EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement

Industrie
eGovernment
eHealthcare
Energie
Transport
und mehr …
Soziale Netze
eEducation
Geschäftsziele / Regulierungen / Nachhaltigkeit
Internet of Things / Service Computing
EN 6.3: IT-Sicherheit und Technischer Datenschutz
Mittwoch, den 30. März 2016
Dozent: Dr. Sven Wohlgemuth <wohlgemuth@acm.org>
Themen
1. IT-Sicherheit und Datenschutz
2. IT-Compliance und IT-Sicherheitsmanagement
3. Sicherheitsmodelle
4. Kryptographie
5. Netzwerksicherheit
6. Sichere Dienste
7. IT-Risikomanagement
8. Risikoidentifizierung
9. Risikoquantifizierung
10. Benutzbare Sicherheit

Agenda
2. IT-Compliance und IT-Sicherheitsmanagement
2.1 IT-Compliance-Management
2.2 Externe Vorgaben
2.3 IT-Sicherheitsmanagement
2.4 ISO/IEC 270xx
2.5 BSI Standard 100
2.6 COBIT

Forderung nach effektiven Kontrollen
…
Forderung nach:
• Transparenz
• Durchsetzung von Compliance
• Prüfung von Compliance
…
8. EU-Richtlinie
(EURO-SOX)
Müller, IT Compliance Management, 2012

Risiken und Chancen von Information
Information ist neben Arbeit, Boden und Kapital der vierte Produktionsfaktor
Arbeit Boden
Kapital Information
Nutzer
Elektronische Vertriebskanäle
Beispiele:
• Online Banking, Portale,
• Externes Hosting, ASP
• Kommunikation (SNS, e-mail)
Wachsende Komplexität
• Lokale, globale Vernetzung
• Technologische Veränderungen
Missbrauch
„Geldkanäle“ als Objekt der Begierde
Beispiele:
• Beeinträchtigung von Geschäftsprozessen
• „Umleitung/Manipulation von
Transaktionen“
• Erlangen von Kunden- und Unternehmens-
informationen

Schwachstellen: Nicht nur technischem Ursprung (1/2)
BSI, Webkurs IT-Grundschutz, 2006

Schwachstellen: Nicht nur technischem Ursprung (2/2)
BSI, Webkurs IT-Grundschutz, 2006
1. Türen und Fenster stehen offen: Rechner und
Zubehör könnten aus den Räumen gestohlen
werden.
2. Der Bildschirm und damit möglicherweise auch
vertrauliche Informationen können von Unbefugten
eingesehen werden.
3. Ein Zettel mit Passwörtern ist sichtbar und könnte
von Unbefugten missbraucht werden.
4. Eine mit "Sicherung" beschriftete CD-ROM liegt
zugänglich herum.
5. Ausdrucke und Kopien mit vertraulichen Daten
liegen an Druckern und Kopierern.
6. Rechner mit direkter Verbindung an das Internet
können den zentralen Firewallschutz des Netzes
aushebeln.
7. Durch private Datenträger (im Bild eine CD-ROM)
kann Schadsoftware in das Unternehmensnetz
gelangen.
8. Austretende Flüssigkeiten gefährden die Hardware.
9. Rauchen bedeutet Brandgefahr.
Vielfältige Schwachstellen für Informationssicherheit eines Unternehmens

Definition von IT-Compliance
Definition nach [Fröhlich/Glasner 2007, S. 58]:
IT Compliance: IT-Prozesse und von IT-unterstützte Prozesse müssen regulativen
Anforderungen erfüllen.
Definition nach [Beham/Schatz 2009, S. 66]:
IT-Compliance-Management beschreibt die Anstrengungen zur gesicherten Erfüllung der
rechtlichen, internen und vertraglichen Regeln und Anforderungen mit der IT-Infrastruktur.
IT-Compliance enthält: Einhaltung der verpflichteten Regeln:
• Rechtliche Regeln (recehtliche Normen, Anordnungen, Verwaltungsvorschriften,
usw.)
• Verträge (mit Kunden, Zulieferern, Dienstanbieter, usw.)
• Weitere externe Regeln (Normierungen, Standards, usw.)
• Interne Regeln (interne Richtlinien, prozedurale Anforderungen, usw.)
IT-Compliance ist Teil der IT-Governance und steht in enger Beziehung zu
IT-Risikomanagement

IT-Compliance: Ein notwendiges Übel?
Compliance …
fordert:
• Einmalige Kosten, um einen
Zustand Compliance zu erreichen
• Laufende Betriebskosten, um den
Zustand Compliance
nachhaltig/fortlaufend zu behalten
à Relativer Wechsel der
Wettbewerbsposition
bietet:
• (Erhebung,) Analyse und
Optimierung der bestehenden
Prozesse
• Entwicklung von Reputation
à Investition und nachhaltiger
Wettbewerbsvorteil

IT Ziele
Geschäftsziele
IT-Compliance-Management
Business Outcome
Technical
IT-Capability
Operational
IT-Capability
IT Compliance
ManagementIT-related Business
Capability
• Welche Anforderungen liegen vor?
• Welche Maßnahmen können ergriffen werden?

Strategischer Fokus: IT-Compliance-Prozess
1. Identifizierung der relevanten Gesetze
und Regulierungen
2. Bewertung der Compliance
3. Realisierung von Compliance
4. Steuerung und Beobachtung der Compliance
Beham, Schatz 2009

Flexible Nutzung
• Nutzer
• Märkte
• Innovationen
• …
Compliance und Service Computing: „Moving Target“
Agiler Geschäftsprozess
Flexible IT-Unterstützung
• Web Service und Komposition
• Virtualisierung
• Cloud Computing
• …
Compliance
• Gesetze
• Regulierungen
• Verträge
• …
?
Aus z ahlung
anweis en
Betrag is t
überprüft
Ware is t
geliefert
V
► Beobachtung/Einhaltung von
Compliance in hoch-dynamischen/
agilen Geschäftsprozessen?
Service Provider
d
Isolation
d or d´
B
A
Sackmann, Economics of Controls, 2011

