Security-Check / Auswertung - BCC Business Coaching & Consulting

Beispiel-Auswertung (schematisch) ► Security-Check
Security-Check / Auswertung
Auszug aus Fragenkatalog/ Control 9.2.3 „Sicherheit der Verkabelung“
BCC Business Coaching & Consulting hat aus der ISO 27001 (Aufbau eines ISMS) eine Checkliste abgeleitet,
die durch alle sicherheitsrelevanten Bereiche eines Unternehmens führt. Nachfolgend wird am Beispiel
„Sicherheit der Verkablung“ nachvollzogen, welche Möglichkeiten und Konsequenzen sich aus der
Anwendung dieser Checkliste ergeben. Das Ergebnis zeigt, dass in dem Themenbereich Aufgaben entstehen,
deren Bearbeitung nachfolgend qualifiziert werden muss:
9 Physische und umgebungsbezogene Sicherheit
Frage 9.1 Sicherheitsbereiche zu beantworten:
Nr. 9.2.3 Sicherheit der Verkabelung Prio ja nein iA nr
260 38 Werden Netz- und Telekommunikationsverkabelungen,
die Daten übertragen oder Informationsdienste
unterstützen, gegen Abhören oder Beschädigung
geschützt?
261 a Werden Strom- und Telekommunikationsleitungen,
die zu Geräten führen, die zur Informationsverarbeitung
verwendet werden, wenn möglich, unterirdisch
verlegt oder auf andere Weise angemessen geschützt?
262 b Wird Netzwerkverkabelung zum Beispiel durch
Verwendung von Elektroinstallationsrohren oder
durch Vermeidung der Leitungsführung über öffentliche
Bereiche gegen unbefugtes Abhören oder Beschädigung
geschützt?
263 c Werden Netzkabel von den Telekommunikationskabeln
getrennt geführt, um Störungen zu verhindern?
264 1 Werden Kabel für die Datenkommunikation in bewehrten
Elektroinstallationsrohren und abgeschlossenen
Räumen oder Kästen an Inspektions- und
Endpunkten geführt?
265 2 Werden alternative Leitungsführungen und/oder
Übertragungsmedien verwendet, die angemessene
Sicherheit bieten?
2
2
2
2
2
2
266 3 Wird Glasfaserverkabelung verwendet? 2
267 4 Wird elektromagnetische Abschirmung zum Schutz
der Kabel verwendet?
268 5 Werden streckenweise technischen Prüfungen
(sweeps) und physische Inspektionen zur Aufspürung
von an die Kabel angeschlossene Geräte ohne
Genehmigung veranlasst?
269 6 Wird der Zugang zu Patchfeldern und Kabelräumen
kontrolliert?
270 7 Werden eindeutig identifizierbare Kabel- und Gerätekennzeichnungen
verwendet, um Handhabungsfehler,
wie z. B. versehentliches Verbinden der
falschen Netzwerkkabel, auf ein Mindestmaß zu
reduzieren?
271 8 Wird eine dokumentierte Liste von Kabelverbindungen
aktuell geführt, um die Anzahl der möglichen
Fehler zu verringern?
2
2
2
2
2
BCC_BeispielAuswertung_SecurityCheck_2009.doc 01/2009 • • Seite 1 von 6 •

Beispiel-Auswertung (schematisch) ► Security-Check
Abzuleitende Maßnahmen gem. IT-GSHB / BSI
Die ISO 27001 betrachtet Sicherheits-Prozesse. Aus den ISO-Kapiteln (Controls) der ISO 27001 können
konkrete Bausteine (Themenbereiche) und Maßnahmen (Handlungsempfehlungen) des IT-GSHB des
BSI abgeleitet werden. Somit entstehen aus den prozessorientierten Themenstellungen der ISO konkrete
Handlungsanweisungen zur Lösung der entstehenden Aufgaben.
Gem. Fragestellungen aus der Checkliste und deren Beantwortung ergeben sich nun mit Priorität 2 versehene
Aufgaben aus dem Themenbereich „Verkablung“. Priorität 2 würde bei einer ISO-Zertifizierung
zum Erteilen eines Zertifikates mit Auflagen führen.
