DV Konzept - Technisches Sicherheitskonzept

Die Entwicklung der Informationstechnologie (IT) hat zu einer umfassenden Technisierung der Geschäftsprozesse in Unternehmen geführt. IT ist nicht länger nur ein unterstützendes Werkzeug, sondern hat sich zu einem zentralen Element der gesamten Organisationsstruktur entwickelt. Dies hat weitreichende Implikationen für die Sicherheit der Informationsverarbeitung, die einen kritischen Aspekt der Unternehmensführung darstellt.


Rechtliche Grundlagen

Die IT-Sicherheitspolitik eines Unternehmens umfasst die Gesamtheit der Richtlinien, Prozesse und Maßnahmen, die darauf ausgerichtet sind, die Sicherheit der Informationstechnologie zu gewährleisten. Diese Politik spielt eine entscheidende Rolle, da die IT-Infrastruktur und -Systeme essentiell für die Aufrechterhaltung des täglichen Betriebs und den Schutz sensibler Daten sind. Die Entwicklung einer umfassenden IT-Sicherheitspolitik ist nicht nur eine strategische Aufgabe, sondern auch ein zentrales Element der Geschäfts-, Kommunikations- und Dokumentationsprozesse eines Unternehmens.

Kreditwesengesetz (KWG)

Gemäß §§ 25a Abs. 1 Nr.2 und 29 Abs. 1 KWG ist die Geschäftsleitung verpflichtet, angemessene Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung zu treffen. Dies gilt für alle Unternehmen, die dem KWG unterliegen, und betont die Bedeutung der IT-Sicherheit für den Finanzsektor.

Standards des Instituts der Wirtschaftsprüfer (IDW)

Die FAIT-Standards (Fachausschuss für Informationstechnologie) liefern Richtlinien zur Bewertung und Sicherstellung der IT-Sicherheit, insbesondere im Kontext der Abschlussprüfung.

Stellungnahmen und Verlautbarungen des FA OPDV

Diese bieten Orientierung zur Sicherheit und Ordnungsmäßigkeit elektronischer Verarbeitungssysteme.

Datenschutzgesetze

Der Schutz personenbezogener Daten, geregelt durch Gesetze wie die EU-Datenschutz-Grundverordnung (DSGVO), bildet eine wesentliche Säule der IT-Sicherheitspolitik.

Grundsätze ordnungsmäßiger Buchführungssysteme (GoB / GoBS)

Diese Grundsätze stellen sicher, dass die Buchführung und die Aufbewahrung von Buchungsbelegen den gesetzlichen Anforderungen entsprechen.

Verlautbarungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)

Die BaFin gibt Richtlinien zur IT-Sicherheit und zum Risikomanagement in Finanzinstituten heraus.

Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

Das BSI-Grundschutzhandbuch bietet eine Methodik und praktische Hinweise zur Etablierung eines angemessenen Sicherheitsniveaus für die Informationstechnik.

Grundsätze der IT-Sicherheitspolitik

Allgemeine IT-Sicherheitskriterien

Der Begriff "IT-Sicherheit" ist fundamental für das Verständnis und die Implementierung von Schutzmechanismen in der Informationstechnologie. Er basiert auf vier zentralen Säulen, die zusammen ein robustes Sicherheitssystem bilden:

  • Vertraulichkeit
    Die Vertraulichkeit zielt darauf ab, sicherzustellen, dass Informationen nur für autorisierte Personen oder Systeme zugänglich sind. Dieser Aspekt ist entscheidend, um den unerlaubten Zugriff auf sensible Daten zu verhindern. Maßnahmen zur Wahrung der Vertraulichkeit umfassen unter anderem die Verschlüsselung von Daten, die Verwendung von Zugriffskontrollen und die Authentifizierung von Nutzern.

  • Integrität
    Integrität bezieht sich auf den Schutz von Informationen vor unautorisierten, unbeabsichtigten oder unbeabsichtigten Änderungen. Dies gewährleistet, dass Daten genau und vollständig bleiben, während sie gespeichert, verarbeitet oder übertragen werden. Um die Integrität zu sichern, werden Techniken wie Hash-Funktionen, digitale Signaturen und Prüfsummen eingesetzt. Diese Maßnahmen helfen dabei, Manipulationen zu erkennen und zu verhindern.

