Der Sächsische Datenschutzbeauftragte

Startseite Alle Themen im Überblick IT-Grundschutz
IT-Grundschutz PDF Drucken E-Mail
Der Einbruch in ein Netzwerk, die Entwendung von Daten, die Installation von Schadsoftware - die Liste der Datenpannen, die anscheinend täglich irgendwo auf der Welt passieren, ließe sich beliebig fortsetzen. Sie sind für alle davon Betroffenen ausgesprochen unangenehm, für Verantwortliche gelegentlich mit Konsequenzen verbunden und sie hinterlassen Schäden. Die Folgen sind neben Image- oder Vertrauensverlusten meist direkt materiell oder finanziell messbar.

Das Schadensereignis selbst steht dabei oft am Ende einer längeren Kette. Ob es eintritt, kann von vielen Faktoren abhängen. Mit etwas Glück fällt der neue Server nie aus, läuft das Betriebssystem stabil und der Bagger auf dem Nachbargrundstück gräbt tatsächlich am Glasfaserkabel vorbei. Oder die Informationen im eigenen Netzwerk sind so uninteressant, dass kein Cyberfreak daran ein Interesse entwickelt. Es gäbe natürlich auch noch den sogenannten Innentäter, aber vielleicht ja nicht im eigenen Netz.

Tritt ein Schaden ein,  ist es zunächst auch unerheblich, ob dem ein zufälliges oder ein absichtliches Ereignis zugrunde liegt. In beiden Fällen ist der Schaden zumindest eingetreten und muss erkannt, bewertet, eingegrenzt und beseitigt werden. Doch schon die Erkenntnis der Schädigung ist keineswegs selbstverständlich. Ein PC, der schon für sich gesehen gelegentlich nicht nachvollziehbar reagiert, verliert mit dem Anschluss an ein Netzwerk seine technische Abgeschiedenheit und gerät mit dem Anschluss an das Internet geradezu außer Kontrolle. Die Schadsoftware S., die sich Mitarbeiter M. beim Browsen im Internet unbemerkt auf seinen PC geladen hat, nur weil er als Benutzer mit Administratorrechten arbeitet oder sein Browser über eine nicht geschlossene Sicherheitslücke verfügt, wird sich nur noch selten mit der blinkenden Ausschrift "Schadsoftware erfolgreich installiert" auf dem Bildschirm melden. Sehr viel wahrscheinlicher wird die Schadsoftware weitere Computer infizieren, andere Software nachladen oder aber still und leise auf "Befehle" warten.

Das Beispiel macht auch deutlich, dass sich hier ein Grundmuster unserer Handlungsorientierungen verschiebt. Die Anweisung, die den Einsatz eines Virenscanners vorschreibt und das Anklicken unbekannter Inhalte verbietet, stellt auf die bewusste und wahrnehmbare Handlung einer Person ab. Jemand übertritt eine Schwelle, macht "aktiv" etwas, von dem man hätte wissen können, dass man es nicht hätte tun dürfen. Dieser Schutzansatz ist nicht falsch, wird aber aktuellen Bedrohungen nicht mehr gerecht. Wenn ein Nutzer nicht erkennen kann (was überwiegend der Falls ein dürfte), ob der Webserver, der die gewünschten Webseiten ausliefert, anfällig für Schwachstelle x ist und darüber Schadsoftware y verteilt, fehlt die aktive Mitwirkung auf seiner Seite und es kommt dennoch zum Schadensereignis.

Die schlechte Nachricht ist also, dass es keine 100prozentige Sicherheit vor dem Eintreten derartiger Schadensereignisse geben kann. Aber - alle beschriebenen Situationen sind nicht neu, und - diese Probleme haben alle! Entscheidend für die künftige Sicherheit ist zunächst die Einsicht, dass es diese ständige "offene Baustelle" überhaupt gibt.

