Vom Nutzen von Sicherheitskonzepten

Vom Nutzen von Sicherheitskonzepten

Flavio Gerbino
von Flavio Gerbino
Lesezeit: 13 Minuten

Innerhalb der Entwicklung von neuen und der Weiterentwicklung von bestehenden Services, Applikationen und IT-Infrastrukturen ist es unablässig, diese in Hinsicht auf vorhandene Schwachstellen und Sicherheitsrisiken zu durchleuchten. Dies ist umso wichtiger, als damit geschäftskritische Informationen und Daten verarbeitet werden.

In dynamischen Umgebungen heutiger Unternehmen gibt es eine Vielzahl wichtiger Applikationen, Services und Infrastrukturen, deren Schwachstellen und Risiken nicht immer systematisch erfasst werden können.

Dies kann dadurch begründet werden, dass eine IT-Umgebung diversen Einflüssen unterliegt:

Diese Treiber wirken sich nun alle gleichzeitig auf die IT-Umgebung aus und zwar mit zunehmendem Kostendruck, zunehmendem Tempo und zunehmenden Anforderungen durch Gesetzgeber, Regulatoren und Kunden.

Dieser Druck führt aber nun gerade dazu, dass die Sicherheit, die wegen der erwähnten Dynamik und Komplexität, besonderer Sorgfalt bedürfte, gern ignoriert wird oder nur ungenügende Beachtung findet.

Man leidet halt akut unter den Missständen, die man im IT-Alltag hat und nicht direkt unter denjenigen, die sich aus latenten Schwachstellen in einer unbekannten Zukunft unter Umständen manifestieren mögen.

Diese Dynamik kann mancherorts zur zeitweisen Überforderung führen und man kann in Unternehmen ein Reparturdienstverhalten beobachten, sowie ein unsystematisches Durchwursteln von Halblösungen, um dem Druck gerecht zu werden, auch wenn dadurch nur Symptome anstatt Ursachen bekämpft werden. Diese Verhaltensweisen öffnen weiteren Schwachstellen und Risiken Tür und Tor. Dazu gesellt sich auch noch ein naives Wishful Thinking, dass es eben schon gut gehen wird, da es bis anhin ja schliesslich auch einigermassen gut gegangen ist etc.

Stattdessen wäre es angebracht, dass die Sicherheit schon bei der Planung und bei Projekten und anderen Vorhaben konsequent und systematisch Anwendung fände. Ein effektives Mittel, um sich in einem Komplexen Umfeld einen Sicherheitsüberblick zu verschaffen, sind Sicherheitskonzepte, worauf in dieser Abhandlung nun übersichtsmässig eingegangen werden soll.

Definition

Ein Sicherheitskonzept ist eine klare und gezielte Sicherheitsanalyse von Informationssystemen oder einer Applikation, eines Business Services oder auch einer IT Infrastruktur. Es dokumentiert die Sicherheitsanforderungen und Ziele, die implementierte Sicherheitsarchitektur und relevante Sicherheitskonfigurationen, sowie Prozesse zum Management und zur Überwachung der Sicherheit der beschriebenen Lösung. Weiterhin enthält es eine systematische Schwachstellen- bzw. Risikoanalyse und dokumentiert verbindliche Massnahmen zur Behandlung der identifizierten Schwachstellen/Risiken mit den zugehörigen Verantwortlichen und Terminen.

Das Sicherheitskonzept sollte als obligatorisches Lieferobjekt innerhalb von Projekten und Vorhaben angesehen werden, bei denen die IT-Umgebung auf irgend eine Weise tangiert wird: Einführung und Umstrukturierung neuer Applikationen, Technologien, Services etc. wie bei Veränderungen der gegebenen IT-Architektur, Netzwerktechnologien, Schnittstellen und auch immer dann, wenn der Fluss Informationen und Daten eine Änderung erfahren soll (wie z.B. auch bei Outsourcing vorhaben, wo Dritte ins Spiel kommen) etc. Das heisst, dass vor Inbetriebnahme eines Systems ein bewilligtes Sicherheitskonzept vorliegen müsste.

Ziele

Damit zielt das Sicherheitskonzept auf einen fachlich, konzeptionellen Überblick einer Lösung in punkto Sicherheit ab.

Es soll ein stringentes in sich abgeschlossenes Dokument sein, das jederzeit konsultiert werden kann, um die Sicherheitsgedanken und Massnahmen nachzuvollziehen, die für eine bestimmte Lösung nötig sind. Es zeigt in übersichtlicher Form die Risiken und Restrisiken der Implementation der Lösung. Daher ist es darüber hinaus auch bestens dazu geeignet, um Auditoren und internen Revisoren die Arbeit zu erleichtern, denn es erläutert und begründet auf nachvollziehbare Weise die vorgefundene zu analysierende Situation mit den entsprechenden Argumenten für und wider allfälliger Massnahmen, Schwachstellen und Risiken.