Kontrollen: Compliance + Geschäftsprozess
Access Control
Compliance
Anforderung
Geschäfts-
prozess
Kontrollen
Execute
payout
Amount paid
is correct
Product is
received
V
Compliance
Ziel
Bekämpfung
von
Korruption
1..n
1..m
„Separation of
Duty (SoD)“
für Auszahlung
Technische Struktur
Security Policy
Access conditions
Obligations
Sanctions
t
Access
obligationsprovisions
Execute
payout
Amount paid
is correct
Product is
received
V

Operativer Fokus: Internes Kontrollsystem (1/2)
Entity Level Process Level
Beham, Schatz, 2009
• Fokus auf Organisation und Struktur des Unternehmens
• Geringe Standardisierung und geringe Wiederholung
à Automatisierung möglich…
à …allerdings ist Effizienz fraglich
• Fokus mehr auf Kontrollprinzipien als auf implementierte Kontrollen
Internal Control System

Operativer Fokus: Internes Kontrollsystem (2/2)
Entity Level Process Level
Beham, Schatz 2009
• Fokus auf Geschäftsaktivität und Ausführung des Geschäftsprozesses
• Doppelte Rolle der IT
à Standardisierte, häufig wiederholte, automatisierte Ausführung von
Geschäftsprozessen (s. Service Computing)
à Potential für integrierte und automatisierte Kontrollen
Internal Control System

Automatisierte Kontrollen
IT supported and automated control activities
allow
effect
larger volume of data process integration company wide
implementation possible
larger control period
higher coverage through control activities
identification of
irregular processes
elevation of further
process information
unlawful / wrongful behavior
potential risks
process inefficiencies
performance figures
specific analysis
results in
Surveillance of Business
Process Execution
Improvement of Enterprise
Rating
Identification of potentials
to reduce costs
Nach Brauer et al. 2009

Automatisierbare Kontrollen
Kontrolle/Steuerung
Vergleich IST
mit SOLL-
Zustand
Bestimmung
des aktuellen
Zustands
1…*1
Behandlung
von
Abweichungen
1
Kontrollmechanismus
Policy (definiert den SOLL-Zustand)

Schritt 1: Interpretation und Entscheidbarkeit
Die Durchsetzung einer Anforderung kann nur automatisch kontrolliert werden, wenn sie
entscheidbar ist (vgl. EN 6.3: 3 Sicherheitsmodelle)
Sollte Entscheidbarkeit nicht gegeben sein, dann muß die Anforderung für eine automatische
Kontrolle interpretiert und schrittweise verfeinert werden.
Quelle: Lewis (1998)
Entscheidbarkeit: Zum Zeitpunkt der Kontrolle kann eindeutig entschieden
werden (ja/nein bzw. true/false), ob der IST-Wert dem SOLL-Wert entspricht.
Anforderung
Provision Obligation
enforceable enforceable not enforceable
observableQuelle:Nach Pretschner et al. (2006)

Schritt 2: Formalisierung
Anforderungen
Formalisierbarkeit
Um automatische Analyse, Beweisführung und Verifikation zu ermöglichen
Konformitätsprüfung und Normalisierung
Um Inkonsistenzen und Konflikte zwischen den Complianceregeln zu identifizieren und aufzulösen
Um Redundanzen zu identifizeiren und ggf. zu entfernen
Deklaration
Um den maßgeblichen Kontext auszudrücken und zu beschreiben
Generisch
Um den Ausdruck von Sequenzen, Kardinalitäten, zeitliche Beziehungen, erforderliches
Vorkommen, Verwendungen und Obligationen auszudrücken
Ausdrucksfähigkeit
Um die intrensische Semantik von Anforderungen der Compliance, die aus unterschiedlichen
Quellen entstehen, zu erfassen Nach Elgammal et al. 2010
Formale Spezifikation
Konkreter Service
Berechenbar:
Gebiet der Informatik
Korrektheit
Komplex/Statistisch:
Die physikalische Welt
Gefälligkeit

Schritt 3: Spezifikation von Kontrollen
Prozessausführung
tStart Ende
Auswahl der Kontrollmechanismen
Benutzbare Kontrollmechanismen hängen ab von:
• Attribute der Anforderungen (Enforceability vs. Observability)
• Ökonomisch erforderliche Zeit der Kontrolle
Observable Requirements
Design Time
• Process Design Patterns
• Static Analysis
Execution Time
• Monitoring
• Process Rewriting
Post Execution Time
• Auditing
Enforceable Requirements

Schritt 4: Nutzung von Kontrollen
Workflow
Adaptierte(r) Kontroll-
prozess(e)
Geschäftsprozess
?
Prinzip:
Kontext-spezifische Integration von Kontrollprozessen in Geschäftsprozesse zum
Zeitpunkt ihrer Instantiierung
Technische Anforderungen:
– Konzeptionell getrennte Modellierung von Kontroll-
und Geschäftsprozessen
– Identifikation (aller) möglicher Kontrollprozesse
Wirtschaftliche Anforderungen:
– Auswahl des (lokal) optimalen Kontrollprozesses
– Risikobewertung der Kontrollprozesse

Ziel: Schutz von Investoren und Zuverlässigkeit der Unternehmensinformation
• Einhaltung von SOX ist Bedingung für die Teilnahme am Kapitelmarkt
• Eine Regelung is die Zertifizierung der Finanzberichte durch CEO und CFO
• Bezieht sich auf Vertraulichkeit von Kundeninformationen und gegen Whisteblower (Insider)
• Die Signierer bestätigen ihre Verantwortung für eine Einreichung und Pflege interner
Kontrollen
• Regionale Variation: J-SOX (Japan) und EuroSOX (Europa)
Public CompanyAccounting Oversight Board:
"The nature and characteristics of a company's use of information technology in
its information system affect the company's internal control over financial reporting.“
• Eine Vorgehensweise zur Umsetzung ist dieAusrichtung an CObiT
• Technische Kontrolle von Informationsflüssen: Chinese-Wall Security Policy
Sarbanes Oxley Act (SOX)
Senate and House of Representatives of the United States of America in Congress assembled, SOX, 2002.

