Laufwerke (bzw. ihr
nachträglicher Ausbau)
-
(Physischer) Verschluss von Laufwerken (z. B. durch Einsatz von
Schlössern).
-
(Logische) Sperre von
Schnittstellen:
Viele Betriebssysteme bieten die
Möglichkeit, Schnittstellen zu sperren. Dabei ist allerdings zu
beachten, dass dies nicht immer technisch möglich und oft auch aus betrieblichen Gründen nicht
durchführbar ist.
-
Deaktivierung im BIOS/UEFI:
Das
BIOS (Basic Input/Output System) bzw. UEFI (Unified Extensible Firmware Interface) bieten Möglichkeiten um nur von
bestimmten Laufwerken zu booten. Es muss jedoch auch sichergestellt
werden, dass die BenutzerInnen diese Einstellungen nicht mehr verändern
können.
-
Verschlüsselung:
Es
existieren verschiedenste Produkte, die Zugriffe ausschließlich auf
Datenträger, die mit bestimmten kryptografischen Schlüsseln versehen
worden sind, zulassen.
-
Regeln:
In vielen Fällen ist
die Benutzung externer Speichermedien durchaus erlaubt, jedoch
bestimmten Regeln unterworfen. Es sollte hierbei jedenfalls das Booten
von Wechselmedien im BIOS bzw. UEFI deaktiviert werden. Solche Regeln könnten etwa
Beschränkungen auf die Verwendung bestimmter Dateitypen sein. Die
jeweiligen Regeln müssen allen BenutzerInnen bekannt gegeben werden und
deren Einhaltung kontrolliert werden.
-
Gegebenenfalls Verblenden und Verplomben
von Schnittstellen
Nach Anschluss aller erforderlichen
Schnittstellen wird die Rückseite des Gerätes mit einer speziellen
Abdeckung verblendet. Diese wird verplombt, so dass etwaige
Manipulationen ersichtlich sind. Diese Vorgehensweise bietet einen
relativ hohen Grad an Sicherheit (insbesondere an nachträglichen
Nachweismöglichkeiten), es ist aber zu bedenken, dass damit die
Flexibilität der Systeme stark eingeschränkt wird. Häufige
Übersiedlungen, Konfigurationsänderungen etc. können die Akzeptanz
dieser Maßnahme bei BenutzerInnen und
Systemverantwortlichen stark reduzieren.
Es ist auch zu bedenken, dass bei IT-Systemen
im Netzwerk ein Laden von Treibern etc. etwa über das Internet oder mittels
Attachments von E-Mails möglich ist. Hier sind entsprechende Vorkehrungen zu
treffen. Vgl.
6.3.1.3 Wechselmedien und externe Datenspeicher.
8.2 Klassifizierung von Informationen
Die
Klassifizierung der verarbeiteten, gespeicherten und übertragenen
Informationen in Bezug auf ihre Vertraulichkeit und die
Datenschutzanforderungen ist wesentliche Voraussetzung für die spätere
Auswahl adäquater Sicherheitsmaßnahmen.
Daher
sind in der Informationssicherheitspolitik entsprechende Sicherheitsklassen
zu definieren und weiters die Verantwortlichkeiten für die Durchführung der
Klassifizierung festzulegen.
8.2.1 Definition der Sicherheitsklassen
Festlegung von Klassifizierungsstufen bzgl. Vertraulichkeit (Vertraulichkeitsklassen)
Die Vertraulichkeitsklassen können als Maß dafür
gesehen werden, welche Auswirkungen ein Missbrauch der Information auf die
Institution haben kann.
Im Bereich der
Bundesverwaltung sind die unten angeführten hierarchischen Klassen
definiert. Diese Klassen sind lt.
Informationssicherheitsgesetz gesetzlich festgelegt für „klassifizierte Informationen, die
Österreich im Einklang mit völkerrechtlichen Regelungen erhalten hat“.
HINWEIS: Im Sinne der Kompatibilität und
Einheitlichkeit erscheint diese Klassifizierung auch für andere Daten im
Bereich der Bundesverwaltung sinnvoll.
-
EINGESCHRÄNKT:
Die unbefugte
Weitergabe der Informationen würde den in Art. 20, Abs. 3 B-VG genannten
Interessen zuwiderlaufen. [Anmerkung: Alle mit Aufgaben der Bundes-,
Landes- und Gemeindeverwaltung betrauten Organe sowie die Organe anderer
Körperschaften des öffentlichen Rechts sind, soweit gesetzlich nicht
anderes bestimmt ist, zur Verschwiegenheit über alle ihnen
ausschließlich aus ihrer amtlichen Tätigkeit bekannt gewordenen
Tatsachen verpflichtet, deren Geheimhaltung im Interesse der
Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit, der
umfassenden Landesverteidigung, der auswärtigen Beziehungen, im
wirtschaftlichen Interesse einer Körperschaft des öffentlichen Rechts,
zur Vorbereitung einer Entscheidung oder im überwiegenden Interesse der
Parteien geboten ist (Amtsverschwiegenheit), …]
-
VERTRAULICH:
Die
Informationen stehen nach anderen Bundesgesetzen unter strafrechtlichem
Geheimhaltungsschutz und ihre Geheimhaltung ist im öffentlichen
Interesse gelegen.
