Archiv der Kategorie: ISO 27001

BfDI Pressemitteilung : Verfassungsschutzrecht verfassungsgemäß reformieren!

Dazu die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff:
Dieser Gesetzesentwurf ändert die Sicherheitsarchitektur der Bundesrepublik Deutschland. Das Bundesamt für Verfassungsschutz bekommt neue, zentralisierte Auswertungs- und Analysebefugnisse. Die Verfassungsschutzbehörden der Länder sollen alles an das Bundesamt für Verfassungsschutz übermitteln, was für die zentrale Auswertung und Analyse relevant ist. Welche Relevanzkriterien gelten, bleibt offen. Dazu soll das Bundesamt für Verfassungsschutz weitreichende Datenbestände anlegen, die es umfassend auswerten darf. Bisherige Schranken für die Datenverarbeitung in zentralen Dateien fallen zu großen Teilen weg.Nachrichtendienste greifen mit ihren Maßnahmen tief in Grundrechte ein. Denn diese Maßnahmen sind nach der bestehenden Gesetzeslage weit im Vorfeld einer Gefahr angesiedelt, ohne dass die Betroffenen gegen Gesetze verstoßen haben müssen. Das derzeitige Recht regelt unzureichend, über welchen Personenkreis die Nachrichtendienste überhaupt Daten erheben und speichern dürfen. Es differenziert auch nicht hinlänglich, wann die Dienste gegen wen welche Mittel einsetzen dürfen.
Sicherheitspolitik darf sich deshalb nicht darauf beschränken, den Nachrichtendiensten mehr Personal, mehr Sachmittel und mehr Befugnisse zu geben. Die Vorgaben des Bundesverfassungsgerichts – zuletzt zur Antiterrordatei – sollten vielmehr Anlass für eine grundlegende Reform des Rechts der Nachrichtendienste sein.

Advertisements

Kritische Infrastrukturen und die Informationssicherheit

Der Entwurf des neuen IT-Sicherheitsgesetzes sieht vor, dass alle Betreiber von Kritischen Infrastrukturen (KRITIS) ein ISMS im Einsatz haben müssen.

(24.03.15) – Auf die deutschen Energieversorger rollt eine Zertifizierungswelle zu. Der Entwurf des IT-Sicherheitsgesetzes (IT-SiG) sieht vor, dass die meisten Unternehmen der Branche künftig ein testiertes Information Security Management System (ISMS) vorzuweisen haben. Der IT-Dienstleister prego services erläutert mit diesem Artikel, worauf sich die Energieversorger einstellen müssen:

Neue Regelungen und Verpflichtungen schreiben einen besonderen Schutz von so genannten Kritischen Infrastrukturen (KRITIS) vor – also von Kommunikationsnetzwerken, die für das staatliche Gemeinwesen eine besonders große Bedeutung haben. Zu diesen KRITIS zählen auch die Prozessnetzwerke von Energieversorgern, da deren Ausfall oder Manipulation erhebliche Auswirkungen auf die Versorgung der Bevölkerung und die öffentliche Sicherheit haben könnten. Deshalb müssen insbesondere Energieversorger künftig ein zertifiziertes Information Security Management System vorweisen.

Der IT-Dienstleister prego services in Saarbrücken und Ludwigshafen erläutert, worauf Energieversorger jetzt achten sollten. Die Energiebranche zählt zu den Kernmärkten des Unternehmens, das auch seit über zehn Jahren sichere IP-Prozessnetzwerke für Energieversorger konzipiert, implementiert sowie betreibt und Teilnehmer der Allianz für Cyber-Sicherheit im Bereich Kritische Infrastrukturen ist.

1. Was Gesetzgeber und Behörden verlangen: Der Entwurf für ein neues IT-Sicherheitsgesetz sieht vor, dass alle Betreiber von KRITIS ein ISMS im Einsatz haben müssen. Für Energieversorger verschärft sich diese Pflicht durch den IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA), der derzeit ebenfalls noch im Entwurfsstadium ist. Er verlangt von ihnen, nicht nur ein solches ISMS zu betreiben, sondern es von einer unabhängigen, akkreditierten Zertifizierungsstelle zertifizieren zu lassen.

2. Welche Zertifikate notwendig sind: Das künftige Information Security Management System der Energieversorger muss zum einen der Norm DIN ISO 27001 entsprechen, welche die allgemeinen Anforderungen an ein solches System definiert. Darüber hinaus muss es verschiedene Aspekte der Norm DIN ISO/IEC TR 27019 berücksichtigen, die eine Leitlinie speziell für die Energieversorgungsbranche bereitstellt.

