IT Security

Ausgangssituation

Wir leben in einer schönen neuen Welt, jede Person kann zu jeder Zeit von jedem Ort auf die von ihm benötigten Informationen zugreifen. Teams arbeiten firmenübergreifend an gemeinsamen Projekten und sind somit produktiver und sparen Kosten. Die Arbeitszeiten sind flexibel, wir vermischen Berufs- und Privatleben immer mehr. Neben der Arbeit im Projekt wird auch mit den Freunden auf Facebook kommuniziert und es werden sowohl dienstliche, als auch private Endgeräte verwendet.
Das Leben könnte so schön sein, gäbe es nicht den IT-Sicherheitsverantwortlichen im Unternehmen, der schon bei dem Gedanken daran graue Haare bekommt.
Geschäftsführer verbringen mittlerweile schlaflose Nächte, wenn sie dem Risiko ausgesetzt sind, dass kritische Firmendaten unkontrolliert die Firma verlassen und zum Wettbewerber abwandern könnten. Vertrauliche Daten können auf vielen Wegen das Unternehmen verlassen. Da gibt es die klassischen Wege, wie der Versand per E-Mail, ob absichtlich oder unabsichtlich, die Mitnahme von Daten auf einem USB Stick oder einem Smartphone sowie der Verlust oder Diebstahl von Datenträgern. Zusätzlich kommen neue Gefahren hinzu, wie das Einstellen von Informationen auf sozialen Plattformen.

Neben diesen Wegen gibt es aber auch die Problematik, dass kritische Informationen absichtlich das Unternehmen verlassen müssen. Seien es Daten für den Lieferanten von Komponenten oder Vorprodukten, Finanzdaten für die Hausbank oder einen Kapitalgeber oder Informationen für die Produktion im Ausland. Zusätzlich ergeben sich neue Anforderungen, wenn Informationen in die Cloud ausgelagert werden. Da der Speicherort der Daten nicht unbedingt bekannt ist, können sich hieraus auch Verstöße gegen geltende Gesetze, wie dem Bundesdatenschutzgesetz ergeben.

Technische Lösung
Eine Lösung bieten hier Information Rights Management Produkte, da der Schutz dabei nicht über die Kontrolle von Wegen erfolgt, sondern direkt an die Information geknüpft ist. Die Datei wird verschlüsselt und ist unabhängig von ihrem Übertragungsweg oder Speicherort geschützt.
Zusätzlich können Berechtigungen sehr granular vergeben werden. So ist es beispielsweise möglich, einem Benutzer das Recht zum Lesen und Ändern des Dokumentes für die Zusammenarbeit zu geben, ihn aber hinsichtlich des Ausdruckens oder gar Entschlüsselns des Dokumentes zu beschränken. Zusätzlich kann der Schutz auf eine gewisse Zeit vergeben werden, da die Information danach vielleicht nicht mehr gebraucht wird und aufgeräumt werden soll. Dies kann insbesondere bei der Projektarbeit von hohem Nutzen sein.

Wie funktioniert Information Rights Management?
IRM verschlüsselt eine Datei und setzt vom Autor des Dokumentes definierte Rechte durch. Damit ist eine Kontrolle über Dokumente sowohl innerhalb, wie auch außerhalb des Unternehmens möglich. Beim Öffnen des Dokumentes wird eine Anfrage an den zentralen IRM Server gestellt, der dann, abhängig von der Gruppe, in der der Benutzer angelegt ist, Berechtigungen erteilt.

Abbildung 1: IRM Schutz von Dokumenten

Ein Dokument, das auf dem Fileserver abgelegt wird, ist per IRM geschützt. Ein berechtigter Benutzer kann es öffnen und bearbeiten. Da sein Kollege die Informationen ebenfalls benötigt, ist die heutige Praxis oft der Weg über die E-Mail. Anstatt Berechtigungen über die Administration zu klären, werden Informationen "freihändig" weitergegeben, was zu einem Kontrollverlust über dieses Dokument führt.
Im Falle von IRM kann der Kollege das Dokument aber nicht öffnen, da er dazu keine Berechtigung hat. Das Dokument bleibt also geschützt. Damit ist auch die Schwachstelle, dass kritische Daten unabsichtlich per Mail nach extern verschickt oder auf einem USB Stick mitgenommen werden, eliminiert.

