IT-Grundschutz
IT-Grundschutz
IT-Grundschutz
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Informationssicherheitsmanagement<br />
nach BSI<br />
<strong>IT</strong>-<strong>Grundschutz</strong><br />
Wilhelm Dolle<br />
KPMG AG, Partner Consulting
Ihr Dozent: Wilhelm Dolle<br />
KPMG AG, Partner Consulting<br />
Berufserfahrung<br />
• Director Security Management<br />
• Geschäftsleitung / Director Information Technology<br />
• Abteilungsleiter Networking & <strong>IT</strong> Security<br />
• Wissenschaftlicher Mitarbeiter<br />
Qualifikationen<br />
• CISA, CISM, CISSP, <strong>IT</strong>IL Service Manager<br />
• Prince2 Foundation (Projektmanagement)<br />
• Lizenzierter BSI ISO 27001 / <strong>IT</strong> <strong>Grundschutz</strong> Auditor, Mitautor BSI <strong>IT</strong>-<strong>Grundschutz</strong><br />
• Zertifizierter Lead Auditor für BS 25999-2 (Business Continuity Management)<br />
• Zertifizierter Lead Auditor für ISO 27001 (ISMS)<br />
Verschiedene Lehrtätigkeiten<br />
• Universität Potsdam, Hochschule Weserbergland, TU Berlin, Ruhr-Universität Bochum<br />
Zahlreiche Veröffentlichungen<br />
• iX, heise online, , Datenschutz und Datensicherheit<br />
• Linux Magazin, Linux Technical Review, Linux Enterprise, freeX<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Unternehmensdarstellung KPMG<br />
KPMG ist ein weltweites Netzwerk rechtlich selbstständiger Firmen<br />
mit 145.000 Mitarbeitern in 152 Ländern.<br />
■<br />
Auch in Deutschland gehört KPMG zu den führenden<br />
Wirtschaftsprüfungs- und Beratungsunternehmen und ist mit 8.400<br />
Mitarbeitern an 25 Standorten präsent. Unsere Leistungen sind in die<br />
Geschäftsbereiche Audit, Tax und Advisory gegliedert. Im Mittelpunkt<br />
von Audit steht die Prüfung von Konzern- und Jahresabschlüssen.<br />
Tax steht für die steuerberatende Tätigkeit von KPMG. Der Bereich<br />
Advisory bündelt unser hohes fachliches Know-how zu<br />
betriebswirtschaftlichen, regulatorischen und transaktionsorientierten<br />
Themen.<br />
Kiel<br />
Bremen<br />
Hamburg<br />
Hannover<br />
Berlin<br />
■<br />
Für wesentliche Branchen unserer Wirtschaft haben wir eine<br />
geschäftsbereichsübergreifende Spezialisierung vorgenommen. Hier<br />
laufen die Erfahrungen unserer Experten weltweit zusammen und<br />
tragen zusätzlich zur Beratungsqualität bei.<br />
Bielefeld<br />
Essen<br />
Dortmund<br />
Düsseldorf<br />
Köln<br />
Jena<br />
Halle<br />
Leipzig Dresden<br />
Im Bereich Security Consulting verfügt KPMG in Deutschland über<br />
■<br />
■<br />
■<br />
■<br />
■<br />
Über 80 Mitarbeiter im Bereich Security Consulting<br />
Über 40 zertifizierte ISO/IEC 27001 Lead Auditoren<br />
ISO-27001-Auditoren für Audits auf der Basis von <strong>IT</strong>-<strong>Grundschutz</strong><br />
(Bundesamt für Sicherheit und Informationsschutz)<br />
2 Mitarbeiter die Teile von BSI <strong>IT</strong>-<strong>Grundschutz</strong> mitgeschrieben haben<br />
Mitarbeiter mit Certified Information Systems Auditor (CISA)<br />
Mainz<br />
Frankfurt<br />
Saarbrücken<br />
Mannheim<br />
Karlsruhe<br />
Stuttgart<br />
Freiburg<br />
Nürnberg<br />
Regensburg<br />
Augsburg<br />
München<br />
■<br />
20 spezialisierte Penetrationstester<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative.<br />
3
