Business Impact Analyse als Kristallisationskern des IT-Sicherheitsmanagements
von Dr. Markus Schäffter, secaron AG
Kurzzusammenfassung
In den meisten Unternehmen ist in den letzten Jahren die Abhängigkeit von der Informations- und Kommunikationstechnik rasant gewachsen. Die wachsende Schar heterogener IT-Systeme zu managen, stellt eine große Herausforderdung für das IT-Management dar. Kein Wunder, dass Informationssicherheit und Datenschutz der Entwicklung nicht immer Schritt halten konnten.
Die Gesetzeslage in Deutschland ist eindeutig: die Geschäftsführung haftet gegenüber dem Unternehmen für Schäden, spätestens bei Fahrlässigkeit auch mit ihrem privaten Vermögen.
Dabei finden IT-Risiken, trotz einer ständig steigenden Abhängigkeit von der Informationstechnik überraschenderweise meist eher wenig Beachtung innerhalb des unternehmensweiten Risikomanagements. Die einschlägigen Studien zur IT-Sicherheit zeigen dabei seit Jahren, dass kaum ein Unternehmen mit der rasanten Entwicklung der IT-Risiken Schritt halten kann und selbst Basis-Schutzsysteme wie Firewalls und Virenschutz nicht ausreichend vor Missbrauch und Schäden schützen können.
Grund genug also, die IT-Sicherheit im eigenen Hause auf den Prüfstand zu stellen. Orientierung liefert das Gesetz für Kontrolle und Transparenz im Unternehmen, kurz KonTraG. Es fordert die Umsetzung folgender konkreter Maßnahmen:
· Erweiterung der Offenlegungs- und Transparenzpflichten, die vollständige Erfassung aller Risiken als Teil eines regelmäßigen Konzernlageberichts (§§ 298, 315 HGB)
· Den Aufbau eines unternehmensweiten Risikofrüherkennungssystems und Überwachungssystems (§ 91 AktG und § 317 HGB)
· Verstärkung der Pflichten und Haftung von Aufsichtsrat und Abschlussprüfern sowie deren engerer Zusammenarbeit (§§319, 321 ff HGB)
Die Erfassung der Risiken für das Unternehmen umfasst dabei insbesondere die Beschreibung und Klassifizierung konkreter IT-Risiken, etwa durch die Bewertung von Schadensszenarien, die Festlegung von Risikoschwellwerten, die Erstellung konkreter Handlungsanweisungen für den Umgang mit Risiken und letztendlich die Installation eines Risikoberichtswesens und deren Überwachung durch die interne Revision.
Das IT-Sicherheitsmanagement steht somit vor der Herausforderung, IT-Risiken rechtzeitig zu erkennen und auf ein erträgliches Maß zu reduzieren.
Dazu kann man sich des Modells der schrittweisen Risiko-Reduktion bedienen:
1. Vermeidung: der einfachste Weg, Risiken zu minimieren, ist ihnen aus dem Weg zu gehen, etwa durch Spiegelung relevanter Daten „von innen nach außen“ in das vom Internet aus ansprechbare Perimeternetzwerk.
2. Präventivmaßnahmen wie z.B. Firewalls, Virenschutz, Content Filtering aber auch Zugriffsschutz und der Einsatz von kryptographischen Methoden zur Verschlüsselung und Authentisierung.
3. Wichtig ist, beim Eintritt eines Schadens schnell und richtig zu reagieren, um das Ausmaß des Schadens zu minimieren. Beispiele für entsprechende Reaktivmaßnahmen sind Intrusion Detection Systeme, Notfallhandbücher und K-Fall Szenarien.
4. Letztendlich kann das verbleibende Risiko nur noch durch Überwälzung weiter verringert werden. Dies kann entweder durch das Delegieren von Verantwortung im Rahmen von Serviceverträgen (Service Level Agreements, SLAs) geschehen, durch den Abschluss einer Versicherung (Überwälzung auf die Gemeinschaft der Versicherten) oder aber durch Übertragung an den Nutzer in Form von Haftungsausschlüssen.
Abbildung: Die Reduktion von Risiken
Ziel dieses Vorgehens ist es, das initial vorhandene Risiko schrittweise soweit abzusenken, dass ein tragbares Restrisiko resultiert. Welches Restrisiko tragbar ist, liegt letztendlich im Entscheidungsspielraum der Verantwortlichen.
Wichtig ist jedoch, alle Möglichkeiten der Risikoreduktion im Auge zu behalten. Nicht immer ist es erforderlich, alle Möglichkeiten auszuschöpfen, so dass die ein Handlungsspielraum bei der Auswahl der Maßnahmen entsteht. Die richtige Wahl kann eventuell viel Geld sparen, etwa durch den bewussten Verzicht weitreichender automatischer Transaktionsmöglichkeiten durch den Kunden oder durch den Einsatz starken Authentisierungsverfahren, welche die potenzielle Angriffsfläche durch missbräuchliche Nutzung erheblich reduzieren.
Notfallplanung als Hilfsmittel und Prüfstein
Ein entscheidender Motor des IT-Risikomanagements ist die Notfallplanung, bzw. Business Impact Analyse.
In Anlehnung an das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (www.bsi.de/gshb) lassen sich folgende Phasen aufführen:
1. Business Impact Analyse
Auswertung der relevanten Schadensszenarien, um Ursachen und Wirkungen möglicher Schäden bereits im Vorfeld zu erkennen und geschäftskritische IT-Anwendungen und Prozesse systematisch und verlässlich identifizieren zu können.
2. Planung der Notfallvorsorge
In dieser Phase werden die individuell für ein IT-System geeigneten und wirtschaftlich angemessenen Maßnahmen identifiziert. Es wird festgelegt, welche Maßnahmen während des Betriebes eines IT-Systems (z.B. Rauchverbot, unterbrechungsfreie Stromversorgung, Wartung, Datensicherung) durchzuführen sind, damit ein Notfall verhindert bzw. der Schaden aufgrund eines Notfalls vermindert wird.
3. Erstellung von Notfallplänen
In Notfallplänen, die Bestandteile eines umfassenden Notfallhandbuchs sind, wird festgeschrieben, welche Maßnahmen bei Eintreten eines Notfalls durchzuführen sind.
4. Umsetzung der päventiven Risikominimierungsmaßnahmen
In dieser Phase werden die Notfallvorsorgemaßnahmen realisiert und aufrechterhalten, die schon vor Eintritt eines Notfalls durchgeführt sein müssen, um die Eintrittswahrscheinlichkeit eines Notfalls zu verringern oder um eine zügige und wirtschaftliche Wiederherstellung der Betriebsfähigkeit zu ermöglichen.
5. Durchführung von Notfallübungen
Von besonderer Bedeutung ist die Durchführung von Notfallübungen zeitgleich der Umsetzung der Präventivmaßnahmen, um die Umsetzung der im Notfall-Handbuch aufgeführten Maßnahmen einzuüben und deren Effizienz zu steigern.
Um eine unter Wirtschaftlichkeitsgesichtspunkten angemessene Notfallvorsorge betreiben zu können, müssen die entstehenden Kosten dem potentiellen Schaden (Kosten aufgrund mangelnder Verfügbarkeit im Notfall) gegenübergestellt und bewertet werden.
Darunter fallen Kosten für die Erstellung eines Notfallvorsorgekonzepts, Kosten für die Beschaffung von Redundanzen (Netzwerkverbindung, IT-Systeme, Rechenzentren), Kosten für die Realisierung und Aufrechterhaltung der den IT-Betrieb begleitenden Notfallvorsorgemaßnahmen, Kosten für Notfallübungen und, Kosten für die Wiederherstellung der Betriebsfähigkeit beim Eintritt von Notfällen.
Erfahrungen aus der Praxis
IT-Sicherheitsmanagement wird häufig noch als Kostenfaktor, neudeutsch Cost Center, gesehen. Dabei lässt der Alltagsbetrieb oftmals wenig Zeit, die eigene Sicherheitsorganisation mit dem Blick von oben weiterzuentwickeln und an die aktuellen Anforderungen anzupassen.
Die in den einschlägigen Studien offenbarten Sicherheitsmängel finden sich auch in fast allen Unternehmen in mehr oder wenig gravierender Form. Häufig vertretene Beispiele sind eine unzureichende Datensicherung, unzureichende Netzwerksegmentierung, z.B. zwischen Bürokommunikation und Personalabteilung oder Applikationsdatenbanken und dem Internet, inhomogene Rechtevergabe und ein fehlendes zentrales Account-Management zur Koordination von Zugriffsberechtigungen, schwache, kompromittierbare Verfahren zur Authentisierung von IT-Systemen und Nutzern, Schwachstellen in IT-Systemen wie z.B. unsichere Dienste (TFTP, Telnet) und Software-Bugs sowie schadensstiftende Software, welche mittlerweile auch Server betrifft.
Eine systematische Business Impact Analyse hilft hierbei, die geschäftskritischen IT-Prozesse, Daten und Anwendungen zu identifizieren und die vorhandenen IT-Risiken zu erfassen und in eventuell vorhandene Risikomanagement-Systeme einfließen zu lassen.
Externe Berater können helfen, das erforderliche Know-How zielgerichtet in die Unternehmen zu tragen und bei der Umsetzung von Business Impact Analysen, der Bewertung von Präventiv- und Reaktivmaßnahmen durch Sicherheitsaudits und Penetrationstests sowie bei der Durchführung von Notfallübungen unterstützen.
Die secaron AG hält hierzu ein umfassendes Serviceangebot bereit und kooperiert mit weiteren spezialisierten Unternehmen im Bereich Business Impact Analyse. Mehr dazu unter www.secaron.de/de/loesungen/
Umfang einer Notfallplanung:
· Dokumentation der Anforderungen an Verfügbarkeit, Vertraulichkeit und Kapazität von IT-Anwendungen
· Definition des eingeschränkten IT-Betriebs sowie des Notfalls
· Alarmierungspläne und Notfallhandbücher für ausgewählte Schadensereignisse
· Benennen von Notfall-Verantwortlichen
· Untersuchung interner und externer Ausweichmöglichkeiten
· Datensicherungsplan
· Ersatzbeschaffungspläne: Re-Installation, Inbetriebnahme von Backup-Systemen, etc.
· Wiederanlaufpläne: für Einzelsysteme oder ganzen IT-Verbünden
Weitere Informationen: Secaron AG Sabine Ziegler Ludwigstr. 55
85399 Hallbergmoos Telefon 0811-9594 144 Telefax 0811-9594 33144
www.secaron.de
von Dr. Markus Schäffter, secaron AG
Kurzzusammenfassung
In den meisten Unternehmen ist in den letzten Jahren die Abhängigkeit von der Informations- und Kommunikationstechnik rasant gewachsen. Die wachsende Schar heterogener IT-Systeme zu managen, stellt eine große Herausforderdung für das IT-Management dar. Kein Wunder, dass Informationssicherheit und Datenschutz der Entwicklung nicht immer Schritt halten konnten.
Die Gesetzeslage in Deutschland ist eindeutig: die Geschäftsführung haftet gegenüber dem Unternehmen für Schäden, spätestens bei Fahrlässigkeit auch mit ihrem privaten Vermögen.
Dabei finden IT-Risiken, trotz einer ständig steigenden Abhängigkeit von der Informationstechnik überraschenderweise meist eher wenig Beachtung innerhalb des unternehmensweiten Risikomanagements. Die einschlägigen Studien zur IT-Sicherheit zeigen dabei seit Jahren, dass kaum ein Unternehmen mit der rasanten Entwicklung der IT-Risiken Schritt halten kann und selbst Basis-Schutzsysteme wie Firewalls und Virenschutz nicht ausreichend vor Missbrauch und Schäden schützen können.
Grund genug also, die IT-Sicherheit im eigenen Hause auf den Prüfstand zu stellen. Orientierung liefert das Gesetz für Kontrolle und Transparenz im Unternehmen, kurz KonTraG. Es fordert die Umsetzung folgender konkreter Maßnahmen:
· Erweiterung der Offenlegungs- und Transparenzpflichten, die vollständige Erfassung aller Risiken als Teil eines regelmäßigen Konzernlageberichts (§§ 298, 315 HGB)
· Den Aufbau eines unternehmensweiten Risikofrüherkennungssystems und Überwachungssystems (§ 91 AktG und § 317 HGB)
· Verstärkung der Pflichten und Haftung von Aufsichtsrat und Abschlussprüfern sowie deren engerer Zusammenarbeit (§§319, 321 ff HGB)
Die Erfassung der Risiken für das Unternehmen umfasst dabei insbesondere die Beschreibung und Klassifizierung konkreter IT-Risiken, etwa durch die Bewertung von Schadensszenarien, die Festlegung von Risikoschwellwerten, die Erstellung konkreter Handlungsanweisungen für den Umgang mit Risiken und letztendlich die Installation eines Risikoberichtswesens und deren Überwachung durch die interne Revision.