 

Abbildung 2: Vergabe von IRM Berechtigungen

Für den Schutz eines Dokuments vergibt üblicherweise der Autor die benötigten Rechte. Dafür werden von der IT Templates vorbereitet, die eine Berechtigungsvergabe äußerst einfach machen. Beispielsweise könnte ein Template "Intern", das allen Benutzern, die auf dieses Template berechtigt sind, die Möglichkeit bieten, das Dokument zu lesen, zu drucken und zu ändern. Versucht ein interner Benutzer das Dokument zu öffnen, so wird für den Benutzer völlig unsichtbar eine Anfrage an den Schlüsselserver (IRM Server) gestellt, der eine Berechtigung an ihn ausstellt. Die meisten Mitarbeiter merken daher überhaupt nichts von der Verschlüsselung, solange sie das Dokument nur wie vorgesehen verwenden. Auch externe Benutzer werden in den am Markt befindlichen Lösungen z.B. durch Proxy-Gateways und PKI-Integration unterstützt. Um dabei nicht jeden externen Benutzer am eigenen IRM Server anlegen zu müssen, kann auch eine Vertrauensstellung gegenüber dem Directory Service eines Partners aufgebaut werden (SAML Federation). Damit liegt die Pflege der Benutzer beim Partner, die Kontrolle über die Dateien verbleibt aber im eigenen Unternehmen.
Bleibt die Frage, was passiert mit kritischen Informationen, die in zentralen Anwendungen und Datenbanken abgelegt sind. Solange Daten beispielsweise in einem ERP System abgelegt sind, unterliegen sie dem Schutz des Berechtigungskonzeptes und vielleicht einer Datenverschlüsselung in der Datenbank. Werden jedoch Teile dieser Daten exportiert, weil sie für einen Geschäftspartner in einer Präsentation benötigt werden, so verlieren sie dabei ihren Schutz und sind bei Verlust für jeden einsehbar. Auch hier kann IRM helfen, indem die Daten beim Export transparent verschlüsselt und mit bestimmten Rechten versehen werden. Einfach zu integrierende Schnittstellen (APIs) helfen den Herstellern von Datenbankanwendungen die Verschlüsselung mit wenigen Zeilen Code zu integrieren. Viele Dokumentenmanagementsysteme (z.B. Sharepoint, Oracle DMS, Dokumentum) bieten daher bereits eine Schnittstelle an. Andere Anwendungen können auch über Automatisierung auf Verzeichnisebene Daten mit Verschlüsselung versehen.
Auf diese Weise lassen sich auch komplexe Geschäftsprozesse, wie sie bestehen, abbilden, ohne dass zu einem Zeitpunkt die Kontrolle über die Daten und deren Schutz verloren geht.