  • Verbindlichkeit (Authentizität)
    Verbindlichkeit oder Authentizität sorgt dafür, dass Aktionen innerhalb eines Systems eindeutig identifizierten Entitäten (Personen oder Systemen) zugeordnet werden können. Dies ist von Bedeutung, um die Verantwortlichkeit für durchgeführte Aktionen oder Transaktionen nachweisen zu können. Mechanismen, die die Verbindlichkeit unterstützen, umfassen Protokollierung, Audit Trails und die Verwendung von digitalen Zertifikaten zur Bestätigung der Identität.

  • Verfügbarkeit
    Verfügbarkeit gewährleistet, dass Informationen und IT-Dienstleistungen für berechtigte Nutzer verfügbar und zugänglich sind, wann immer sie benötigt werden. Dies schließt den Schutz vor Angriffen ein, die darauf abzielen, den Zugriff auf Ressourcen zu verhindern, wie z.B. Denial-of-Service-Angriffe. Maßnahmen zur Sicherstellung der Verfügbarkeit umfassen redundante Systeme, regelmäßige Wartung, sowie Backup- und Disaster-Recovery-Strategien.

IT-Sicherheitsziele für Infrastruktur und IT-Systeme

Die IT-Sicherheitsziele für Infrastruktur und IT-Systeme sind essenzielle Bestandteile eines umfassenden Sicherheitskonzepts, das auf dem Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) basiert.

Schutz vor Elementarschäden und Sabotage

  • Gebäudesicherheit
    Umfassende Schutzmaßnahmen gegen Feuer, Blitzschlag, Wasser und weitere Elementarschäden sind zu implementieren. Dies schließt Brandmeldesysteme, Blitzschutz, Wasserdetektoren und entsprechende bauliche Maßnahmen ein.

  • Sabotageschutz
    Sicherheitsvorkehrungen gegen vorsätzliche Beschädigungen oder Sabotageakte, wie Überwachungskameras, Zutrittskontrollsysteme und Sicherheitspersonal, sind essenziell.

Gewährleistung der Funktionsfähigkeit der technischen Komponenten

  • Infrastrukturelle Maßnahmen
    Die Aufrechterhaltung der Stromversorgung und der klimatischen Bedingungen in Serverräumen und Datenzentren ist entscheidend, um die Funktionsfähigkeit der IT-Systeme zu sichern. Dies beinhaltet Notstromversorgungen, Klimaanlagen und regelmäßige Wartung.

Ausschluss unautorisierten Zutritts/Zugangs

  • Zugangskontrollen
    Um den unbefugten Zugriff auf IT-Komponenten und Netzstrukturen zu verhindern, sind effektive Zugangskontrollsysteme und Authentifizierungsverfahren erforderlich. Dazu zählen biometrische Verfahren, Sicherheitsschlösser und Verschlüsselungstechniken.

Steuerung und Überwachung der Verfügbarkeit der IT-Systeme

  • Management der IT-Systeme
    Die Verfügbarkeit der IT-Dienste und -Systeme ist durch strategisches Management, einschließlich Systementwicklung, Wartung, Administration und Support, zu steuern. Dies erfordert unter anderem die Implementierung von Monitoring-Tools und regelmäßigen Leistungsbewertungen.

Not- und Ausfallvorsorge

  • Konzept für Notfälle
    Ein umfassendes Konzept für die Not- und Ausfallvorsorge ist zu erstellen und kontinuierlich an neue Entwicklungen im IT-Bereich anzupassen. Dies beinhaltet die Planung von Notfallübungen, die Einrichtung von Backup-Systemen und die Entwicklung von Disaster-Recovery-Plänen.

IT-Sicherheitsziele für Daten und Anwendungen

Die Sicherheitsziele für Daten und Anwendungen bilden einen wesentlichen Bestandteil der IT-Sicherheitsstrategie eines Unternehmens. Um diese Ziele zu erreichen, sind strukturierte Maßnahmen und Verfahren erforderlich, die den Schutz und die Integrität der Unternehmensdaten und Anwendungen sicherstellen.

