Betriebssicherheit gemäß ISO 27002

Nahezu jedes Unternehmen ist heutzutage in weiten Teilen vom Einsatz informationsverarbeitender IT-Systeme abhängig. Mängel bei der Betriebssicherheit wirken sich unmittelbar und wesentlich auf die Informationssicherheit aus. Der ordnungsgemäße und sichere Betrieb der IT-Systeme ist deshalb Inhalt des Kapitels 12 der ISO/IEC 27002:2015. Wir erklären Ihnen die abstrakten Anforderungen der Norm und wie eine Umsetzung in der Praxis aussehen kann.

Die Anforderungen der ISO 27002

Die ISO 27002 konkretisiert die ISO 27001 und bietet konkrete Umsetzungsvorschläge. Im Folgenden erläutern wir Ihnen die einzelnen Unterkapitel des Kapitels 12 der ISO/IEC 27002:2015. Hierbei können wir selbstverständlich nicht auf alle Details eingehen und die praktische Umsetzung im Unternehmen nur skizzieren.

Im Unternehmen sind relevante Prozesse und Anleitungen zu implementieren, die den relevanten Mitarbeitern zugänglich zu machen sind. Dies umfasst hauptsächlich das Störungs-, Change- und Problemmanagement.

Des Weiteren ist ein Änderungsmanagement einzuführen, durch welches Änderungen an Organisation, Geschäftsprozessen oder Systemen nachvollzogen werden können. Idealerweise ist eine möglichst umfangreiche Protokollierung einzuführen, um eine möglichst detaillierte Nachvollziehbarkeit zu erreichen.

Es hat eine Kapazitätssteuerung zu erfolgen, durch welche die bisherige Auslastung überwacht und eine Prognose über die zukünftigen Anforderungen erstellt wird. Sinnvoll ist eine Überwachung der Systemkomponenten wie CPU, RAM und Festplattenspeicher, jedoch auch der übrigen Ressourcen wie Bandbreite, Kühlung und USV.

Die Entwicklungs-, Test- und Betriebsumgebung sind voneinander zu trennen. Hintergrund ist, dass hierdurch das Risiko eines unbefugten Zugriffs bzw. Änderungen an der Betriebsumgebung verringert werden kann. Schließlich sind neue Entwicklungen nicht immer sicher und können schlimmstenfalls negative Auswirkungen auf die gesamte Umgebung auswirken. Eine Lösung können eigene, vom Netzwerk getrennte Systeme oder virtuelle Systeme sein.

Malware kann sämtliche Grundwerte der Informationssicherheit erheblich beeinträchtigen, weswegen der Schutz hiervor höchste Priorität genießt. Ein Schutz vor Schadsoftware wird zunächst dadurch erreicht, dass ein Befall durch vorbeugende Maßnahmen bereits im Vorfeld verhindert wird.

Da dies nicht immer möglich ist, ist eine Erkennung ebenso wichtig. Zudem sollten Wiederherstellungsmaßnahmen umgesetzt werden, falls es zu einem Befall kommt. Überdies ist eine angemessene Sensibilisierung der Benutzer unabdingbar, da die meisten Systeme über fehlerhafte Handlungen der Benutzer befallen werden.

Eine Datensicherung aller relevanten Systeme hat regelmäßig zu erfolgen. Jedes Unternehmen hat einen Großteil der relevanten Daten in informationsverarbeitenden Einrichtungen. Umso gravierender ist es, wenn die Informationen der letzten Tage oder Wochen oder gar alle Daten verloren gehen. Je nach Branche kann ein solcher Informationsverlust ein Unternehmen in die Insolvenz führen.

Zunächst ist klarzustellen, dass Datensicherung nicht mit Archivierung verwechselt werden darf. Bei letzterer sollen bestimmte Informationen über einen längeren Zeitraum gespeichert werden, wohingegen bei der Datensicherung alle relevanten Informationen für einen begrenzten Zeitraum gesichert werden. Wird hierbei nicht unterschieden, dann führt dies neben einem erhöhten Ressourcenbedarf auch zu datenschutzrechtlichen Problemen.

