Ausgehend von der IT-Sicherheitsleitlinie der Landeshauptstadt München (LHM) und dem dort beschriebenen Kräftedreieck ist es das Hauptziel dieser Präsentation, ein strategisches IT-Sicherheitsmanagement grob zu skizzieren.
Ein weiteres Ziel ist es, einen Überblick über die Kerninhalte der IT-Sicherheitsleitline der LHM darzustellen.
2. Kurzfassung
Ausgehend von der IT-Sicherheitsleitlinie der LHM
und dem dort beschriebenen Kräftedreieck ist es das
Hauptziel dieser Präsentation, ein strategisches
IT-Sicherheitsmanagement grob zu skizzieren.
Ein weiteres Ziel ist es, einen Überblick über die
Kerninhalte der IT-Sicherheitsleitline der LHM
darzustellen.
3. IT-Sicherheitsleitlinie der LHM besteht aus Eckpunkten „Rechtliche
Rahmenbedingungen“, „Flexibilität der Arbeitsumgebung“ und „Schutzbedarf der
Daten“.
„Rechtliche Rahmenbedingungen“ betreffen die Maßnahmen zum Schutz von
sensiblen Informationen, Daten, IT-Systemen und IT-Ressourcen entsprechen den
jeweils gültigen gesetzlichen Auflagen und Verordnungen. Es gibt eine Vielzahl an
internationalem Völkerrecht, EU-weiten Verordnungen/Richtlinien/Kodizes und
nationalen Gesetzesgrundlagen, die bei der Umsetzung und Implementierung von
IT-Governance oder-Compliance-Maßnahmen beachtet werden müssen.
„Flexibilität der Arbeitsumgebung“ bedeutet eine zunehmende Auflösung
bestehender Strukturen und eine Mobilisierung auch innerhalb von
Büroumgebungen.
„Schutzbedarf der Daten“ kann nach dem Ansatz der Grundschutzkataloge des
Bundesamtes für Sicherheit in der Informationstechnik (BSI) durch die Annahme
eines Schutzbedarfes und der Umsetzung vorgeschlagener Standardmaßnahmen, in
Zusammenhang mit einem vertiefenden Risk-Assessment, formuliert werden.
Überblick über die Kerninhalte der IT-Sicherheitsleitlinie
6. IT-Sicherheitsmanagement
IT-Sicherheitsmanagement wird sich auf im Kern zyklische Prozesse abstützen
(Deming-Zyklus für Qualitätsmanagement und Produktlebenszyklen), um
effektiv zu sein.
IT-Sicherheitsmanagement wird nach der IT-Grundschutz (BSI-Standard 100-1)
mit konkreten technischen Maßnahmen und einem alternativen Ansatz zur
Risikoanalyse umgesetzt.
Für die Messung der Qualität von IT-Sicherheitsprozessen wird das Fähigkeit-
Reifegrad-Modell (Capability Maturity Model - CMM) verwendet werden.
7. IT-Sicherheitsmanagement (fort.)
Um die Aufrechterhaltung des Schutzniveaus im Zeitablauf zu gewährleisten, ist das
IT-Sicherheitsmanagement als Prozess mit den sich wiederholenden Teilschritten
• Informationswertanalyse (Aufstellung der schützenswerten Informationen und
Systeme)
• Schwachstellenanalyse
• Bedrohungsanalyse
• Risikoanalyse
• Planung der Abwehrmaßnahmen
sowie
• Umsetzungskontrolle
im Zeitablauf zu installieren.
Neben der rein sachlichen Beschäftigung mit Bedrohungen und Schutzmaßnahmen
umfasst das IT-Sicherheitsmanagement auch eine organisatorische Komponente. Im
Rahmen des IT-Sicherheitsmanagements gilt es, eine Infrastruktur in Form einer
Aufbauorganisation, Zuordnung von Verantwortlichkeiten, Personal- und
Mittelbereitstellung zu schaffen, die die Durchführung der zuvor benannten
Teilschritte ermöglicht. Häufigste Organisationsform ist die Zuordnung als
Stabsstelle zur IT-Abteilung.
8. Wirtschaftliche Gründe
Der gezielte und effiziente Einsatz von einem
strategischen IT-Sicherheitsmanagement bei der
LHM hat zur Folge, dass geplante
unternehmerische Ziele wie z.B. Kostensenkung
und Gewinnsteigerung erreicht werden können.
