I want a "Red Teaming"
Michael Schneider
Für eine systematische Risikosteuerung innerhalb eines Unternehmens ist es unerlässlich, dass Verantwortlichkeiten und Rollen glasklar definiert und umgesetzt werden. Besonders Sicherheitsverantwortlichkeiten bilden zentrale Rollen für die Sicherheit von Business, Services und IT-Infrasturktur. Diese werden typischerweise in gesamten Ownership-Konzepten und Policies oft vernachlässigt bzw. zu vage abgehandelt.
Nebst den typischen Verantwortlichkeiten, die Ownern zugewiesen werden – ist es aus dem Sicherheitsmanagment heraus – grundlegend eben auch Sicherheitsverantwortlichkeiten zu postulieren, die in der Vernatwortung von bestehenden Ownern liegen oder in der Pflicht von sog. separaten, eigenständigen Security-Ownern stehen.
Der Vorligende Artikel ist ein Versuch aufzuzeigen, wie Sicherheitsverantwortlichkeiten in einem Unternehmen als exemplarische Umsetzungsoption strukturiert werden könnten, um Risiken methodisch exakt und umfassend zu behandeln und bewältigen.
Security Owner haben den Auftrag und die Kompetenz, über Sicherheitsziele und Risiken in ihrem Verantwortungsbereich zu entscheiden. Darauf basierend werden nun im weiteren Verlauf die Aufgaben, Kompetenzen und Verantwortlichkeiten der Security Owner beschrieben. Dabei wird festgelegt:
Die hier vorgeschlagene Austellung geht davon aus, dass das Thema immer Teil eines unternehmensweiten, einheitlichen Sicherheitsmanagements ist. Entsprechend muss es aus der Perspektive des Unternehmens adaptiert und formuliert werden.
Die Umsetzung solcher Ownershipkonzepte, kann ja nach Unternehmensgrösse bedingen, dass einzelnen Geschäftsbereichen eine gewisse Autonomie attestiert wird, da Business-, IT- und Entwicklungsprozessen in diversen Geschäftsbereichen eines Unternehmens durchaus unterschiedlich ausgeprägt sein könnten.
Die benötigten Rollen der Sicherheitsverantwortlichen müssen auf dem Niveau einer Weisung, Policy oder Sicherheitspolitik definiert und institutionalisiert werden.
Vorgängig ist ein Aufteilung der Verantwortlichkeiten in den typische Bereiche nötig:
Die Verantwortung für die Sicherheit von Business Services, Applikationen und IT-Infrastruktur wird durch sogenannte Sicherheitsverantwortliche (Security Owner) wahrgenommen, die durch die Geschäftsleitung nominiert und mit Entscheidungskompetenzen bezüglich Festlegung von Sicherheitszielen und Risikoakzeptanz versehen werden. Sicherheitsverantwortliche sind in der Regel Mitglieder des höheren oder mittleren Managements.
Diser Artikel befasst sich ausschliesslich mit sicherheitsrelevanten Aufgaben und Verantwortungen. So wird dann auch von Sicherheitsverantwortlichen oder Security Owners und nicht generell von IT- oder Business-Owners gesprochen.
Es ist selbstverständlich möglich und u.U naheliegend, die Rolle eines Security Owner Business Service dem Business Owner eines Services zuzuweisen, sofern der betreffende Geschäftsbereich des Unternehmens die Rolle des Business Owners implementiert hat. Entsprechendes gilt für die Rolle des IT-Owners und des Sicherheitsverantwortlichen IT-Infrastruktur.
In diesem Dokument werden die Rollen der Sicherheitsverantwortlichen für Business Services oder Applikationen und der Sicherheitsverantwortlichen für IT-Infrastruktur beschrieben. Diese Rollen beziehen sich auf folgende Definitionen:
Im Zusammenhang mit der Risikoverantwortung von Sicherheitsverantwortlichen gilt:
In einer ersten Betrachtung werden nun die Rollen der Sicherheitsverantwortlichen in abstrakter zusammenfassender Form beschrieben. Ein Zuordnung der Verantwortlichkeiten für die anfallenden Sicherheitsaufgaben, sowie eine Erläuterung der spezifischen Risikoverantwortung von Sicherheitsverantwortlichen erfolgt in den nachfolgenden Kapiteln.
Sicherheitsverantwortliche für Business Services / Applikationen sollten die Gesamtverantwortung für die Sicherheit der Applikation, bzw. des Business Services und der mit damit zu bearbeitenden Daten während des gesamten Lebenszyklus der Applikation, bzw des Business Services tragen.
Für jeden Business Service und für jede geschäftsrelevante Applikation, die nicht einem Business Service zugeordnet ist, wird ein Sicherheitsverantwortlicher ernannt.
Sicherheitsverantwortliche für IT-Infrastruktur sollten die Gesamtverantwortung für die Sicherheit der IT-Infrastruktur während des gesamten Lebenszyklus der IT-Infrastruktur tragen. Falls es die IT-Infrastruktur eigene Datenbestände hat, sind die Sicherheitsverantwortlichen für IT-Infrastruktur auch verantwortlich für Sicherheit der zugehörigen Daten.
Sicherheitsverantwortliche für Entwicklung verantworten die Umsetzung der Sicherheitsanforderungen und die Einhaltung der sicherheitsrelevanten Prozessvorgaben bei der Entwicklung von Software oder beim Engineering von IT-Infrastruktur. Sie
Sicherheitsverantwortliche für IT-Infrastruktur sind zuständig für die Steuerung der Sicherheitsrisiken, die dem Unternehmen aufgrund von Schwachstellen der IT- Infrastruktur in seinem Verantwortungsbereich entstehen. Entscheidungsgrundlagen für die Risikosteuerung sind das angestrebte Sicherheitsniveau der IT-Infrastruktur, sowie die identifizierten und bewerteten Risiken und Schwachstellen.
Die Entscheidung über die Umsetzung von Massnahmen zur Risikominderung und die Akzeptanz von Risiken erfolgt durch den Sicherheitsverantwortlichen.
Der Sicherheitsverantwortliche eines Business Services oder einer Applikation ist zuständig für die Steuerung der Sicherheitsrisiken, die das Unternehmen durch den Business Service, bzw. die Applikation entstehen.
Entscheidungsgrundlagen für die Risikosteuerung sind das angestrebte Sicherheitsniveau des Business Services / der Applikation und die identifizierten und bewerteten Risiken.
Die Entscheidung über die Umsetzung von Massnahmen zur Risikominderung und die Akzeptanz von Risiken erfolgt durch den Sicherheitsverantwortlichen
Der Sicherheitsverantwortliche eines Business Services / einer Applikation kann bei der Risikosteuerung voraussetzen, dass der IT-Infrastrukturbetreiber die für die IT-Infrastrukturkomponenten vereinbarten Sicherheitsniveaus einhält.
Der Risikoausschuss entscheidet über Unternehmensweite Sicherheitsmassnahmen und die Akzeptanz von Geschäftsbereichübergreifende Sicherheitsrisiken. Darüberhinaus ist der Risikoausschuss Eskalationsgremium bei Meinungsverschiedenheiten über Risikoeinschätzungen.
Der folgende Abschnittg identifiziert die im Zusammenhang mit der Sicherheit von Business Services, Applikationen oder IT-Infrastruktur anfallenden Aufgaben und ordnet Verantwortlichkeiten zu.
Im Fokus sind dabei die generell für Sicherheitsverantwortliche anfallenden Aufgaben. Ausnahmen, in denen auf einige dieser Aufgaben verzichtet werden kann oder Ausnahmefälle, in denen zusätzliche Aufgaben zu erledigen sind, werden nicht betrachtet.