Rechtliche Aspekte
Aus rechtlicher Sicht sind vor Nutzung eines IRM sehr unterschiedliche Aspekte zu beachten, von denen einige hier kurz angedeutet werden:
IRM bietet grundsätzlich Möglichkeiten das Verhalten der Arbeitnehmer bis hin zum "profiling" zu überwachen. Damit steht gem. § 87 Nr. 6 Betriebsverfassungsgesetz (BetrVG) ein Mitbestimmungsrecht des Betriebsrates ebenso im Raum wie die Verpflichtung, die Persönlichkeitsrechte der Arbeitnehmer zu schützen (§ 75 Abs. 2 BetrVG). Es ist daher zu raten, den Betriebsrat vor Einführung eines IRM frühzeitig einzubinden.
Wie beschrieben ist bei Einsatz eines IRM die Rechtevergabe nicht mehr nur an Systeme, Speicherorte und Übertragungswege gebunden, sondern wird mit der Information selbst verknüpft. Durch den Einsatz von IRM werden Rechte nicht mehr durch den Administrator allein, sondern durch jeden Mitarbeiter vergeben. Der Arbeitgeber ist zur Erfüllung seiner Organisationspflichten gehalten, auch unter geänderten Rahmenbedingungen klare und verbindliche Vorgaben dazu zu machen, wer für die Vergabe von Rechten verantwortlich ist.
Bei Einsatz von IRM im B2B-Umfeld sollten die Rahmenbedingungen mit den Geschäftspartnern vertraglich vereinbart werden. Dies betrifft z. B. Einsatzbereiche, Verantwortlichkeiten und rechtliche Verbindlichkeit. Insbesondere sollte sichergestellt werden, dass alle Informationen, welche die Grundlage für Geschäfte bilden, dauerhaft zur Verfügung stehen, um sowohl die Verpflichtungen gegenüber Finanzverwaltung, Aufsichtsinstanzen, Wirtschaftsprüfern, etc. zu erfüllen als auch in möglichen Streitfällen über eine gesicherte Beweislage zu verfügen.
Bei internationalem Einsatz des IRM ist zu berücksichtigen, dass Import/Export bzw. Nutzung von Kryptographie Software in einigen Nationen, wie beispielsweise der Volksrepublik China, stark reglementiert ist. Vor Einführung sollte daher geprüft und festgelegt werden, in welchen Ländern das System zum Einsatz kommen soll und darf.
Soweit digitalisierte Dokumente steuerrechtlich relevanten Daten enthalten, sind die "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) zu beachten. Danach müssen die Daten an die Finanzverwaltung unverschlüsselt übergeben werden, nicht ausreichend ist es, die verschlüsselten Daten zusammen mit der Entschlüsselungssoftware zur Verfügung zu stellen. Hier sind im Vorfeld Strategien zu entwickeln, wie die gesetzlichen Anforderungen bei Nutzung von IRM uneingeschränkt erfüllt werden können.

Fazit
IRM Lösungen helfen dabei kritische Daten über Unternehmensgrenzen hinweg zu schützen. Die Lösungen sind ausgereift und unterstützen die meisten Anwendungsszenarien benutzbarer und sicherer als alle bisherigen Verschlüsselungsverfahren (PGP, S/MIME) zu machen.
Damit ist ein anwenderfreundlicher Schutz der kritischen Daten über Unternehmensgrenzen hinweg möglich. Kritische Daten können damit sowohl in der Cloud, als auch auf privaten Endgeräten sicher abgelegt werden.

Udo Adlmanninger ist verantwortlich für den Bereich Vertrieb bei der Secaron AG. Er verfügt über umfangreiche Projekterfahrungen in der Informationssicherheit, speziell in den Bereichen Sicherheitsmanagement, Risikomanagement, Business Continuity Management und Netzwerksicherheit. Er ist unter anderem zertifizierter ISO 27001 Auditor, Business Continuity Management System BS 25999 Auditor, ITIL Foundation Berater, CISA, CISM und CISSP.

TeleTrusT-Regionalstelle München

In enger Zusammenarbeit mit der Hauptgeschäftsstelle des TeleTrusT-Verbandes in Berlin hat die Secaron AG München/Hallbergmoos die Regionalstelle München als Repräsentanz vor Ort übernommen.

Eine politische und fachliche Diskussion zu aktuellen Fragen der Sicherheit und Vertrauenswürdigkeit von IT-Systemen wird  nicht nur auf Bundesebene geführt. Ebenso findet ein Austausch zu diesen Themen auch in den Wirtschaftsregionen und auf verschiedenen politischen Ebenen statt.