Es sind auf jeden Fall zentrale Systeme und Datenbanken regelmäßig zu sichern. Endgeräte können hierbei ausgenommen werden, wenn keine Produktivdaten, sondern lediglich Arbeitskopien gespeichert werden. Dies kann technisch erzwungen oder durch Schulung der Mitarbeiter erreicht werden.

Zu empfehlen ist das Vorhalten mehrerer Generationen von Backups, da ein Fehler nicht immer sofort auffällt oder Malware ggf. erst verspätet aktiv wird. Ebenso wichtig ist es, die Sicherungen nicht an einem Ort aufzubewahren, sondern zumindest in unterschiedlichen Brandabschnitten. Noch besser ist die Replikation in andere Rechenzentren, auch wenn dies mit höheren Kosten verbunden ist.

Zuletzt sollte regelmäßig überprüft werden, ob die Datensicherung auch zurückgespielt werden kann.

Zunächst sind Ereignisprotokolle zu erstellen, die Benutzertätigkeiten, Ausnahmen, Störungen und Informationssicherheitsvorfälle aufzeichnen. Je kritischer die Informationen sind, desto detaillierter sollte die Protokollierung erfolgen. Entscheidend ist auch, dass die Protokollierung für eine gewisse Zeit aufbewahrt und regelmäßig überprüft wird, da erst damit ein Mehrwert erreicht wird. Es muss jedoch auch der Datenschutz beachtet werden, weswegen Protokollinformationen nicht beliebig umfangreich erhoben bzw. aufbewahrt werden dürfen.

Die Protokollierung muss gesichert erfolgen, d.h. sie muss vor Manipulation und unbefugtem Zugriff geschützt werden. Gerade wenn ein vorsätzlicher Angriff erfolgt, wird der Angreifer versuchen seine Spuren zu verwischen. Es ist daher sicherzustellen, dass die gespeicherten Informationen nicht verändert werden können.

Besonderes Augenmerk bei der Protokollierung ist auf die eigenen Administratoren zu legen. Gerade bei diesen ist es wichtig zu verhindern, dass eigenmächtig Veränderungen vorgenommen werden können. Der eigene Administrator stellt aufgrund seiner Zugriffmöglichkeiten eine besondere Gefahr dar, insbesondere wenn er sich nicht mehr an den Interessen des Unternehmens orientiert. Da andere Schutzmaßnahmen gegen diesen nicht helfen, stellt eine Protokollierung unter Umständen die letzte Abschreckung dar.

Zuletzt müssen die Uhren aller relevanten Systeme innerhalb des Unternehmens bzw. des Sicherheitsbereichs mit einer Referenzzeitquelle synchronisiert werden. Unterschiedlich laufende Uhren können in informationsverarbeitenden Systemen vorherseh- oder unvorhersehbare Folgen auslösen.

Ein Verfahren zur Steuerung der Installation von Software auf Systemen in Betrieben muss umgesetzt sein. Es bietet sich zunächst an, dass nach Möglichkeit Standard-Software eingesetzt wird. Sie hat den Vorteil, dass durch eine weite Verbreitung bereits viele Unternehmen die Software getestet haben und dadurch Schwachstellen geschlossen bzw. Fehler behoben wurden. Gleichzeitig ist auch der Support in diesem Bereich besser und es kann auf eine größere Wissensbasis zurückgegriffen werden. Neue IT-Mitarbeiter müssen sich ggf. nicht langwierig in die Software einarbeiten. Die Standard-Software sollte vorinstalliert sein. Sollte dennoch Spezialsoftware benötigt werden, dann sollte diese vor dem Einsatz auf einem vom Netzwerk getrennten Testsystem geprüft werden. Auch Cloud-Software ist vor der Verwendung entsprechend zu prüfen.

Für alle Arten von Software sollte eine entsprechende Checkliste entworfen werden, mit der dann auch gleichzeitig eine ausreichende Dokumentation erfolgt.

Es sind zunächst Informationen über technische Schwachstellen einzuholen, um anschließend das Gefährdungspotential bewerten zu können. Anschließend sind angemessene Maßnahmen zu ergreifen, um das dazugehörige Risiko zu behandeln.

