14.10.2005, 07:25 Uhr
Sicherheit durch transparente Prozesse
Das Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) entschied sich bereits 1998, die teilweise vorherrschende technologische Sicht der Informatiksicherheit auf ein breiteres Fundament zu stellen.
Die IT-Sicherheit muss ganzheitlich beurteilt und durch integrale Massnahmen gesichert werden. IT-Sicherheit ist ein Prozess, ein iterativer Zyklus, welcher immer und immer wieder durchlaufen werden muss. Im VBS sind zurzeit über tausend Schutzobjekte (Systeme zur Informationsverarbeitung) im Projekt- oder Betriebsstatus. Die einzelnen Sicherheitsanforderungen dieser Schutzobjekte sind ebenso heterogen zusammengesetzt wie das Departement selbst.
Die Departementsbereiche Verteidigung, Bevölkerungsschutz und Sport sind von ihren Sicherheitsbedürfnissen her sehr unterschiedlich ausgerichtet. Ohne ein gesamtheitliches, ämterübergreifendes Managementsystem können diese Bedürfnisse nicht effizient abgedeckt werden. Die Folge wäre, dass die IT-Sicherheit bald einmal dem Spardruck zum Opfer fallen könnte.
Die Bewirtschaftung eines solch breiten Portfolios an Schutzobjekten, aber auch die sich rasant verändernde Bedrohungslage im IT-Bereich sowie der laufende Restrukturierungsprozess im VBS, bedingt ein IT-Sicherheits-Management-System.In diesem müssen die drei Bereiche Prozesse, Personen und Technologien gleichwertig berücksichtigt werden und ein harmonisches Zusammenspiel ergeben.
Früher dominierten oftmals technische Lösungsansätze. Heute nehmen die beiden anderen Bereiche zunehmend eine wichtigere Rolle ein. Unter der Leitung der zent-ralen Organisationseinheit Informatiksicherheit wurde das IT-Sicherheits-Management-System aufgebaut. In einem ersten Schritt wurde das Soll-Modell definiert, mit welchem das VBS in Zukunft die IT-Sicherheit weiterentwickeln will. Nach der Analyse der Ist-Situation und insbesondere der sich abzeichnenden Veränderungen im Rahmen der Reorganisation des Departements, konnte der Soll-Zustand definiert werden. Daraus wurde das neue IT-Sicherheits-Management-System abgeleitet und definiert. Die Wahl fiel auf einen prozess-orientierten Ansatz.
Von Anfang an war klar, dass dieses in der Umsetzung nur funktionieren kann, wenn das ganze System über klare, überblickbare und transparente Prozesse verfügt. Das Framework wird durch ein einfaches, selbstentwickeltes Tool unterstützt.
Die Departementsbereiche Verteidigung, Bevölkerungsschutz und Sport sind von ihren Sicherheitsbedürfnissen her sehr unterschiedlich ausgerichtet. Ohne ein gesamtheitliches, ämterübergreifendes Managementsystem können diese Bedürfnisse nicht effizient abgedeckt werden. Die Folge wäre, dass die IT-Sicherheit bald einmal dem Spardruck zum Opfer fallen könnte.
Die Bewirtschaftung eines solch breiten Portfolios an Schutzobjekten, aber auch die sich rasant verändernde Bedrohungslage im IT-Bereich sowie der laufende Restrukturierungsprozess im VBS, bedingt ein IT-Sicherheits-Management-System.In diesem müssen die drei Bereiche Prozesse, Personen und Technologien gleichwertig berücksichtigt werden und ein harmonisches Zusammenspiel ergeben.
Früher dominierten oftmals technische Lösungsansätze. Heute nehmen die beiden anderen Bereiche zunehmend eine wichtigere Rolle ein. Unter der Leitung der zent-ralen Organisationseinheit Informatiksicherheit wurde das IT-Sicherheits-Management-System aufgebaut. In einem ersten Schritt wurde das Soll-Modell definiert, mit welchem das VBS in Zukunft die IT-Sicherheit weiterentwickeln will. Nach der Analyse der Ist-Situation und insbesondere der sich abzeichnenden Veränderungen im Rahmen der Reorganisation des Departements, konnte der Soll-Zustand definiert werden. Daraus wurde das neue IT-Sicherheits-Management-System abgeleitet und definiert. Die Wahl fiel auf einen prozess-orientierten Ansatz.