Die Sicherheitsvorkehrungen und -massnahmen in der IT-Umgebung werden dadurch anforderungsgerecht definiert, realisiert und eingehalten. Unnötige Aufwände und Sicherheitslücken werden durch ein methodisches Vorgehen verhindert.

Das Sicherheitskonzept sollte dennoch so flexibel wie möglich bleiben, quasi aus Modulen, die je nach Einsatzgebiet entsprechend gewählt werden können, je nach dem, ob es sich mehr um eine einzelne technische Sicherheitsanalyse einer einzelnen Applikation handelt, bzw. um eine eher abstrakte, konzeptionelle, strategische Analyse eines komplexen Services.

Elemente des Sicherheitskonzepts

Grundsätzlich sollte ein Grundgerüst für den Aufbau von Sicherheitskonzepten vorgegeben werden, von dem aber fallweise Kapitel ausgelassen werden können, je nach entsprechenden Analysezwecks des Sicherheitskonzepts.

Eine einfache und sinnvolle Grundstruktur könnte folgendermassen aussehen:

Kapitel Inhalt
Beschreibung der Ausgangslage/Scope Schon der Titel des Sicherheitskonzepts gibt in aussagekräftiger Form den Gegenstand des Sicherheitskonzepts wieder (Vermeidung fachspezifischen Abkürzungen und von Akronymen). Allgemeines, Absichten, Zweck, Zielsetzungen, Bezeichnung der Owner und sonstige Verantwortlichkeiten
Abgrenzung Abgrenzungen, Restriktionen, Randbedingungen, Abhängigkeiten
Angestrebte Sicherheitsziele Was will man konkret in Bezug auf was Schützen, unter Berücksichtigung welcher Dimensionen: Vertraulichkeit, Integrität, Verfügbarkeit, Non-repudiation, Verbindlichkeit, Authentizität, Betriebssicherheit etc.
Technisch- Konzeptionelle Systembeschreibung der Lösung mit klaren Illustrationen Systemübersicht, verwendete Infrastruktur, Grobe Systemanordnung (auch Standorte / Lokationen), Systembeschreibung, Systemanforderungen, Systemfunktionen, Abläufe, Komponenten, Teilsysteme, Konfigurationen, Kommunikationsmatrix, Schnittstellen (technisch, organisatorisch, extern, intern, etc.), grafische Darstellungen.
Definition der Assets und Schutzobjekte Informations- oder Daten-Objekte (z.B. Personal-, Finanzdaten des Unternehmens, Kundendaten, Mandanten, HR, etc.), Endbenützer-Services (Anwendungsfunktionen/-prozesse), Software Objekte (Applikationssoftware), System- und Physische Objekte (Hardware, infrastrukturnahe Software und OS )
Analyse (Risiken bzw. Schwachstellen: informell, detailliert, kombiniert) Die Risikoanalyse oder Schwachstellenanalyse als Zentralelement, Schadens- und Risikobestimmung (resp. Schwachstellenbestimmung) sowie Zuordnung adäquater Sicherheitsmassnahmen. Für die Definition der Anforderungen an die Massnahmen in einem Sicherheitskonzept sollen folgende Informationen beigezogen werden: Risiken und generische Sicherheitsmassnahmen (Sicherheitsstandards, Grundschutz,ISO, Cobit und andere Frameworks), Datenklassierungen, Gesetze, Policies, Richtlinien und Standards, Technische und organisatorische Anforderungen
Umzusentzende Sicherheitsmassnahmen inkl. Beschreibung Technische Massnahmenbeschreibung, Organisatorische Massnahmen, Aufbauorganisatorische Massnahmen, Ablauforganisatorische Massnahmen, Zugriffskonzept
Restrisiken Auflistung der nach Umsetzung der Massnahmen verbleibenden Restrisiken/Schwachstellen
Verbindliche Umsetzungsplanung der Massnahmen Verantwortlichkeiten und Termine für die Realisierung der Massnahmen, Verantwortlichkeiten für den Betrieb der Massnahmen, Überwachung Nutzen/Kosten der Massnahmen
Kontrollen Reviews, Auditing etc.

Wichtige Sicherheitsprinzipien müssen mitberücksichtigt werden, immer mit dem Gedanken, ob deren Anwendbarkeit auf das aktuelle Motiv wirkt:

Ansätze für die Durchführung der Analyse:

