Vorgehensweisen bei IT-Audits mit EISA-Projekt

Im Kapitel "Vorgehensweisen" zeigen wir Ihnen, wie Sie ein typisches Projekt initialisieren können und wie die einzelnen Phasen umgesetzt werden müssen, um am Ende Informationen über den aktuellen Stand der IT-Sicherheit zu gewinnen. EISA-Projekt ist eine Kombination aus Beratung und computer-gestützten Methoden zur IT-Sicherheitsanalyse von beliebigen IT-Bereichen im Unternehmen.

Themenübersicht

Mögliche Ausgangssituationen

Das EISA-Projekt ist im Grunde genommen eine Bestandsaufnahme zur IT-Sicherheit mit anschliessender Analyse der festgestellten Mängel.

Es können folgende Ausgangssituationen bestehen:

• Typ A: Eine schriftlich fixierte Sicherheitspolitik auf Basis der Geschäftspolitik des Unternehmens existiert und ist in Form von Sicherheitskonzepten und Regelungen konkretisiert worden. 
  
  Das Management ist sich darüber im Klaren, dass die Unternehmensziele, wie zum Beispiel der geplante Gewinn, nur erreicht werden kann, wenn auch die für die Erbringung der Leistungen notwendigen Voraussetzungen stimmen. 
  
  Dazu gehört auch eine leistungsfähige Informations- und Kommunikationstechnik. Es gibt daher bereits eine vom Management (schriftlich) definierte, aus der allgemeinen Unternehmenspolitik abgeleitete IT-Sicherheitspolitik und entsprechende Regelungen zu deren Umsetzung, für das Unternehmen als Ganzes oder für einzelne ausgewählte IT-Bereiche. 
  
  In einzelnen Situationen können diese Regelungen mehr oder weniger stark ausgeprägt sein, je nach Schwerpunktsetzung oder Nachhaltigkeit, mit der das Management auf die Einhaltung der IT-Sicherheitspolitik besteht.
  

• Typ B: Es gibt noch keine explizit schriftlich fixierte Sicherheitspolitik auf Basis der Geschäftspolitik. Es gibt jedoch in Teilbereichen schriftlich fixierte Regelungen und in Einzelfällen auch Konzepte. 
  
  Es gibt noch keine vom Management (schriftlich) definierte IT-Sicherheitspolitik für das Unternehmen als Ganzes. Es gibt jedoch "mündlich überlieferte" und teilweise auch einige schriftlich festgelegte Verhaltensweisen für IT-Mitarbeiter in bestimmten Situationen. 
  
  Dem Management ist bewusst und es hat dies auch schon bei mehreren Gelegenheiten zum Ausdruck gebracht, dass die sichere Informations- und Kommunikationstechnik für das Unternehmen "wichtig" ist, es gibt jedoch noch keine eindeutigen Festlegungen "wie" wichtig. 
  
  Die mit der Informationstechnik betrauten Mitarbeiter sind sich aber Ihrer grossen Verantwortung für das Unternehmen bewusst und wollen wenigstens einen Minimalstandard für IT-Sicherheit in Ihrem Verantwortungsbereich erreichen, um auf der sicheren Seite zu sein.

Die Lösung

Das EISA-Projekt wurde speziell für Unternehmen vom Typ A und Typ B entwickelt.  Die Initiative geht vom Management des Unternehmens oder von verantwortungsbewussten IT-Mitarbeitern oder Managern der mittleren Leitungsebene aus.

In der Zusammenarbeit mit Ihnen suchen wir Wege, die bestehene IT-Sicherheit zu verbessern und in Zukunft eine für Ihr Unternehmen angemessene IT-Sicherheit zu garantieren.

Ein erster Schritt ist es, sich Klarheit darüber zu verschaffen, ob eine - und wenn ja - welche IT-Sicherheitspolitik existiert, welche Regelungen vorhanden sind und wie gross der Umsetzungsgrad dieser Regelungen bereits ist. 

In weiteren Schritten kann dann herausgefunden werden, ob die vorhandenen Regelungen ausreichen oder ob weitere Massnahmen ergriffen werden müssen.

Ein mögliches erstes Ziel kann auch die Definition einer IT-Sicherheitspolitik und die daran anschliessende Konzeptionierung sein. Das EISA-Projekt dient dann zur Vorbereitung der Entwicklung und Implementierung dieser Strategien.

In jedem Fall empfehlen wir zuerst eine Bestandsaufnahme mit Hilfe von EISA-Projekt zu machen.