Von Anfang an war klar, dass dieses in der Umsetzung nur funktionieren kann, wenn das ganze System über klare, überblickbare und transparente Prozesse verfügt. Das Framework wird durch ein einfaches, selbstentwickeltes Tool unterstützt.
Bereich Verfahren und Prozesse
Die notwendige Effektivität beim Schutz der Schutzobjekte kann nur erreicht werden, wenn alle Schutzobjekte identifiziert, erfasst und deren Schutzbedarf definiert ist. Das VBS hat dafür ein dreistufiges Sicherheitsmodell entwickelt, welches bereits in den Anfangsphasen der Projektplanung eingesetzt wird.
Alle Schutzobjekte werden aufgrund -einer Schutzbedarfsanalyse, welche Be-standteil des Projekmanagements ist, einer Schutzstufe zwischen 1 und 3 zugewiesen und priorisiert. So ist gewährleistet, dass der Projektleiter später nicht durch un-erwartete IT-Sicherheitskosten über--
rascht wird.
Das VBS verwendet das Projektmanagementmodell «Hermes». In der Ausgabe 2003 wurden neu die Aspekte der IT-Sicherheit eingearbeitet. Dank dieser Integration wird die IT-Sicherheit viel weniger störend oder projektverzögernd wahrgenommen.
Alle Schutzobjekte werden aufgrund -einer Schutzbedarfsanalyse, welche Be-standteil des Projekmanagements ist, einer Schutzstufe zwischen 1 und 3 zugewiesen und priorisiert. So ist gewährleistet, dass der Projektleiter später nicht durch un-erwartete IT-Sicherheitskosten über--
rascht wird.
Das VBS verwendet das Projektmanagementmodell «Hermes». In der Ausgabe 2003 wurden neu die Aspekte der IT-Sicherheit eingearbeitet. Dank dieser Integration wird die IT-Sicherheit viel weniger störend oder projektverzögernd wahrgenommen.
Die Schutzstufen
Schutzobjekte, welche allgemeine Informationen verarbeiten, speichern oder übertragen und somit nur geringe Anforderungen an die Aspekte der IT-Sicherheit stellen, werden der Schutzstufe 1 (Grundschutzbedarf) zugewiesen. Die Schutzanforderungen für derartige Schutzobjekte werden vorwiegend im Grundschutz durch Querschnittssicherheitskonzepte wie Netze, Virenschutz, FW-Policys, Zugriffs-Policys usw. sowie den übergeordneten Schutzvorgaben des Bundes abgedeckt.
Schutzobjekte, welche anhand der Schutzbedarfsanalyse einen hohen Schutzbedarf ausweisen, werden der zweiten Schutzstufe zugewiesen. Diese Schutz-objekte haben einem umfangreichen Anforderungskatalog gerecht zu werden, welcher alle verbindlichen Schutzvorgaben im VBS beinhaltet. Der Stand der Umsetzung dieser Schutzvorgaben wird mittels eines Sicherheitsberichts dokumentiert.
Für alle Schutzobjekte der Schutzstufe 3 wird pro Schutzobjekt zusätzlich zu den Schutzstufen 1 und 2 geltenden Anforderungen eine Risikoanalyse durchgeführt, wobei auch die Restrisiken aufgeführt werden. In einem Sicherheitskonzept (nach Hermes, ISDS-Konzept) wird das Ergebnis dokumentiert. In diesem werden unter anderem die Risikoanalyse, die Massnahmen und insbesondere deren Umsetzung dokumentiert.
Schutzobjekte, welche anhand der Schutzbedarfsanalyse einen hohen Schutzbedarf ausweisen, werden der zweiten Schutzstufe zugewiesen. Diese Schutz-objekte haben einem umfangreichen Anforderungskatalog gerecht zu werden, welcher alle verbindlichen Schutzvorgaben im VBS beinhaltet. Der Stand der Umsetzung dieser Schutzvorgaben wird mittels eines Sicherheitsberichts dokumentiert.