Voraussetzung dafür ist, dass dies verlässlich
arbeitet und permanent zur Verfügung steht. In
diesem Fall hat die LHM die Chance, durch
optimierte Bedingungen die geplanten
wirtschaftlichen Ziele zu erreichen oder gar zu
übertreffen.
9. Strategisches IT-Sicherheitsmanagement
für die Landeshauptstadt München
Das Hauptziel eines effektiven IT-Sicherheitsmanagements für die
Landeshauptstadt München ist es, die Geschäftsprozesse und die darin
verarbeiteten Informationen hinsichtlich Vertraulichkeit, Integrität und
erfügbarkeit zu schützen.
In einem Initial-Audit wird der Status quo des IT-Sicherheitsmanagements im
Unternehmen auditiert. Dabei sollte der individuelle Bedarf an
IT-Sicherheitsmaßnahmen immer mit Augenmaß und in Abhängigkeit der zu
schützenden Geschäftsprozesse definiert werden. Auf Basis dieser Ergebnisse wird
die IT-Sicherheitsstrategie definiert.
Des Weiteren werden die aus den Handlungsempfehlungen des Audits
resultierenden technischen und organisatorischen Maßnahmen geplant und
umgesetzt. Die Umsetzung wird kontrolliert, regelmäßig hinsichtlich Effektivität
und Effizienz (re-) auditiert und durch bedarfsabhängige IT-Sicherheitsberatung
ergänzt. Eingebettet in eine funktionierende IT-Sicherheits-Organisation
und –Kultur wird durch professionelles Projektmanagement sichergestellt, dass die
Ziele unter Berücksichtigung von Zeit, Kosten und Qualität erreicht werden
können.
10. Phase 1: Ist-Analyse
Effektives IT-Sicherheitsmanagement gewährleistet
Vertraulichkeit, Integrität und Verfügbarkeit der
Geschäftsprozesse der LHM und die in ihnen verarbeiteten
Informationen. Wie gut die bestehenden Maßnahmen diese
Aufgabe erfüllen, wird im Rahmen eines Initial-Audits
analysiert und bewertet.
Auf Basis dieser Erkenntnisse können im Anschluss der
weitere Projektverlauf systematisch geplant und die
einzurichtenden technischen und organisatorischen
Maßnahmen ausgewählt werden. Folgende Schritte werden
beim Initialaudit durchgeführt:
11. Phase 1: Ist-Analyse (fort.)
IT-Risikoanalyse
Die Risikoanalyse gibt im Ergebnis
Aufschluss über die IT-Infrastruktur, die
die technische Grundlage für effektive
und effiziente Geschäftsprozesse ist.
Für alle relevanten Geschäftsprozesse
wird gemeinsam mit den
Prozessverantwortlichen eine
Einschätzung der Kritikalität hinsichtlich
Vertraulichkeit, Verfügbarkeit und
Integrität vorgenommen. Anschließend
werden die für die Ausführung der
Geschäftsprozesse notwendigen
Applikationen, IT-Systeme, Räume und
Gebäude aus den Ergebnissen der
Strukturanalyse ausgewählt. Die
Kritikalität des betrachteten
Geschäftsprozesses „vererbt“ sich auf die
darunterliegende IT-Infrastruktur.
12. Phase 1: Ist-Analyse (fort.)
Vor-Ort-Interviews
Zur Einschätzung des IT-Sicherheitsniveaus wird der Ist-
Zustand der Sicherheitsmaßnahmen für definierte Elemente
mit Soll-Vorgaben verglichen. Hierzu wird ein eigens
entwickelter Auditkatalog genutzt, der unter
Berücksichtigung der Vorgaben der wichtigsten Standards für
IT-Sicherheit erstellt wurde. Dieser Katalog wird auf die
Rahmenbedingungen des jeweiligen Unternehmens
individuell angepasst. Angaben des Unternehmens werden
durch Stichprobenuntersuchungen vor Ort verifiziert. Die
Ergebnisse der Untersuchung und konkrete
Handlungsempfehlungen werden anschließend im
Auditbericht zusammengefasst.
13. Phase 2: Strategie definieren und Maßnahmen planen
Die Ergebnisse des Audits werden der LHM im Rahmen einer
Ergebnispräsentation vorgestellt und erläutert.