Über die Etablierung von Regionalstellen kann TeleTrusT diesen Austausch vor Ort zwischen lokalen Vertretern der Wirtschaft, öffentlichen Einrichtungen und der Politik fördern und mitgestalten. Als Ansprechpartner und Initiator für die Kooperation mit bestehenden regionalen Netzwerken repräsentieren die Regionalstellen den Themenkreis "IT-Sicherheit" bzw. "Sichere und vertrauenswürdige elektronische Geschäftsprozesse". Insbesondere der Mittelstand kann auf diesem Weg gut erreicht werden.


Kontakt:
TeleTrusT Regionalstelle München
c/o Secaron AG
Dr. Thomas Störtkuhl
Ludwigstraße 45
85399 Hallbergmoos
Telefon: +49 811 9594

Weitere Informationen:
Secaron AG Sabine Ziegler Ludwigstr. 45 85399 Hallbergmoos
Telefon 0811-9594 144 Telefax 0811-9594 33144 www.secaron.de



Als Unternehmensberatung in allen Fragen der Informationssicherheit setzt die Secaron AG die höchste Priorität darauf, mit ihren Kunden ein adäquates, wirtschaftlich sinnvolles Sicherheits-Niveau festzulegen. Das Unternehmen hilft sowohl bei der Umsetzung organisatorischer, als auch technischer Maßnahmen, um die Geschäftsprozesse der Kunden.

Dr. Thomas Störtkuhl, Secaron AG


Einleitung

Institutionen und Unternehmen benötigen heute mehr denn je IT-Sicherheit, also den Schutz ihrer IT und Informationen vor Missbrauch, unberechtigtem Zugriff und Angriffen. Dies belegen Berichte und Studien der verschiedensten Institutionen (siehe z.B. entsprechende Statistiken und Warnungen des BKA¹, BSI²  und des Verfassungsschutzes). Den Verantwortlichen in den Institutionen und Unternehmen ist natürlich längst klar, dass sie dringendst Lösungen für die Probleme der Informationssicherheit benötigen.

Dabei ist ein Best Practise Vorgehen, das Information Security Management System (ISMS) gemäß ISO2700x  bereits bekannt und erprobt. Jedoch haben nach unserer Erfahrung mit unseren Kunden aus den Branchen wie Automotive, Telekommunikation, Chemie, Banken und Versicherungen nur die Unternehmen eine Chance im Kampf gegen die Hacker gleichzuziehen, die eine effektive und effiziente Steuerung für Informationssicherheit, orientiert an den wirtschaftlichen Interessen des eigenen Unternehmens aufbauen.

Elemente eines ISMS

Ein ISMS muss folgende wesentliche Elemente aufweisen:

• Management Commitment
• Organisationsstruktur mit definierten Rollen und Verantwortlichkeiten
• kontinuierlicher Verbesserungsprozess
• Risikomanagement
• Umsetzung der vom Standard geforderten Controls (wird als Teil des Projektmanagements hier nicht weiter behandelt)

Diese Elemente und alle wesentlichen Aktivitäten sind zu dokumentieren, um das Funktionieren des Managementsystems belegen zu können. Zudem muss das ISMS risikoorientiert aufgebaut werden.

Management Commitment

Für den Aufbau und Betrieb eines ISMS ist die Unterstützung des Top Management unabdingbar. Häufig jedoch fehlt ein explizites Management Commitment, wenn durch Verantwortliche die Informationssicherheit strategisch und geplant angegangen wird. Daraus erwächst dann sofort das Problem, dass Mitarbeiter z.B. Aufgaben bzgl. Informationssicherheit zu niedrig priorisieren und nicht erledigen können. Daher wird empfohlen, durch ein Management Commitment zum Beispiel in einer Security Policy die Informationssicherheit als ein sehr wichtiges Unternehmensziel an die Mitarbeiter zu kommunizieren.