Diese Einsicht muss in die Leitungsebene eines Unternehmens oder einer Behörde getragen und von dieser auch gelebt werden. Um sich dann in der Perspektive einem bewertbaren Sicherheitsniveau nachvollziehbar anzunähern, muss der Sicherheitsprozess eine Struktur erhalten. Aber gerade diese strukturierte Herangehensweise scheint in der Praxis oftmals eine Einstiegshürde zu sein, an deren Überwindung viele trotz guten Willens scheitern. Wo soll man anfangen, was gehört dazu, welche Fragen müssen gestellt und beantwortet werden?

Auf diese Fragen gibt es nicht DIE Antwort oder eine universelle Lösung. Zu unterschiedlich sind die jeweiligen Sicherheitsbedürfnisse oder die eingesetzte Hard- und Software. Aber es gibt Standards, die eine Orientierung für die Vorgehensweise bieten. Einer ist die ISO Norm 27001, umgesetzt in Deutschland in Form der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kostenfrei herausgegebenen IT-Grundschutzkataloge samt zugehörigem IT-Grundschutz-Tool.

Mit Hilfe dieses Werkzeuges lässt sich ein Managementprozess in Gang setzen, an dessen Ende ein sogenannter IT-Verbund mit all seinen Elementen hierarchisch abgebildet wird. Dazu gehören unter anderem Gebäude, Räume, Verfahren, Server, Clientsysteme, Netzwerke und Mitarbeiter. Für alle diese Elemente gibt es vordefinierte Bausteine (einschließlich einem 2007 erarbeiteten Datenschutzbaustein), die jeweils aus möglichen Gefährdungen und den zu ergreifenden Maßnahmen bestehen.

Aus diesem Baukasten kann ein(e) Sicherheitsverantwortliche(r) die relevanten Bausteine auswählen, deren Umsetzung erforderlich ist, um eine entsprechend bewertete Schutzstufe zu erreichen. Verantwortlichkeiten können verteilt und Termine - auch für spätere Revisionen - vergeben werden. So entsteht Schritt für Schritt ein Abbild: Die Summe der bereits ergriffenen im Verhältnis zu den insgesamt zu ergreifenden Schutzmaßnahmen. Diese Darstellung gibt der Leitungsebene einerseits einen Einblick in den Aufwand, der zur Erreichung eines messbaren Sicherheitsniveaus getrieben werden muss. Andererseits ist dies aber auch ein Bewertungsmaßstab für ein Voranschreiten in diesem Prozess.

Am Ende dieses Weges stehen viele Vorteile: Klarheit über hinnehmbare Risiken und Ausfallzeiten, Betriebshandbücher über die Konfiguration von Servern oder Fachverfahren anstelle von personengebundenem "Herrschaftswissen", ein Überblick über alle zugehörigen personellen, technischen und organisatorischen Regelungen sowie klare Festlegungen zu Verantwortlichkeiten und Terminen.

Das BSI stellt im Internet einen Webkurs zum Kennenlernen der Vorgehensweise zur Verfügung. Eine lohnende Alternative zum Grundschutz-Tool des BSI ist die ebenfalls kostenfreie Grundschutz-Software "Verinice" der Firma SerNet. Sie ist plattformunabhängig ausgelegt und damit unter Windows und Linux lauffähig, beinhaltet aber dennoch alle vom BSI herausgegebenen Kataloge mit ihren Bausteinen, Gefährdungen und Maßnahmen.

Zu Ihrer Unterstützung können Sie vom Sächsischen Datenschutzbeauftragten eine fertig vorkonfigurierte "Virtuelle Maschine" erhalten und damit sofort beginnen, Ihre Umgebung in Bezug auf Informationssicherheit zu modellieren.

Senden Sie dazu bei Interesse eine Email an Diese E-Mail-Adresse ist gegen Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. und fordern Sie die CD an. Oder schreiben Sie uns Ihre Erfahrungen zum Thema IT-Grundschutz.