Basel
Ziel: Integrität (soundness) und Stabiliät des internationalen Bankensystem
• Basel I: Management von Markt- und Kreditrisiken
• Basel II Management von Markt, Kredit und operationalen Risiken (u.a. Einsatz von IT)
• Basel III zzgl. Resilienz zwischen Stabilität des Finanzsystems und Vermeidung einer
Kreditverknappung
„Operational risk is defined as the risk of loss resulting from inadequate or failed internal
processes, people and systems or from external events.
This definition includes legal risk, but excludes strategic and reputational risk.“
Definition: Operationales Risiko
è IT-Risiko ist eine Teilmenge des operationalen Risikos
European Commission, Regulation (EU) No 648/2012, 2013

BDSG, 95/46/EC
• Schutz personenbezogener Daten bei ihrer elektronischen Verarbeitung
• Grundprinzipien des Datenschutzrechts
– Transparenz durch Unterrichtung und Benachrichtigung
– Erforderlichkeit der erhobenen Daten für einen bestimmten Zweck
– Begrenzung der Datenverarbeitung auf einen bestimmten Zweck
– Korrekturrechte des Betroffenen auf erforderliche Daten und Verarbeitungsphasen
– Kontrolle durch Datenschutzbeauftragten
– Datenvermeidung und –sparsamkeit
– Datenschutz durch Technik
– Deklassifizierung durch Anonymisierung
• Minimale Schutzprinzipien
• Nutzer von IT ist verantwortlich bei Auftragsverarbeitung
Cloud
Geschäfts-
ziele
IT Ziele
Geschäfts-
modell
Geschäfts-
prozesse
customer
purch.
provider
capt ur
e new
r equir
em ent
capt ur
e
r ef und
r equir
em ent
place
or der
or der
dispos
al
appr oval
denial goods r eciept
or der denialed
or der r eceived
department
r equir em ent
place
or der
capt ur
e new
r equir
em ent
capt ur
e
r ef und
r equir
em ent
or der denialed
place
or der
capt ur
e new
r equir
em ent
capt ur
e
r ef und
r equir
em ent
place
or der
or der r eceived
Anwendungs-
systeme
Customer Relationship
ManagementSystem
PDB
Enterprise ResourcePlaning
System
Supply Chain Management
System
ContentManagementSystem
SDB
CDB
Infrastruktur
branc h
offic e A
branc h
offic e B
Anwendungs-
systeme
(SaaS & PaaS)
Customer Relationship
ManagementSystem
PDB
Enterprise ResourcePlaning
System
Supply Chain Management
System
ContentManagementSystem
SDB
CDB
Infrastruktur (IaaS)
PaaS
SaaS
IaaS
Viruses
Hackers
Trojans
Earthquake Terrorism
Vandalism
Burglary
(D)DoS
Corruption
Money
Laundry
Fraud
Roßnagel, Modernisierung des Datenschutzrechts für eine Welt allgegenwärtiger Datenverarbeitung, 2005

Datenschutzrichtlinien der OECD
Eingeschränkte
Profilbildung
Qualität der
erhobenen Daten
Eingeschränkte Nutzung
der erhobenen Daten
Angabe des
Verwendungszwecks
Haftungsumfang
Offene
Profilbildung
Individuelle Beteiligung
des Betroffenen
Angemessene
Sicherheitsmaßnahmen

Fair Information Practices (1/2)
1. Eingeschränkte Profilbildung (collection limitation)
Der Umfang des erstellten Profils sollte zu dessen Verwendungszweck angemessen sein. Die
Datenerhebung sollte mit legalen Mitteln und mit dem Wissen oder dem Einverständnis der betroffenen
Person, wann immer es möglich ist, erfolgen.
2. Qualität der erhobenen Daten (data quality)
Die erhobenen Daten sollten für den Zweck relevant und notwendig sein. Weiterhin sollten sie korrekt,
vollständig und aktuell sein.
3. Angabe des Verwendungszwecks (purpose specification)
Der Zweck der Erhebung persönlicher Daten soll spätestens zum Zeitpunkt der Datenerhebung
angegeben werden. Ändert sich der Verwendungszweck, so soll diese Änderung ebenfalls angegeben
werden. Zusätzlich soll die weitere Nutzung der erhobenen Daten auf die Erfüllung des Zweckes oder
äquivalenter Zwecke beschränkt sein.
4. Eingeschränkte Nutzung der erhobenen Daten (use limitation)
Persönliche Daten dürfen nicht für andere Zwecke als unter den angegebenen Verwendungszwecken
veröffentlicht, zur Verfügung gestellt oder auf andere Weisen genutzt werden. Eine Ausnahme besteht
dann, wenn der Eigentümer dieser Daten dem zugestimmt hat oder im Falle eines richterlichen
Amtsbefugnisses.

Fair Information Practices (2/2)
5. Verwendung angemessener Sicherheitsmaßnahmen (reasonable security)
Persönliche Daten sollen durch angemessene Sicherheitsmaßnahmen vor unbeabsichtigten Verlust und
gegen unerlaubten Zugriff, Vernichtung, Nutzung, Änderung und Veröffentlichung geschützt werden.
6. Offene Profilbildung (openess and transparency)
Es sollte eine allgemeine Politik der Offenheit bestehen, die Auskunft über die Entwicklungen, Praktiken
und Richtlinien der Organisation mit Bezug zu den von ihr erhobenen persönlichen Daten gibt. Es
sollten dem Einzelnen Mittel zur Verfügung stehen, mit denen er die Existenz und die Motivation zur
Datenerhebung, die wesentlichen Verwendungszwecke der erhobenen Daten und den
Datenschutzbeauftragten dieser Organisation ermitteln kann.
7. Individuelle Beteiligung des Betroffenen (individual participation)
Ein Einzelner sollte da Recht haben, (a) von einem Datenschutzbeauftragten einer Organisation zu
erfahren, ob und ggf. welche persönlichen Daten über ihn von der Organisation erhoben wurden; (b)
innerhalb einer angemessenen Zeit, evtl. zu einer nicht übertriebenen Gebühr, auf eine angemessene
Art und Weise und in einer für ihn verständlichen Form über die erhobenen Daten in Kenntnis gesetzt
zu werden; (c) eine Begründung zu erhalten, wenn einer der obigen beiden Anfragen abgelehnt wurden,
und eine solche Ablehnung anfechten zu können; (d) eine Datenerhebung anzufechten und, im
Erfolgsfall, die Lösung, Richtigstellung, Vervollständigung oder Änderung des Profils anzuordnen.
8. Haftungsumfang (accountability)
Ein Datenschutzbeauftragter sollte für die Einhaltung der Mittel, mit denen diese Prinzipien ausgeführt
werden, haften.
OECD 1980: Information Security and Privacy, OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.

