Durchblick im Wirrwarr

Daniel Städeli ist Team Leader Competence & Technology Development bei der Bassersdorfer Ispin.

Es gibt wohl nichts, was nicht gesetzlich geregelt wäre. Auch die Informationssicherheit bildet da keine Ausnahme. Leider sind die Normen und Vorschriften punkto Sicherheit oft schwammig formuliert und stammen oft aus verwandten Anwendungsbereichen.

Besonders kompliziert und tückisch wird es, wenn man sich aufs internationale Parkett begibt. So lange man alle Informationen und Tätigkeiten in einem Land ausübt, sind die Regeln eines Staates anwendbar. Erstreckt sich das Tätigkeitsgebiet aber über mehrere Länder, sind eine Vielzahl von Regelsätzen zu beachten.

In der Schweiz gelten ganz allgemein die Regeln des Obligationenrechts (OR). Wichtig in diesem Zusammenhang ist OR 754 (Verantwortlichkeit), in dem die Verantwortlichkeiten von Verwaltungsrat und Geschäftsführung festgehalten sind. Delegation ist erlaubt, wobei Instruktion und Überwachung nicht delegierbar sind. Konkreter über Sicherheit der Information äussert sich das Datenschutzgesetz (DSG). In der Managementverantwortung liegt aber vor allem die Durchsetzung von Compliance mit Sicht auf alle relevanten Gesetze.

Das Datenschutzgesetz vom Juni 1992 regelt den Schutz der Persönlichkeit und der personenbezogenen Informationen. Zudem unterstützt es die Wahrung der Privatsphäre. Das Gesetz schützt nicht die Daten, sondern die verfassungsmässige persönliche Freiheit. Es will den freien Informationsfluss nicht verhindern, ihn aber dort unterbinden, wo Missbrauch zu befürchten ist. Geschützt werden in erster Linie die Personendaten, also alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Besonders schützenswerte Personendaten sind dabei: die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre sowie die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Verfolgungen und Sanktionen.

Das DSG umfasst neben dem eigentlichen Bundesgesetz über den Datenschutz auch die Verordnung zum Bundesgesetz über den Datenschutz (VDSG) und Leitfäden zum DSG. Einer von diesen ist etwa der «Leitfaden zu technischen und organisatorischen Massnahmen». Diese Leitfäden enthalten sehr konkrete, umsetzbare Massnahmen, die gemessen werden können.

Doch wie lassen sich diese Vorgaben in der Praxis umsetzen? Hierbei können Verfahrensstandards weiterhelfen. Die Frage nach diesen Standards drängt sich insbesondere dann auf, wenn die für den eigenen Betrieb gebaute Lösung aufwändig und qualitativ hoch stehend ist. Wo liegen die Unterschiede zwischen individueller Lösung und jener, die an einen Standard anlehnt? Kernpunkt ist die Gewissheit über das Vorhandensein gewisser Sicherheitsvorkehrungen. Noch vor fünf Jahren entwickelten Kunden und Anbieter eigene Lösungsansätze und Massnahmenkataloge. Das Management kontrollierte mit der Frage, ob dabei an alle Szenarien und Risiken gedacht wurde. Transparent aufzuzeigen, dass alle wichtigen Massnahmen getroffen wurden, war anspruchsvoll und allein vom Vertrauen gegenüber dem Security Officer abhängig. Im Schadensfall war es aufwändig, zu widerlegen, dass keine Fahrlässigkeit vorlag.

Dank dem Einsatz von Standards können Management wie Kunden davon ausgehen, dass die wesentlichen Risiken berücksichtigt sind. Zu prüfen bleibt, ob der Standard tatsächlich umgesetzt und gelebt wird.

Da an sich jedermann einen Standard herausgeben kann und niemand die Standards koordiniert, sind entsprechend viele zu finden. Selbstverständlich gibt es für dasselbe Thema jeweils mehrere Normen, dafür haben alle eine andere Auswahl der beschriebenen Themen. Die Folge ist ein veritabler Standarddschungel! Folgende Übersicht zeigt Standards, welche für die Informationssicherheit wichtig sind.

Grob unterteilen lassen sich die vielen Normen anhand der Institutionen, welche sie herausgegeben und verabschiedet haben. Eine der wichtigsten Normgeberinnen ist die Britisch Standards Institution (BSI), die nationale Standardisierungsbehörde von Grossbritannien. Die Briten haben eine ganze Familie von Standards zur Informationssicherheit. Bezeichnend sind das Kürzel vor der Nummer (BS) und die Nummernfolge.

Ausgehend von einem bestehenden «Code of Practise» entwickelte das BSI die Standardfamilie BS 7799. Dabei ist der BS 7799-1 ein Leitfaden für die Umsetzung von Informationssicherheit, der BS 7799-2 ein Leitfaden für die Umsetzung eines Security-Management-Systems und der BS 7799-3 ein Leitfaden für das Risikomanagement in der Informationssicherheit.

Die heute gültigen Versionen der Standards sind zum Teil vergleichbar mit den Normen der International Organization for Standardization (ISO), da das BSI die ISO-Standards übernommen hat. BS 7799-1 ist in ISO 17799 aufgegangen, BS 7799-2 in ISO 27001. Der BS 7799-3 zum Risikomanagement ist der aktuell gültige.

