ISA+ Informations-Sicherheits-Analyse Quickcheck

Für die wirksame Umsetzung und vor allem für die regelmäßige Überprüfung und Anpassung der Leitlinie zur Informationssicherheit ist die zentrale Rolle eines Beauftragten für Informationssicherheit unerlässlich. Aufgrund der durchaus vorhandenen Anforderungen an Sicherheits-Know-how, Koordinations-/ Kommunikations-Fähigkeiten und auch Fähigkeit zur Schulung und Beratung sollte der entsprechende Beauftragte nach Eignung ausgewählt werden. Der Beauftragte muss die explizite Unterstützung durch die Leitung des Unternehmens haben.

In kleinen Unternehmen kann diese Aufgabe auch vom IT-Beauftragten oder dem Administrator wahrgenommen werden. Zum Teil wird auch der Datenschutzbeauftragte zum IS-Beauftragten bestellt und umgekehrt. Grundsätzlich ist auch eine Beauftragung eines externen Dienstleisters möglich.

Die Aufgabenstellung des Beauftragten für Informationssicherheit umfasst die Initiierung, Koordination und Dokumentation der Entwicklung, Umsetzung, Kontrolle und Fortschreibung des Regelwerks zur Informationssicherheit. Er ist bei der Einführung neuer Verfahren/Prozesse, Systeme oder Regeln sowie bei der Änderung bestehender Verfahren/Prozesse, Systeme oder Regeln frühzeitig zu beteiligen. Auch ist es seine Aufgabe, intern (Leitung und Mitarbeiter) und extern (z. B. Partner/Kunden) zu Fragen der Informationssicherheit mit Bezug auf die Leitlinie des Unternehmens zu beraten und zu sensibilisieren.
Gemessen an dieser Aufgabenstellung sollte die Eignung des Beauftragten verifiziert und gegebenenfalls durch Schulungen oder externe Beratung hergestellt werden. Diese Aufgaben können als Nebentätigkeit durchgeführt werden. Vom Beauftragten für Informationssicherheit wird eine einschlägige Aus- oder Fortbildung erwartet.

Das Bundesdatenschutzgesetz fordert unter bestimmten Voraussetzungen die Bestellung eines betrieblichen Datenschutzbeauftragten. Diese Funktion kann auch von einem externen Dienstleister gestellt oder vom IS-Beauftragten wahrgenommen werden. In kleinen und mittleren Unternehmen (KMU) kann die Behandlung der wichtigsten Rahmendaten der Datenschutzorganisation auch in einem zentralen Sicherheitskonzept zur Informationssicherheit (PA 1.1.7) abgebildet werden.

Checklisten sind für die vollständige Umsetzung von Sicherheitsprozessen notwendig. Sie müssen Punkte enthalten wie z. B. Kenntnisnahme eines neuen Mitarbeiters zur Leitlinie und zu Anweisungen für die konkrete Umsetzung von Informationssicherheit im Unternehmen (z. B. private Internetnutzung am Arbeitsplatz, Passwort-Richtlinie etc.), Vergabe und Entzug von Zugangs-/Zutritts-Berechtigungen, Nutzerrechten, Schlüssel-Rückgabe, Umgang mit Benutzerdaten usw.

Technische Maßnahmen zur IT-Sicherheit sind essentiell für die Informationssicherheit, reichen jedoch bei weitem alleine nicht aus. Für eine vollständige Umsetzung muss Informationssicherheit als laufender Prozess gesehen werden, den es ständig zu verbessern gilt. Dies betrifft nicht nur IT-Mitarbeiter, sondern alle Personen im Unternehmen. Maßnahmen sind daher auch z. B:

• Regelmäßige Schulung aller Mitarbeiter zu Themen der Informationssicherheit
• Aktuelle Information zu Bedrohungen
• Sensibilisierung der Mitarbeiter (z. B. um Phishing-Angriffe zu verhindern)
• Fortlaufende Bekräftigung der Wichtigkeit von Informationssicherheit für das Unternehmen

Hier ist eine explizite Handlungsanweisung und eine flankierende Schulungsmaßnahme (warum ist dies nötig?) hilfreich. Automatische Sperrung des Rechners bzw. Aktivierung des Kennwortschutzes bei Inaktivität sollte so eingerichtet werden, dass sie die normale Arbeit des Nutzers nicht übermäßig behindert (z. B. automatische Sperrung nach 5 Minuten Inaktivität).