3. Was das ISMS leisten muss: Aufgabe eines Information Security Management System ist es vor allem, die Verfügbarkeit, Vertraulichkeit und Integrität kritischer Daten sicherzustellen. Die ISO 27001 führt dazu konkrete Maßnahmen auf, die dies gewährleisten sollen. Außerdem verpflichtet es das Management des Unternehmens, Sicherheitsrichtlinien und Regelungen zu erlassen, die nötigen Ressourcen bereitzustellen sowie das ISMS laufend zu überwachen, aber auch kontinuierlich zu verbessern.

4. Was das für die Energieversorger bedeutet: Der Aufbau und Betrieb eines solchen ISMS bringt auch die Pflicht mit sich, einen IT-Sicherheitsbeauftragten als zentralen Ansprechpartner zu bestellen. Er betreut, überwacht und pflegt als Hauptverantwortlicher das ISMS und steht der Bundesnetzagentur zu Fragen rund um den Umsetzungsgrad von Maßnahmen oder Sicherheitsvorfällen zur Verfügung. Darüber hinaus ist laut IT-Sicherheitsgesetz eine Warn- und Alarmierungsstruktur einzurichten, die rund um die Uhr verfügbar sein muss.

5. Für wen es ernst wird: Auch wenn sowohl das neue IT-Sicherheitsgesetz als auch der IT-Sicherheitskatalog derzeit noch im Entwurfsstadium sind – ihre Verabschiedung und die Pflicht für Energieversorger zu einem zertifizierten ISMS gelten als sicher. Betroffen von dieser Pflicht sind nach aktuellem Stand mehr als 1.500 Unternehmen der Energiebranche. Lediglich Kleinstunternehmen, die weniger als zehn Mitarbeiter haben und deren Jahresbilanzsumme zwei Millionen Euro nicht überschreitet, sollen von den Regelungen ausgenommen sein.

„Um sich rechtzeitig auf die Erfüllung der Gesetzesanforderungen vorbereiten zu können, sollten sich Energieversorger am besten sofort mit dem Thema ISMS auseinandersetzen“, sagt Mario Kaiser, Informationssicherheits-Beauftragter bei prego services in Saarbrücken. „Ein zertifizierungsreifes Information Security Management System führt man nicht von heute auf morgen ein. Selbst kleinere Unternehmen müssen mit Projekten rechnen, die mehr als ein halbes Jahr in Anspruch nehmen.“ (prego services: ra)

Compliance und der steigende Bedarf an Sicherheit

Die wachsenden Anforderungen an die Einhaltung gesetzlicher Vorschriften erschwert es Unternehmen zunehmend die erforderlichen Sicherheitsabläufe ihre täglichen Prozesse zu integrieren. Dies kann zu negativen Prüfungsergebnissen und Datenmissbrauchsfällen führen, die ihrerseits kostspielige Maßnahmen zur Schadenseindämmung bis hin zur Zahlung von Strafgeldern zur Folge haben können.

Compliance kostet

Bereits für das Jahr 2010 wurden die durchschnittlichen Unternehmenskosten für einen Datenmissbrauchsfall auf etwa 7,2 Millionen USD ermittelt.

Die gesetzlich verankerte Notwendigkeit zur Einhaltung von Compliance-Anforderungen hat zusammen mit spezifischen Strafzahlungen für die Nichteinhaltung dieser Vorschriften dazu geführt, dass ein Großteil der gesamten Sicherheitsausgaben allein für die Einhaltung der Compliances aufgewendet wird. Wobei es außer Frage steht, dass Compliance-Ausgaben der Gewährleistung des wirtschaftlichen Erfolgs eines Unternehmens und der Vermeidung möglicher Schäden am Markenimage dienen.

Wenig zielführend ist es jedoch, wenn der Fokus eines Unternehmens jedoch nicht auf die Vermeidung bzw. Reduzierung von Sicherheitsrisiken, sondern auf die Minimierung von Kostenaufwendungen gerichtet ist. Jedes Unternehmen muss sicherstellen, dass seine Sicherheitsausgaben mit einer angemessenen Risikotoleranz und den Geschäftszielen des Unternehmens gegen einander abgestimmt ist.

