DV Konzept - Technisches Sicherheitskonzept

Die IT-Sicherheitspolitik eines Unternehmens umfasst die Gesamtheit der Richtlinien, Prozesse und Maßnahmen, die darauf ausgerichtet sind, die Sicherheit der Informationstechnologie zu gewährleisten. Diese Politik spielt eine entscheidende Rolle, da die IT-Infrastruktur und -Systeme essentiell für die Aufrechterhaltung des täglichen Betriebs und den Schutz sensibler Daten sind. Die Entwicklung einer umfassenden IT-Sicherheitspolitik ist nicht nur eine strategische Aufgabe, sondern auch ein zentrales Element der Geschäfts-, Kommunikations- und Dokumentationsprozesse eines Unternehmens.

Gemäß §§ 25a Abs. 1 Nr.2 und 29 Abs. 1 KWG ist die Geschäftsleitung verpflichtet, angemessene Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung zu treffen. Dies gilt für alle Unternehmen, die dem KWG unterliegen, und betont die Bedeutung der IT-Sicherheit für den Finanzsektor.

Die FAIT-Standards (Fachausschuss für Informationstechnologie) liefern Richtlinien zur Bewertung und Sicherstellung der IT-Sicherheit, insbesondere im Kontext der Abschlussprüfung.

Diese bieten Orientierung zur Sicherheit und Ordnungsmäßigkeit elektronischer Verarbeitungssysteme.

Der Schutz personenbezogener Daten, geregelt durch Gesetze wie die EU-Datenschutz-Grundverordnung (DSGVO), bildet eine wesentliche Säule der IT-Sicherheitspolitik.

Diese Grundsätze stellen sicher, dass die Buchführung und die Aufbewahrung von Buchungsbelegen den gesetzlichen Anforderungen entsprechen.

Die BaFin gibt Richtlinien zur IT-Sicherheit und zum Risikomanagement in Finanzinstituten heraus.

Das BSI-Grundschutzhandbuch bietet eine Methodik und praktische Hinweise zur Etablierung eines angemessenen Sicherheitsniveaus für die Informationstechnik.

Der Begriff "IT-Sicherheit" ist fundamental für das Verständnis und die Implementierung von Schutzmechanismen in der Informationstechnologie. Er basiert auf vier zentralen Säulen, die zusammen ein robustes Sicherheitssystem bilden:

• Vertraulichkeit
  Die Vertraulichkeit zielt darauf ab, sicherzustellen, dass Informationen nur für autorisierte Personen oder Systeme zugänglich sind. Dieser Aspekt ist entscheidend, um den unerlaubten Zugriff auf sensible Daten zu verhindern. Maßnahmen zur Wahrung der Vertraulichkeit umfassen unter anderem die Verschlüsselung von Daten, die Verwendung von Zugriffskontrollen und die Authentifizierung von Nutzern.
  
  
• Integrität
  Integrität bezieht sich auf den Schutz von Informationen vor unautorisierten, unbeabsichtigten oder unbeabsichtigten Änderungen. Dies gewährleistet, dass Daten genau und vollständig bleiben, während sie gespeichert, verarbeitet oder übertragen werden. Um die Integrität zu sichern, werden Techniken wie Hash-Funktionen, digitale Signaturen und Prüfsummen eingesetzt. Diese Maßnahmen helfen dabei, Manipulationen zu erkennen und zu verhindern.
  
  
• Verbindlichkeit (Authentizität)
  Verbindlichkeit oder Authentizität sorgt dafür, dass Aktionen innerhalb eines Systems eindeutig identifizierten Entitäten (Personen oder Systemen) zugeordnet werden können. Dies ist von Bedeutung, um die Verantwortlichkeit für durchgeführte Aktionen oder Transaktionen nachweisen zu können. Mechanismen, die die Verbindlichkeit unterstützen, umfassen Protokollierung, Audit Trails und die Verwendung von digitalen Zertifikaten zur Bestätigung der Identität.
  
  
• Verfügbarkeit
  Verfügbarkeit gewährleistet, dass Informationen und IT-Dienstleistungen für berechtigte Nutzer verfügbar und zugänglich sind, wann immer sie benötigt werden. Dies schließt den Schutz vor Angriffen ein, die darauf abzielen, den Zugriff auf Ressourcen zu verhindern, wie z.B. Denial-of-Service-Angriffe. Maßnahmen zur Sicherstellung der Verfügbarkeit umfassen redundante Systeme, regelmäßige Wartung, sowie Backup- und Disaster-Recovery-Strategien.

Die IT-Sicherheitsziele für Infrastruktur und IT-Systeme sind essenzielle Bestandteile eines umfassenden Sicherheitskonzepts, das auf dem Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) basiert.