Ansatz Beschreibung
Informeller Ansatz Beim informellen Ansatz wird von der Annahme ausgegangen, dass Sicherheitslücken offensichtlich und ohne eine genauere Betrachtung identifiziert werden können. Für die Erstellung der Risiken werden keine Richtlinien vorgegeben. Sowohl die Vorgehensweise als auch die Erstellung der Dokumente geschieht nach individuellen, situativen Entscheidungen. Der Vorteil dieses Ansatzes liegt in der Einfachheit. (Dem gegenüber stehen jedoch Nachteile bezüglich dem Nichterkennen von versteckten Risiken und fehlender Struktur, man unterliegt einem Intuitionsaktionismus: Auch wenn sich Menschen häufig auf ihr Gefühl verlassen können (meist ist es ja weniger Intuition als handfeste Erfahrung), so kann doch im komplexen IT-Kontext diese unreflektierte Reaktion, wenn man sich also zu sicher fühlt, eher als Kapitulation vor der Aufgabe aufgefasst werden. Eine angemessene Bewältigung der anstehenden Analyse ist mit dieser leichtfertigen Attitüde dann nicht sichergestellt).
Baselineansatz Dem Grundschutzansatz liegt die Annahme zugrunde, dass Risiken gleichmässig über den fokussierten Analysebereich verteilt sind. Diese Strategie beruht auf der Einsicht, dass bekannte, etablierte Standardprodukte zum Einsatz kommen, bei denen ein einheitlicher Satz an Massnahmen genügt. Die Vorteile dieses Ansatzes liegen in der schnellen Umsetzbarkeit, Einheitlichkeit und Einfachheit. (Jedoch werden dabei die zugrunde liegenden Annahmen als Realität angesehen. Das heisst, man muss sich hier vor einer ungeprüfte Übernahme von Vorwissen hüten. Das Wissen ist immer auf die Angemessenheit für eine konkrete Situation erneut zu verifizieren.)
Detaillierte Analyse Im Gegensatz zum informellen Ansatz werden nebst offensichtlich erkennbaren Schwachstellen/Risiken auch diejenigen Betrachtet, die im Detail untersucht werden müssen. Strukturiertes Vorgehen hilft bei der Erkennung und Behandlung dieser. Dieser Ansatz zeichnet sich durch die Gründlichkeit und den Detailliertheitsgrad aus. (Die Schwäche liegt in dem hohen zu erbringendem Aufwand und der Langwierigkeit des Analyseprozesses.)
Kombinierter Ansatz Der kombinierte Ansatz unterscheidet zwischen grösseren und kleineren Risiken, wobei beide Arten adäquat behandelt werden müssen. Für die Behandlung der kleineren Risiken genügt evtl. der Baselineansatz, die grösseren Risken müssen mit Hilfe einer detaillierten Risikoanalyse betrachtet werden.

Voraussetzungen

Natürlich muss das Unternehmen auch gewillt sein, die nötigen Ressourcen für das Management im Zusammenhang mit Sicherheitskonzepten entsprechend zu allokieren: Die Erstellung, Realisierung, Befolgung und Wirksamkeit der Sicherheitskonzepte sollte durch den CSO bzw. sein Team überprüft werden.

Der CSO prüft die vorgelegten Sicherheitskonzepte auf formale Mängel und Schwachstellen. Den allfälligen Beanstandungen des CSO und der ihm dabei zur Seite stehenden Teams sind dann Rechnung zu tragen.

Um dem Thema des Sicherheitskonzepts gerecht zu werden, kann der CSO beispielsweise interne Experten zu Rate ziehen und die eingereichten Sicherheitskonzepte in einer Diskussionsrunde kritisch prüfen. Es könnten in Form von regelmässigen Meetings gezielte Review-Sessions mit den unterschiedlichen Interessensgruppen für ein Konzept geplant werden. Das heisst, es werden nebst den Sicherheitsverantwortlichen, alle wichtigen Stakeholders bei der Diskussion und Bewilligung involviert. Zum Beispiel können je nach Ausrichtung des Konzepts, Audit, Legal & Compliance, HR, Business-Owner etc. zum Review eingeladen werden.

Worin liegt nun der Nutzen?

Wo sind die mögliche Schwierigkeiten anzutreffen?

Fazit

Sicherheitskonzepte sind als eine Art Vergrösserungsglas anzusehen. Sie erlauben uns Dinge deutlich zu sehen, von denen wir ohne Konzepte unter Umständen gar nicht wüssten, dass Sie existieren. Diese Erkenntnis setzt dann aber auch die Bereitschaft voraus, sich mit den erkannten Themen auseinanderzusetzen. Man sollte sich davor hüten, Energie in Sicherheitskonzepte zu investieren, die nur wegen eines formalen Zwangs, quasi weil es eine Policy oder ein CSO so vorsieht, oder weil es schon immer so gemacht wurde zu erstellen. Dies käme einer Alibiübung gleich, die kaum Nutzen erzeugen würde. Eine systematische Herangehensweise mit einheitlichem Prozess für Erstellung, Beurteilung und Management der Sicherheitskonzepte stellt hingegen ein hervorragendes Instrument dar, um auch im dynamischen Kontext einen adäquaten Sicherheitsüberblick zu gewähren.

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Werden auch Ihre Daten im Darknet gehandelt?

Wir führen gerne für Sie ein Monitoring des Digitalen Untergrunds durch!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv