Der Grundschutzkatalog: Sicherheit nach Plan

Was ist hier schief gelaufen? Eigentlich nur Kleinigkeiten: Dem Ingenieurbüro Behmer fehlt ein RAID-System. Zudem hatte niemand geprüft, ob man das Backup zurückspielen kann. Bei der Schmidt AG wurden zwei wichtige Prozesse nicht dokumentiert: Was ist zu tun, wenn ein Mitarbeiter ausscheidet, und wie richtet man einen Remote-Zugang für neue Mitarbeiter ein. Um allgemeine Fehler wie diese zu vermeiden, wären Richtlinien nützlich, an denen sich das Unternehmen orientieren kann. Damit wären 80 Prozent der gängigsten Sicherheitsprobleme beseitigt. Die Verantwortlichen hätten den Kopf frei für die restlichen 20 Prozent und vor allem für das eigentliche Business. Um im Bild zu bleiben: Das Ingenieurbüro Behmer verdient nichts mit dem Fileserver. Fällt der Rechner aber aus, entstehen unter Umständen hohe Kosten.

Die IT-Grundschutzkataloge des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben solche allgemein gültigen Richtlinien an die Hand (www.bsi.de). Zu den Katalogen gehört auch eine konkrete Handlungsanweisung:

Zunächst sind alle Computersysteme und Anwendungen in Gruppen einzuteilen: Windows-PCs, Rechner für die Buchhaltung, die Datenbank, der Webserver, das ERP-System, die Personalabteilung. Selbstredend kann ein System zu mehreren Gruppen gehören. Zum Beispiel ist der Webserver gleichzeitig ein Linux-Server, die Rechner in der Personalabteilung auch Windows-PCs.

Für jede Gruppe muss definiert werden, ob die grundlegende Sicherheit (Baseline) ausreichend ist, oder ob höhere Anforderungen gelten. Da in der Personalabteilung personenbezogene Daten verarbeitet werden, muss hier der Datenschutz besonders berücksichtigt werden. Das ERP-System darf zum Beispiel nicht länger als zwei Stunden ausfallen, weil die Mitarbeiter sonst das Tagesgeschäft nicht erledigen können.

Im Bausteinkatalog der IT-Grundschutz-kataloge wird nun für jede Gruppen ermittelt, welche Gefährdungen bestehen und welche Massnahmen vorgeschlagen werden. Die Gefährdungen sind jeweils aufgeteilt in höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Handlungen. Zum Beispiel: Für ein Rechnerzentrum gibt es die Gefährdung «Unbefugter Zutritt zu schutzbedürftigen Räumen». Dieses Problem zählt zu den organisatorischen Mängeln, da es sich mit Vorschriften beseitigen lässt.

Zu den Massnahmen ist jeweils aufgeführt, wie wichtig sie sind - Prioritäten A bis C sowie Z für zusätzlich oder optional - und wer verantwortlich ist. Bei einem allgemeinen Server hat die Massnahme «Hinterlegen des Passwortes» die Priorität A, das «Einrichten einer Testumgebung für einen Server» ist aber nur Priorität Z. Anhand dieser Einordnung legen Unternehmen fest, welche Massnahmen zuerst umgesetzt werden müssen.

In der Onlineversion der IT-Grundschutzkataloge (www.bsi.de/gshb) sind Gefährdungen und Massnahmen abrufbar. Per Mausklick ermitteln Sie hier, welche Gefahr bei der «Nutzung des RAS-Clients als RAS-Server» besteht oder was bei «Notfallvorsorge für einen Server» zu tun ist.