Die Zuordnung von Aufgaben zu Funktionen erfolgt zweistufig. Es wird jeweils angegeben, welche Funktion die Verantwortung für die korrekte und termingerechte Ausführung der Aufgabe trägt und –soweit aus exemplarischer Unternehmenssicht möglich-, welche Funktion die zuständig für die Ausführung der Aufgabe ist. Es werden folgende Abkürzungen verwendet:
Aufgabe | Komponente | |||
---|---|---|---|---|
Business Service / Applikation | IT-Infrastruktur | |||
Verant- wortung | Aus- führung | Verant- wortung | Aus- führung | |
Identifikation, Messung und Beurteilung von Risiken | SB | D | SI | D |
Erarbeitung von Massnahmenplänen | SB | D | SI | D |
Umsetzung von Massnahmen | SB | D | SI | D |
Risikosteuerung: Abnahme der Risikoanalysen aus Sicht Business, bzw. IT-Betreiber | Geschäfts- bereichs- führung | SB | IT-Führung | SI |
Kontrolle der Massnahmenumsetzung | SB | D | SI | D |
Aufgabe | Komponente | |||
---|---|---|---|---|
Business Service / Applikation | IT-Infrastruktur | |||
Verant- wortung | Aus- führung | Verant- wortung | Aus- führung | |
Klassifikation der bearbeiteten Informationen bezüglich Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit | SB | D | SI | D |
Festlegen der Archivierungspflichten | SB | D | SI | D |
Aufgabe – Sicherheitsanforderungen für Entwicklung / Engineering | Komponente | |||
---|---|---|---|---|
Business Service / Applikation | IT-Infrastruktur | |||
Verant- wortung | Aus- führung | Verant- wortung | Aus- führung | |
Klassifikation des zu entwickelnden Produkts bezüglich Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit | SB | D | SI | D |
Identifikation der Compliance-Anforderungen aus gesetzlichen und regulatorischen Vorgaben, sowie aus obligatorischen Standards (z.B. Datenschutzanforderungen, Bankkundengeheimnis, Aufbewahrung von Geschäftsunterlagen etc.). | SB | D | SI | D |
Identifikation der Compliance-Anforderungen aus internen Vorschriften(z.B. Einhalten von der Richtlinien zur sicheren Programmierung, Einhaltung von Hardening, Einhaltung der Namenskonventionen, der Vorgaben zur Authentisierung und Nachvollziehbarkeit etc.). | SE | D | SE | D |
Definition von Sicherheitsanforderungen, die sich nicht direkt aus den Compliance-Anforderungen ergeben (z.B. Business Continuity Anforderungen, Archivierung) | SB | D | SI | D |
Spezifikation der konkreten Sicherheitsanforderungen an das zu entwicklende Produkt (z.B. Chiffrierung bestimmter Datenfelder, lückenloses Logging, Verwendung elektronischer Signaturen, etc.) | SE | D | SE | D |
Abnahme der Sicherheitsanforderungen | SE | SB | SE | SI |
Umsetzung des Zugriffskonzepts | SE | D | SE | D |
Umsetzung der Sicherheitsanforderungen | SE | D | SE | D |
Kontrolle der Umsetzung(z.B. Tests, Code Reviews, Penetration Tests) | SB | D | SI | D |
Aufgabe – Sicherheitsanforderungen an den Betrieb | Komponente | |||
Business Service / Applikation | IT-Infrastruktur | |||
Verant- wortung | Aus- führung | Verant- wortung | Aus- führung | |
Festlegen der Betriebsverantwortung | SB | D | SI | D |
Identifikation von Compliance-Anforderungen, die beim Betrieb des Produkts einzuhalten sind. | SB | D | SI | D |
Definition der konkreten Sicherheitsanforderungen an den Betrieb (z.B. Überwachung von Logs, Integrity-Checks, Disaster Recovery Plans und -Tests) | SB | D | SI | D |
Dokumentation der Compliance-Anforderungen und konkreten Sicherheitsanforderungen in der verbindlichen Vereinbarung zum Betrieb des Produkts (z.B. SLA, usw.) | SB | D | SI | D |
Kontrolle der Umsetzung / Einhaltung der betrieblichen Sicherheitsvorgaben | SB | D | SI | D |
Aufgabe – Erstellung und Pflege der Sicherheitsdokumentation (Risikoanalysen, Sicherheitskonzepte etc.)) | Komponente | |||
Business Service / Applikation | IT-Infrastruktur | |||
Verant- wortung | Aus- führung | Verant- wortung | Aus- führung | |
Festlegen der zu erstellenden Sicherheitsdokumentation (Risiko- bzw. Sicherheitskonzept notwendig? Vollständiges Konzept oder Kurzform?) | SE | CSO | SE | CSO |
Erstellung des Sicherheitskonzepts im festgelegten Umfang. | SE | D | SE | D |
