Die BSI IT-Grundschutz-Vorgehensweise ist ein bis ins Detail konkretisierter Standard. Jedenfalls auf den ersten Blick, denn bei genauerer Betrachtung lässt sie viel Raum für Anpassungen. Warum die Individualisierung der Vorgehensweise oft sinnvoll ist, Entscheidungen nicht für die Ewigkeit sind und wie sie trotzdem das richtige Tool für Ihr Unternehmen finden, lesen Sie im folgenden Beitrag von Michael Langhoff, Geschäftsführer der HiScout GmbH.
Vorgehen nach BSI IT-Grundschutz
Die wenigsten Unternehmen stellen die Notwendigkeit des Betriebes eines Information Security Management Systems (ISMS) in Frage und meiden die Investition. In Hinblick auf die Schwierigkeit, diesem Invest einen Ertrag gegenzurechnen, stellen diese Investition ein gutes Zeichen in Bezug auf ein geschärftes Bewusstsein für die stetig wachsende Bedrohungslage dar. Dieser müssen sich sowohl die öffentliche Hand als auch die freie Wirtschaft stellen und dafür Lösungen entwickeln.
Während die Entscheidung bezüglich der Freigabe der Ressourcen meist noch leicht fällt, so bereitet die Beantwortung der Frage nach dem Standard des IT-Sicherheitsmanagementsystems größere Schwierigkeiten. Ist die Organisation nicht bereits durch gesetzliche Vorgaben zur Nutzung des IT-Grundschutzes angehalten, muss evaluiert werden, welche Anforderungen das Unternehmen selbst sowie die weiteren interessierten Parteien (z.B. Gesetzgeber, Geschäftspartner) an das Unternehmen stellen.
Bei der Wahl des Standards ist zu berücksichtigen, dass der Detailgrad, in welchem die IT Grundschutz-Vorgehensweise definiert ist, nicht als Einschränkung, sondern als kostenfreie, vielfach bewährte Hilfestellung begriffen werden sollte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Jahren einen wertvollen Beitrag für das Sicherheitsniveau nicht nur in Deutschland geleistet. Einen besonderen Mehrwert stellt das klare Vorgehen in Kombination mit den Grundschutzkatalogen dar. Eine große Menge an Fachwissen steht direkt zur Verfügung und muss nicht aufwendig individuell erarbeitet werden. Im Verhältnis von Erhöhung des Sicherheitsniveaus zur Dauer der Einführung ist kein anderer Standard dem BSI IT-Grundschutz gleichzusetzen. Sollte die Entscheidung jedoch auf die ISO 27001 als Standard fallen, dann gibt der BSI IT-Grundschutz als Ergänzung dennoch sehr gute Hilfestellungen durch den Detail- und Konkretisierungsgrad.
Maßanzug vs. Grundschutz von der Stange
Ziel eines Standards ist die Festlegung der Rahmenbedingungen und die Möglichkeit, eine Vergleichbarkeit zu schaffen. Ebenso soll ein standardisiertes Vorgehen sicherstellen, dass eine Vorgehensweise in der Art implementiert wird, wie es der Herausgeber vorsieht. An dieser Stelle wäre jedoch die Schlussfolgerung falsch, dass der BSI IT-Grundschutz Standard wenig Raum für die optimale Ausrichtung an den individuellen Bedürfnissen der Organisation zulässt.
Bereits bei der Strukturanalyse und der Schutzbedarfsfeststellung gilt es, den Aufwand sowohl auf Seiten der IT als auch auf Seiten des Sicherheitsbeauftragten möglichst gering zu halten. Die Durchführung der Strukturanalyse mit massiven Abweichungen von der IT-Datenstruktur erhöht die Aufwände unnötig. Sowohl bei der initialen Aufnahme als auch bei der Pflege wird die Datenqualität vermindert und führt zu Spannungen. Besonders empfehlenswert ist eine Anpassung des Grundschutzvorgehens an die Organisation, wenn die IT den Fachprozessen einen IT-Servicekatalog anbietet und die benötigen Ressourcen den Services zugeordnet werden. Daraus resultiert auch eine vereinfachte Schutzbedarfsfeststellung. Hier kann der Schutzbedarf beispielsweise am Fachprozess erhoben und somit über die gebuchten Services auf die konkreten Ressourcen vererbt werden.