Für alle Schutzobjekte der Schutzstufe 3 wird pro Schutzobjekt zusätzlich zu den Schutzstufen 1 und 2 geltenden Anforderungen eine Risikoanalyse durchgeführt, wobei auch die Restrisiken aufgeführt werden. In einem Sicherheitskonzept (nach Hermes, ISDS-Konzept) wird das Ergebnis dokumentiert. In diesem werden unter anderem die Risikoanalyse, die Massnahmen und insbesondere deren Umsetzung dokumentiert.
Bereich Personen
Die Mitarbeiter sind auch im VBS ein Schlüsselelement für die IT-Sicherheit. Das Framework unterteilt diesen Bereich hauptsächlich in zwei Teile: Im Ersten ging es darum, die Sicherheitsorganisation innerhalb des Departements festzulegen. So verfügt das VBS heute über einen zentralen Bereich Informatiksicherheit, welcher zusammen mit der Arbeitsgruppe Informatiksicherheit VBS die zentralen Vorgaben erarbeitet und die Weiterentwicklung des Systems sicherstellt. Zusätzlich verfügen alle Bereiche über einen lokalen Ansprechpartner in Form eines Informatiksicherheitsbeauftragten.
Die andere Seite dieses Bereichs sind die Mitarbeiter, die die IT-Infrastruktur tagtäglich nutzen. Für diese wurden diverse computerunterstützte Ausbildungen, Hilfsmittel und Schulungen erarbeitet. Sensibilisierung, Schulung und Weiterbildung sind ein zentrales Element, um die IT-Sicherheit laufend verbessern zu können. Entsprechend wird diesem Aspekt in unserem Modell eine hohe Beachtung geschenkt.
Die andere Seite dieses Bereichs sind die Mitarbeiter, die die IT-Infrastruktur tagtäglich nutzen. Für diese wurden diverse computerunterstützte Ausbildungen, Hilfsmittel und Schulungen erarbeitet. Sensibilisierung, Schulung und Weiterbildung sind ein zentrales Element, um die IT-Sicherheit laufend verbessern zu können. Entsprechend wird diesem Aspekt in unserem Modell eine hohe Beachtung geschenkt.
Bereich Technik
Noch bis vor kurzer Zeit stand insbesondere für die Armee die Vertraulichkeit im Vordergrund. Doch mit der zunehmenden Durchdringung der Informatik, zum Teil bis hi-nunter zu einzelnen Soldaten, gewinnt die Verfügbarkeit laufend an Bedeutung. Die immer noch zunehmende Vernetzung und der höhere Bedarf an Mobilität führen dazu, dass bisher vorhandene physische Grenzen infolge der Vernetzung verschwinden. Und in diesem Bereich kommt der Technik eine äusserst wichtige Aufgabe zu. Das VBS basiert auf dem Carriernetz des Bundes. Dazu kommt ein armeeeigener unabhängiger Backbone, welcher die Kommunikation unter erschwerten Bedingungen hilft sicher zu stellen.
Schützenswerte Systeme werden durch stark geschützte Übergänge in dezidierten Bereichen betrieben. Intrusion-Detection und -Prevention-Systeme überwachen derartige Bereiche noch zusätzlich.Auch steht uns für die Prüfung der eingesetzten Komponenten ein eigenes Labor und eigene Kryptologen zur Verfügung.
Schützenswerte Systeme werden durch stark geschützte Übergänge in dezidierten Bereichen betrieben. Intrusion-Detection und -Prevention-Systeme überwachen derartige Bereiche noch zusätzlich.Auch steht uns für die Prüfung der eingesetzten Komponenten ein eigenes Labor und eigene Kryptologen zur Verfügung.
Fazit
Mit Hilfe von klaren Prozessen, geschulten und sensibilisierten Mitarbeitern, gepaart mit technologischen Schutzmassnahmen entwickelt das VBS sein IT-Sicherheitsmodell laufend weiter.
Stefan Gilgen