Den Nutzern muss bewusst gemacht werden, dass mit der Stärke und sorgfältigen Behandlung der Passwörter die Sicherheit der Daten und Informationen direkt zusammenhängt. Ein leicht zu erratendes Passwort oder ein Passwort für eine Vielzahl verschiedener Anwendungen reduziert die Sicherheit von IT-Systemen erheblich. In der Passwortrichtlinie sollte festgelegt und den Nutzern konkret bewusst gemacht werden, wie Passwörter gestaltet sein müssen, wie mit diesen umgegangen wird (keine Weitergabe etc.), wie oft diese gewechselt werden müssen etc. 

Passwörter sollten regelmäßig geändert werden und nicht auf älteren Passwörtern basieren dürfen. Standard-Passwörter für den Zugang zu Systemen (z. B. Router) müssen umgehend geändert werden. 
Eine Passwortrichtlinie sollte auch Prozesse für die Verwaltung und Wiederherstellung von Passwörtern enthalten.

In Netzwerk-Domain-Umgebungen kann eine Passwortrichtlinie technisch z. B. über den Server und die Domain-Controller erzwungen werden. Diese Maßnahme sollte unbedingt umgesetzt werden, da eine Richtlinie bzw. Handlungsanweisung alleine noch zu häufig von den Nutzern umgangen wird. Diese Administrationsvorgänge sollten nur von Spezialisten vorgenommen werden. Für den Zugang zu besonders schutzbedürftigen Informationen und Systemen sollten starke Authentifizierungsmaßnahmen technisch implementiert werden (z. B. SmartCard, Biometrie, 2-Faktor-Authentisierung).

Das Unternehmen sollte eine Liste führen, welcher Mitarbeiter mit welchem Endgerät welche Browserfunktionen für seine Tätigkeiten benötigt. Z. B. ist Java wirklich bei jedem notwendig? Genauso wird bei den E-Mail Clients verfahren. Hier sind die Spam-Einstellungen, erlaubte Anhänge usw. zu beachten. Danach werden die Sicherheitsstufen an den Endgeräten eingerichtet und dokumentiert.

Bei Betriebssystemen, Software, Browsern etc. können über einen längeren Zeitraum Sicherheitslücken entstehen. Um diese zu schließen, sollten Betriebssysteme etc. immer auf den neuesten Stand gebracht werden. Hierzu sollte der Administrator ein Patch- bzw. Updatemanagement betreiben.

Sollte WLAN im Unternehmen zur Anwendung kommen, ist unbedingt auf eine Verschlüsselung zu achten. Bei nicht verschlüsselten Netzen können Angreifer sicherheitskritische Daten wie Passwörter etc. auslesen und somit an Unternehmensdaten kommen. Um dies zu verhindern, sollte bei der Verschlüsselungsmethode der gängigen Standard WPA2 und ein Passwort mit mindestens 13 Stellen verwendet werden.

Für jeden Mitarbeiter sollten entsprechende Rollen und Profile für die tägliche Arbeit an etwaigen Systemen eingerichtet werden. So ist es besser nachzuvollziehen, wer an einem Rechner arbeitet und welche Rechte er hierzu benötigt.

Über Schulungen sollten den Mitarbeitern die Regelungen, Merkblätter und Richtlinien näher gebracht werden. Hierbei kann auf unverständliche Punkte in den Regelungen, Merkblättern und Richtlinien oder auf Fragen der Mitarbeiter eingegangen werden.

Ist im Unternehmen keine Firewall vorhanden, sollte der Informationssicherheitsbeauftragte bzw. der Administrator umgehend eine Firewall installieren. Ohne Firewall können Angreifer gezielt auf Unternehmensdaten zugreifen. Passende Lösungen zum Thema „Firewall für Kleinunternehmen“ sind in einer Vielzahl vorhanden.

Um einen angemessenen Schutz der IT-Systeme zu gewährleisten, sollten sich Räume oder Gebäudeteile, in denen IT-Systeme vorhanden sind, in einer sicheren Umgebung befinden. Hierbei ist auch auf Brandschutzvorschriften oder auf Gefahrenlagen wie Wasserschäden oder Blitzeinschlag zu achten. Abhilfe schaffen z. B. Brandmelder, Wassermelder sowie Blitzableiter. Gegen Diebstahl sollten Einbruchsmelder installiert werden.