Das IT-Sicherheitsmanagement steht somit vor der Herausforderung, IT-Risiken rechtzeitig zu erkennen und auf ein erträgliches Maß zu reduzieren.
Dazu kann man sich des Modells der schrittweisen Risiko-Reduktion bedienen:
1. Vermeidung: der einfachste Weg, Risiken zu minimieren, ist ihnen aus dem Weg zu gehen, etwa durch Spiegelung relevanter Daten „von innen nach außen“ in das vom Internet aus ansprechbare Perimeternetzwerk.
2. Präventivmaßnahmen wie z.B. Firewalls, Virenschutz, Content Filtering aber auch Zugriffsschutz und der Einsatz von kryptographischen Methoden zur Verschlüsselung und Authentisierung.
3. Wichtig ist, beim Eintritt eines Schadens schnell und richtig zu reagieren, um das Ausmaß des Schadens zu minimieren. Beispiele für entsprechende Reaktivmaßnahmen sind Intrusion Detection Systeme, Notfallhandbücher und K-Fall Szenarien.
4. Letztendlich kann das verbleibende Risiko nur noch durch Überwälzung weiter verringert werden. Dies kann entweder durch das Delegieren von Verantwortung im Rahmen von Serviceverträgen (Service Level Agreements, SLAs) geschehen, durch den Abschluss einer Versicherung (Überwälzung auf die Gemeinschaft der Versicherten) oder aber durch Übertragung an den Nutzer in Form von Haftungsausschlüssen.
Abbildung: Die Reduktion von Risiken
Ziel dieses Vorgehens ist es, das initial vorhandene Risiko schrittweise soweit abzusenken, dass ein tragbares Restrisiko resultiert. Welches Restrisiko tragbar ist, liegt letztendlich im Entscheidungsspielraum der Verantwortlichen.
Wichtig ist jedoch, alle Möglichkeiten der Risikoreduktion im Auge zu behalten. Nicht immer ist es erforderlich, alle Möglichkeiten auszuschöpfen, so dass die ein Handlungsspielraum bei der Auswahl der Maßnahmen entsteht. Die richtige Wahl kann eventuell viel Geld sparen, etwa durch den bewussten Verzicht weitreichender automatischer Transaktionsmöglichkeiten durch den Kunden oder durch den Einsatz starken Authentisierungsverfahren, welche die potenzielle Angriffsfläche durch missbräuchliche Nutzung erheblich reduzieren.
Notfallplanung als Hilfsmittel und Prüfstein
Ein entscheidender Motor des IT-Risikomanagements ist die Notfallplanung, bzw. Business Impact Analyse.
In Anlehnung an das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (www.bsi.de/gshb) lassen sich folgende Phasen aufführen:
1. Business Impact Analyse
Auswertung der relevanten Schadensszenarien, um Ursachen und Wirkungen möglicher Schäden bereits im Vorfeld zu erkennen und geschäftskritische IT-Anwendungen und Prozesse systematisch und verlässlich identifizieren zu können.
2. Planung der Notfallvorsorge
In dieser Phase werden die individuell für ein IT-System geeigneten und wirtschaftlich angemessenen Maßnahmen identifiziert. Es wird festgelegt, welche Maßnahmen während des Betriebes eines IT-Systems (z.B. Rauchverbot, unterbrechungsfreie Stromversorgung, Wartung, Datensicherung) durchzuführen sind, damit ein Notfall verhindert bzw. der Schaden aufgrund eines Notfalls vermindert wird.
3. Erstellung von Notfallplänen
In Notfallplänen, die Bestandteile eines umfassenden Notfallhandbuchs sind, wird festgeschrieben, welche Maßnahmen bei Eintreten eines Notfalls durchzuführen sind.
4. Umsetzung der päventiven Risikominimierungsmaßnahmen
In dieser Phase werden die Notfallvorsorgemaßnahmen realisiert und aufrechterhalten, die schon vor Eintritt eines Notfalls durchgeführt sein müssen, um die Eintrittswahrscheinlichkeit eines Notfalls zu verringern oder um eine zügige und wirtschaftliche Wiederherstellung der Betriebsfähigkeit zu ermöglichen.
5. Durchführung von Notfallübungen
Von besonderer Bedeutung ist die Durchführung von Notfallübungen zeitgleich der Umsetzung der Präventivmaßnahmen, um die Umsetzung der im Notfall-Handbuch aufgeführten Maßnahmen einzuüben und deren Effizienz zu steigern.
Um eine unter Wirtschaftlichkeitsgesichtspunkten angemessene Notfallvorsorge betreiben zu können, müssen die entstehenden Kosten dem potentiellen Schaden (Kosten aufgrund mangelnder Verfügbarkeit im Notfall) gegenübergestellt und bewertet werden.
Darunter fallen Kosten für die Erstellung eines Notfallvorsorgekonzepts, Kosten für die Beschaffung von Redundanzen (Netzwerkverbindung, IT-Systeme, Rechenzentren), Kosten für die Realisierung und Aufrechterhaltung der den IT-Betrieb begleitenden Notfallvorsorgemaßnahmen, Kosten für Notfallübungen und, Kosten für die Wiederherstellung der Betriebsfähigkeit beim Eintritt von Notfällen.
Erfahrungen aus der Praxis
IT-Sicherheitsmanagement wird häufig noch als Kostenfaktor, neudeutsch Cost Center, gesehen. Dabei lässt der Alltagsbetrieb oftmals wenig Zeit, die eigene Sicherheitsorganisation mit dem Blick von oben weiterzuentwickeln und an die aktuellen Anforderungen anzupassen.
Die in den einschlägigen Studien offenbarten Sicherheitsmängel finden sich auch in fast allen Unternehmen in mehr oder wenig gravierender Form. Häufig vertretene Beispiele sind eine unzureichende Datensicherung, unzureichende Netzwerksegmentierung, z.B. zwischen Bürokommunikation und Personalabteilung oder Applikationsdatenbanken und dem Internet, inhomogene Rechtevergabe und ein fehlendes zentrales Account-Management zur Koordination von Zugriffsberechtigungen, schwache, kompromittierbare Verfahren zur Authentisierung von IT-Systemen und Nutzern, Schwachstellen in IT-Systemen wie z.B. unsichere Dienste (TFTP, Telnet) und Software-Bugs sowie schadensstiftende Software, welche mittlerweile auch Server betrifft.
Eine systematische Business Impact Analyse hilft hierbei, die geschäftskritischen IT-Prozesse, Daten und Anwendungen zu identifizieren und die vorhandenen IT-Risiken zu erfassen und in eventuell vorhandene Risikomanagement-Systeme einfließen zu lassen.
Externe Berater können helfen, das erforderliche Know-How zielgerichtet in die Unternehmen zu tragen und bei der Umsetzung von Business Impact Analysen, der Bewertung von Präventiv- und Reaktivmaßnahmen durch Sicherheitsaudits und Penetrationstests sowie bei der Durchführung von Notfallübungen unterstützen.
Die secaron AG hält hierzu ein umfassendes Serviceangebot bereit und kooperiert mit weiteren spezialisierten Unternehmen im Bereich Business Impact Analyse. Mehr dazu unter www.secaron.de/de/loesungen/
Umfang einer Notfallplanung:
· Dokumentation der Anforderungen an Verfügbarkeit, Vertraulichkeit und Kapazität von IT-Anwendungen
· Definition des eingeschränkten IT-Betriebs sowie des Notfalls
· Alarmierungspläne und Notfallhandbücher für ausgewählte Schadensereignisse
· Benennen von Notfall-Verantwortlichen
· Untersuchung interner und externer Ausweichmöglichkeiten
· Datensicherungsplan
· Ersatzbeschaffungspläne: Re-Installation, Inbetriebnahme von Backup-Systemen, etc.
· Wiederanlaufpläne: für Einzelsysteme oder ganzen IT-Verbünden
Weitere Informationen: Secaron AG Sabine Ziegler Ludwigstr. 55
85399 Hallbergmoos Telefon 0811-9594 144 Telefax 0811-9594 33144
www.secaron.de