Datenschutz bei Service Computing?
• Allgegenwärtige und mobile Services:
– Verknüpfung von physischer und virtueller Welt
– Überall, jederzeit, alles (incl. grenzüberschreitend)
– Hoch dynamische Vernetzung und „mixed-mode“
– Web Services haben ein „Gedächtnis“ und sind autonom
• Herausforderungen für den Datenschutz:
– Pers. Daten sind nicht Eigentum des Einzelnen
– Fehlende Transparenz durch komplexe IT-Systeme und Fülle an Datenerhebung
– Einwilligung zur Datenerhebung überfordert Betroffenen; schriftliche Einwilligung kaum
umsetzbar
– Erforderlichkeit und Zweckbindung durch dynamische Vernetzung nicht vorher
bestimmbar
– Datensparsamkeit im Widerspruch zu nutzenbringenden Geräten mit „Gedächtnis“
– Korrekturrechte des Betroffenen sind durch unklare Verantwortlichkeiten der
Datenverarbeitung kaum durchsetzbar
è Ziel: Nutzerkontrollierbare Herausgabe und Verwendung pers. Daten
è Gegenwärtig: Überarbeitung der 95/46/EC zu General Data Protection Regulation
Industrie
eGovernment
eHealthcare
Energie
Transport
und mehr…
Soziale Netze
eEducation
Roßnagel, Modernisierung des Datenschutzrechts für eine Welt allgegenwärtiger Datenverarbeitung, 2005

Elektrizität und Energiewirtschaftsgesetz
• Fordert Einhaltung minimaler Sicherheitsregeln für einen individuell angemessenen
Schutz eines Energieversorgungsnetzes und Zuverlässigkeit der IKT-Unterstützung
• Mindeststandard: IT-Sicherheitskatalog der Bundesnetzagentur
• Geltungsbereich: Alle für einen sicheren Netzbetrieb notwendigen Anwendungen,
Systeme und Komponenten
• Kernanforderungen:
• Netzbetreiber ist verantwortlich und
ernennt Ansprechpartner
• Einführung eines ISMS gemäß
DIN ISO/IEC 27001
• Sicherheitskataloge DIN ISO/IEC
27002 und DIN ISO/IEC TR 27019
• Zertifizierung durch zugelassene Stelle
• Netzstrukturplan (Kommunikationskanäle)
• Prozess zur IT-Risikoeinschätzung
• Risikobehandlung nach dem Stand der Technik
• Meldung von Lageberichten und Warnmeldungen
Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, 2015

KRITIS und IT-Sicherheitsgesetz
9 Sektoren der digitalen Kritischen Infrastruktur
nicht im Bild:Sektor „Staat und Verwaltung“
IT-Sicherheitsgesetz:
“Ausdruck der Schutzverantwortung des Staates
gegenüber den Bürgerinnen und Bürgern, der
Wirtschaft und seinen eigenen Institutionen und
Verwaltungen.“
Betreiber
Kritischer Infrastrukturen
Betreiber
von Webangeboten
Telekommunikations-
unternehmen
• Schutz nach Stand der Technik
• Prüfung jedes 2. Jahr
• Meldung erheblicher Störungen
an das BSI (zunächst: KKW
und Telco)
• Schutz von Kunden-
daten und der von ihnen
genutzten IT-Systeme
• Warnung von Kunden bei
Missbrauch seines
Anschlusses
• Schutz der Infrastruktur
und Kundendaten nach
Stand der Technik
• Sofortige Meldung
erheblicher Vorfälle an BSI
Bundesamt für Sicherheit in der Informationstechnik
(BSI)
• Zentrale Meldestelle, Bewertung und Weiterleitung an Dritte
• Jährlich öffentlicher Lagebericht BSI, Das IT-Sicherheitsgesetz,
Kritische Infrastrukturen schützen, 2016

Beispiel: Zwischen Nutzer und Dienstanbieter
– Ausdrucksfähigkeit erlaubt Konditionen und Obligationen
(bspw. “hat zugestimmt” oder “löscht Daten”)
– Nutzer können ihre Sicherheitsrichtlinie (privacy policy) formulieren und integrieren
– Operationen für Kombination und Analyse von Policies
initial policy proposal
Data
modification(s)
2l milk
6 egs
Allow recommender
to read food shopping lists and
suggest recipes based onthem,
but delete data after visit
ExPDT
Allow the analysis
of food shopping lists
for customized advertisements,
but delete data after visit
ExPDT
Allow recommender
to read shopping lists and
suggest recipes based onthem
ExPDT
Policy enforcement
+ policy agreed upon
ExPDT: Automatisierte Konflikterkennung
Sackmann und Kähmer, ExPDT: A Policy-based Approach for Automatic Compliance, 2008

IT Ziele
Geschäftsziele
IT-Sicherheitsmanagement
IT-related Business
Capability
Business Outcome
Technical
IT-Capability
Operational
IT-Capability
IT Sicherheitsmanagement
• Welche Maßnahmen können ergriffen werden?