Erste Definition was "EISA-Projekt" ist

EISA  ist eine Abkürzung und steht für Enterprise IT-Security Analysis bzw. zu deutsch: Globale, unternehmensweite IT-Sicherheitsanalyse.

Projektstruktur entsprechend der org. Verantwortung   [klicken Sie in das Bild um es zu vergrössern]

Global ist die Sicherheitsanalyse, weil nicht nur ein einzelnes IT-System oder ein einzelner Bereich analysiert werden kann (dies wäre ein Spezialfall), sondern je nach Bedürfnis des Kunden auch die unternehmensweite IT-Sicherheit konzernübergreifend untersucht werden kann (Dies ist der Normalfall).

Das Projekt kann entsprechend der organisatorischen Verantwortung für die IT-Sicherheit oder anderen Regeln gegliedert werden. 

Die Sicherheitsanalyse wird in generell in Form von Beratungsprojekten vorgenommen, daher "EISA-Projekt". Es gibt auch andere EISA's, wie z.B. EISA-Bus, mit diesen Dingen hat unser EISA nichts zu tun.

Zu Beginn einer IT-Sicherheitsanalyse nach der in EISA-Methode, steht eine Erhebung der signifikanten Unternehmensdaten (Ist-Aufnahme der Daten und Informationen). 

In weiteren Schritten werden die Daten nach organisatorischen und technischen IT-Sicherheitsgesichtspunkten risikobewertet und bzgl. ihrer Relevanz für die IT-Sicherheitspolitik des Unternehmens eingeschätzt (Sicherheitsanalyse). 

Am Ende dieses Prozesses stehen priorisierte Massnahmenkataloge mit konkreten und detailierten Empfehlungen zur weiteren Vorgehensweise (Massnahmenkonkretisierung).

Vertrauensgarantie bei EISA-Projekten

Niemand lässt sich gerne in die Karten schauen. Ihr Vertragspartner sichert strengste Vertraulichkeit der Informationen und Ergebnisse zu und verpflichtet seine Mitarbeiter und externen Partner ebenfalls zu dieser Vertrauensgarantie. 

Jeder am EISA-Projekt beteiligte Partner auf der Kundenseite erhält nur die Informationen und Ergebnisse, die vorher gemeinsam vereinbart wurden.

In einem IT-Audit mit EISA-Projekt können auch wirtschaftlich selbstständig operierende Tochterunternehmen oder Handelspartner Gegenstand der Untersuchung sein. Selbst in bestimmten Bereichen oder für bestimmte Grossprojekte kooperierende Firmen, die auf dem Markt ansonsten als Konkurrenten auftreten, können in einem EISA-Projekt auditiert werden. Wir garantieren strengste Geheimhaltung und Vertraulichkeit aller für die Einschätzung Ihrer Sicherheitssituation mitgeteilten Informationen.

Bei Grossprojekten (ArGe) werden zusammenfassende Ergebnisse in diesem Fall der Projektleitung und allen Mitgliedern zur Verfügung gestellt (sofern so vereinbart), Detailergebnisse aus Gründen der Vertraulichkeit und des Geheimschutzes nur denjenigen, die es angeht.

Wir empfehlen schon während der Angebotsphase alle Informationen, die Sie mit uns und wir mit Ihnen per E-Mail austauschen, zu verschlüsseln, so dass niemand durch zufällig erlangte Daten auf Ihr Sicherheitsprojekt zurückschliessen kann.

Qualitätssicherung dank datenbankgestütztem Vorgehen

Die Risikobewertung und Analyse der sicherheitsrelevanten Informationen erfolgt im EISA-Projekt datenbankgestützt. Dank unserer Datenbank sind schon kurze Zeit nach den Interviews erste vorläufige Ergebnisse in Berichtsform verfügbar.

Die Ergebnisse werden ähnlich wie bei den Bundestagswahlergebnissen am Wahlabend in weiteren Schritten immer mehr verfeinert, je nach gewünschter Qualität. 

Auch in Krisensituationen eines Unternehmens sind somit entscheidungsrelevante Informationen zur aktuellen Sicherheitslage kurzfristig verfügbar, ohne dass erst umständlich ein ausführlicher Bericht geschrieben werden muss. Der endgültige Bericht kann auch erst geschrieben werden, wenn das Feuer gelöscht ist.

Auch wenn die Sicherheitsanalyse computergestützt erfolgt, läuft die Analyse nicht vollautomatisch. Jede Aussage, die Sie von uns erhalten, basiert auf der Erfahrung und dem Wissen unserer qualifizierten Sicherheitsexperten. 

Der Computer ist unser bewährtes Hilfsmittel Sie als Entscheidungsträger oder Sicherheitsverantwortlichen schnell und effizient mit Informationen zu versorgen, so dass Sie Ihre Entscheidungen aufgrund von besseren Informationen treffen können.

Wenn sich noch während des Projekts kurzfristig Änderungen oder neu auftretende Sachverhalte aufgrund aktueller Ereignisse ergeben, können diese sofort von uns in die Datenbasis eingepflegt werden und daraus resultierende Änderungen in den Auswertungsergebnissen sind ohne grossen Zeitverlust für Sie schriftlich in Berichtsform verfügbar.

Die Datenbank sowie unsere Methoden und Vorgehensweisen werden einer ständigen Prüfung und Weiterentwicklung unterzogen. Qualität und Wirtschaftlichkeit sowie Transparenz stehen dabei an oberster Stelle. Alle Erkenntnisse, die wir in Projekten bzgl. der Vorgehensweise gewinnen, fliessen in die Weiterentwicklung unserer Tools, Methoden und Strategien.

Ausgangspunkt jeder IT-Sicherheitspolitik ist die Geschäftspolitik

Ihr Unternehmen will Gewinn machen? Hoffentlich! 

Was passiert, wenn die IT öfter mal ausfällt oder aufgrund von Sicherheitsmängeln fehlerhaft oder unwirtschaftlich arbeitet? Die Gewinnziele sind gefährdet.

In der Geschäftspolitik werden die Unternehmensziele festgelegt. Alle Bereiche Ihres Unternehmens müssen danach ausgerichtet werden, so auch die Sicherheitspolitik. Das Sicherheitsmanagement hat dafür zu sorgen, dass die in der Sicherheitspolitik festgeschriebenen Sicherheitsziele jederzeit erfüllt werden können. Hierzu bedarf es wirksamer Steuerungs- und Kontrollinstrumente. Ein wesentliches Instrument ist die Sicherheitsanalyse.

Gegenstand der IT-Sicherheitsanalyse mit EISA-Projekt ist immer die IT-Sicherheitspolitik Ihres Unternehmens. Jedes Unternehmen, welches auf Information- und Kommunikationstechnik angewiesen ist, hat eine IT-Sicherheitspolitik. 

Wie bereits schon im Kapitel "Über EISA-Projekt" ausgeführt, wird die IT-Sicherheitspolitik aus der Unternehmenspolitik und den dort definierten Unternehmenszielen abgeleitet. 

Es gibt einen direkten Zusammenhang zwischen beiden Politiken wie in nachfolgender Grafik dargestellt ist.

Zusammenhang zwischen Geschäftspolitik und IT-Sicherheitspolitik   [klicken Sie in das Bild um es zu vergrössern]

Wenn also die IT-Sicherheitspolitik schlecht definiert ist oder IT-Sicherheitsmassnahmen versagen, kann dies unmittelbare Auswirkungen auf die kurz-, mittel-, oder langfristig zu erreichenden Unternehmensziele haben.

Es muss nicht immer gleich eine Flutkatastrophe sein, die das Unternehmen in seiner Existenz gefährdet. Beim Flugzeugzusammenstoss über dem Bodensee waren mehrere kleinere Verstösse gegen die Sicherheitspolitik der Luftraumüberwachung schuld, so dass es letztlich zur Katastrophe kam.  Neben dem dominanten Human Factor (HF) hat auch die mangelhafte Kommunikationstechnik eine wesentliche Rolle gespielt (Fluglotsen waren aufgrund von Wartungsarbeiten nicht telefonisch erreichbar).

Fazit: Sich nur auf die technische Absicherung verlassen zu wollen, wäre ein schwerwiegender Fehler. Seit Tschernobyl wissen wir warum.

Kontroll- und Steuerungsinstrument: IT-Sicherheitsanalyse

Ein IT-System oder IT-Bereich muss hinsichtlich bestimmter Minimalanforderungen "sicher" sein. Was "sicher" ist, wird im IT-Sicherheitskonzept für das IT-System oden den IT-Bereich genau festgelegt. Das IT-Sicherheitskonzept beschreibt die Anforderungen an ein sicheres System.

Generischer Soll-Ist-Vergleich   [klicken Sie in das Bild um es zu vergrössern]

Das EISA-Projekt ist eine Bestandsaufnahme mit anschliessendem Soll-Ist-Vergleich. Verglichen wird ein vorhandenes Ist-Konzept mit einem Soll-Konzept. Im EISA-Projekt wird für die erste Bestandsaufnahme ein sogenanntes "Referenz-Konzept" als Soll-Konzept SK ₀ verwendet. Da das Referenz-Konzept aus einem beliebigen IT-Sicherheitsstandard abgeleitet werden kann (auch unternehmenseigenen des Kunden sind denkbar), ist in mehreren Schritten (Rekursion) eine dynamische Anpassung bestehender IT-Sicherheitskonzepte an Referenz-Standards möglich.  

