Kein modernes Unternehmen, das wettbewerbsfähig bleiben will, kann sich heutzutage Sicherheit als „Nebenbeschäftigung“ leisten. Im Gegenteil: IT-Sicherheit ist eine wichtige Säule des Geschäftsalltags. Im Zeitalter des Internets sind die Risiken sehr vielfältig, da alle Daten elektronisch gespeichert und sämtliche Geschäftsprozesse in Software-Applikationen abgebildet sind. Der Schaden durch Datenverlust oder -diebstahl kann in die Millionen gehen. Der Imageschaden, der das betroffene Unternehmen bei Kunden, Lieferanten und in der Öffentlichkeit hat, ist dabei meist noch nicht einmal beachtet.
Viele Fragen stellen sich: Wie erreicht man, dass Unternehmensinformationen abgesichert werden? Wer darf wann, von wo auf welche Daten zugreifen? Wozu darf der entsprechende Mitarbeiter diese Informationen nutzen? Neben diesen unternehmensinternen Überlegungen gibt es eine Reihe von gesetzlichen Bestimmungen (beispielsweise BGB, HGB, Sarbanes-Oxley Act etc.), die Firmen und Organisationen in die Pflicht nehmen, etwa persönliche Mitarbeiterdaten vor Missbrauch zu schützen oder Informationen transparent und sicher aufzubewahren.
Daher sind die IT-Verantwortlichen gefordert, ein umfassendes Security-Management in Unternehmen zu implementieren. Ziel ist es, Schwachstellen bereits im Vorfeld zu erkennen und nicht erst, wenn der Schaden bereits aufgetreten ist. Gefragt ist eine durchdachte Sicherheitsstrategie, die genau festlegt, was wann in welcher Situation zu tun ist. Sicherheitsziele sind eindeutig zu definieren, ebenso Richtlinien, Maßnahmen, Prozesse sowie deren Umsetzung. Sehr effizient ist dieses IT-Security-Management-System (ISMS), wenn es auf ITIL (IT Infrastructure Library) V3 beruht und Normen wie ISO 20000 und 27001 erfüllt.
IT Security Management nach ITIL
ITIL ist kein Standard im eigentlichen Sinne, sondern eine international etablierte Verfahrensbibliothek, die für die Praxis Beispiele (Best Practices) zur Prozessoptimierung in Unternehmen bereitstellt. Ziel von ITIL ist die Konzentration des IT-Service auf die bestmögliche Unterstützung der Geschäftsprozesse. ITIL schafft die Basis für sichere, verfügbare und integre IT-Dienstleistungen, die in Service Level Agreements (SLA) optimal und punktgenau verhandelt werden können. Daher sind ITIL und IT-Security untrennbar miteinander verbunden.
ITIL baut IT-Sicherheit wesentlich stärker in Prozessabläufe ein als andere Modelle und zeigt damit auf, wie sich Security Management in ein professionelles IT Service Management integrieren lässt. Mithilfe von ITIL werden alle Informationen der Organisation bewertet, Risiken eingeschätzt, geeignete Sicherheitsrichtlinien und -maßnahmen festgelegt sowie der gesamte Sicherheitsprozess gesteuert. Dieser ist bestimmt durch permanente Kontrolle und Verbesserung.
Foto: Beck
Der ITIL-Security-Management-Prozess beschreibt die strukturierte Einführung von Sicherheit in allen Bereichen einer Organisation. Er basiert auf den Standards ISO/IEC 17799, ISO 27001 sowie ISO 20000 und orientiert sich an den Unternehmenszielen, den vorhandenen Strukturen eines Unternehmens sowie der bestehenden IT-Infrastruktur. IT-Sicherheit wird dabei definiert als die Implementierung von Schutzmaßnahmen zur Sicherstellung fortgesetzter IT-Services innerhalb sicherer Parameter.