Information Security Management Systems (ISMS)
Definition der ISO/IEC 27000:
“An Information Security Management System (ISMS) consists of the policies,
procedures, guidelines, and associated ressources and activities, collectively
managed by an organization, in the pursuit of protecting its information assets. An
ISMS is a systematic approach for establishing, implementing, operating, monitoring,
reviewing, maintaining and improving an organization‘s information security to achieve
business objectives. It is based upon a risk assessment and the organization‘s risk
acceptance levels designed to effectively treat and manage risks.“
Quelle: ISO/IEC 27000:2014(E)
Definition des BSI Standard 100-1:
Das ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf
Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt
(plant, einsetzt, durchführt, überwacht und verbessert).
Quelle: BSI-Standard 100-1, 2008
Fokus ist nicht (nur) auf Technik, sondern (auch) auf
• Geschäftsziele
• Compliance
• Organisation
• Prozesse
• Ressourcen
ISMS - ein
personalisierter
Dienst (?)

Organisation
• Management/Geschäftsführung
• Zusage zu Informationssicherheit mit ISMS
• Ausrichtung durch die Security Policy
• Allokation der Ressourcen und Rollen
• Sicherheitsmanagement-Team
• Leitet den Sicherheitsprozess
• Sicherheitsbeauftragter (CISO)
• Ansprechpartner für alle Fragen der Sicherheit
• Schnittstelle Management/Führung
• Datenschutzbeauftragter
• Datenschutzkonzept für Einhaltung der Datenschutzregeln
• Krisenmanagement
• Verantwortlich für die Bewältigung von Sicherheitsvorkommnissen

IT-Sicherheitsbeauftragter (CISO)
Der IT-Sicherheitsbeauftragte ist verantwortlich für die Wahrnehmung aller Belange
der IT-Sicherheit innerhalb der Organisation
Aufgaben:
• Koordination und Steuerung des IT-Sicherheitsprozesses
• Unterstützung der Leitung bei der Erstellung der IT-Sicherheitsleitlinie
• Koordination der Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts
und anderer Teilkonzepte und System-Sicherheitsrichtlinien sowie Erlassen weiterer
Richtlinien und Regelungen zur IT-Sicherheit
• Erstellung des Realisierungsplans für IT-Sicherheitsmaßnahmen und Initiierung sowie
Prüfung seiner Umsetzung
• Bericht an IT-Sicherheitsmanagement-Team und Leitungsebene über den Status der IT-
Sicherheit
• Koordination sicherheitsrelevanter Projekte
• Untersuchung sicherheitsrelevanter Vorfälle
• Initiierung und Koordination von Sensibilisierungs- und Schulungsmaßnahmen zu IT-
Sicherheit

IT-Sicherheitsleitlinie (Security Policy)
Die IT-Sicherheitsleitlinie sollte mindestens enthalten:
• Stellenwert der IT Sicherheit
– Bedeutung der IT für die Aufgabenerfüllung
– Begründung: Gesetze, Kundenanforderungen, Konkurrenzsituation
• Sicherheitsziele, Sicherheitsstrategie und Sicherheitsgrade
• Geltungsbereiche und Organisationsstruktur für die Umsetzung des IT-
Sicherheitsprozesses
• Rollen und Verantwortlichkeiten, Obligationen und Sanktionen
• Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene
durchgesetzt wird: Geschäftsführung
Security Policy
Access conditions
Obligations
Sanctions

Abstraktionsebenen
Security
Policy
Richtlinien
Verfahrensanweisungen
IT Sicherheitshandbücher
Leitfäden,Standards......etc.
Ebene 1
Ebene 2
Ebene 3
unterstützende
Ebene
Warum
(Geschäftsziele
und Orientierung)
Was
Wie

ISO/IEC 27001: Struktur
• 14 Information Security Controls Areas
• 34 Information Security Control Objectives
• 114 Information Security Controls
14 Control Areas
1. Information security policy
2. Organization of information
security
3. Human resource security
4. Asset management
5. Access control
6. Cryptography
7. Physical and environmental
security
8. Operations security
9. Communnications security
10. System acquisition, development
and maintenance
11. Supplier relationships
12. Information security incident
management
13. Information security aspects of
business continuity management
14. Compliance
Interested
parties
Information
security
requirements
& expectations
PLAN
Establish
ISMS
CHECK
Monitor &
review ISMS
ACT
Maintain &
improve
Management responsibility
ISMS PROCESS
Interested
parties
Managed
information
security
DO
Implement &
operate the
ISMS
Plan-Do-Check-Act
ISO27k Forum at www.ISO27001security.com

Der Kern von ISO/IEC 270xx (27k)
Standard Title Notes (Gary Hinson ISO 27K Forum)
ISO/IEC 27000
Information security management
systems - Overview and vocabulary
Overview/introduction to the ISO27k standards as a whole plus
the specialistvocabulary
ISO/IEC 27001
systems — Requirements
Formally specifies an ISMS againstwhich thousands of
organizations have been certified compliant
ISO/IEC 27002
Code of practice for information security
controls
A reasonably comprehensive suite ofinformation security control
objectives and generally-accepted good practice security
controls
ISO/IEC 27003
system implementation guidance
Basic advice on implementing ISO27k
ISO/IEC 27004
Information security management―
Measurement
Basic (and frankly rather poor) advice on information security
metrics
ISO/IEC 27005 Information security risk management
Discusses risk managementprinciples;does notspecify
particular methods for risk analysis etc.
ISO/IEC 27006
Requirements for bodies providing audit
and certification of information security
managementsystems
Formal guidance for the certification bodies
ISO/IEC 27007
Guidelines for information security
managementsystems auditing
Auditing the managementsystem elements of the ISMS
ISO/IEC TR
27008
Guidelines for auditors on information
security managementsystems controls
Auditing the information security elements of the ISMS
Fokus auf die interne Datenverarbeitung des Unternehmens (isoliertes System)

ISO/IEC 270xx auf dem Weg zu Service Computing?
Cloud
FinanceInformation exchange