-
GEHEIM:
Die Informationen
sind vertraulich und ihre Preisgabe würde zudem die Gefahr einer
erheblichen Schädigung der in Art. 20, Abs. 3 B-VG genannten Interessen
schaffen.
-
STRENG GEHEIM:
Die
Informationen sind geheim und ihr Bekanntwerden würde überdies eine
schwere Schädigung der in Art. 20, Abs. 3 B-VG genannten Interessen
wahrscheinlich machen.
Nicht-klassifizierte Informationen werden
nachfolgend auch als „offen“ bezeichnet.
In den
übrigen Verwaltungsbereichen und in der Privatwirtschaft ist es jeder
Organisation überlassen, in ihrer Informationssicherheitspolitik eine für
ihre Zwecke adäquate Definition von Vertraulichkeitsklassen vorzunehmen,
sofern es nicht bereits diesbezügliche Regelungen gibt. Aus Gründen der
Kompatibilität wird die Anwendung des genannten Schemas in denjenigen
Bereichen, in denen nicht zwingende Gründe für ein anderes
Klassifizierungsschema bestehen, empfohlen. Allerdings werden Organisationen
der Privatwirtschaft, sofern sie nicht besonders strenge
Sicherheitsanforderungen haben, i. Allg. mit weniger Klassen (meist 3
oder 4) das Auslangen finden.
Im Rahmen der
Informationssicherheitspolitik sollte darauf hingewiesen werden, dass die
Klassifizierung der Daten sehr sorgfältig vorzunehmen ist. Nicht nur die
Einstufung in eine zu niedrige Vertraulichkeitsklasse ist mit potenziellen
Gefahren verbunden, auch die leichtfertige Einstufung in eine zu hohe
Vertraulichkeitsklasse ist zu vermeiden, da etwa die Behandlung von geheimen
Daten durchwegs mit erheblichem Aufwand verbunden ist.
Klassifizierung von Daten in Bezug auf Datenschutz
Werden personenbezogene Daten verarbeitet, so
sind die Daten auch dahingehend zu klassifizieren. Die nachfolgende
Klassifizierung gemäß
Datenschutzgesetz (DSG) gilt sowohl für den Behörden- als auch für den
privatwirtschaftlichen Bereich.
-
ANONYM:
Daten, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass
die betroffene Person nicht oder nicht mehr identifiziert werden kann. Achtung: pseudonymisierte Daten zählen hierzu nicht!
-
PERSONENBEZOGEN:
Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar
wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer
Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen
Identität dieser natürlichen Person sind, identifiziert werden kann. Weiters fallen in diese Klassifizierungsstufe auch pseudonymisierte Daten, also solche personenbezogenen Daten,
die ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Der Schutz dieser pseudonymisierten Daten und die
Aufrechterhaltung der Trennung gegenüber zuordenbaren Informationen erfordern jedoch ein ebenbürtiges Niveau zu personenbezogenen Daten, damit nicht unrechtmäßiger Weise wieder ein
Personenbezug hergestellt werden kann. Pseudonymisierte Daten sollten daher in dieser Hinsicht wie personenbezogene Daten klassifiziert werden.
-
SENSIBEL (besondere Kategorien personenbezogener Daten):
Personenbezogene Daten, aus denen
die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten,
biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
8.2.2 Festlegung der Verantwortlichkeiten und der Vorgehensweise für klassifizierte Informationen
Im
Rahmen der Informationssicherheitspolitik ist generell festzulegen, wer die
Klassifizierung der Daten vorzunehmen hat. Dies kann in den einzelnen
Organisationen unterschiedlich sein und auch von IT-System zu IT-System
differieren.
Als allgemeine Richtlinie kann
gelten, dass die Klassifizierung einer Information von jener Person
vorzunehmen ist, von der diese Information stammt, oder, wenn diese keine
eindeutigen Vorgaben gemacht hat, von jener Person in der Organisation, die
diese Information von außen erhält.
Weiters ist
festzulegen, in welcher Form die Klassifizierung bzw. Deklassifizierung
erfolgt und wie klassifizierte Information gekennzeichnet wird.
Die für die Information verantwortlichen MitarbeiterInnen
werden oft als „Dateneigner“ oder „Data Owner“ bezeichnet.
8.2.3 Erarbeitung von Regelungen zum Umgang mit klassifizierten Informationen
In
diesem Schritt ist festzulegen, wie die Information in Abhängigkeit von den
Sicherheitsklassen zu behandeln ist.
