ITIL V2 Security Management

Einführung zu ITIL Security Management

Allein der potentielle Schaden, der einem Unternehmen aufgrund von Datenverlust oder -diebstahl entstehen kann, läßt eine einfache Formel zur Notwendigkeit von IT Security zu:

IT Security kostet Geld, keine IT Security kostet auch Geld.

Gründe für IT Security

Dabei ist IT Security in der Regel kein eigenes unternehmerisches Ziel, sondern eine Unterstützung für die eigentlichen Geschäftsprozesse. Dass diese, bzw. deren Darstellung in der IT Infrastruktur geschützt sein sollten - etwa mit regelmäßigen Backups, oder Verschlüsselungstechnologien - , liegt schon im Interesse des Unternehmens. Aber neben dieser inneren Motivation gibt es auch externe Gründe, IT Security im Unternehmen einzuführen:

• Gesetzliche Vorgaben & Haftungsgründe
• Kreditwürdigkeit
• Versicherungsschutz
• Minimierung der Kosten
• Gesichtsverlust

Eine Reihe von gesetzlichen Bestimmungen (u.a. KonTraG, BGB, AktG, BmbhG und HGB) nehmen die Unternehmen in die Pflicht, sorgsames Security Management zu betreiben, beispielsweise um persönliche Mitarbeiterdaten vor Mißbrauch zu schützen. Wie ernst es dem Gesetzgeber mit diesen Vorschriften ist, zeigt sich daran, dass sowohl Unternehmer als auch Angestellte bei diesbezüglichen Versäumnissen die persönliche Haftung droht.

Quelle: CSI/FBI 2002 Computer Crime & Security Survey, Computer Security Institute

Neben betriebswirtschaftlichen und haftungsmotivierten Risiken werden auch immer öfters IT-spezifische Aspekte als Grundlage zur Bewertung der Kreditwürdigkeit herangezogen. Basel II (Neuer Basler Akkord zur Eigenkapitalsicherung von Krediten) sieht als wesentliche Veränderung die Einführung eines nach der Ausfallwahrscheinlichkeit differenziertem Systems der Eigenkapitalsicherung vor.

IT Security leistet auch einen Beitrag zur günstigeren Einstufung bei Versicherungen, deren Prämien immer öfters vor dem Hintergrund vorhandener IT Security Konzepte festgesetzt werden. Im Schadensfall kann eine mangelhafte IT Security auch als grob fahrlässig eingestuft werden und eigene Versicherungsansprüche gefährden.

Ziele des IT Security Managements

Was sicher ist, was nicht und wie sicher "sicher" sein soll - das wird im IT Security Management Prozess definiert, etabliert und überwacht. Sollten Security Incidents das definierte Sicherheitsniveau gefährden, werden über den IT Security Management Prozeß geplante Gegenmaßnahmen eingeleitet, um das System wirksam zu schützen.

Das Etablieren des IT Security Managements Prozesses

IT Security Management ist Chefsache. Die Entscheidung ob, wie und zu welchen Kosten derartige Prozesse im Unternehmen eingeführt werden, setzen eine Abstimmung und Zustimmung mit bzw. durch die Geschäftsführung voraus. Die dazu ebenfalls notwendigen Managementrichtlinien zu Organisation und Verantwortlichkeiten, deren Umfang und Detaillierung, sowie weitere Rahmenbedingungen werden sodann in einer Sicherheitsstrategie (security policy) verbindlich festgeschrieben.

Das notwendige Maß an IT Security wird anhand einer Risikoanalyse bestimmt, welche sowohl die Kundensicht (business perspective), als auch die technische Sicht (technical perspective) berücksichtigt. Aus ihr geht schließlich der aktuelle Status und die Qualität der vorhandenen IT Security hervor. Alle Vorschläge für weitere Sicherheitsmaßnahmen werden dann aus der Risikoanalyse abgeleitet und das daraus resultierende Sicherheitsniveau in definierter Form im IT Security Plan festgeschrieben.

IT Security Management Prozesse enden nicht an der Stelle der Implementierung bedarfsgerechter IT Security. Viel mehr folgt eine kontinuierliche Überwachung der Sicherheitsmaßnahmen, um deren Effektivität und Effizienz fortwährend zu bewerten und eine Grundlage für neuerliche Anpassungen und weitere Maßnahmen zu erhalten.

Der Umfang des IT Security Management Prozesses

Konkret müssen IT Security Management Prozesse den Anforderungen der inneren Sicherheit (internal security) und äußeren Sicherheit (external security) genügen.

Das Fundament für die innere Sicherheit sind Sicherheitsansprüche aus einem Standardgrundschutz (standard security baseline; siehe auch: Grundschutzhandbuch Bundesamt für Sicherheit in der Informationstechnik BSI), die dann durch individuelle Sicherheitsanforderungen erweitert werden. Auf diese Weise können diesbezügliche Sicherheitsanforderungen (security requirements) für die einzelnen Vertragsanforderungen (Service Level Agreements; SLAs) mit dem Provider festgeschrieben werden.

Die Äußere Sicherheit wird durch die Sicherheitsanforderung an die verschiedenen SLAs ebenso beeinflußt, wie von zusätzlich gesetzlich vorgeschrieben Verpflichtungen.

Reporting

Inwieweit definierte Sicherheitsanforderungen eingehalten werden konnten, oder nicht, wird in eigenen Berichten (reports) festgehalten, die dem Kunden, dem eigenen Management und den anderen Prozessen bereitgestellt werden.

Behandlung von Sicherheitszwischenfällen (security incident)

Wie eingangs erwähnt zählt neben der Definition, Etablierung und Überwachung von IT Security auch die geplante Reaktion auf Sicherheitsvorfälle (security incident) mit dem Ziel diese künftig abzuwenden zu den Aufgaben des IT Security Manegment Prozesses.

Die Voraussetzung dazu ist, dass im Rahmen der inneren und äußeren Sicherheit (im Standardgrundschutz bzw. den SLAs) genaue Anweisungen über die Einstufung von Vorfällen als sicherheistrelevant hinterlegt und entsprechende Reaktionen und Eskalationswege vorgesehen sind. Diese schließen Informationsanweisungen an estimmte Personen(gruppen) ebenso ein, wie das Auslösen definierter Gegenmaßnahmen (Security Incident Control).

Mögliche und tatsächliche Security Incidents laufen grundsätzlich beim Service Desk auf. In Ausnahmefällen sollten jedoch Security Manager direkt informiert werden, oder eine anonymisierte Anzeige von Zwischenfällen möglich sein (Security Incident Registration).

Informationen und Reportings über Sicherheitsvorfälle sollten, wie auch jeder Sicherheitsvorfall selbst, vertraulich behandelt werden.