Organisation

In einer Security Policy werden auch die Grundzüge des ISMS mit Organisation, Prozessen und zugehörigen Verantwortlichkeiten definiert.  Meist werden gerade zu Beginn des Aufbaus der Informationssicherheit die Verantwortlichkeiten nicht klar definiert, sie "wachsen" historisch. Dies führt dann vielfach zu Reibungsverlusten, Aufgaben werden nicht korrekt koordiniert, so dass Redundanzen oder Lücken im ISMS entstehen. Daher ist es besonders wichtig, alle Verantwortlichen von Anfang in den Prozess für den Aufbau des ISMS mit einzubeziehen und ihre Rollen klar zu definieren.

Dokumentation

Ein ISMS wird erst dann wirklich effektiv und effizient, wenn die wesentlichen Elemente und Aktivitäten dokumentiert werden. Unsere Erfahrung zeigt aber, dass gerade die Dokumentation sehr oft stark vernachlässigt wird. Ziel muss es sein,  eine Dokumentation in Umfang und Detailtiefe so zu erstellen, dass sowohl Management als IT-Betrieb damit arbeiten können. Lösung ist hier eine Dokumentenhierarchie mit Security Policy, Sicherheitsrichtlinien und -Konzepten (siehe Abbildung 1), die durchgängig die Sicherheitsanforderungen in der Hierarchie ableitbar macht. Die Sicherheitsrichtlinien definieren dabei die grundlegenden Sicherheitsanforderungen des Unternehmens, die dann in den Sicherheitskonzepten konkretisiert werden (sowohl technisch als auch organisatorisch).

Abbildung 1 - Dokumentenhierarchie eines ISMS

Kontinuierlicher Verbesserungsprozess

Nach dem Aufbau eines ISMS kann Nachhaltigkeit nur durch einen kontinuierlichen Verbesserungsprozess erreicht werden, der in Unternehmen nach unserer Erfahrung häufig nicht wirklich umgesetzt wird. Die Hauptgründe hierfür sind: Ressourcen werden nicht oder nur unzureichend zur Verfügung gestellt; es ist nicht klar, wie denn der Reifegrad des ISMS gemessen werden soll; das Know-How für die kontinuierliche Verbesserung fehlt. Folgende Lösungen sind hier zu empfehlen:
Der ISO27001 Standard sieht für die Realisierung des kontinuierlichen Verbesserungsprozesses interne Audits und sogenannte Management Reviews vor. Diese Audits und Reviews sind in Inhalt und Organisation zu planen (sieh hierzu den ISO19011 Standard). Weiter sind Kennzahlen zu definieren, die eine Steuerung und Kontrolle des ISMS ermöglichen. Zum Beispiel kann ein Kennzahlensystem auf der Basis des Control-Katalogs des ISO27001 verwendet werden (siehe Abbildung 2). Hier ermittelt man regelmäßig inwieweit die Controls des ISO27001 erfüllt werden.

Abbildung 2: mögliches Kennzahlensystem zur Steuerung und Controlling des ISMS

Risikomanagement

Ein Risikomanagement der Informationssicherheit beinhaltet ein definiertes Vorgehen, um operative Risiken der IT effektiv und effizient identifizieren, bewerten, behandeln und kontrollieren zu können. Vielen Unternehmen fehlt hierzu nach unseren Erfahrungen das notwendige Know-How. Ein mögliches Vorgehen: Definition und Abstimmung einer Methodik für Risikoanalyse und -management mit den zugehörigen wesentlichen Hilfsmitteln wie Bedrohungskatalog, Klassen von Schäden und Eintrittswahrscheinlichkeiten gemäß den Geschäftszielen; Durchführung einer ersten Risikoanalyse für einen kritischen Geschäftsprozess oder eine kritische Anwendung; Verbesserung der Methodik auf der Basis der Erfahrungen der ersten Analyse; Durchführung weiterer Risikoanalysen kritischer Komponenten; Erstellung eines ersten Risikoberichtes, der die Schnittstelle zum Risikomanagement des Unternehmens bedient und als Input für ein Management Review dienen kann.
Eine Herausforderung stellt für viele Unternehmen die Beschreibung und Dokumentation kritischer Komponenten dar. Zum Beispiel ist nicht klar, welche Detailtiefe für die Beschreibung eines Geschäftsprozesses gewählt werden soll und welche Attribute eine kritische Komponente ausreichend beschreiben. Hier gilt die Regel, dass man zunächst mit einer Grobbeschreibung beginnen sollte, die dann sukzessive verfeinert werden kann. Zu beachten ist zudem, dass durch den Einsatz eines Tools, Risikoanalysen standardisiert, rationalisiert und nachverfolgt werden können und so die Effizienz gesteigert werden kann.