Das vorrangige Ziel eines Unternehmens darf es nicht sein, eine mögliche Prüfung oder Auditierung positiv hinter sich bringen zu wollen. Es wäre nicht nur ein Spiel mit dem Feuer. Selbst die Erfüllung der präskriptiven PCI-DSS-Anforderungen, stellt beispielsweise nur einen grundlegenden Sicherheitsstandard dar und sichert das Unternehmen nicht vor Datenmissbrauch. Ein weltweit agierender Identitätsdiebstahlring hatte zum Beispiel US-amerikanische Unternehmen trotz Einhaltung der PCI-Anforderungen angreifen und millionenfach Kreditkartendaten abgreifen können.

Regulierungsbehörden haben auf die steigenden Anforderungen reagiert und die Benachrichtigung über Missbrauchsfälle angeordnet und umfassende Kontrollen mit strengeren Geldstrafen für die Nichteinhaltung der Vorschriften eingeführt haben.

Die Einführung eines nachhaltigen Compliance-Programms stellt die Unternehmen jedoch vor grundsätzliche Herausforderungen. Der Spagat zwischen der Umsetzung von IT-Security-Anforderungen und Absicherung finanzrechtlicher Risiken und der Entscheidung für eine nachhaltige Absicherung durch ein Informationssicherheitsmanagementsystem (ISMS) – zum Beispiel in Anlehnung an ISO 27001 ff – fällt häufig nicht leicht.

Wandel der Sicherheitsbedrohungen

Bedrohungen gehen längst nicht mehr hauptsächlich von einzelnen Freizeit-Hackern aus. International organisierte, gewinnorientierte Profigruppen, beauftragt von internationalen Organisationen, von Gruppen aus dem Bereich des organisierten Verbrechens und sogar von Regierungen erwirtschaften Milliarden mit Identitätsdiebstahl und Datenklau. Angesichts dieser Unterstützung überrascht es wenig, dass Datenmissbrauch durch immer ausgefeiltere Technologien ermöglicht und oftmals auch durch Unternehmensangehörige unterstützt wird: Stichwort „Social Engineering“.

Dauerhafte Minimierung von Risiken

Basis eines jeden nachhaltigen Sicherheits- und Compliance-Programms ist ein, auf das Geschäftsmodell abgestimmtes Framework, mit dem alle branchenspezifischen und gesetzlichen Auflagen abgedeckt und gleichzeitig die zugrunde liegenden Sicherheitsrisiken minimiert werden können.

Die Abstimmung mit den Geschäftsprozessen ist dabei von entscheidender Bedeutung, um sicherzustellen, dass der Fokus auf unternehmensrelevante Risiken begrenzt wird.

Der Sicherheitsbeauftragte

Durch die zunehmende Beachtung der Bedeutung von IT-Sicherheit und Compliance sowie der damit einhergehenden beträchtlichen Kosten ist die Rolle des Sicherheitsbeauftragten im Wandel begriffen. CISOs (Corporate Information Security Officer) unterstehen zunehmend dem CEO oder CFO, statt innerhalb des IT-Bereichs zu operieren. Aus einem vor kurzem veröffentlichten Forrester-Bericht geht hervor, dass 54 Prozent der Unternehmen einen Chief Information Security Officer haben, der direkt einem leitenden Manager unterstellt ist und 42 Prozent einen CISO haben, der einer Person außerhalb der IT-Abteilung unterstellt ist. Der CISO wird zunehmend Zugriff und Einfluss auf die Art und Weise der geschäftlichen Entscheidungsfindung haben. In einem aktuellen CSO Online-Artikel bestätigt Eric Cowperthwaite, CSO von Providence Health & Services mit Sitz in Seattle, USA, diesen Trend:

„Der CSO/CISO ist zu einem dauerhaften Bestandteil der Gruppe von Personen geworden, die am runden Tisch sitzen und darüber entscheiden, wie das Unternehmen seinen Geschäften nachgeht. Der CSO steht an der Spitze der Sicherheit des Unternehmens. Seine Funktion wird mittlerweile als absolut notwendig erachtet und ist schon lange kein reines Lippenbekenntnis mehr, um sich Auditoren vom Hals zu halten. Meiner Ansicht nach ist dies eine bedeutende Veränderung.“

Durch eine Abstimmung mit den Geschäftsanforderungen kann der Sicherheitsfokus früher in neue Initiativen einbezogen werden. Dadurch können Sicherheitsteams die Risikominimierung früher in die Planungsphase einbringen anstatt nachträglich kostenintensive Behebungsmaßnahmen hinzuzufügen, durch die neue Geschäftsinitiativen verlangsamt oder gehemmt werden.