Klassifizierung von Daten und Anwendungen

  • Sicherheitsbedarfsanalyse
    Daten und Anwendungen müssen hinsichtlich ihrer Sensibilität und Bedeutung für das Unternehmen klassifiziert werden. Diese Klassifizierung bildet die Grundlage für die Bestimmung des erforderlichen Schutzniveaus und der entsprechenden Sicherheitsmaßnahmen.

Zugriffskontrolle

  • Funktionsbezogene Zugriffsrechte
    Die Vergabe von Zugriffsrechten auf Daten und Anwendungen muss streng nach dem Prinzip der Notwendigkeit und Funktionsbezogenheit erfolgen. Nur autorisierte Nutzer dürfen Zugang zu den für ihre Aufgaben relevanten Informationen erhalten.

  • Verhinderung unautorisierter Zugriffe
    Durch den Einsatz von Authentifizierungs- und Autorisierungssystemen sowie durch die Anwendung des Least Privilege-Prinzips ist sicherzustellen, dass unbefugte Zugriffe verhindert werden.

Protokollierung und Überwachung

  • Überwachung der Zugriffe
    Alle Zugriffe auf sensible Daten und kritische Anwendungen müssen protokolliert und überwacht werden, um sicherzustellen, dass nur berechtigte Aktionen durchgeführt werden. Dies dient auch der frühzeitigen Erkennung von Sicherheitsvorfällen.

Zentrale Benutzerverwaltung

  • Zentrale Administration
    Die Verwaltung von Benutzerkonten und Zugriffsberechtigungen sollte zentral erfolgen, um eine konsistente Sicherheitspolicy durchzusetzen und die Verwaltung zu vereinfachen.

Entwicklung und Einführung von Anwendungssoftware

  • Sicherheitsorientierte Entwicklungsprozesse
    Die Entwicklung neuer Anwendungen muss nach etablierten, sicherheitsorientierten Methoden erfolgen, die Sicherheitsaspekte von Anfang an berücksichtigen. Dies schließt regelmäßige Sicherheitstests und Code-Reviews ein.

Backup und Verfügbarkeit

  • Backup-Konzept
    Um die ständige Verfügbarkeit von Daten und Anwendungen zu gewährleisten, ist ein umfassendes Backup-Konzept erforderlich. Dies sollte regelmäßige Sicherungen, die sichere Aufbewahrung von Backup-Medien und die Planung für Disaster Recovery umfassen.

Zu berücksichtigende Prinzipien

Um eine effektive und nachhaltige IT-Sicherheitspolitik zu gewährleisten, ist es entscheidend, dass bei der Entwicklung und Implementierung von Sicherheitskonzepten, -regeln und -aktivitäten bestimmte grundlegende Prinzipien Berücksichtigung finden.

Gesamtheitliche Betrachtung
Sicherheit ist nicht nur eine Frage der Technologie, sondern umfasst auch administrative, organisatorische, operationale und rechtliche Aspekte. Dies schließt das interne Kontrollsystem, das Prinzip der Funktionstrennung und fachübliche Dokumentationsanforderungen mit ein. Ein gesamtheitlicher Ansatz gewährleistet, dass alle relevanten Sicherheitsaspekte integriert betrachtet und adressiert werden.

Integration
IT-Sicherheitsmaßnahmen müssen nahtlos in die gesamte Unternehmensstruktur und -kultur eingebettet werden. Dies beinhaltet die Koordination mit Maßnahmen anderer Unternehmensbereiche sowie eine enge Zusammenarbeit mit externen Dienstleistern und Partnern, um einheitliche Sicherheitsstandards zu etablieren und aufrechtzuerhalten.

Wirtschaftlichkeit
Die Implementierung von IT-Sicherheitsmaßnahmen sollte stets unter Berücksichtigung ihrer Kosten-Nutzen-Relation erfolgen. Die Klassifizierung von Informationen und IT-Systemen nach ihrem Sicherheitsbedarf ermöglicht eine zielgerichtete Allokation von Ressourcen, sodass der Schutz dem Wert der jeweiligen Information angemessen ist.

Aktualität
Regelmäßige Risikoanalysen sind unerlässlich, um potenzielle Gefahren zeitnah zu erkennen und zu bewerten. Dies ermöglicht es, präventive und reaktive Sicherheitsmaßnahmen kontinuierlich anzupassen und Risiken effektiv zu managen.