Regelmässige Aktualisierung des Sicherheitskonzepts | SB | D | SI | D |
Erstellung des Zugriffskonzepts (Funktions-, Rollen- und Berechtigungsmatrix) | SE | D | SE | D |
Regelmässige Aktualisierung des Zugriffskonzepts. | SB | D | SI | D |
Erstellen der Netzwerk- / Kommunikationsmatrix | SE | D | SE | D |
Regelmässige Aktualisierung Netzwerk- / Kommunikationsmatrix | SB | D | SI | D |
Für Produkte mit Business Continuity-Anforderungen: Erstellung des Business Continuity Plans mit technischen und geschäftlichen Recovery-Prozessen und Testanforderungen. | SE | D | SE | D |
Regelmässige Aktualisierung der Business Continuity Plans | SB | D | SE | D |
Prüfung und Freigabe der Sicherheits-dokumentation: Fachlich | CSO | CSO | CSO | CSO |
aus Sicht Sicherheitsverantwortlicher | SB | D | SI | D |
Aufgabe – Zugriffsmanagement | Komponente | |||
---|---|---|---|---|
Business Service / Applikation | IT-Infrastruktur | |||
Verant- wortung | Aus- führung | Verant- wortung | Aus- führung | |
Prüfung und Freigabe von neuen, geänderten oder zu löschenden Zugriffsberechtigungen. | SB | D | SI | D |
Korrekte Implementierung der Zugriffsrechte | SB | D | SI | D |
Regelmässige Überprüfung der aktuellen Zugriffsberechtigungen auf Korrektheit und Nachvollziehbarkeit. | CSO | SB | CSO | SI |
Aufgabe – Management von Authentisierungsmitteln | Komponente | |||
Business Service / Applikation | IT-Infrastruktur | |||
Verant- wortung | Aus- führung | Verant- wortung | Aus- führung | |
Zertifikatsmanagement | n.a. | n.a. | SI | D |
Management von Security Token | n.a. | n.a. | SI | D |
Aufgabe | Komponente | |||
---|---|---|---|---|
Business Service / Applikation | IT-Infrastruktur | |||
Verant- wortung | Aus- führung | Verant- wortung | Aus- führung | |
Sicherheitsüberwachung(z.B. Log-Auswertung, Integrity-Checks, Intrusion Detection) | SB | D | SI | D |
Vulnerability- und Security Patch Management und Security Incident Response: dispositive Vorkehrungen und aktive Teilnahme | SB | D | SI | D |
Durchführung der fachgerechten Archivierung. | SB | D | SI | D |
Aufgabe | Komponente | |||
---|---|---|---|---|
Business Service / Applikation | IT-Infrastruktur | |||
Verant- wortung | Aus- führung | Verant- wortung | Aus- führung | |
Abgabe von verbindlichen Stellungnahmen zu Befunden interner oder externer Audits | SB | D | SI | D |
Definition und Umsetzung von verbindlichen Massnahmen zu Pendenzen, die aus Audit-Befunden resultieren | SB | D | SI | D |
Es sollte im Verantwortungs- und Kompetenzbereich der Geschäftsbereiche eralubt sein, die Umsetzung dieses Konzepts entsprechend der Bereichsinternen Prozesse zu gestalten. Im folgenden werden einige Varianten für die Umsetzung in Geschäftsbereichen aufgezeigt.
Falls ein Geschäftsberiech z.B Rollen wie Business Owner oder Business Operation Owner etabliert haben, dann bieten sich folgende Optionen an:
Beispiele: Definition der Sicherheitsanforderungen an den Betrieb, Prüfung/Freigabe von Zugriffsanträgen, Durchführung der fachgerechten Archivierung, Aktualisierung der Kommunikationsmatrix
Verantwortung ist ein schönes Wort: Das allerdings typischerweise dann an edlem Glanz verliert, wenn es konkret werden soll – Wer trägt wem gegenüber welche Verantwortung? In Unternehmen wird oft der Eindruck erweckt, dass in Bezug auf die Ownership alles klar definiert ist und es keine Verantwortungskonflikte geben kann.
Das mag aus der Vogelperspektive wohl stimmen, aber Verantwortung zerfällt bei genauerem Hinschauen in viele Partikular-Verantwortungen, die nicht unbedingt miteinander harmonieren. Es herrscht ja bei weitem nicht immer Einklang der Interessen und somit natürlich auch nicht der Verantwortungen. Daher ist es von eminenter Bedeutung, sich darüber im Klaren zu werden, welche Aufgaben und Verantwortungen an welcher Stelle durch wen wargenommen werden müssen, um die Risiken in einem Unternehmen umfassend und lückenlos zu steuern.
Our experts will get in contact with you!
Michael Schneider
Marisa Tschopp
Michèle Trebo
Andrea Covello
Our experts will get in contact with you!