Schutz vor Elementarschäden und Sabotage

• Gebäudesicherheit
  Umfassende Schutzmaßnahmen gegen Feuer, Blitzschlag, Wasser und weitere Elementarschäden sind zu implementieren. Dies schließt Brandmeldesysteme, Blitzschutz, Wasserdetektoren und entsprechende bauliche Maßnahmen ein.
  
  
• Sabotageschutz
  Sicherheitsvorkehrungen gegen vorsätzliche Beschädigungen oder Sabotageakte, wie Überwachungskameras, Zutrittskontrollsysteme und Sicherheitspersonal, sind essenziell.
  
  

Gewährleistung der Funktionsfähigkeit der technischen Komponenten

• Infrastrukturelle Maßnahmen
  Die Aufrechterhaltung der Stromversorgung und der klimatischen Bedingungen in Serverräumen und Datenzentren ist entscheidend, um die Funktionsfähigkeit der IT-Systeme zu sichern. Dies beinhaltet Notstromversorgungen, Klimaanlagen und regelmäßige Wartung.
  
  

Ausschluss unautorisierten Zutritts/Zugangs

• Zugangskontrollen
  Um den unbefugten Zugriff auf IT-Komponenten und Netzstrukturen zu verhindern, sind effektive Zugangskontrollsysteme und Authentifizierungsverfahren erforderlich. Dazu zählen biometrische Verfahren, Sicherheitsschlösser und Verschlüsselungstechniken.
  
  

Steuerung und Überwachung der Verfügbarkeit der IT-Systeme

• Management der IT-Systeme
  Die Verfügbarkeit der IT-Dienste und -Systeme ist durch strategisches Management, einschließlich Systementwicklung, Wartung, Administration und Support, zu steuern. Dies erfordert unter anderem die Implementierung von Monitoring-Tools und regelmäßigen Leistungsbewertungen.
  
  

Not- und Ausfallvorsorge

• Konzept für Notfälle
  Ein umfassendes Konzept für die Not- und Ausfallvorsorge ist zu erstellen und kontinuierlich an neue Entwicklungen im IT-Bereich anzupassen. Dies beinhaltet die Planung von Notfallübungen, die Einrichtung von Backup-Systemen und die Entwicklung von Disaster-Recovery-Plänen.

Die Sicherheitsziele für Daten und Anwendungen bilden einen wesentlichen Bestandteil der IT-Sicherheitsstrategie eines Unternehmens. Um diese Ziele zu erreichen, sind strukturierte Maßnahmen und Verfahren erforderlich, die den Schutz und die Integrität der Unternehmensdaten und Anwendungen sicherstellen.

Klassifizierung von Daten und Anwendungen

• Sicherheitsbedarfsanalyse
  Daten und Anwendungen müssen hinsichtlich ihrer Sensibilität und Bedeutung für das Unternehmen klassifiziert werden. Diese Klassifizierung bildet die Grundlage für die Bestimmung des erforderlichen Schutzniveaus und der entsprechenden Sicherheitsmaßnahmen.
  
  

Zugriffskontrolle

• Funktionsbezogene Zugriffsrechte
  Die Vergabe von Zugriffsrechten auf Daten und Anwendungen muss streng nach dem Prinzip der Notwendigkeit und Funktionsbezogenheit erfolgen. Nur autorisierte Nutzer dürfen Zugang zu den für ihre Aufgaben relevanten Informationen erhalten.
  
  
• Verhinderung unautorisierter Zugriffe
  Durch den Einsatz von Authentifizierungs- und Autorisierungssystemen sowie durch die Anwendung des Least Privilege-Prinzips ist sicherzustellen, dass unbefugte Zugriffe verhindert werden.
  
  

Protokollierung und Überwachung

• Überwachung der Zugriffe
  Alle Zugriffe auf sensible Daten und kritische Anwendungen müssen protokolliert und überwacht werden, um sicherzustellen, dass nur berechtigte Aktionen durchgeführt werden. Dies dient auch der frühzeitigen Erkennung von Sicherheitsvorfällen.
  
  

Zentrale Benutzerverwaltung

• Zentrale Administration
  Die Verwaltung von Benutzerkonten und Zugriffsberechtigungen sollte zentral erfolgen, um eine konsistente Sicherheitspolicy durchzusetzen und die Verwaltung zu vereinfachen.
  
  

Entwicklung und Einführung von Anwendungssoftware

• Sicherheitsorientierte Entwicklungsprozesse
  Die Entwicklung neuer Anwendungen muss nach etablierten, sicherheitsorientierten Methoden erfolgen, die Sicherheitsaspekte von Anfang an berücksichtigen. Dies schließt regelmäßige Sicherheitstests und Code-Reviews ein.
  