Stand der Entwicklung
Die IT-Sicherheit eines Unternehmens muss stets den aktuellen technischen Möglichkeiten und Standards entsprechen. Die kontinuierliche Anpassung an den neuesten Stand der Technik ist erforderlich, um gegenüber neuen Bedrohungen und Angriffstechniken widerstandsfähig zu bleiben.

Zeitgerechtigkeit
Mechanismen zur Überwachung und unverzüglichen Meldung von Sicherheitsverletzungen sind essentiell, um auf Vorfälle schnell und angemessen reagieren zu können. Die Reaktionsstrategien müssen dabei in einem angemessenen Verhältnis zu den identifizierten Risiken stehen.

Überprüfbarkeit
Die Nachvollziehbarkeit von sicherheitsrelevanten Aktionen durch geeignete Protokollierung und Auditierbarkeit ist ein Kernprinzip der IT-Sicherheit. Dies unterstützt nicht nur die Aufklärung und Analyse von Sicherheitsvorfällen, sondern fördert auch die Transparenz und Rechenschaftspflicht.

Verantwortlichkeit
Eine klare Zuweisung von Zuständigkeiten und Verantwortlichkeiten ist grundlegend für die Wirksamkeit von Sicherheitsmaßnahmen. Die Aufteilung und Trennung von Aufgaben minimiert das Risiko von Interessenkonflikten und reduziert die Gefahr von Sicherheitslücken durch zu weitreichende Zugriffsrechte.

Ein technisches Sicherheitskonzept wird in der Regel von der IT Entwicklung und insbesondere vom Systembetrieb erstellt. Im Fokus steht hier die Beschreibung der technischen Absicherungsmaßnahmen der Systeme und von erforderlichen Maßnahmen zur Erfüllung der Sicherheitsauflagen.

Die erforderlichen Backup Verfahren (Recovery) müssen mit den bestehenden Betriebsprozessen abgestimmt werden. Des Weiteren sollte hierbei geprüft werden, ob für bestimmte Sachverhalte zusätzlich auch Notfallpläne zu erstellen bzw. in der erforderlichen Aktualität bereits vorhanden sind.

Der Nutzen eines technischen Sicherheitskonzeptes

» Technisch sichere Systeme

Ein technisches Sicherheitskonzept ist aus Projektsicht ein Planungsdokument, welches dazu dient, die Mindestmaßnahmen für die Informationssicherheit in einem Projekt zu bestimmen. Diese ergeben sich aus dem Schutzbedarf, der für das Projekt bestimmt wird.

Mögliche projektbezogene Aufgaben

»

Konzeption zur Wiederherstellung sowie zur Archivierung

»

Konzeption zum Schutz der eingesetzten IT Systeme

»

Konzeption zum Schutz des gesamten Datenverkehrs

»

Konzeption zum Schutz der Applikation(en) inklusive der der Beschaffung

»

Konzeption zum Schutz der Information

Zusammen mit einem ermittelten Schutzbedarf und dem Projektauftrag wird abgeschätzt, welche Teile des Konzepts in welchem Umfang zu gestalten sind, welche Teile wiederverwendet werden und welche Teile nicht im Verantwortungsbereich des Projekts liegen.

Wichtige Aspekte aus Sicht der IT Entwicklung sind zum Bespiel:

» Art der Programmierung

 

Wichtige Aspekte aus Sicht des Systembetriebes sind zum Bespiel:

» Technischen Implementierungen und Fragenstellungen (Protokolle, Netzwerkintegration)

» IT Security Policy Richtlinien

Beispiel: Liste der betroffenen Anwendungen

Nr.

APP Nr.

Applikation

Art und Umfang der Betroffenheit oder Veränderung

 1

 

 

Hier sind projektspezifische Ergänzungen zu dokumentieren

 2

 

 

 

 ...

 

 

 

Beispiel: Schutzbedarf der betroffenen Anwendungen

Nr.