Werden in
einer Organisation häufig klassifizierte Informationen verarbeitet und
gespeichert, so empfiehlt sich die Erarbeitung eines eigenständigen
Dokumentes, in dem u. a. folgende Fragen behandelt werden:
-
Kennzeichnung klassifizierter Information (sowohl
elektronischer als auch nicht elektronischer)
-
Verwahrung klassifizierter Information (Zugriffsberechtigungen,
etwaige Vorschriften zur Verschlüsselung)
-
Übermittlung klassifizierter Information (mündliche Weitergabe,
persönliche Weitergabe, Versendung durch Post oder Kurier, elektronische
Übertragung, über welche Verbindungen, Vorschriften zur
Verschlüsselung)
-
Registrierung klassifizierter Information
-
Ausdruck klassifizierter Information (auf welchem Drucker,
durch wen)
-
Backup (Klartext, chiffriert, Schutz der Backup-Medien)
-
Aufbewahrung/Wiederverwendung/Vernichtung von Datenträgern
mit klassifizierter Information
-
Weitergabe klassifizierter Information (an wen, durch wen,
unter welchen Bedingungen)
-
Deklassifizierung klassifizierter Information (wann, durch
wen)
8.2.4 Klassifizierung von IT-Anwendungen und IT-Systemen, Grundzüge der Business Continuity Planung
Ziel
der Business Continuity-Planung ist es, die Verfügbarkeit der wichtigsten
Applikationen und Systeme innerhalb eines definierten Zeitraumes zu
gewährleisten sowie Vorkehrungen zur Schadensbegrenzung im Katastrophenfall
zu treffen („Gewährleistung eines kontinuierlichen
Geschäftsbetriebes“).
Dabei wird unterschieden
zwischen der Aufrechterhaltung der Betriebsverfügbarkeit im Fall von
Störungen oder Bedienungsfehlern (im Folgenden auch als „Business
Contingency-Planung“ bezeichnet) sowie der Gewährleistung eines Notbetriebes
und des geordneten Wiederanlaufs im Katastrophenfall (Katastrophenvorsorge,
K-Planung).
Im Rahmen der
Informationssicherheitspolitik sind die Verfügbarkeitsklassen für
IT-Anwendungen und die diesen Anwendungen zugrunde liegenden IT-Systeme
sowie der darauf verarbeiteten oder gespeicherten Informationen zu
definieren. Die Business Continuity-Planung selbst ist nicht Bestandteil der
Informationssicherheitspolitik, sondern muss in den entsprechenden weiteren
Aktivitäten erfolgen.
Nachfolgend ein Beispiel
für ein solches Klassifizierungsschema – basierend auf den
Katastrophenvorsorge- und Ausfallssicherheitsüberlegungen im IT-Bereich des
Bundeskanzleramtes
[K-Fall]:
-
Betriebsverfügbarkeitskategorie 1 – Keine Vorsorge
(unkritisch):
Für die IT-Anwendung werden keine
besonderen Vorkehrungen getroffen. Es ist ein Datenverlust bzw. Ausfall
der IT-Anwendung unbestimmter Dauer denkbar. Eine Behinderung in der
Wahrnehmung der Aufgaben der betroffenen Verwaltungsstelle entsteht
durch den Ausfall bzw. Datenverlust nicht.
-
Betriebsverfügbarkeitskategorie 2 – Offline
Sicherung:
Es sind die gängigen
Sicherungsmaßnahmen für die IT-Anwendung vorgesehen, ein Datenverlust
ist auszuschließen. Die IT-Anwendung kann bei technischen Problemen erst
nach deren Behebung am ursprünglichen Produktivsystem in Betrieb
genommen werden. Die Sicherung wird an einen externen Ort
ausgelagert.
-
Betriebsverfügbarkeitskategorie 3 – Redundante
Infrastruktur:
Die Infrastruktur für die
IT-Anwendung ist derart ausgelegt, dass bei Ausfall einer IT-Komponente
der Betrieb durch redundante Auslegung ohne Unterbrechung fortgesetzt
werden kann.
-
Betriebsverfügbarkeitskategorie 4 – Redundante
Standorte:
Die IT-Infrastruktur sowie die darauf
aufsetzende IT-Anwendung ist auf zwei Standorte verteilt, so dass bei
Betriebsunterbrechung des einen Standortes die IT-Anwendung
uneingeschränkt am zweiten Standort weiter betrieben werden kann.
Zusätzlich zu den vier genannten Kategorien
ist noch die Zusatzqualität „K-Fall sicher“ definiert, welche auch die
Anforderungen in Katastrophenfällen berücksichtigt:
-
K-Fall sicher (K2
bis K4):
Die IT-Anwendung ist derart konzipiert,
dass zumindest ein Notbetrieb in einer Zero-Risk-Umgebung möglich ist.
Dazu werden die Daten je nach Aktualisierungsgrad laufend in die
Zero-Risk-Umgebung transferiert und der Betrieb der IT-Anwendung derart
gestaltet, dass ein Wiederaufsetzen eines definierten Notbetriebes in
der Zero-Risk-Umgebung umgehend möglich ist.
In Summe ergibt eine derartige Einstufung die
Verfügbarkeitsklassen 1 bis 4 und K2 bis K4. Die Zusatzoption „K-Fall
sicher“ in Verbindung mit Betriebsverfügbarkeitskategorie 1 ist nicht
sinnvoll.