Ein nachhaltiges Compliance-Programm muss die Vielzahl der gesetzlichen und branchenspezifischen Bestimmungen, mit denen ein Unternehmen konfrontiert ist, effektiv bewältigen und problemlos an neue und sich wandelnde Bestimmungen anpassbar sein. Viele Unternehmen haben ihren Ansatz weiterentwickelt und verfügen nun über ein zentrales Team, um die Sicherheits- und Compliance-Kontrollen zu koordinieren.

Die Straffung der Compliance-Aktivitäten zu einem allgemeinen Framework ist kein einfaches Unterfangen. Sicherheits- und Compliance-Teams können aus mehreren Gruppen innerhalb eines Unternehmens/Konzerns bestehen, wodurch organisatorische und geografische Grenzen überschritten werden.

Ein effektiver Ansatz besteht darin, das Sicherheitsrisiko eines Unternehmens zu minimieren und Compliance sozusagen als Nebenprodukt zu ermöglichen. Bei Heartland kann man diesen Ansatz nun nachvollziehen, wie aus dem aktuellen Kommentar von Kris Herrin, CTO von Heartland hervorgeht: „Einer der wichtigsten Punkte für uns besteht darin, sicherzustellen, dass Sicherheitskontrollen nachhaltig sind und so ausgeführt werden, dass die Kontrolle für uns auch zukunftsfähig ist […]

Es geht einfach nicht, dass wir einfach in einem Quartal etwas einführen, nur weil es sinnvoll scheint, und dann ein Jahr später erkennen, dass dadurch die Risiken nicht wie gehofft minimiert werden. “

Um ihre Sicherheit sowohl kurz- als auch langfristig zu verbessern, müssen Unternehmen sicherstellen, dass die passenden Kontrollen und Tools für das jeweilige Sicherheitsrisiko definiert werden und in ein umfassendes Risikominimierungsprogramm passen, das die Implementierung, Stellenbesetzung und Sicherheitsprozessplanung festlegt und mit der Risikotoleranz und den Geschäftszielen des Unternehmens abgestimmt wird.

Dementsprechend lässt sich nachhaltige Compliance am besten dadurch erzielen, dass der Schwerpunkt auf eine Verbesserung der Gesamtsicherheitssituation des Unternehmens gelegt wird.

Permanente Änderung der Bedrohungen

Ein nachhaltiges Sicherheits- und Compliance-System muss so strukturiert sein, dass es an geänderte Geschäftsprozesse, neue Compliance-Bestimmungen, weiter entwickelte IT-Systeme und sich permanent ändernde Bedrohungen angepasst werden kann. Hierzu zählen Veränderungen bei der Art der Angriffe und neue Risiken, die mit sich ändernden Technologien und sich weiter entwickelnden Geschäftsmodellen verbunden sind.

Der Rüstungswettbewerb

Das Wesen der Angriffe hat sich im „Rüstungswettbewerb“ zwischen IT-Verantwortlichen und Hackern stetig weiter entwickelt. Die Kenntnisse der IT-Mitarbeiter haben sich in Richtung Sicherheit orientiert und der Einsatz dedizierter Sicherheitswerkzeuge nimmt zu. Aber auch Hacker arbeiten zunehmend professioneller und organisierter. Sie werben Talente an, investieren in Forschung und Entwicklung und erstellen neue, ausgereiftere Tools. 85 Prozent der Angriffe sind mittlerweile auf finanziell gut ausgestattete Organisationen, einschließlich des organisierten Verbrechens und Regierungen, zurückzuführen.

Die Betriebskosteneinsparungen durch Nutzung von Virtualisierungs- und Cloud-Services haben jedoch dazu geführt, dass in einigen Unternehmen die Einführung dieser Services das Verständnis der damit verbundenen Risiken bereits überholt hat und die Sicherheitsteams nunmehr versuchen, wieder aufzuholen.

Viele Sicherheitsverstöße werden jedoch nicht externen Angreifern verübt, sondern von finanziell oder politisch motivierten Insidern. Laut Data Breach Investigations Report 2010 wurden 27 Prozent der Sicherheitsverstöße ausschließlich durch interne Komplizen verübt.

In dynamischen Unternehmensumgebungen wächst das Risiko von Benutzeraktivitäten, die zu einem Sicherheitsverstoß beitragen. Aus demselben Verizon-Bericht geht hervor, dass 90 Prozent der internen Aktivitäten, die einem Sicherheitsverstoß zugeordnet werden konnten, durch vorsätzliches Handeln, 6 Prozent durch zweckwidriges Handeln und 4 Prozent durch unbeabsichtigtes Handeln erfolgt sind.

Ein größeres Einzelhandelsunternehmen in den USA hat vor kurzem einen Ausfall hinnehmen müssen, als ein neuer Administrator Veränderungen an den Gruppenrichtlinien für Active Directory außerhalb des Änderungskontrollprozesses vorgenommen hat. Als er bemerkte, dass er einen Ausfall verursacht hatte, versuchte der Administrator, seine Spuren zu verwischen. Seine Handlungen führten direkt dazu, dass der Produktversand mehrere Tage zum Erliegen kam, während man versuchte, den Betrieb wiederherzustellen. Diese Aktivität war zwar nicht mutwillig, aber dennoch unangemessen, und hatte beträchtliche negative Auswirkungen.

Risiken lassen sich durch relativ einfache Kontrollen erheblich mindern. Ein Beispiel für solche Kontrolle wäre eine Richtlinie, die sicherzustellt, dass die Konten von Mitarbeitern, die das Unternehmen verlassen, schnell deaktiviert werden, dass gemeinsam genutzte administrative Konten vermieden werden und dass die Aktivität privilegierter Benutzer, seien es Administratoren oder Endbenutzer, überwacht wird.

Der erste Schritt besteht darin, den erforderlichen Mindestzugriff zu gewährleisten. Der zweite Schritt besteht in Überwachung der Nutzung der Berechtigungen.

Insider und Verantwortung

Jeder, der direkt oder indirekt vertrauliche Informationen oder die Systeme und Anwendungen verwaltet, auf denen diese gehostet werden, ist zu den Insidern zu zählen. Demnach können Insider auch Mitarbeiter von Partnern und Anbietern von Managed Services, Hosting- oder Cloud-Lösungen sein.

Unternehmen müssen erkennen, dass das Outsourcen nicht auch die Verantwortlichkeit auslagert. Der Schwerpunkt von Verhandlungen wird zunehmend darauf gelegt, spezifische Kontrollen zu verhandeln und unabhängige Sicherheitsaudits zu verlangen. Dienstleister sind angehalten nachhaltige Sicherheitsprozesse und routinemäßige Audits in ihre Serviceangebote einzubauen, um wettbewerbsfähig zu bleiben.

Vor der Unterzeichnung eines Vertrags ist es von entscheidender Bedeutung, entsprechende risikobeschränkende Service-Level-Agreements, erforderliche Kontrollen und Auditberechtigungen festzulegen und diese in das Vertragsdokument aufzunehmen.

Fazit

Ein Compliance-System, das Ihre Compliance-, Sicherheits- und Geschäftsziele umfassend umsetzt, ist heute so wichtig wie nie zuvor. Die Aufgabe, sich überschneidende und ständig weiterentwickelnde gesetzliche und branchenspezifische Auflagen zu erfüllen, ist komplex.

Der Fokus muss auf der Risikoverwaltung in Abstimmung mit der Risikotoleranz und den Geschäftszielen des Unternehmens liegen.

Daneben sind IT-Abteilungen mit einer zunehmenden Vielfalt von Bedrohungen konfrontiert. Durch neue Technologien wie Outsourcing und Cloud-Computing werden die Netzwerkgrenzen immer fließender. Finanziell oder politisch motivierte Angriffe durch technisch versierte organisierte Gruppen oder böswillige Insider veranlassen Unternehmen so schnell wie möglich ein ausgereiftes Sicherheitssystem zu entwickeln. Das in der Lage ist, angemessene Sicherheitskontrollen für ihre kritischen Daten und Infrastrukturen zu entwickeln, zu implementieren und zu überwachen.

Nur ein integrierter, nachhaltiger Compliance-Ansatz basierend auf vernünftigen Sicherheitsprinzipien ist effektiv, nachhaltig und skalierbar und ermöglicht es Ihnen, Ihre Compliance-Ziele zu erreichen sowie die Gesamtsicherheit Ihres Unternehmens zu verbessern.