Basierend auf diesen Ergebnissen wird gemeinsam mit den Verantwortlichen eine
IT-Sicherheitsstrategie entwickelt und geeignete technische und organisatorische
Maßnahmen zur Umsetzung abgeleitet.
Neben technischen Maßnahmen aus dem Bereich IT- und Informationssicherheit
werden auch organisatorische Maßnahmen wie die Etablierung einer
IT-Sicherheitsorganisation, Festlegung der Verantwortlichkeit für IT-Sicherheit
im Unternehmen, Schulungs- und Sensibilisierungsmaßnahmen für die Mitarbeiter
oder die Erstellung und Veröffentlichung des IT-Sicherheitshandbuchs
berücksichtigt.
Alle diese Maßnahmen werden in dieser Phase geplant. Abschließend wird nach
einer Priorisierung der Maßnahmen ein Zeitplan erarbeitet und die Frequenz für
zukünftige Audit-Zyklen festgelegt.
14. Phase 3: Strategien und Maßnahmen implementieren
Die geplanten technischen und organisatorischen Maßnahmen werden gemäß
der festgelegten Priorisierung von der LHM umgesetzt.
Phase 4: Re-Audit/Wartung und Übung
Als wichtiger Bestandteil des IT-Sicherheitsmanagements wird der
Implementierungsgrad der Maßnahmen in Folgeaudits zyklisch kontrolliert
und ausgewertet. Dazu wird ein Reifegradmodell verwendet, welches
einerseits eine Übersicht über den aktuellen Status der IT-Sicherheit im
Unternehmen zulässt und zum anderen einen direkten Vergleich mit früheren
Auditergebnissen ermöglicht. Regelmäßiges Reporting an die
Verantwortlichen in der LHM gehört ebenso zur Umsetzungskontrolle wie
die professionelle Dokumentation von Status und Fortschritt des
Informationssicherheits-Managementsystems.
Begleitende Aktivität: Etablierung einer IT-Sicherheitsorganisation und -Kultur
Das größte Sicherheitsrisiko im Unternehmen ist der Mensch, was zeigt sehr
deutlich, dass ohne eine ausreichende Sensibilisierung (z.B. durch gezielte
Schulungen) aller Mitarbeiter im Unternehmen, kein den Anforderungen
entsprechendes Maß an IT-Sicherheit erreicht werden kann.
17. Kontrollsystem
Zur Qualitätssicherung im Sicherheitsprozess, für den Nachweis
der Angemessenheit der veranlassten Maßnahmen und zur
Sicherstellung ihrer Wirksamkeit sind regelmäßig Kontrollen
vorzunehmen. Sicherheitsrelevante Vorfälle werden durch den
Beauftragten für IT-Sicherheit unverzüglich untersucht werden,
damit deren Ursachen und Auswirkungen eingeschätzt und
beseitigt werden.
Die Gewährleistung von IT-Sicherheit ist eine kontinuierliche
Aufgabe, die in alle Arbeitsabläufe integriert ist. Das dafür
nötige ganzheitliche Vorgehen wird durch das enge
Zusammenwirken von IT-Sicherheitsmanagement,
IT-Servicebereich, betrieblicher Datenschutzbeauftragter und
Konzern-Revision unterstützt.
19. Fazit
Für ein erfolgreiches IT-Sicherheitsmanagement bei der Landeshauptstadt
München ist die Erkennung und Bewertung bestehender Sicherheitsrisiken
Voraussetzung.
Die umfassende Nutzung von Netzwerkinfrastrukturen und der zunehmende
Einsatz von mobilen, medienkonvergenten Endgeräten erhöhen dabei
zwangsläufig das Sicherheitsbedürfnis der Unternehmen, denn mit der
Komplexität und Anzahl der genutzten IT-Systeme wachsen auch Anzahl und
Schweregrad möglicher Angriffe.
Um diesen Risiken im Bereich der IT-Sicherheit wirksam begegnen zu können,
benötigt die Landeshauptstadt München ein geplantes, strukturiertes und
methodisches IT-Risikomanagement sowie die notwendige Sensibilität für
Warnsignale und potentielle Sicherheitslücken.
Der Schlüssel zum Erfolg der Umsetzung der einzelnen Bausteine des
IT-Sicherheitsmanagements der Landeshauptstadt München ist also ein
individuelles Vorgehensmodell.