Übrigens: 

Nirgends steht geschrieben, dass ein IT-Sicherheitskonzept "schriftlich" existieren muss. Wenige "gelebte" Regeln sind oft besser als viele Regeln, die irgendwo in Ordnern ihrer Entsorgung entgegen sehen. Ein schriftlich formuliertes IT-Sicherheitskonzept hat aber verschiedene Vorteile:

• Es ist klar was festgelegt wurde, dies erleichert die Einarbeitung neuer Mitarbeiter oder die Zusammenarbeit mit externen Beratern.

• Der aktuelle Stand der Regelungen kann bei Änderungen fortgeschrieben werden.

• In Notfällen ist eine Dokumentation zur Hand, die auch in Stresssituationen die notwendigen Informationen verfügbar hält.

Diese Liste lässt sich beliebig fortsetzen. Sicher fallen auch Ihnen weitere Punkte dazu ein.

Das EISA-Projekt verwendet standardmäßig das IT-Grundschutzhandbuch des Deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) als Referenz-Standard. BSI bietet das IT-Grundschutzhandbuch in seiner aktuellsten Fassung auf seiner WebSite an:

IT-Grundschutzhandbuch von BSI in einem extra Fenster anzeigen:

http://www.bsi.bund.de/gshb/deutsch/menue.htm

Die Kompatibilität zum Sicherheitsstandard ISO 27001 wird durch ergänzende Hilfsmittel hergestellt. BSI gleich sein IT-Grundschutzhandbuch allmählich diesem international gültigen Standard an.

Vergleich I: "Aspekte" und "Massnahmen"

IT-Sicherheitsgesichtpunkt vs IT-Sicherheitsmassnahme

Man kann technische und organisatorische IT-Sicherheitsgesichtpunkte unterscheiden. Analog dazu kann man technische und organisatorische IT-Sicherheitsmassnahmen unterscheiden. Generell kann jedoch gesagt werden, überall wo Menschen arbeiten passieren Fehler, es gibt keine IT-Sicherheit ohne organisatorische IT-Sicherheit.

Sehr oft ist jedoch zu beobachten, dass organisatorische IT-Sicherheit eher stiefmütterlich behandelt wird. Die Probleme, die wegen dieser mangelnden Aufmerksamkeit entstehen, werden von den Betroffenen meist bei sich selbst gesucht, daher werden diese Dinge nicht an die grosse Glocke gehängt. Wenn es dann aber doch passiert, was eigentlich nicht passieren darf, ist das Image schnell ramponiert, wenn die Geschädigten auch noch wichtige, im Rampenlicht der Öffentlichkeit stehende Politiker sind (Miles and more - Freier Flug und freier Fall).

IT-Sicherheitsgesichtspunkt (=Aspekt) und IT-Sicherheitsmassnahme (=Konzept) sind zueinander komplementäre Begriffe. Wenn ein Sicherheitszustand analysiert wird, spricht man von IT-Sicherheitsgesichtspunkt und wenn ein Sicherheitszustand festgelegt wird, spricht man von IT-Sicherheitsmassnahme.

Vergleich II: "Technisch" und "Organisatorisch"

Technische IT-Sicherheit vs organisatorische IT-Sicherheit

Bei den technischen Gesichtspunkten steht die Frage im Vordergrund: "Wie ist die IT-Sicherheitspolitik technologisch umgesetzt worden." Welche Techniken kommen zum Einsatz und sind die Techniken richtig eingesetzt worden.

Bei den organisatorischen Gesichtspunkten steht dagegen die Frage im Vordergrund: "Wie ist die IT-Sicherheitspolitik organisatorisch umgesetzt worden." Welche organisatorischen Regelungen gibt es, erfüllen diese Regelungen die minimalen Anforderungen an die IT-Sicherheit, sind die Regelungen den betreffenden Mitarbeitern bekannt, werden diese Regelungen eingehalten und wird die Einhaltung wenigstens durch Stichproben auch kontrolliert.

Zusätzlich gibt es noch infrastruktuelle IT-Sicherheit, wie z.B. der Schutz von Gebäuden. Feuerlöscher scheinen zunächst nichts mit IT zu tun zu haben, erst wenn der zentrale Verteiler brennt, wird der Zusammenhang klar.