Externer Besuch sollte aufgrund des Datenschutzes und zu Präventivmaßnahmen immer begleitet bzw. beaufsichtigt werden. Wichtige Räumlichkeiten sollten daher abgeschlossen werden und es ist darauf zu achten, dass z. B. Handwerker nur Zutritt zu unbedenklichen Räumen haben.

Für alle wesentlichen Geschäftsprozesse und Aufgaben müssen tragfähige Vertretungsregelungen vorhanden sein. Diese müssen regelmäßig aktualisiert werden. Die Übernahme von Aufgaben im Vertretungsfall setzt voraus, dass der Verfahrens- oder Projektstand hinreichend dokumentiert ist. 

Es muss festgelegt sein, welcher Aufgabenumfang im Vertretungsfall von wem wahrgenommen werden soll. 
Es muss überprüft werden, wie der Kenntnisstand des Vertreters für die zu übernehmende Aufgabe ist, evtl. muss der Vertreter vorab entsprechend geschult werden. 
Siehe dazu beispielsweise IT-Grundschutz-Maßnahme „M 3.3 Vertretungsregelungen“.

Zur Vermeidung von Datenverlusten müssen regelmäßige Datensicherungen durchgeführt werden. In den meisten Rechnersystemen können diese weitgehend automatisiert erfolgen. Es sind Regelungen zu treffen, welche Daten von wem wann gesichert werden. Empfehlenswert ist die Erstellung eines Datensicherungskonzepts. 
Siehe dazu beispielsweise IT-Grundschutz-Maßnahme „M 6.32 Regelmäßige Datensicherung“.

Für Unternehmen, unabhängig von der Unternehmensgröße, gelten heutzutage diverse gesetzliche Regelungen, welche die Informationstechnologie direkt betreffen bzw. indirekt, da die Informationstechnologie in fast alle Bereiche der Unternehmensprozesse eingebunden ist. Zu nennen sind dabei typische bekannte Regelungen aus der Abgabenordnung hinsichtlich Archivierungsvorschriften sowie die GoBD oder das Bundesdatenschutzgesetz. Für bestimmte Branchen gelten darüber hinaus weitergehende Anforderungen, bspw. für Banken und Finanzdienstleister mit den MaRisk oder im Medizinbereich. 
Diese Anforderungen können durch privatrechtliche Vertragsgestaltungen erweitert werden (z. B. im Rahmen von Kunden-Lieferanten-Beziehungen, aufgrund der Einbindung in Konzernstrukturen oder durch Auslagerungsvereinbarungen). 

Verfügt ein Unternehmen nicht über einen Überblick, welche gesetzlichen und privatrechtlichen Anforderungen direkt oder indirekt an seine Informationsverarbeitung bestehen, sollte eine entsprechende Analyse vorgenommen werden. Diese sollte die Anforderungen aus den klassischen Bereichen Datenschutz, Datensicherheit, Archivierung, Branchennormen, Sonstige (bspw. privatrechtliche Anforderungen) umfassen. Erste Anlaufstellen hierfür können grundsätzlich z. B. Verbände, IHK oder der eigene Steuerberater sein.

Zur Analyse und Identifikation der einbezogenen dritten Parteien sollte eine Matrix der Regel- und Einzeltätigkeiten zur Planung, Implementierung und Aufrechterhaltung der IT-Landschaft des Unternehmens erstellt werden. Eine Orientierung bieten zum Beispiel die Maßnahmen M 2.4, M 2.5, M 2.252 des IT-Grundschutzkataloges des Bundesamtes für Sicherheit in der Informationstechnik. Der IT-Grundschutzkatalog wird vom Bundesamt für Sicherheit in der Informationstechnik gepflegt und ist auf dessen Homepage abrufbar. 
Beispiele:

• Wartung der Telefonanlage und TK-Endgeräte
• Bereitstellung Internetanschluss / Anbindung
• Wartung und Pflege Archivierungssystem
• Pflege und Wartung der Netzwerkinfrastruktur
• Wartung der EDV Werkssysteme
• Allgemeiner IT Support
• Hardwarewartung (Server)
• Hardwarewartung (Drucker und Multifunktionsgeräte)
• Versorgung mit Ersatzteilen und Verbrauchsmaterial
• Externer Datenschutzbeauftragter
• Reinigungsdienstleistungen / Gebäudereinigung
• Reinigungsdienstleistungen / Glas und Rahmen
• Pflege und Wartung Internetauftritt, CMS- und Newsletter System