Baustein
Maßnahme
B 2.2 Verkabelung M 1.22 Materielle Sicherung von Leitungen und Verteilern
M 1.2 Regelungen für Zutritt zu Verteilern
M 5.5
Schadensmindernde Kabelführung
B 2.2
Beschreibung
Die Verkabelung von IT-Systemen umfasst alle Kabel und passiven Komponenten (Rangier-
/Spleißverteiler) der Netze vom evtl. vorhandenen Übergabepunkt aus einem Fremdnetz (Telefon,
ISDN) bis zu den Anschlusspunkten der Netzteilnehmer. Aktive Netzkomponenten (Repeater,
Sternkoppler, Bridges etc.) sind nicht Bestandteil dieses Kapitels.
Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere
Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz. Für
die Verkabelung sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung über
die Umsetzung bis zum Betrieb und zur Notfallvorsorge. Die Schritte, die dabei durchlaufen werden
sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im
Folgenden aufgeführt. Wie beim Gebäude, so ist auch hier zu beachten, dass die Einflussmöglichkeiten
beim Einzug in ein schon bestehendes Gebäude auch bei der Absicherung der Verkabelung
wesentlich geringer sind als bei der Errichtung eines Neubaus.
M 1.22
Verantwortlich für Initiierung:
Verantwortlich für Umsetzung:
Materielle Sicherung von Leitungen und Verteilern
Netzplaner, Leiter Haustechnik, Leiter IT
Haustechnik
In Räumen mit Publikumsverkehr oder in unübersichtlichen Bereichen eines Gebäudes kann es
sinnvoll sein, Leitungen und Verteiler zu sichern. Dies kann auf verschiedene Weise erreicht werden:
• Verlegung der Leitungen unter Putz,
• Verlegung der Leitungen in Stahlpanzerrohr,
• Verlegung der Leitungen in mechanisch festen und abschließbaren Kanälen,
• Verschluss von Verteilern und
• bei Bedarf zusätzlich elektrische Überwachung von Verteilern und Kanälen.
Bei Verschluss sind Regelungen zu treffen, die die Zutrittsrechte, die Verteilung der Schlüssel und
die Zugriffsmodalitäten (was muss der Berechtigte ggf. vor dem Zugriff auf Leitungen tun?) festlegen.
Ergänzende Kontrollfragen:
• Wurde die Zahl der Stellen, an denen das Kabel zugänglich ist, auf ein Mindestmaß reduziert?
• Wurde die Länge zu schützender Verbindungen möglichst klein gehalten?
• Werden Zutrittsrechte restriktiv vergeben? Werden Personalwechsel und Vertretungsfälle
dabei berücksichtigt?
• Werden Zutrittsrechte regelmäßig auf ihre Berechtigung/Notwendigkeit hin überprüft?
BCC_BeispielAuswertung_SecurityCheck_2009.doc 01/2009 • • Seite 2 von 6 •

Beispiel-Auswertung (schematisch) ► Security-Check
Abgeleitete Gefährdungen gem. IT-GSHB / BSI
Den priorisierten Bausteinen (aus unserem Beispiel B 2.2) sind Gefährdungen gemäß IT-GSHB des BSI
zugeordnet. Die Gefährdungen geben zusätzliche Hinweise zur Erfüllung der bestehenden Aufgaben.
Gefährdungen
Thema Nr. Text
Höhere Gewalt G 1.6 Kabelbrand
Organisatorische Mängel G 2.11 Unzureichende Trassendimensionierung
G 2.12
G 2.13
Unzureichende Dokumentation der Verkabelung
Unzureichend geschützte Verteiler
G 2.32 Unzureichende Leitungskapazitäten
Menschliche Fehlhandlungen G 3.4 Unzulässige Kabelverbindungen
G 3.5 Unbeabsichtigte Leitungsbeschädigung
Technisches Versagen G 4.4 Leitungsbeeinträchtigung durch Umfeldfaktoren
G 4.5
G 4.21
Übersprechen
Ausgleichsströme auf Schirmungen
Vorsätzliche Handlungen G 5.7 Abhören von Leitungen
G 5.8
Manipulation an Leitungen
G 2.12 Unzureichende Dokumentation der Verkabelung
Ist aufgrund unzureichender Dokumentation die genaue Lage von Leitungen
nicht bekannt, so kann es bei Bauarbeiten außerhalb oder innerhalb
eines Gebäudes zu Beschädigungen von Leitungen kommen. Dabei
kann es zu längeren Ausfallzeiten oder unter Umständen sogar zu lebensbedrohenden
Gefahren, z. B. durch Stromschlag, kommen.
Eine unzureichende Dokumentation erschwert zudem Prüfung, Wartung
und Reparatur von Leitungen sowie Rangierungen, wie sie z. B. bei
Änderungen im Endgeräte-Bereich (Umzug, Neuzugang) erforderlich
werden.
Beispiel:
- In einer größeren Behörde wurde die Verkabelung der IT durch eine
externe Firma vorgenommen. Die Anfertigung einer Dokumentation
war im Leistungsumfang nicht enthalten. Da nach Fertigstellung der
Verkabelung mit der Firma kein Wartungsvertrag abgeschlossen
wurde, verfügte die Behörde nicht über die notwendige Dokumentation.
Erweiterungen des Netzes konnten nur mit erheblichen Verzögerungen
vorgenommen werden.
BCC_BeispielAuswertung_SecurityCheck_2009.doc 01/2009 • • Seite 3 von 6 •

Beispiel-Auswertung (schematisch) ► Security-Check
Zugehörige Maßnahmen gem. IT-GSHB zum Erreichen eines Siegel-Status „Zertifizierung
ISO 27001 nach IT-Grundschutz“
Wird in Erwägung gezogen, die bestehenden Aufgaben so zu realisieren, dass ein Siegel-Status zur „Zertifizierung
ISO 27001 nach IT-Grundschutz“ des BSI erreicht werden kann, sind weitere Maßnahmen zu
betrachten. Diese bilden das PDCA-Modell der ISO 27001 ab, was einen kontinuierliche Kreislauf zur
stetigen Verbesserung des erreichten Sicherheits-Status zum Ziel hat.
Maßnahmen
Thema Nr. Prio Text
Planung und
Konzeption
M 1.20 A Auswahl geeigneter Kabeltypen unter physikalischmechanischer
Sicht (bei Verkabelung neuer Netze)
M 1.21 A Ausreichende Trassendimensionierung (bei Verkabelung
neuer Netze)
M 1.22 Z Materielle Sicherung von Leitungen und Verteilern
M 5.2 A Auswahl einer geeigneten Netz-Topographie
M 5.3 A Auswahl geeigneter Kabeltypen unter kommunikationstechnischer
Sicht
Umsetzung M 1.9 A Brandabschottung von Trassen
M 1.39 C Verhinderung von Ausgleichsströmen auf Schirmungen
M 2.19 B Neutrale Dokumentation in den Verteilern
M 5.4 A Dokumentation und Kennzeichnung der Verkabelung
M 5.5 A Schadensmindernde Kabelführung (bei Verkabelung neuer
Netze)
Betrieb M 2.20 Z Kontrolle bestehender Verbindungen
M 5.1 B Entfernen oder Kurzschließen und Erden nicht benötigter
Leitungen
Notfallvorsorge M 6.18 Z Redundante Leitungsführung
Die Priorisierung stellt fest, welche Maßnahmen für die jeweiligen
Siegel-Stati zu erfüllen sind.
A
B
C
Z
Einstieg (Selbsterklärung)
Aufbau (Selbsterklärung)
Zertifikat
Aufbau (Selbsterklärung)
Zertifikat
Zertifikat
zusätzliche Maßnahme für Infrastrukturen (IT-Verbund)
mit erhöhtem Schutzbedarf
BCC_BeispielAuswertung_SecurityCheck_2009.doc 01/2009 • • Seite 4 von 6 •

Beispiel-Auswertung (schematisch) ► Security-Check
Auswertung der Ergebnisse zur Check-Liste
Laut den von Ihnen gegebenen Antworten sind folgende Themen nicht erfüllt:
261 Werden Strom- und Telekommunikationsleitungen, die zu Geräten führen, die zur Informationsverarbeitung verwendet
werden, wenn möglich, unterirdisch verlegt oder auf andere Weise angemessen geschützt?
263 Werden Netzkabel von den Telekommunikationskabeln getrennt geführt, um Störungen zu verhindern?
268 Werden streckenweise technischen Prüfungen (sweeps) und physische Inspektionen zur Aufspürung von an die Kabel
angeschlossene Geräte ohne Genehmigung veranlasst?
270 Werden eindeutig identifizierbare Kabel- und Gerätekennzeichnungen verwendet, um Handhabungsfehler, wie z. B. versehentliches
Verbinden der falschen Netzwerkkabel, auf ein Mindestmaß zu reduzieren?
271 Wird eine dokumentierte Liste von Kabelverbindungen aktuell geführt, um die Anzahl der möglichen Fehler zu verringern?
Für Themen, die nach Ihrer Aussage nicht relevant (nr) sind, ist die jeweilige Begründung zu überprüfen:
266 Wird Glasfaserverkabelung verwendet?
Gemäß den von Ihnen nicht erfüllten Themen werden nach IT-GSHB folgende Bausteine und Maßnahmen
zur Unterstützung der Aufgabenerfüllung zugeordnet:
B 2.2 Verkabelung M 1.22 Materielle Sicherung von Leitungen und Verteilern
M 1.2
M 5.5
Regelungen für Zutritt zu Verteilern
Schadensmindernde Kabelführung
Aus den relevanten Bausteinen resultieren folgende Gefährdungen:
B 2.2 Höhere Gewalt G 1.6 Kabelbrand
Organisatorische Mängel G 2.11 Unzureichende Trassendimensionierung
Organisatorische Mängel G 2.12 Unzureichende Dokumentation der Verkabelung
Organisatorische Mängel G 2.13 Unzureichend geschützte Verteiler
Organisatorische Mängel G 2.32 Unzureichende Leitungskapazitäten
Menschliche Fehlhandlungen G 3.4 Unzulässige Kabelverbindungen
Menschliche Fehlhandlungen G 3.5 Unbeabsichtigte Leitungsbeschädigung
Technisches Versagen G 4.4 Leitungsbeeinträchtigung durch Umfeldfaktoren
Technisches Versagen G 4.5 Übersprechen
Technisches Versagen G 4.21 Ausgleichsströme auf Schirmungen
Vorsätzliche Handlungen G 5.7 Abhören von Leitungen
Vorsätzliche Handlungen G 5.8 Manipulation an Leitungen
Empfehlung zum erreichten Sicherheits-Niveau: Mit dem derzeitig erreichten
Sicherheits-Status führen die Ergebnisse voraussichtlich zu einer Zertifizierung
„ISO 27001“ unter Auflagenerteilung zur Beseitigung der vorliegenden,
schweren Mängel.
BCC_BeispielAuswertung_SecurityCheck_2009.doc 01/2009 • • Seite 5 von 6 •

Beispiel-Auswertung (schematisch) ► Security-Check
Für das Erreichen eines Siegel-Status zur „Zertifizierung ISO 27001 nach IT-Grundschutz“ des BSI
sind Bezug nehmend auf die vorstehenden Aufgaben folgende, zusätzliche Maßnahmen zu erfüllen:
Für Siegel-Status „Einstieg“
Planung und
Konzeption
Planung und
Konzeption
Planung und
Konzeption
Planung und
Konzeption
M 1.20 A Auswahl geeigneter Kabeltypen unter physikalisch-mechanischer Sicht (bei Verkabelung neuer
Netze)
M 1.21 A Ausreichende Trassendimensionierung (bei Verkabelung neuer Netze)
M 5.2 A Auswahl einer geeigneten Netz-Topographie
M 5.3 A Auswahl geeigneter Kabeltypen unter kommunikationstechnischer Sicht
Umsetzung M 1.9 A Brandabschottung von Trassen
Umsetzung M 5.4 A Dokumentation und Kennzeichnung der Verkabelung
Umsetzung M 5.5 A Schadensmindernde Kabelführung (bei Verkabelung neuer Netze)
Für Siegel-Status „Aufbau“ zusätzlich:
Umsetzung M 2.19 B Neutrale Dokumentation in den Verteilern
Umsetzung M 5.1 B Entfernen oder Kurzschließen und Erden nicht benötigter Leitungen
Für Siegel-Status „Zertifikat“ zusätzlich:
Umsetzung M 1.39 C Verhinderung von Ausgleichsströmen auf Schirmungen
Für „erhöhten Schutzbedarf“ zusätzlich:
Planung und
Konzeption
M 1.22 Z Materielle Sicherung von Leitungen und Verteilern
Betrieb M 2.20 Z Kontrolle bestehender Verbindungen
Legende
BSI
ISMS
IT-GSHB
PDCA
Bundesamt für Sicherheit in der Informationstechnik
Informations-Sicherheits-Management-System
IT-Grundschutzhandbuch
Plan, Do Check, Act
Kontakt:
BCC Business Coaching & Consulting
Inh. Dipl.-Ing. André Müller
Karlstr. 24a
D-04435 Schkeuditz
Fon: 0700 2255 7646
eMail : andre.mueller@bcc-coaching.de
WEB:
www.bcc-coaching.de
www.bsfs-security.eu
BCC_BeispielAuswertung_SecurityCheck_2009.doc 01/2009 • • Seite 6 von 6 •