ISO/IEC 27001 Roadmap ISO27k Forum at www.ISO27001security.com

Information Security Management System (ISMS)
} It is important to be able to demonstrate the relationship
from the selected controls back to the risk assessment and
risk treatment process, and subsequently back to the ISMS
policy and objectives.
} ISMS documentation should include:
◦ Documented statements of the ISMS policy and objectives;
◦ The scope of the ISMS;
◦ Procedures and other controls in support of the ISMS;
◦ A description of the risk assessment methodology;
◦ A risk assessment report and Risk Treatment Plan (RTP);
◦ Procedures for effective planning, operation and control of the
information security processes, describing how to measure the
effectiveness of controls;
◦ Various records specifically required by the standard;
◦ The Statement of Applicability (SOA).
Information Security
Management
System (ISMS)

ISO/IEC 27002
§ ISO27002 is a “Code of Practice” recommending a
large number of information security controls.
§ Control objectives throughout the standard are
generic, high-level statements of business
requirements for securing or protecting information
assets.
§ The numerous information security controls
recommended by the standard are meant to be
implemented in the context of an ISMS, in order to
address risks and satisfy applicable control
objectives systematically.
§ Compliance with ISO27002 implies that the
organization has adopted a comprehensive, good
practice approach to securing information.
ISO27002

Management Support
} Management should actively support information security by
giving clear direction (e.g. policies), demonstrating the
organization’s commitment, plus explicitly assigning
information security responsibilities to suitable people.
} Management should approve the information security policy,
allocate resources, assign security roles and co-ordinate
and review the implementation of security across the
organization.
} Overt management support makes information security
more effective throughout the organization, not least by
aligning it with business and strategic objectives.Management
support is vital

Definition des Anwendungsbereichs (Scope)
} Management should define the scope of the ISMS in terms
of the nature of the business, the organization, its location,
information assets and technologies.
} Any exclusions from the ISMS scope should be justified and
documented.
◦ Areas outside the ISMS are inherently less trustworthy, hence additional
security controls may be needed for any business processes passing
information across the boundary.
◦ De-scoping usually reduces the business benefits ofthe ISMS.
} If commonplace controls are deemed not applicable, this
should be justified and documented in the Statement of
Applicability (SOA)
} The certification auditors will check the documentation.
Define ISMS
scope

Bestandsaufnahme der Vermögenswerte (Assets)
} An inventory of all important information assets should be
developed and maintained, recording details such as:
◦ Type of asset;
◦ Format (i.e. software, physical/printed, services, people,
intangibles)
◦ Location;
◦ Backup information;
◦ License information;
◦ Business value (e.g. which business processes depend
on it?).
Inventory information
assets

Risikobewertung
} Risk assessments should identify, quantify, and prioritize
information security risks against defined criteria for risk
acceptance and objectives relevant to the organization.
} The results should guide and determine the appropriate
management action and priorities for managing information
security risks and for implementing controls selected to
protect against these risks.
} Assessing risks and selecting controls may need to be
performed repeatedly across different parts of the
organization and information systems, and to respond to
changes.
} The process should systematically estimate the magnitude of
risks (risk analysis) and compare risks against risk criteria to
determine their significance (risk evaluation).
} The information security risk assessment should have a
clearly defined scope and complement risk assessments in
other aspects of the business, where appropriate.
Assess information
security risks

Statement of Applicability (SOA)
} The Statement of Applicability (SOA) is a key ISMS
document listing the organization’s information security
control objectives and controls.
} The SOA is derived from the results of the risk assessment,
where:
◦ Risk treatments have been selected;
◦ All relevant legal and regulatory requirements have been
identified;
◦ Contractual obligations are fully understood;
◦ A review the organization’s own business needs and
requirements has been carried out.
Prepare
Statement
of Applicability

Risk Treatment Plan (RTP)
} The organisation should formulate a risk treatment plan
(RTP) identifying the appropriate management actions,
resources, responsibilities and priorities for dealing with its
information security risks.
} The RTP should be set within the context of the
organization's information security policy and should clearly
identify the approach to risk and the criteria for accepting
risk.
} The RTP is the key document that links all four phases of
the PDCAcycle for the ISMS (next 2 slides).
Prepare Risk
Treatment Plan

PDCA: Plan-Do-Check-Act
} The "Plan-Do-Check-Act" (PDCA) model
applies at different levels throughout the
ISMS (cycles within cycles).
} The same approach is used for quality
management in ISO9000.
} The diagram illustrates how an ISMS
takes as input the information security
requirements and expectations and
through the PDCAcycle produces
managed information security outcomes
that satisfy those requirements and
expectations.

Plan-DCA
Outline Step 1 ISMS scope is determined.
Step 2 ISMS basic policy is decided.
Step 3 Systematic method of risk
assessment to be tackled is decided.
Step 4 Risk is identified.
Step 5 Risk assessment is performed.
Step 6 Measure against risk is
executed.
Step 7 Purpose and items of control
are chosen.
Step 8 Declaration for applying the
PLAN is created.
Step 9 Remaining risk is recognized
and enforcement of ISMS is permitted.
DO
CHECK
ACT
PLAN
In order to achieve
the results in
alignment with the
overall statement of
policy and overall
target of an
organization,
it establishes basic
policy of
information security,
target, object,
process, and
procedure,
which relates to the
improvement of risk
management and an
information security.
Müller und Takaragi, Security Evaluation and Management, 2008

P-Do-CA
DO
CHECK
ACT
PLAN
Outline Step 1 Decision of plan of measure
against risk
Step 2 Assignment of resources by
the management
Step 3 Enforcement of management
measure
Step 4 Execution of education and
training
Step 5 Management of operation
Step 6 Management of business
resources
Step 7 Corresponding action to
security incident and accident
Basic policy of
information
security, a
management
measure, a
process, and a
procedure
defined by PLAN
are employed
and executed.

PD-Check-A
DO
CHECK
ACT
PLAN
Outline Step 1 Execution of procedure for
surveillance, and management
measure
Step 2 Periodical reexamination of
ISMS
Step 3 Management review
Enforcement
situation of a
process is
evaluated in the
light of basic policy
of information
security, target, and
actual experience,
if possible, this is
measured, and the
result is reported to
the management for
reexamination.

PDC-Act
DO
CHECK
ACT
PLAN
Outline Step 1 Enforcement of
improvement measure
Step 2 Notification of devised
setting
In order to attain
the continuous
improvement of
ISMS, correction
setting and
prevention setting
are devised based
on the result of
management review.

ISO Zertifizierung
【Example of needs 】
§ Want to acquire a certification of ISMS as a data center to raise
a security level?
§ Want to acquire a certification of ISMS before starting a new
business which treats personal information?
PLAN DO CHECK ACT
Re-enforcement after a
fixed period.
Establish-
ment of
organization
Inspection,
Certification
acquisition

IT-Grundschutz
BSI Standards zu IT-Sicherheit
- Bereich IT-Sicherheitsmanagement -
BSI Standard 100-1
BSI Standard 100-2
BSI Standard 100-3
BSI Standard 100-4
ISMS: Managementsystem für
Informationssicherheit (s. ISO 2700x)
IT-Grundschutz-Vorgehensweise
Risikoanalyse auf der Basis von IT-
Grundschutz
Notfallmanagement
IT-Grundschutz-Kataloge
Kapitel 1: Einführung
Kapitel 2: Schichtenmodell und
Modellierung
Kapitel 3: Glossar
Kapitel 4: Rollen
• Bausteinkataloge:
• Kapitel B1: Übergreifende
Aspekte
• Kapitel B2: Infrastruktur
• Kapitel B3: IT-Systeme
• Kapitel B4: Netze
• Kapitel B5: IT-Anwendungen
• Gefährdungskataloge
• Maßnahmenkataloge

Ziel und Anwendungen des IT-Grundschutz
Anwendungen:
• Information Security Management System
• Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten
• Sammlung von Standard-Sicherheitsmaßnahmen für typische IT-Systeme
• Nachschlagewerk
• Referenz und Standard für IT-Sicherheit
• Basis für Zertifizierung
Ziel:
Durch infrastrukturelle, organisatorische, personelle und
technische Standard-Sicherheitsmaßnahmen ein Standard-
Sicherheitsniveau für typische Geschäftsprozesse und
Informationssysteme aufzubauen, das auch für sensiblere
Bereiche ausbaufähig ist.
Muench, Compliance und IT-Sicherheit, 2007

BSI Standard 100-1 & 100-2
BSI Standard 100-1: ISMS
• Zielgruppe: Management
• Allgemeine Anforderungen an ein ISMS
• Kompatibel mit ISO 27001
• PDCA-Modell als Lebenszyklus
• Empfehlungen aus ISO 13335 und ISO
17799
BSI Standard 100-2: Vorgehensweise für
Aufbau und Betrieb eines ISMS
• Aufgaben des IT-Sicherheitsmanagements
• Etablierung einer IT-
Sicherheitsorganisation
• Erstellung eines IT-Sicherheitskonzepts
• Auswahl angemessener IT-
Sicherheitsmaßnahmen
• IT-Sicherheit aufrecht erhalten und
verbessern
• Pauschaler „Schutz“ statt Orientierung an
individuellem Risiko

IT-Sicherheitskonzeption (100-2)

Strukturanalyse
Ziel: Zusammenstellung der notwendigen Informationen über die
Informationstechnik, die in diesem IT-Verbund eingesetzt wird
(= IT-Strukturanalyse)
Teilaufgaben:
– Erstellung bzw. Aktualisierung eines Netzplans
(grafische Übersicht) à Übersicht zu Kommunikationsverbindungen
– Erhebung der IT-Systeme (Tabelle)
– Erfassung der IT-Anwendungen und der zugehörigen Informationen (Tabelle)
Quelle: BSI: Webkurs IT-Grundschutz, 2006

Netzplan
Quelle: BSI: Webkurs
IT-Grundschutz, 2006

Erfassung der IT-Systeme
Erforderliche Information
Nr. Beschreibung Plattform Anz. Standort Status Anwender/
Admin.
S1 Server für
Personal-
verwaltung
Windows NT
Server
1 Bonn,
R 1.01
in
Betrieb
Personal-
referat
S2 Primärer
Domänen-
Controller
Windows NT
Server
1 Bonn,
R 3.10
in
Betrieb
alle
IT-Anwender
C6 Gruppe der
Laptops für den
Standort Berlin
Laptop unter
Windows 95
2 Berlin,
R 2.01
in
Betrieb
alle
IT-Anwender
in Berlin
N1 Router zum
Internet-Zugang
Router 1 Bonn,
R 3.09
in
Betrieb
alle
IT-Anwender
T1 TK-Anlage für
Bonn
ISDN-TK-
Anlage
1 Bonn,
B.02
in
Betrieb
alle Mitarb.
in Bonn

Erfassung der IT-Anwendungen
Diejenigen IT-Anwendungen des jeweiligen IT-Systems,
• deren Daten und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit)
besitzen,
• deren Daten und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit
(Integrität) besitzen,
• die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben,
müssen erfasst werden.
è Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen.
Beschreibung der IT-Anwendungen IT-Systeme
Anw.-
Nr.
IT-Anwendung/
Informationen
Pers.-
bez.
Daten
S1 S2 S3 S4 S5 S6 S7
A1 Personaldaten-
verarbeitung
X X
A4 Benutzer-
Authentisierung
X X X
A5 Systemmanagement X
A7 zentrale
Dokumentenverwaltung
X

Erfassung der IT-Anwendungen
Diejenigen IT-Anwendungen des jeweiligen IT-Systems,
• deren Daten und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit)
besitzen,
• deren Daten und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit
(Integrität) besitzen,
• die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben,
müssen erfasst werden.
è Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen.
Beschreibung der IT-Anwendungen IT-Systeme
Anw.-
Nr.
IT-Anwendung/
Informationen
Pers.-
bez.
Daten
S1 S2 S3 S4 S5 S6 S7
A1 Personaldaten-
verarbeitung
X X
A4 Benutzer-
Authentisierung
X X X
A5 Systemmanagement X
A7 zentrale
Dokumentenverwaltung
X
Welche sind dies im
Service Computing?