Informationssicherheit
Ein grundlegender Aspekt von IT-Sicherheit ist die Informationssicherheit. Sie setzt sich aus Vertraulichkeit, Integrität und Verfügbarkeit zusammen:
Vertraulichkeit (confidentiality): Schutz sensibler Informationen (Daten) vor nicht autorisiertem Zugriff, das heißt, Daten dürfen lediglich von autorisierten Benutzern gelesen beziehungsweise modifiziert werden; dies gilt sowohl beim Zugriff auf gespeicherte Daten als auch während der Datenübertragung.
Integrität (integrity): Schutz sensibler Informationen (Daten) vor ungewollter Veränderung, das heißt, Daten dürfen nicht unbemerkt verändert werden beziehungsweise alle Änderungen müssen nachvollziehbar sein.
Verfügbarkeit (availability): Verhindern von Systemausfällen. Zugriff auf Daten und unerlässliche IT-Services muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein, das heißt, Daten und Services sind verfügbar, wenn sie angefordert werden.
Weitere Aspekte von Informationssicherheit sind Privatsphäre beziehungsweise Anonymität (Schutz personenbezogener Daten), Authentizität (Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein) sowie Verbindlichkeit/Nachvollziehbarkeit (Urheber von Veränderungen müssen erkennbar sein und dürfen Veränderung nicht abstreiten können).
Mehr als Basissicherheit
Security-Management nach ITIL verfolgt grundsätzlich zwei Ziele:
1. Die Realisierung der im Service Level Agreement definierten Sicherheitsanforderungen oder externer Erfordernisse, die in unterstützenden Verträgen, Gesetzen und möglichen internen oder externen Richtlinien spezifiziert wurden.
2. Die Realisierung einer Basisstufe von Sicherheit, die für das Fortbestehen der Organisation notwendig ist. Dazu gehören geeignete Sicherheitstechniken (beispielsweise Firewall, Zugriffschutz, Intrusion Detection) und Vorsorgemaßnahmen zur möglichst reibungslosen Wiederaufnahme des Geschäftsbetriebs nach Störungen.
Der Security-Management-Prozess basiert auf den in den SLAs beschriebenen Anforderungen. Diese können als Key-Performance-Indikatoren (KPI) beziehungsweise Schlüsselkennzahlen für das Prozessmanagement und die Rechtfertigung der Ergebnisse des Security-Management-Prozesses dienen. Sie geben dadurch Aufschluss über die Erfüllung und Realisierung der SLAs sowie Abweichungen von den Anforderungen.
Beispiele für KPIs, die gemessen werden können, sind die (gesunkene) Zahl von sicherheitsbezogenen Serviceanfragen oder Fixes, die (kürzere) Zeitspanne zwischen der Entdeckung des Sicherheitsvorfalls, dem Bericht und der Fehlerbehebung oder eine (geringere) Anzahl von Systemausfällen als Folge von Sicherheitsvorfällen.
Basis: ISO-Standards 20000, 27001 und 17799
Der ITIL-Security-Management-Prozess beruht auf den drei ISO-Standards 20000, 27001 und 17799:
Die ISO 20000 ist ein international anerkannter Standard für das IT Service Management. Sie spezifiziert die notwendigen Mindestanforderungen an Prozesse, die eine Organisation etablieren muss, um IT-Services in definierter Qualität für interne und externe Kunden erbringen zu können. Die ISO 20000 und ITIL stehen nicht in Konkurrenz oder im Widerspruch zueinander, sondern ergänzen sich gegenseitig.
Das IT Security Management ist in ITIL eine eigene Disziplin außerhalb des IT Service Managements. Die ISO 20000 enthält nur allgemeine Vorgaben für die Einrichtung eines IT-Sicherheitsmanagements. Für die Zertifizierung des IT Security Managements wurde daher eine eigene Norm geschaffen, die ISO 27001.