Grundlage der Sicherheitsanalyse: Risikobewertung

Die IT-Sicherheitsanalyse ist bei IT-Audits mit EISA-Projekten eine sogenannte "Risikobasierte IT-Sicherheitsanalyse". Schwachstellen werden über eine Risikobewertung der im vorangehenden Soll-Ist-Vergleich gefundenen Defizite und Mängel im Ist-Konzept identifiziert. Das Ganze läuft auf die Frage

Was wäre wenn....

hinaus. Ein Defizit liegt vor, wenn im Ist-Konzept eine notwendige oder empfohlene Bedingung des Soll-Konzeptes nicht erfüllt ist. Bewertet wird der Einfluss dieses Defizites auf das bereits vorhandene Risiko. Bei Defiziten ergibt sich i.a. eine Erhöhung des bereits vorhandenen Risikos. Diese Risikoerhöhung wird qualifiziert. Es ergeben sich in der weiteren Analyse Risikoklassen. Jeder vorgefundene Sachverhalt wird einer Risikoklasse (hoch, mittel, gering) zugeordnet. Über weitere Auswertungsschritte ergibt sich dann der sogenannte IT-Sicherheitsstatus für die untersuchte IT-Umgebung.

Ergebnis der Sicherheitsanalyse: IT-Sicherheitsstatus

Mass für die erreichte IT-Sicherheit in einem Untersuchungsbereich ist der IT-Sicherheitsstatus, der das Verhältnis von gemessener IT-Sicherheit und möglicher IT-Sicherheit angibt. Der Wert wird als Prozentwert dargestellt. 0% entspricht „Unsicher“ und 100% entspricht „Sicher“.

Die "mögliche" IT-Sicherheit ist durch das Soll-Konzept festgelegt. In einer Art Bestandsaufnahme wird das Ist-Konzept festgestellt. Mit Hilfe des Referenz-Vergleichsverfahrens werden die im Soll-Ist-Vergleich festgestellten Abweichungen risikobewertet. Das Ergebnis ist der IT-Sicherheitsstatus.

Der IT-Sicherheitsstatus (hier: Gesamtstatus)   [klicken Sie in das Bild um es zu vergrössern]

Der IT-Sicherheitsststatus ist einer der IT-Sicherheitsreports, die Sie als Teil des IT-Sicherheitsberichts von uns erhalten. Weitere Reports werden Ihnen exemplarisch im Kapitel  "Beispielergebnisse" vorgestellt.

Vorgehensweise bei IT-Audits mit EISA-Projekt

Um all die zuvor dargestellten Informationen festzustellen und am Ende in der Datenflut nicht den Überblick zu verlieren, empfiehlt sich von Anfang an eine systematische und strukturierte Vorgehensweise. In dieser Dokumentation wollen wir Ihnen darstellen, wie wir an die Sache herangehen wollen.

Diese Vorgehensweise hat sich in vielen Projekten, die unsere Vertragspartner bisher durchgeführt haben, als die Beste herauskristallisiert.

Projektphasenmodell

Das Vorgehen entspricht dem Phasenmodell. Jede Phase besitzt Eingangs- und Ausgangsinformationen. Die Ausgangsinformationen werden in der Phase durch Aktivitäten erarbeitet. Aufgrund der dann vorliegenden Informationen werden Entscheidungen getroffen, zur weiteren Vorgehensweise.

Phasenmodell von EISA-Projekten   [klicken Sie in das Bild um es zu vergrössern]

A - Vorbereitungsphase: Vorbereitende Schritte mit Workshop

B - Ist-Aufnahme der Daten und Informationen (z.B. mit Interviews)

C - Auswertungsphase: Sicherheitsanalyse mit Risikoeinschätzung

D - Abgleichphase: Massnahmenkonkretisierung mit Priorisierung

Weitere Informationen

Falls noch nicht geschehen, sollten Sie auch das Kapitel "Über EISA-Projekt" lesen, um sich einen guten Überblick über Wesen und Zweck eines EISA-Projekts für Ihr Unternehmen zu verschaffen. Sie finden Sie auch Angaben zu unseren Leistungen, Nutzen und Vorteile des Verfahrens.

Falls Sie noch etwas Zeit haben, sollten Sie mal kurz in Kapitel "Beispielergebnisse" reinsehen. Hier finden Sie einige anschauliche Beispiele zu Ihrem IT-Sicherheitsbericht, den Sie bald in Händen halten könnten.

Für weitere Auskünfte oder für einen Termin zur Kontaktaufnahme schreiben Sie uns bitte ein Mail, welches wir zeitversetzt aber kurzfristig beantworten werden.