Der wichtigste Punkt ist diesem Bereich ist ein funktionierendes Patchmanagement. Da in der Regel Standardsoftware verwendet wird und bei dieser selbst keine Änderungen vorgenommen werden können, ist das Unternehmen auf die Updates durch den Hersteller angewiesen. Diese sind vorab zu testen, um durch das Patchen keine weiteren Sicherheitslücken oder Probleme entstehen zu lassen. Bei Cloud-Software muss das Patchmanagement durch den Betreiber erfolgen, was bereits bei der Prüfung des Dienstes berücksichtigt werden und in die Bewertung einfließen soll.

Des Weiteren sind alle verfügbaren Informationen zu den eigenen Systemen heranzuziehen. Ein Beispiel für allgemeine Schwachstellen sind die Dienste von Heise.de oder dem BSI (Bundesamt für Sicherheit in der Informationstechnik). Wird eine technische Schwachstelle bekannt, für die noch kein Patch besteht, dann ist genau abzuwägen, wie schwerwiegend die Schwachstelle ist und ob das System bzw. Teile oder Funktionen davon zwischenzeitlich deaktiviert bzw. vom Netz genommen werden müssen.

Es ist zudem technisch abzusichern, dass Benutzer ohne Autorisierung keine Software installieren können. Dies kann bei den meisten Endgeräten durch Einstellungen bzw. ein Mobile Device Management (MDM) erreicht werden. In der Regel sind dann administrative Rechte erforderlich. Da beim Einsatz von Cloud-Diensten keine Installation erforderlich ist, beschränkt sich die Verhinderung des Einsatzes auf organisatorische bzw. disziplinarische Maßnahmen.

Um Störungen im Betrieb durch Audits zu verhindern bzw. möglichst gering zu halten, sind diverse Maßnahmen umsetzen. Hierzu gehört, dass ein etwaiges Audit in der Vorbereitung mit dem Management abgestimmt wird und anhand des Auditplans die Anforderungen und beteiligten Personen bestimmt werden. Ein Audit ohne die Zustimmung der Geschäftsführung darf nicht durchgeführt werden.

Während des Audits ist darauf zu achten, dass nur lesend auf Software und Daten zugegriffen wird. Sollte das nicht möglich sein, dann sollte mit einer isolierten Kopie gearbeitet werden, die im Anschluss sicher gelöscht wird. Ist es notwendig Prüfungen durchzuführen, die Einfluss auf die Systemverfügbarkeit haben, dann muss dies nach Möglichkeit außerhalb der Geschäftszeiten erfolgen. Selbstverständlich hat auch eine Überwachung und Protokollierung der Auditierung stattfinden.

Umsetzung in der Praxis

In der Praxis hat es sich bewährt, ein unternehmensweit gültiges Konzept zur Betriebssicherheit zu entwerfen. Innerhalb dieses Regelungsdokuments wird zum Teil auf andere Dokumente und Maßnahmen verwiesen. Es würde den Rahmen sprengen, wenn alle Informationen direkt enthalten wären. Insofern ist das Konzept auch als übergreifendes Werk zu verstehen, welches durch andere Dokumente und Maßnahmen ergänzt wird und auf diese verweist.

Das Konzept soll Grundregeln zur Betriebssicherheit aufstellen, wie der ordnungsgemäße und sichere Betrieb von Einrichtungen zur Informationsverarbeitung sichergestellt werden kann. Daher sind die eingesetzten technischen und organisatorischen Maßnahmen genau zu beschreiben. Es sollten detaillierte Arbeitsanweisungen und weitere Informationen zum konkreten Vorgehen enthalten sein.

Dabei ist es nicht erforderlich, dass das Unternehmen alle Maßnahmen selbst erbringt. Es ist in der Praxis üblich, insbesondere bei kleineren Unternehmen, diverse Maßnahmen im Rahmen der Betriebssicherheit an Dienstleister auszulagern.

Sofern im Dokument alle Normanforderungen behandelt werden, wird die Betriebssicherheit hierdurch merklich erhöht und ein weiterer Schritt zur erfolgreichen ISO/IEC 27001:2015-Zertifizierung ist gemacht.

Bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten – wir begleiten Sie bis zur erfolgreichen Zertifizierung (ISO 27001, B3S, TISAX)!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.