Schutzbedarfsfeststellung
Ziel: Erfassung, Lokalisierung und Begründung der schutzbedürftigen
Komponenten eines IT-Verbundes
Teilaufgaben
• Definition der Schutzbedarfskategorien
• Schutzbedarfsfeststellung für
– IT-Anwendungen einschließlich
ihrer Daten
– IT-Systeme
– Kommunikationsverbindungen
– IT-Räume
anhand von typischen Schadens-
szenarien
• Klassifizierung in mittel, hoch, sehr hoch
• Dokumentation der Ergebnisse

IT-Grundschutzanalyse
• Ziel: Möglichst vollständige Abbildung des IT-Verbundes und seiner einzelnen
Komponenten durch Bausteine
• Ergebnis: IT-Grundschutz-Modell als
– Prüfplan für bestehende Komponenten oder
– Entwicklungskonzept für geplante Komponenten
• Modularer Aufbau des GS-Handbuchs: „Bausteine“
Kapitel
("Bausteine")
Gefährdungskataloge
• Höhere Gewalt
• Organisatorische Mängel
• Menschliche
Fehlhandlungen
• Technisches Versagen
• Vorsätzliche Handlungen
Maßnahmenkataloge
• Infrastruktur
• Organisation
• Personal
• Hardware/Software
• Kommunikation
• Notfallvorsorge
Quelle: BSI: Muster für eine Schulung zur
Einführung in die Vorgehensweise
nach IT-Grundschutz, 2006

IT-Grundschutz-Kataloge
Wissen zu Sicherheit von
• IT-Systemen,
• Organisation und
• Personal

Einordnung der Bausteine
Ziele des Schichtenmodells:
• Reduzierung der Komplexität der Darstellung des Sicherheitskonzeptes
• Vermeidung von Redundanzen
• Schichten können unabhängig voneinander aktualisiert und erweitert werden
• Bündelung der Zuständigkeiten
Schicht 1:
Schicht 2:
Schicht 3:
Schicht 4:
Schicht 5:
Übergreifende Aspekte
Infrastruktur
IT-Systeme
Netze
IT-Anwendungen

Basis-Sicherheitscheck
Switch
Router Stand-
leitung
Router
Switch
Kommunikations
- Server
(Unix)
Exchange-
Server(Windows NT)
File-Server
(Novell
Netware)
Primärer
Domänen-
Controller(Windows NT)
Server für
Personalverwaltun
g (Windows NT)
15 Client-
Computer(Windows NT)
75 Client-
Computer(Windows NT)
Switch
Internet
Router
Firewall
Backup
Domänen-
Controller(Windows NT)
40 Client-
Computer(Windows NT)Liegenschaft
Bonn
Liegenschaft
Berlin
IP IP
IT-Grundschutz-Modell
Soll-/Ist-Vergleich
Maßnahmen-
empfehlungen
Realisierte
Maßnahmen
umzusetzende Maßnahmen
Ziel: Identifizierung des erreichten IT-Sicherheitsniveaus
Quelle: BSI: Muster für eine Schulung zur Einführung in die Vorgehensweise nach IT-Grundschutz, 2006

COITT
• COBIT = Control Objectives for Information and Related Technology
• Erste Version: Ende 1995
• Ziel: Revision
• Beschreibt die Kontroll-Ziele, die in einer IT-Umgebung erreicht werden
müssen, damit man von einer sicheren und ordnungsgemäßen
Informationsverarbeitung sprechen kann.
• Definiert nicht, WIE die Anforderungen umzusetzen sind, sondern nur WAS
umzusetzen ist.
• COITT hat sich von einem Werkzeug für IT-Prüfer (Auditoren) zu einem
Werkzeug für die Steuerung der IT aus Unternehmenssicht entwickelt.
• Definition von IT-Prozessen, die Verarbeitung von Informationen, die
Verwaltung von IT-Ressourcen (Personal, Technologie, Daten, Anwendungen)
erlauben
• Als Standard für Sarbanes Oxley Act Prüfungen für IT-Audit
Quelle: http://www.cobit-isaca.de

COBIT: Prozessmodell
• 4 Domains mit 34 IT Prozessen
• Über 300 Einzelaktivitäten bzw. Kontrollen
Quelle: http://www.cobit-isaca.de

Industrie
eGovernment
eHealthcare
Energie
Transport
und mehr …
Soziale Netze
eEducation
Geschäftsziele / Regulierungen / Nachhaltigkeit
Internet of Things / Service Computing
Bemerkung zur Erinnerung
IT Governance:
Wie kann sichergestellt werden, dass IT die Erreichung der Geschäftsziele unterstützt,
so dass Ressourcen verantwortlich verwendet und Risiken beobachtet werden?
ISO/IEC 2700x
BSI Standard 100-2
Benutzbare
Sicherheit?

Quellen und weiterführende Literatur
• Brauer, M. H. et al. Compliance Intelligence. Schäffer-Poeschel Verlag Stuttgart, 2009.
• BSI. Das IT-Sicherheitsgesetz – Kritische Infrastrukturen schützen, 2016.
https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html
• BSI. IT-Grundschutz-Standards.
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_n
ode.html
• Haes, S. Enterprise Governance of Information Technology. Achieving StrategicAlignment and Value.
Boston MA: Springer Science + Business Media LLC, 2009.
• ISO27k forum at www.ISO27001security.com
• ISO/IEC JTC1/ SC27. Introduction package to ISO/IEC JTC 1/SC 27 IT Security Techniques. 2014
http://www.jtc1sc27.din.de/en
• Sackmann, S. Economics of Controls. International Workshop on Information Systems for Social
Innovation 2011 (ISSI 2011), National Institute of Informatics, S. 230-236, Tachikawa, Tokyo, Japan, 2011.
• Sackmann, S., Kähmer, M. ExPDT – A Polic-based Approach for Automatic Compliance.
Wirtschaftsinformatik 50(5), 2008.
• Von Solms, S. H. Information Security Governance – Compliance Management vs. Operational
Management. Computers and Security, Vol. 24 (6), 2006.

EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement

Similar a EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement (20)

Más de Sven Wohlgemuth

Más de Sven Wohlgemuth (20)

EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement