Worum geht es?
Informationssicherheit wird oft mit IT-Sicherheit gleichgestellt oder verwechselt. Dabei geht es bei der Informationssicherheit um deutlich mehr und im Ergebnis geht es auch bezogen auf die IT regelmäßig nicht um die Sicherheit der eingesetzten Geräte, sondern vielmehr der darauf betriebenen Software. Diese Anwendungen, egal ob lokal oder im Web betrieben, sind primäres Angriffsziel von Cyberkriminellen und auch im Übrigen wirken sich Sicherheitsschwächen möglicherweise schnell und gravierend aus.
Was empfiehlt die ISO 27002?
Die Norm gibt im Kapitel 8.26 etliche Empfehlungen mit dem Ziel, die Sicherheit sowohl im Entwicklungs- bzw. Beschaffungsprozess als auch während des Betriebs von Anwendungen systematisch zu verankern. Neben den Anforderungen an die Funktionalität müssen auch die konkreten Sicherheitsanforderungen für Anwendungen identifiziert, dokumentiert und in allen relevanten Phasen des Entwicklungs- oder Beschaffungsprozesses berücksichtigt sein.
Aus Sicht der ISO 27002 sollte bei entsprechenden Planungen insbesondere an die folgenden Anforderungen gedacht werden:
- Welcher Grad an Vertrauen in die Identität von Entitäten ist notwendig und was hat dies für Auswirkungen beispielsweise auf die Frage der unterstützten Authentisierung?
- Welcher Art sind die Informationen, die mit der Anwendung verarbeitet werden sollen und wie sind diese zu klassifizieren?
- Ist es notwendig, den Zugang zur Anwendung selbst, den Zugang zu Daten darin oder zu bestimmten Funktionen in der Anwendung zu beschränken? Wer darf sich anmelden, wer sieht was und wer kann welche Funktionen auslösen und beispielsweise Daten löschen oder verändern?
- Wie widerstandsfähig muss die Lösung gegenüber Störungen oder gar böswilligen Angriffen sein?
- Unterstützt die Anwendung bestehende rechtliche oder sonst verbindliche Anforderungen? Ist es beispielsweise möglich, Veränderungen im Detail zu protokollieren und nachvollziehbar zu machen und eindeutig sowie zweifelsfrei einem Urheber zuzuordnen? Können Daten so lange archiviert werden wie notwendig und dann aber auch sicher gelöscht werden?
- Was sind die konkreten Belange des Datenschutzes und die Anforderungen an den Schutz der Information an sich und können diese angemessen umgesetzt werden?
- Lassen sich Daten in jeder Phase ihrer Verarbeitung und auch bei einer möglichen Übermittlung ihrem konkreten Schutzbedarf entsprechend schützen? Erlaubt die Lösung insbesondere eine sichere Verschlüsselung?
- Ist es ggf. notwendig und dann auch möglich, Eingaben inhaltlich zu überprüfen bzw. zu validieren?
- Müssen Umgehungsmöglichkeiten berücksichtigt werden? Lassen sich beispielsweise Freitextfelder deaktivieren, in die sonst beliebige und damit auch kritische Daten eingegeben werden können?
- Ist es notwendig und möglich, die Anwendung in die bereits vorhandene Sicherheitsarchitektur zu integrieren? Arbeitet sie mit den bestehenden Protokollierungs- und Überwachungssystemen zusammen; werden genutzte Protokolle und Schnittstellen unterstützt? Werden in diesem Zusammenhang notwendige (Fehler-)Meldungen generiert und lassen sich diese auch auswerten?
Im Hinblick auf einige besondere Verarbeitungssituationen werden in Kapitel 8.26 der ISO 27002 noch einige ergänzende Hinweise gegeben:
- Bei der Kooperation mit Partnern sind die bereits genannten Punkte entsprechend zu bedenken. Insbesondere muss definiert und dann auch angemessen umsetzbar sein, wer unter welchen Umständen und über welche Mechanismen auf welche Informationen zugreifen darf. Ebenso sollte zweifelsfrei nachvollziehbar sein, wenn dies geschehen ist.
- Kooperationen dürfen nicht indirekt dazu führen, dass eigene Anforderungen an die Informationssicherheit ausgehöhlt werden. Dementsprechend müssen beispielsweise auch Anforderungen an Vertraulichkeit sowie die Geheimhaltung bestimmt und verbindlich vereinbart werden.
- Von zunehmender Bedeutung sind auch die gegebenenfalls von Versicherungen gestellten Bedingungen an die Informationssicherheit, deren Missachtung den Versicherungsschutz infrage stellen kann.
- Abschließend nennt die Norm noch einige spezielle Gesichtspunkte für elektronische Bestell- und Zahlungsanweisungen, auf die an dieser Stelle nicht weiter eingegangen wird.
Fazit
Der bereits eingangs genannte Gedanke, dass die Belange der Informationssicherheit nach Möglichkeit genauso selbstverständlich berücksichtigt werden sollen, wie die Anforderungen an die Funktionalität von Anwendungen, kann nicht genügend betont werden. Zu oft stehen bei Beschaffungen die Begehrlichkeiten im Vordergrund, was eine Anwendung zur Erleichterung oder Ermöglichung unternehmerischer Prozesse alles kann und ermöglicht. Was die Anwendung aus rechtlichen Gründen oder im Rahmen der eigenen Informationssicherheit nicht können darf oder aber können sollte, wird oft vergessen. Die letztgenannten Gesichtspunkte spielen im Rahmen des Vertriebs auch meist eine eher nachgelagerte Rolle.
Aufgrund der immensen möglichen Auswirkungen und der regelmäßig doch längeren Bindung an eine einmal gekaufte oder entwickelte Lösung, sollte daher jedes Unternehmen in jeder Phase die genannten Überlegungen anstellen, um sich nicht plötzlich in einer unangenehmen Sackgasse wiederzufinden.
Organisationen sollten dafür sorgen, dass Sicherheitsanforderungen frühzeitig und systematisch in Entwicklungs- bzw. Beschaffungsprozesse eingebunden sind.