Die internationale Norm ISO/IEC 27001 „Information technology – Security techniques – Information security management systems – Requirements“ spezifiziert die Anforderungen für geeignete Sicherheitsmechanismen zum Schutz sämtlicher Werte in der IT. Sie berücksichtigt dabei die Sicherheitsrisiken innerhalb der einzelnen Organisation (Unternehmen, staatliche Organisationen, Non-Profit-Organisationen) und formuliert Grundsätze zu Implementierung, Betrieb, Überwachung, Wartung und Verbesserung eines Information-Security-Management-Systems.
Der internationale Standard ISO 17799 (bald ISO 27002) (Information technology - Code of practice for information security management) enthält verschiedene Kontrollmechanismen für die Informationssicherheit. Ähnlich ITIL handelt es sich dabei um einen „Best Practice“-Ansatz, das heißt eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis. Eine Zertifizierung nach ISO 17799 ist daher grundsätzlich nicht möglich. Der Standard überwacht unter anderen Weisungen und Richtlinien zur Informationssicherheit, die Organisation der Sicherheitsmaßnahmen, Zugriffskontrolle, Systementwicklung und Wartung, den Umgang mit Sicherheitsvorfällen oder den Notfallvorsorgeplan (Business Continuity Management).
Informationssicherheit als zyklischer Prozess
ITIL gliedert Informationssicherheit in die vier Bereiche Richtlinien (Gesamtziele einer Organisation), Prozesse (Wie erreicht sie diese Ziele), Vorgehensweise (Wer macht was und wann, um die Ziele zu erreichen) sowie Arbeitsanweisungen für konkrete Aktionen. Dabei ist Informationssicherheit als ein komplett zyklischer Prozess mit kontinuierlicher Überprüfung und Verbesserung definiert. Dieser Prozess läuft idealtypisch in sieben Schritten ab:
1. Über eine Analyse der Risiken (beispielsweise Softwarefehler, Betriebsfehler, Kommunikation unterbrochen, Wahrscheinlichkeit des Auftretens, potenzieller Einfluss auf Business, vergangene Erfahrungen) identifizieren die IT-Kunden ihre Sicherheitsanforderungen.
2. Die IT-Abteilung prüft die Machbarkeit dieser Anforderungen und vergleicht sie mit den in der Organisation festgesetzten Minimalrichtlinien für Informationssicherheit.
3. Der Kunde und die IT-Abteilung verhandeln und erarbeiten ein Service Level Agreement (SLA), das die Anforderungen an Informationssicherheit in messbaren Größen definiert und genau festlegt, wie diese überprüfbar erreicht werden sollen.
4. Die IT-Organisation definiert Operational Level Agreements (OLA), die detailliert beschreiben, wie sie die Services für Informationssicherheit bereitstellt.
5. Die SLA und OLAs werden implementiert und überwacht.
6. Die Kunden erhalten regelmäßig Berichte über die Effektivität und den aktuellen Status der Services, welche die Informationssicherheit garantieren sollen.
7. Die SLA and OLAs werden überarbeitet, falls es notwendig sein sollte.
Das PDCA-Modell: Plan, Do, Check, Act
Auch das IT Security Management insgesamt ist als kontinuierlicher Verbesserungsprozess zu sehen, der nach dem Qualitätszirkel von Deming (PDCA-Modell: Plan, Do, Check and Act) abläuft:
Plan: Der Plan sollte folgende Punkte definieren: Umfang und Zweck des IT Service Management; Ziele und zu erfüllende Anforderungen (SLAs); auszuführende Prozesse, Rollen und Zuständigkeiten; Schnittstellen zwischen den Service-Management-Prozessen und die Art und Weise der Koordination der Aktivitäten; Umgang mit Risiken für das Erreichen der definierten Ziele; Ressourcen und Budgets festlegen; Tools und Maßnahmen zur Messung und Verbesserung der Servicequalität.
Do: Prozess und Services implementieren. Hier geht es um die Zuweisung von Budgets, Rollen und Verantwortlichkeiten, die Dokumentation und Pflege der Richtlinien, das Risikomanagement, Reporting sowie den allgemeinen Betrieb der IT-Services einschließlich des Service Desks.
Check: Überwachen und Messen der Prozesse und Services im Vergleich mit Richtlinien, Zielen und Anforderungen; durch den Soll-Ist-Abgleich werden eventuelle Abweichungen identifiziert; Report der Ergebnisse.
Act: Aktionen zur kontinuierlichen Verbesserung der Prozessleistung. Hier werden die Ursachen der festgestellten Abweichungen abgestellt, der Prozess beginnt wieder von vorne unter Berücksichtigung des PDCA-Zyklus. Es geht dabei darum, die Verbesserungsvorschläge zu erarbeiten, dokumentieren, priorisieren und umzusetzen.
Klare Rollenverteilung
IT Security Management ist Chefsache. Die Entscheidung ob, wie und zu welchen Kosten derartige Prozesse im Unternehmen eingeführt werden, setzt eine Abstimmung und Zustimmung mit beziehungsweise durch die Geschäftsführung voraus. Das Senior-Management sollte die Sicherheitsstrategie definieren, nach innen und außen kommunizieren und für die effektive Implementierung sorgen. Zudem ist es Aufgabe des Managements, die Rollen und Zuständigkeiten für Security-Management zu definieren und zu verteilen.
Eine vorher festgelegte Managergruppe muss die Effizienz der Sicherheitsmaßnahmen kontinuierlich überwachen, um deren Effektivität und Effizienz fortwährend zu bewerten und eine Grundlage für neuerliche Anpassungen und weitere Maßnahmen zu erhalten. Wichtig dabei sind die Dokumentation und das regelmäßige Reporting, damit das Management Informationen über die Effektivität der Sicherheitsmaßnahmen, Trends bei Sicherheitsvorfällen und Input für mögliche Verbesserungen erhält.
Innerhalb der Prozessorganisation gibt es drei wichtige Rollen:
Process Sponsor: Verantwortlich für den Erfolg des definierten Prozesses (meist CIO).
Process Owner: Verantwortlich für die Aufsetzung des Prozesses und dessen Leistung (Vergleich der Ziele mit Messergebnissen), soll Verbesserungen herausfinden, kann Änderungen im Prozess durchführen (meist Chief Security Officer).
Process Manager: Überwacht den Prozess und stellt sicher, dass die Bedürfnisse des Kunden erfüllt werden. Liefert die Resultate und ist verantwortlich für die Optimierung des Prozesses (meist Division Security Officers).
Fazit
Informationssicherheit wird häufig als Kostenfaktor oder Behinderung für Business-Funktionen wahrgenommen. Mit ITIL setzen sich Business-Verantwortliche und IT-Leute an einen Tisch, um die Services für Informationssicherheit festzulegen. Das sollte sicherstellen, dass die Services mit den Geschäftszielen auf einer Linie liegen.
ITIL ermöglicht Organisationen, Informationssicherheit auf Grundlage von Best Practices strukturiert zu entwickeln und zu implementieren. Die für Sicherheit zuständigen Mitarbeiter der IT-Abteilung können damit planvoller arbeiten. Da ITIL zudem die Rollen und Verantwortlichkeiten für Informationssicherheit klar definiert, steht während eines Zwischenfalls sofort fest, wer zuständig ist.
ITIL etabliert dokumentierte Standards und Prozesse (zum Beispiel SLAs und OLAs), die sich überwachen lassen, und fordert regelmäßig Reports ein. Daher ist das Management sehr gut über die Effizienz der Sicherheitsprogramme informiert und kann fundierte Entscheidungen treffen. Da ITIL ständige Überprüfung erfordert, sorgt es dafür, dass getroffene Maßnahmen zur Informationssicherheit effektiv bleiben, selbst wenn sich Anforderungen, Umgebungen oder Bedrohungen ändern.
Das ITIL-Regelwerk sollte zudem die übereilte, unorganisierte Einführung von IT-Security-Maßnahmen verhindern, da es eine konsistente, messbare Strategie erfordert anstelle von „Feuerwehreinsätzen“ nach Sicherheitsvorfällen. (mje)