Fazit

Der vorgestellte Best Practise Ansatz für das Management für Informationssicherheit gemäß ISO 27001 kann effektiv und effizient gestaltet werden, wenn folgende Grundregeln eingehalten werden:
Risikomanagement, Anlehnung an die Methodik des Balanced Scorecard und Aufbau des Kennzahlensystems gemäß der Methodik von COBIT folgende Vorteile:

1. Das Management erklärt die Informationssicherheit zu einem wichtigen Unternehmensziel.
2. Einbeziehung aller verantwortlichen Mitarbeiter von Anfang an und klare Zuweisung von Rollen und Verantwortlichkeiten in Bezug auf die Informationssicherheit.
3. Verbesserung und Steuerung des ISMS mit Hilfe von messbaren Kennzahlen und durch einen definierten kontinuierlichen Verbesserungsprozess.
4. Die Angemessenheit des Sicherheitsniveaus wird durch die Orientierung an operativen Risiken und Geschäftszielen gewährleistet (Business Alignment).
5. Die Umsetzung von Sicherheitsmaßnahmen erfolgt durch interne, professionell gesteuerte Projekte.

Der Autor ist Mitglied der Geschäftsleitung der Secaron AG. Als Unternehmensberatung in allen Fragen der Informationssicherheit setzt die Secaron AG die höchste Priorität darauf, mit ihren Kunden ein adäquates, wirtschaftlich sinnvolles Sicherheits-Niveau festzulegen. Das Unternehmen hilft sowohl bei der Umsetzung organisatorischer, als auch technischer Maßnahmen, um die Geschäftsprozesse der Kunden sicher ablaufen zu lassen. www.secaron.de

 

1) Bundeskriminalamt, http://www.bka.de/pks/pks2009/startseite.html
2) Bundesamt für Sicherheit in der Informationstechnik, https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

Am 29./30. November findet vom Softwareforum Leipzig der Workshop "Sicherheit und Datenschutz in der Entwicklung von Geschäftsanwendungen" statt. Markus Wutzke, Security Consultant bei der Secaron AG, wird dort den Vortrag: "Software unsicher entwickeln in sieben Schritten" - Grundlegende Konzepte zur Gewährleistung sicherer Software - halten.

Über 70 Prozent aller Sicherheitsprobleme sind softwarebezogen und stellen eine unmittelbare Bedrohung für Benutzer und Organisationen dar. Nur zu oft wird Sicherheit erst als Reaktion auf eine Bedrohung oder nach einem Angriff als wichtiges Qualitätsmerkmal einer Software erkannt. Sicherheit ist aber kein Add-On Feature, sondern erfordert eine kontinuierliche Berücksichtigung im Entwicklungsprozess. Im Vortrag wird der Referent provokativ darstellen, mit welchen Fehlentscheidungen auf Management-Ebene man Software in sieben Schritten unsicher entwickeln kann.
Inhalte des Vortrags
Die sieben Schritte zur unsicheren Software umfassen:
• Planen Sie kein Budget für Sicherheit ein.
• Verankern Sie keine Sicherheitsaktivitäten in Ihrem Entwicklungsprozess.
• Ermitteln Sie nur funktionale Anforderungen und keine Sicherheitsanforderungen.
• Schulen Sie ihre Entwickler nicht in Sicherheitsthemen.
• Erfinden Sie stets das Rad neu.
• Vermeiden Sie Security-Tests.