Auch wenn viele Beispiele für weitere individuelle Anpassungen innerhalb des Standards 100-2 existieren, darf das Gesamtbild nicht aus den Augen verloren werden. Die Aufgabe der IT-Sicherheit übersteigt bei weitem die Dokumentation eines Sicherheitskonzeptes für einen oder mehrere Verbünde. In jeder Organisation besteht eine Vielzahl an Sicherheitsprozessen, die gelebt werden müssen. Sie sind meist sehr individuell, sozusagen der „Fingerabdruck“ der Organisation und daher immer an die Organisation anzupassen.
In einem Managementsystem greift der Grundgedanke eines Regelkreises. Dies hat zur Folge, dass stetige Überprüfung und Anpassung des Systems feste Bestandteile und, bei einer möglichen Zertifizierung, sogar verpflichtend sind. Das System ist daher in seiner Ausgestaltung höchst flexibel und untersteht einem stetigen Wandel. Prozesse, welche sich heute noch mit Officeanwendungen auf einem geschützten Netzlaufwerk managen lassen, können durch Compliance-Anforderungen oder den Zwang zur Effizienz schon morgen einen dokumentierten, verteilten und revisionssicheren Prozess erfordern.
Wie wird das richtige Tool gewählt?
Mit der Abkündigung des Supports für das GSTOOL, der Einführung des IT Sicherheitsgesetzes und der Modernisierung des Grundschutzes durch das BSI erlangt das Thema Toolauswahl für viele Organisationen an Bedeutung. Fast alle Anbieter einer Alternative zum GSTOOL beherrschen die IT-Grundschutzvorgehensweise aufgrund der klaren Vorgaben durch den BSI IT-Grundschutz. In der Kür sind die Unterschiede jedoch groß.
Zu Beginn muss die grundsätzliche Entscheidung getroffen werden, ob das gesamte Informationssicherheitssystem durch ein Tool unterstützt werden soll. Die Frage nach dem grundsätzlichen Betrieb eines ISMS wird vielen Organisationen dabei bereits durch entsprechende Vorgaben im IT-Sicherheitsgesetz abgenommen. Je nach Bedarf und dem gewünschten Grad der Unterstützung trennt sich bei den angebotenen Lösungen die Spreu vom Weizen.
Einige Lösungen sind in sich geschlossene Tools, die das Grundschutzvorgehen gut unterstützen, jedoch nur sehr aufwendig spätere Anpassungen und Erweiterungen ermöglichen. Die HiScout GmbH setzt auf eine generische Plattform (anpassbare Sichten, Schnittstellen, Reports) und ein zentrales, anpassbares Datenmodell, um ein Maximum an Flexibilität zu gewährleisten. Die Informationssicherheits-Module sind dabei so geschnitten, dass sich sowohl das reine Grundschutz-Vorgehen (gemäß BSI Standard 100-2) als auch eine komplette Unterstützung des ISMS (ISO 2700X Normenreihe) einführen und betreiben lassen. Zudem können bei Bedarf weitere Module hinzugefügt werden, welche dann die bereits erfassten Daten nutzen. Eine Investition in eine Insellösung, welche sich später als Sackgasse herausstellt, wird so vermieden.
Bezüglich der Prozessunterstützung ist auch darauf zu achten, was der Anbieter tatsächlich unter dem Begriff „Workflow“ versteht. Zwischen einer „Prozessdokumentation“, also der einfachen Mitschrift, dass eine bestimmte Aktion erledigt ist und einem tatsächlichen, rollenbasierten Userbereich mit anstehenden Aufgaben, sind auf dem Markt viele Variationen vertreten.
Die Auswahl einer Lösung, welche sich nicht nur am aktuellen, sondern auch an zukünftigen Anforderungen messen lassen muss, ist keine einfache Aufgabe. Vermieden werden sollte aber bei allem Zeitdruck eine überstürzte Migration auf ein eventuell ungeeignetes Tool oder der Einsatz einer eingeschränkten Lösung. Es sollte auf ein Tool gesetzt werden, welches zwei zentrale Eigenschaften besitzt: Einerseits sollte es im Auslieferungszustand am BSI-Standard ausgerichtet sein, um den initialen Ein- oder Umstieg möglichst einfach zu gestalten. Andererseits sollte es durch einfache Anpassbarkeit und eine flexible Plattform in der Lage sein, spätere Erweiterungen und Anpassungen problemlos zu unterstützen, damit der Grundschutz von der Stange zum Maßanzug werden kann.
Weitere Informationen unter www.hiscout.de.