Applikation

Vertraulichkeit

Integrität

Verfügbarkeit

Authentizität

1

 

[_] gering

[_] mittel

[_] hoch

[_] gering

[_] mittel

[_] hoch

[_] gering

[_] mittel

[_] hoch

[_] gering

[_] mittel

[_] hoch

2

 

[_] gering

[_] mittel

[_] hoch

[_] gering

[_] mittel

[_] hoch

[_] gering

[_] mittel

[_] hoch

[_] gering

[_] mittel

[_] hoch

 

 

 

 

 

Grundsätzliche Struktur und Themen eines Technischen Sicherheitskonzeptes

Die nachfolgenden Ausführungen dienen dazu konzeptionelle Mindestmaßnahmen für die Wahrung einer technischen Sicherheit im Rahmen einer Projektdurchführung zu beschreiben.

Einleitung

»

Bezugsdokumente

»

Anwendungsübersicht

»

Schutzbedarf

»

Abgrenzung des Konzeptumfangs

 

 

Konzeption zur Wiederherstellung

»

Datensicherung und Datenwiederherstellung

»

Archivierung

»

Konzeption zum Systemschutz

»

Antivirusschutz

»

Server Sicherheit

»

Client Sicherheit

»

Sicherheit mobiler Endgeräte

»

Sicherheit mobiler Endgeräte

 

 

Konzeption zum Schutz des Datenverkehrs

»

Netzwerk Sicherheit

»

Kryptografie

»

Sicherheit der elektronischen Kommunikation oder Kollaboration

 

 

Konzeption zum Schutz der Applikationen

»

Applikationssicherheit

»

Change- und Patch- Management

»

Test und Freigabe

»

Content Sicherheit

 

 

Konzeption zum Schutz der Informationen

»

Access- und Identity- Management

»

Sicherheit im Umgang mit Datenträgern

»

Protokollierung

»

Sicherheit von Datenbanken

 

 

Themenübergreifende Konzeptionen

»

Weitere projektspezifische Konzeptionen

 

 

Information Security Nachweise

»

Test- und Prüfkonzeption vor Projektabschluss

»

Test- und Prüfkonzeption nach Projektabschluss

Abgrenzung des Konzeptumfangs auf Themenbereiche

Fachthema

Neuerstellung

Anpassung

Entfällt

IT-Service

[_]

[_]

[_]

Datensicherung und -Wiederherstellung

[_]

[_]

[_]

Archivierung

[_]

[_]

[_]

Antivirusschutz

[_]

[_]

[_]

Server-Sicherheit

[_]

[_]

[_]

Client-Sicherheit

[_]

[_]

[_]

Sicherheit mobiler Endgeräte

[_]

[_]

[_]

Netzwerksicherheit

[_]

[_]

[_]

WLAN-Sicherheit

[_]

[_]

[_]

Kryptographie

[_]

[_]

[_]

Sicherheit der elektronischen Kommunikation

[_]

[_]

[_]

Applikationssicherheit

[_]

[_]

[_]

Change- und Patch- Management

[_]

[_]

[_]

Test und Freigabe

[_]

[_]

[_]

Sicherheit im Umgang mit Datenträgern

[_]

[_]

[_]

Protokollierung

[_]

[_]

[_]

Sicherheit von Datenbanken

[_]

[_]

[_]

Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH

Hettwer UnternehmensBeratung

Hettwer UnternehmensBeratung GmbH - Spezialisierte Beratung - Umsetzungsdienstleistungen im Finanzdienstleistungssektor – Experte im Projekt- und Interimsauftragsgeschäft - www.hettwer-beratung.de

H-UB ERFOLGSGESCHICHTE

Auszeichnung:

Gold-Partner-Zertifikat

Hettwer UnternehmensBeratung GmbH wurde aufgrund der erbrachten Beraterleistungen in den exklusiven Kreis der etengo Gold-Partner aufgenommen.

H-UB EXPERTENWISSEN

Hettwer UnternehmensBeratung GmbH – Expertenprofil Klaus Georg Hettwer (Geschäftsführer): Beratungskompetenz, Fachliche Kompetenz, Methodische Kompetenz, Soziale Kompetenz, Kommunikationskompetenz; Sonderthemen: SEPA, EMIR, TARGET2, MiFID, T2S

- Eine Beratung mit PROFIL -

H-UB Leistungskatalog

H-UB Leistungskatalog.pdf
Adobe Acrobat Dokument 89.4 KB

H-UB SOCIAL MEDIA PRÄSENZ

© 2010-2024 Hettwer UnternehmensBeratung GmbH