  

Backup und Verfügbarkeit

• Backup-Konzept
  Um die ständige Verfügbarkeit von Daten und Anwendungen zu gewährleisten, ist ein umfassendes Backup-Konzept erforderlich. Dies sollte regelmäßige Sicherungen, die sichere Aufbewahrung von Backup-Medien und die Planung für Disaster Recovery umfassen.

Um eine effektive und nachhaltige IT-Sicherheitspolitik zu gewährleisten, ist es entscheidend, dass bei der Entwicklung und Implementierung von Sicherheitskonzepten, -regeln und -aktivitäten bestimmte grundlegende Prinzipien Berücksichtigung finden.

Gesamtheitliche Betrachtung
Sicherheit ist nicht nur eine Frage der Technologie, sondern umfasst auch administrative, organisatorische, operationale und rechtliche Aspekte. Dies schließt das interne Kontrollsystem, das Prinzip der Funktionstrennung und fachübliche Dokumentationsanforderungen mit ein. Ein gesamtheitlicher Ansatz gewährleistet, dass alle relevanten Sicherheitsaspekte integriert betrachtet und adressiert werden.

Integration
IT-Sicherheitsmaßnahmen müssen nahtlos in die gesamte Unternehmensstruktur und -kultur eingebettet werden. Dies beinhaltet die Koordination mit Maßnahmen anderer Unternehmensbereiche sowie eine enge Zusammenarbeit mit externen Dienstleistern und Partnern, um einheitliche Sicherheitsstandards zu etablieren und aufrechtzuerhalten.

Wirtschaftlichkeit
Die Implementierung von IT-Sicherheitsmaßnahmen sollte stets unter Berücksichtigung ihrer Kosten-Nutzen-Relation erfolgen. Die Klassifizierung von Informationen und IT-Systemen nach ihrem Sicherheitsbedarf ermöglicht eine zielgerichtete Allokation von Ressourcen, sodass der Schutz dem Wert der jeweiligen Information angemessen ist.

Aktualität
Regelmäßige Risikoanalysen sind unerlässlich, um potenzielle Gefahren zeitnah zu erkennen und zu bewerten. Dies ermöglicht es, präventive und reaktive Sicherheitsmaßnahmen kontinuierlich anzupassen und Risiken effektiv zu managen.

Stand der Entwicklung
Die IT-Sicherheit eines Unternehmens muss stets den aktuellen technischen Möglichkeiten und Standards entsprechen. Die kontinuierliche Anpassung an den neuesten Stand der Technik ist erforderlich, um gegenüber neuen Bedrohungen und Angriffstechniken widerstandsfähig zu bleiben.

Zeitgerechtigkeit
Mechanismen zur Überwachung und unverzüglichen Meldung von Sicherheitsverletzungen sind essentiell, um auf Vorfälle schnell und angemessen reagieren zu können. Die Reaktionsstrategien müssen dabei in einem angemessenen Verhältnis zu den identifizierten Risiken stehen.

Überprüfbarkeit
Die Nachvollziehbarkeit von sicherheitsrelevanten Aktionen durch geeignete Protokollierung und Auditierbarkeit ist ein Kernprinzip der IT-Sicherheit. Dies unterstützt nicht nur die Aufklärung und Analyse von Sicherheitsvorfällen, sondern fördert auch die Transparenz und Rechenschaftspflicht.

Verantwortlichkeit
Eine klare Zuweisung von Zuständigkeiten und Verantwortlichkeiten ist grundlegend für die Wirksamkeit von Sicherheitsmaßnahmen. Die Aufteilung und Trennung von Aufgaben minimiert das Risiko von Interessenkonflikten und reduziert die Gefahr von Sicherheitslücken durch zu weitreichende Zugriffsrechte.

Ein technisches Sicherheitskonzept wird in der Regel von der IT Entwicklung und insbesondere vom Systembetrieb erstellt. Im Fokus steht hier die Beschreibung der technischen Absicherungsmaßnahmen der Systeme und von erforderlichen Maßnahmen zur Erfüllung der Sicherheitsauflagen.

Die erforderlichen Backup Verfahren (Recovery) müssen mit den bestehenden Betriebsprozessen abgestimmt werden. Des Weiteren sollte hierbei geprüft werden, ob für bestimmte Sachverhalte zusätzlich auch Notfallpläne zu erstellen bzw. in der erforderlichen Aktualität bereits vorhanden sind.

Beispiel: Liste der betroffenen Anwendungen

Beispiel: Schutzbedarf der betroffenen Anwendungen