Eine weitere Norm der Briten ist der BS 25999. Dieser BSI-Standard befasst sich mit Business Continuity Management, einer wichtigen Teil-Disziplin der Informationssicherheit.

Um die Verwirrung zu vervollständigen, gibt es zwei Institutionen, die sich mit BSI abkürzen. Neben dem bereits eingeführten BSI von den britischen Inseln gibt es noch ein deutsches BSI. In Deutschland steht die Abkürzung für das Bundesamt für Sicherheit in der Informationstechnik. Dieses BSI ist Herausgeber in und «Hüterin» des Grundschutzhandbuches, das 2005 in «IT-Grundschutz-Kataloge» umgetauft wurde. Daneben gibt es die BSI-Standards, die sich mit Sicherheitsmanagement und Risikoanalyse befassen.

Ziel der IT-Grundschutz-Kataloge und des IT-Grundschutzes ist es, durch infrastrukturelle, organisatorische, personelle und technische Sicherheitsmassnahmen ein Standard-Sicherheitsniveau für IT-Systeme aufzubauen (mittlerer Schutzbedarf), welcher für sensiblere Bereiche ausbaufähig ist.

Das Werk ist in die Kataloge «Bausteine», «Gefährdungskataloge» und «Massnahmenkataloge» gegliedert. Die Massnahmenkataloge enthalten Sicherheitsmassnahmen aus den Bereichen Infrastruktur, Organisation, Personal, Hard- und Software, Kommunikation und Notfallvorsorge. Zielgruppen des IT-Grundschutzhandbuchs sind Behörden und Unternehmen aller Grössenordnungen. Die Anwendungsweise des ITGsHB ist modulorientiert (Schichtenmodell) und umfasst übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und einzelne IT-Anwendungen. Anhand der Bestandteile der eigenen Umgebung wählt der Anwender geeignete Bausteine aus und erstellt dadurch ein «Modell» der IT-Landschaft.

Neben den Katalogen gibt es drei BSI-Standards. Diese enthalten Empfehlungen insbesondere zu Verfahren und Vorgehensweisen in der Informationssicherheit. Der BSI-Standard 100-1 behandelt Managementsysteme für Infomationssicherheit (ISMS), der 100-2 regelt die «IT-Grundschutz-Vorgehensweise» und der 100-3 die «Risikoanalyse auf der Basis von IT-Grundschutz».

Die dritte IT-Security-relevante Normierungsinstitution ist die ISO (International Organization for Standardization). Sie ist ein Netzwerk der nationalen Standardisierungsorganisationen und dient vor allem dazu, die nationalen Standards zu vereinheitlichen und zu koordinieren. In Sachen Normierung geht Ihr dabei auch die International Electrotechnical Commission (IEC) zur Hand.

In Bezug auf Informationssicherheit ist die ISO im Begriff, eine Familie von Standards zu etablieren und dafür die Nummern 2700x zu verwenden. Konkret sind folgende ISO-Standards für die Informationssicherheit wesentlich: ISO 27001:2005.

Um den zweiten Teil (BS 7799-2) zu einer ISO/IEC-Norm zu adaptieren, setzte sich das Joint Technical Commitee JTC 1 an einen Tisch. Der entstandene ISO/IEC 27001: 2005 entspricht nun dem BS7799-2:2005 und ist kompatibel mit anderen ISO-Standards wie ISO 9001 und ISO 14001. Der Standard beschreibt den Aufbau und die Pflege eines Information-Security-Management-Systems.

Ausgehend vom BS 7799-1:1995 wurde der ISO 17799 entwickelt. Dieser ähnelt seinem «Vater» stark. Der BS 7799:2000 ist dann gleichbedeutend mit ISO/IEC 17799:2000. Dies resultiert daraus, dass der ISO-Standard vom British Standard Institut (BS 7799) abgeleitet und im so genannten «Fast Track Procedure» zum ISO-Standard entwickelt und adaptiert wurde. Anpassungen wurden mit dem PDCA-Vorgehensmodell (Plan, Do, Check, Act) gemacht. Im April 2007 wurde der Standard zu ISO 27002. Dieser beinhaltet folgende Kapitel: Sicherheitspolitik, Organisation der Informationssicherheit, Asset Management, Sicherheit beim Personal, physische Sicherheit, Kommunikation und Betrieb, Zugriffskontrolle, Erwerb, Entwicklung und Unterhalt von Systemen, Incident Management, Business Continuity Management sowie Einhaltung von Gesetzen und Regulatorien.

Die vorgestellten Standards entsprechen nur einem Ausschnitt aus den Standards für Informationssicherheit, die weltweit exisitieren. Die Auswahl ist für den deutschsprachigen Raum repräsentativ. Ob das Management nun als Sicherheitsstandard die ISO-Familie (bzw. die britische BSI-Familie) verwendet, oder sich an den deutschen Grundschutzkatalogen orientiert, ist nicht Match-entscheidend. Wichtig ist es, sich an einem der hierzulande gebräuchlichen Standards zu orientieren. Orientieren heisst, den Standard zu befolgen und wesentliche Abweichungen in dokumentierten Entscheiden zu begründen.