Unternehmensdarstellung KPMG<br />
Unsere engagierten Mitarbeiter und ausgewiesenen Experten im Umfeld der <strong>IT</strong>-Sicherheit nach<br />
diversen Standards, greifen dabei auf Erfahrungen aus vergangenen Projekten und Partnerschaften<br />
zu anderen Institutionen zurück.<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
Wilhelm Dolle ist eingeladener Experte im Arbeitskreis Cyber-Sicherheit in der Allianz für Cyber-Sicherheit des<br />
BSI.<br />
Expertise aus einer Vielzahl an Projekten zur Vorbereitung und Zertifizierung nach BSI <strong>IT</strong>-<strong>Grundschutz</strong> und<br />
ISO/IEC 27001.<br />
Zertifizierungsstelle für Informationssicherheit nach ISO/IEC 27001 (KPMG Cert GmbH).<br />
KPMG-Mitarbeiter haben bereits mehrere Bausteine des BSI <strong>IT</strong>-<strong>Grundschutz</strong> verfasst, und tragen regelmäßig<br />
auf Veranstaltungen des BSI vor.<br />
Detaillierte Kenntnisse Banken, Versicherungen, Industrie, Ministerien und Behörden mit ISO 27001/ BSI <strong>IT</strong>-<br />
<strong>Grundschutz</strong><br />
Über 15 Jahre Erfahrung in der Schulung von <strong>IT</strong>-Sicherheit, Sicherheitsmanagement, ISO/IEC 27001 und BSI<br />
<strong>IT</strong>-<strong>Grundschutz</strong>.<br />
Umfangreicher Katalog an Schulungsunterlagen, Flyern, Webseiten für Informationssicherheit.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative.<br />
4
Forschung und Veröffentlichungen im Bereich <strong>IT</strong>-Sicherheit<br />
Über unsere fachliche Arbeit hinaus engagieren wir uns in Wissenschaft und Praxis, um Zukunftstrends erkennen, neue<br />
Lösungen zu entwickeln und unseren Mandanten aufzeigen zu können, wie sie diese pro aktiv nutzen und nachhaltig<br />
umsetzen können.<br />
Deshalb forschen wir kontinuierlich zu aktuellen Themen der <strong>IT</strong>- und Datensicherheit wie z.B. Informationssicherheitsmanagement, BSI <strong>IT</strong>-<strong>Grundschutz</strong> und<br />
Netzwerksicherheit. Dazu kooperieren wir mit renommierten Forschungseinrichtungen der <strong>IT</strong>-Sicherheit.<br />
Zu unseren Kooperationspartnern in der Lehre, Forschung und Wissenschaft rund um Informationssicherheit zählen u.a.:<br />
• Ruhr-Universität Bochum (BSI <strong>IT</strong>-<strong>Grundschutz</strong>, ISO/IEC 27001)<br />
• TU Berlin (BSI <strong>IT</strong>-<strong>Grundschutz</strong>, ISO/IEC 27001)<br />
• Universität Potsdam (Sicherheit von Rechnernetzen)<br />
• Hochschule Weserbergland (BSI <strong>IT</strong>-<strong>Grundschutz</strong>, ISO/IEC 27001, Netzwerksicherheit)<br />
• TU Darmstadt<br />
• FH Hagenberg (ISO/IEC 27001, <strong>IT</strong> Forensik)<br />
• FH Köln (SCADA-Sicherheit)<br />
• Donau-Universität Krems<br />
• Justus-Liebig-Universität Gießen<br />
Unser Engagement<br />
• Betreuung von Bachelor-/Masterarbeiten mit Bezug zu aktuellen Fragestellungen der <strong>IT</strong>-Sicherheit.<br />
• Teilnahme an Fachkonferenzen und Messen (u.a. ISSE, it-sa, Communication World, BSI <strong>Grundschutz</strong>tag).<br />
• Veröffentlichung von Studien zu aktuellen <strong>IT</strong>-Security Themen (z.B. KPMG e-Crime: Computerkriminalität in der deutschen Wirtschaft)<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative.<br />
5
Forschung und Veröffentlichungen im Bereich <strong>IT</strong>-Sicherheit<br />
Unsere ausgewiesenen Experten veröffentlichen Fachliteratur und Referenzwerke der <strong>IT</strong>-Sicherheit.<br />
Auszug unserer Veröffentlichungen und Beiträge:<br />
• Computer-Forensik: Computerstraftaten erkennen, ermitteln, aufklären,<br />
• e-Crime: Computerkriminalität in der deutschen Wirtschaft, KPMG<br />
• Beiträge u.a. zu den Themen IPv6 Sicherheit, Windows Rootkits, in:<br />
• DuD - Datenschutz und Datensicherheit<br />
Windows Rootkits - eine aktuelle Bedrohung,<br />
Windows Rootkits - und ihre Erkennung<br />
• iX - Magazin für professionelle Informationstechnik<br />
Kein Allheilmittel - Sicherheitsaspekte des kommenden Internet-Protokolls IPv6<br />
Über Bande - IPv6: Sicherheitsaspekte des Routing-Headers<br />
• Linux-Magazin<br />
Virtual Malware<br />
• Weitere<br />
Wie Hacker IPv6-Dienstprotokolle à la NDP und Nemo umgehen können<br />
Sicherer als IPv4, aber nicht sicher genug – IPv6 braucht Filter<br />
Security aspects of IPv6 - A summary of what can be wrong<br />
• Lektorat von Fachbüchern zur <strong>IT</strong>-Sicherheit<br />
Rootkits. Das Standardwerk zu Funktionsweise, Entwicklung und Entdeckung von Rootkits<br />
Buffer Overflows und Format-String-Schwachstellen: Funktionsweisen, Exploits und Gegenmaßnahmen<br />
Intrusion Detection und Prevention mit Snort 2 & Co<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative.<br />
6
Was bedeutet<br />
Information Security Management<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Unterschiedliche Verteilung von Sicherheitsmaßnahmen<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Was gilt als akzeptables Risiko<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Komplexität von Sicherheit<br />
"Security by Obscurity"<br />
- ob man hier auch schnell<br />
wieder heraus kommt<br />
- z.B. bei Feuer ...<br />
- wenn die Tür einen Spalt<br />
geöffnet ist, kann<br />
durchaus mit einer Axt<br />
oder einem anderen<br />
Gegenstand die Kette<br />
zertrennt werden ...<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Ist doch bisher immer gut gegangen …<br />
Am 14. April 1912 lief die britische Luxusdampfer Titanic kurz<br />
vor Mitternacht auf der Jungfernfahrt von Liverpool nach New<br />
York auf einen Eisberg auf und sank. Das Schiff galt wegen<br />
seiner 16 wasserdichten Abteilungen als unsinkbar,<br />
unglücklicherweise durchbohrte der Eisberg fünf davon. Von<br />
den 2220 Personen kamen 1513 ums Leben ... einer davon war<br />
der Kapitän. Sein Name war E. J. Smith.<br />
E.J. Smith 1907<br />
- das Schiff ist zu schnell durch gefährliches Gewässer gefahren<br />
- in den Rettungsbooten war nur Platz für etwa die Hälfte der<br />
Passagiere und Mannschaft<br />
- die Californian, die sich in der Nähe des Unglücksortes befand,<br />
kam nicht zu Hilfe, weil deren Bordfunker dienstfrei hatte und<br />
schlafen gegangen war.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Technik vs “Gesunder Menschenverstand”<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Exkurs: ISO 27001<br />
(C) http://www.iso.org/<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
ISO 27001: Anforderungen des Standards<br />
Dokumentation, Richtlinien und Aufzeichnungen<br />
Organisatorische und technische Aspekte<br />
Annex A mit 17 Seiten der diversesten Anforderungen ohne<br />
> jedoch konkrete Vorschläge an die Hand zu geben.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Bespiel ISO 27001: Die Control "A.9.2 Equipment security"<br />
Objective: To prevent loss, damage, theft or compromise of assets and interruption to the<br />
organization’s activities.<br />
Sehr generische Darstellung der Zielstellung (Objective) und der<br />
> erwarteten Maßnahmen (Controls).<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Beispiel ISO 27002: Erweiterung der Control "A.9.2 Equipment security"<br />
><br />
Höhere Präzisierung der<br />
generischen Anforderungen in<br />
der ISO 27002, dennoch ein<br />
sehr weit gefasster<br />
Interpretationsspielraum.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Umsetzung zur elektrotechnischen Verkabelung im <strong>IT</strong>-<strong>Grundschutz</strong> Baustein 2.2<br />
Die Anforderungen der ISO lassen sich mit Standardmaßnahmen<br />
> aus dem <strong>IT</strong>-<strong>Grundschutz</strong>katalog abbilden.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Der Managementprozess<br />
Act<br />
Erstellung<br />
des Scope<br />
Inventory of<br />
Information<br />
Assets<br />
Plan<br />
Schwachstellenund<br />
Risikoanalyse<br />
Etablierung von<br />
Kontrollen<br />
Do<br />
Etablierung<br />
Internal Audit<br />
gem.<br />
ISO/IEC<br />
27001:2005<br />
Check<br />
Etablierung<br />
eines<br />
Information<br />
Security Forums<br />
• Regionale<br />
Ausrichtung<br />
• Organisatorische<br />
Ausrichtung<br />
• Das ganze<br />
Unternehmen<br />
• Services<br />
• Hardware<br />
• Software<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
Schaden<br />
3 4 5 6<br />
2 3 4 5<br />
1 2 3 4<br />
1 1 2 3<br />
Eintrittswahrscheinlichkeit<br />
• Anwendung des<br />
Annex A des ISO<br />
27001 bzw.<br />
ISO 27002:2005<br />
• Entwicklung des SoA<br />
• Behandlung von<br />
Sicherheitsvorfällen<br />
• Preventives Audit<br />
durch internal Audit<br />
• Verbesserungen des<br />
ISMS
BSI <strong>IT</strong>-<strong>Grundschutz</strong><br />
(C) http://www.bsi.bund.de/<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
<strong>IT</strong>-<strong>Grundschutz</strong>(handbuch): Historie<br />
1994<br />
2013<br />
• 16 Bausteine<br />
• 160 Maßnahmen<br />
• 150 Seiten<br />
• kein integraler Sicherheitsprozess<br />
• Zielgruppe: Behörden<br />
19 Jahre <strong>IT</strong>-<br />
<strong>Grundschutz</strong><br />
+<br />
• 77+ Bausteine<br />
• 420+ Gefährdungen<br />
• 1140+ Maßnahmen<br />
• 4000+ Seiten (ab 11. Ergänzungslieferung)<br />
• Vorgehensweise für Sicherheitskonzepte<br />
• etabliertes Standardwerk für Behörden und<br />
Unternehmen im In-und Ausland<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
<strong>IT</strong>-<strong>Grundschutz</strong>gedanke<br />
Idee<br />
●<br />
●<br />
●<br />
●<br />
Gesamtsystem enthält typische Komponenten<br />
(z.B. Server und Clients, Betriebssysteme)<br />
pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten<br />
Empfehlung geeigneter Bündel von Standard-Sicherheitsmaßnahmen<br />
konkrete Umsetzungshinweise für Maßnahmen<br />
Vorteile<br />
● Arbeitsökonomische Anwendungsweise durch Soll-Ist-Vergleich<br />
● kompakte <strong>IT</strong>-Sicherheitskonzepte durch Verweis auf Referenzquelle<br />
● praxiserprobte Maßnahmen mit hoher Wirksamkeit<br />
● Erweiterbarkeit und Aktualisierbarkeit<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Ziel des <strong>IT</strong>-<strong>Grundschutz</strong>es<br />
„Durch organisatorische, personelle, infrastrukturelle<br />
und technische Standard-Sicherheitsmaßnahmen ein<br />
Standard-Sicherheitsniveau für <strong>IT</strong>-Systeme aufbauen,<br />
das auch für sensiblere Bereiche ausbaufähig ist.“<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
<strong>IT</strong>-<strong>Grundschutz</strong>: Sofortmaßnahmen für normales Niveau<br />
• Baustein Allgemeiner Client: Gefährdungen vs. Maßnahmen<br />
Auszug des Gefährdungskatalogs<br />
Auszug des Maßnahmenkatalogs<br />
Handlungsempfehlungen in Form von konkreten Maßnahmen, die<br />
typischen Gefährdungen gegenübergestellt werden. Zusammenfassung<br />
> in standardisierten Bausteinen für typische Komponenten.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
BSI <strong>IT</strong>-<strong>Grundschutz</strong> Vorgehensweise<br />
(C) http://www.bsi.bund.de/<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
„BSI-Standard 100-2 <strong>IT</strong>-<strong>Grundschutz</strong>-Vorgehensweise“<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Die <strong>IT</strong>-<strong>Grundschutz</strong>vorgehensweise im Überblick<br />
Definition Informationsverbund<br />
Strukturanalyse<br />
Schutzbedarfsfeststellung<br />
Modellierung<br />
Basissicherheitschecks<br />
Erg. Sicherheitsanalyse<br />
Zertifizierungsvorbereitung<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Definition Informationsverbund<br />
<strong>IT</strong>-<strong>Grundschutz</strong>vorgehensweise<br />
Definition<br />
Informationsverbund<br />
Strukturanalyse<br />
Schutzbedarfsfeststellung<br />
Modellierung<br />
Der Informationsverbund stellt die Gesamtheit von<br />
infrastrukturellen, organisatorischen, personellen und<br />
technischen Komponenten, die der Aufgabenerfüllung in<br />
einem bestimmten Anwendungsbereich der<br />
Informationsverarbeitung dienen, dar.<br />
Ein Informationsverbund kann aus der gesamten <strong>IT</strong> einer<br />
Institution bestehen oder auch einzelne Bereiche (z.B.<br />
Kernprozesse), die durch organisatorische Strukturen (z. B.<br />
Abteilungsnetz) oder gemeinsame <strong>IT</strong>-Anwendungen (z. B.<br />
Personalinformationssystem) gegliedert sind, umfassen.<br />
Basissicherheitschecks<br />
Informationsverbund<br />
Erg. Sicherheitsanalyse<br />
Übergeordnete Aspekte<br />
Zertifizierungsvorbereitung<br />
<strong>IT</strong>-Systeme<br />
Anwendungen<br />
Netze<br />
Standorte<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
27
Modellierung <strong>IT</strong>-Verbund<br />
• <strong>IT</strong>-Verbund:<br />
- Gesamtheit von infrastrukturellen, organisatorischen, personellen und<br />
technischen Komponenten, die der Aufgabenerfüllung in einem bestimmten<br />
Anwendungsbereich der Informationsverarbeitung dienen.<br />
- Kann auch die gesamte <strong>IT</strong> einer Institution oder auch einzelne Bereiche (z.B.<br />
Kernprozesse), die durch organisatorische Strukturen (z. B. Abteilungsnetz)<br />
oder gemeinsame <strong>IT</strong>-Anwendungen (z. B. Personalinformationssystem)<br />
gegliedert sind, umfassen.<br />
- Die folgenden Aspekte müssen berücksichtigt werden:<br />
- die vorhandene Infrastruktur,<br />
- die organisatorischen und personellen Rahmenbedingungen für den <strong>IT</strong>-<br />
Verbund,<br />
- im <strong>IT</strong>-Verbund eingesetzte vernetzte und nicht-vernetzte <strong>IT</strong>-Systeme,<br />
- die Kommunikationsverbindungen zwischen den <strong>IT</strong>-Systemen und nach<br />
außen,<br />
- im <strong>IT</strong>-Verbund betriebene <strong>IT</strong>-Anwendungen.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Abgrenzung Informationsverbund (IV)<br />
Anforderungen an einen zertifizierungsfähigen Informationsverbund:<br />
• Abgrenzung des IV:<br />
• Ein Informationsverbund ist sinnvoll abgegrenzt, wenn er alle<br />
Komponenten umfasst, die zur Unterstützung einer oder mehrerer<br />
Fachaufgaben, Geschäftsprozesse oder Organisationseinheiten dienen.<br />
• Weitere Anforderungen:<br />
• Der Informationsverbund muss außerdem eine sinnvolle Mindestgröße<br />
im Gesamtkontext des Unternehmens haben, d. h. der IV muss<br />
substantiell zum Funktionieren der Institution oder eines Teils der<br />
Institution beitragen.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Beispiele Informationsverbund (IV)<br />
Definition und Abgrenzung des IV im Rahmen von konkreten Zertifizierungen<br />
• Definition IV (Teil 1, Toll Collect - TC):<br />
• "Der zu zertifizierende <strong>IT</strong>-Verbund der Toll Collect GmbH besteht aus allen<br />
mautrelevanten zentralen Systemen des automatischen und manuellen<br />
Verfahrens, des Kontrollverfahrens sowie der Zentralen Dienste an den<br />
Standorten Bonn, Berlin, Potsdam."<br />
• Definition IV (Teil 2, T-Systems / TSI, Outsourcing):<br />
• "Application Hosting der zentralen Systeme des LKW-Maut-Systems durch die T-<br />
Systems International GmbH (Business Center Toll Collect & Online Services)<br />
für die Toll Collect GmbH am Standort München."<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Strukturanalyse<br />
<strong>IT</strong>-<strong>Grundschutz</strong>vorgehensweise<br />
Definition<br />
Informationsverbund<br />
Strukturanalyse<br />
Schutzbedarfsfeststellung<br />
Modellierung<br />
Basissicherheitschecks<br />
Erg. Sicherheitsanalyse<br />
Ziel der Strukturanalyse ist die genaue Kenntnis der im<br />
festgelegten Informationsverbund vorhandenen<br />
Informationstechnik, ihrer organisatorischen und personellen<br />
Rahmenbedingungen sowie ihrer Anwendungen.<br />
Die Strukturanalyse dient der Vorerhebung von Informationen,<br />
die für die für die weitere Vorgehensweise in der Erstellung<br />
eines Sicherheitskonzepts nach <strong>IT</strong>-<strong>Grundschutz</strong> benötigt<br />
werden.<br />
• Komplexitätsreduktion<br />
• Erhebung der <strong>IT</strong>-Systeme<br />
• Erhebung der Anwendungen<br />
• Erhebung der Netze<br />
• Erhebung der Standorte<br />
• Netzplanerhebung<br />
Zertifizierungsvorbereitung<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Strukturanalyse<br />
Netzplanerhebung<br />
●<br />
Auswertung eines vorhandenen Netzplans<br />
- <strong>IT</strong>-Systeme, z. B. Clients, Server, Netzkomponenten<br />
- Netzverbindungen zwischen diesen Systemen<br />
- Verbindungen nach außen, z.B. Einwahl oder Internet<br />
●<br />
Netzplan bereinigen<br />
- Systeme, die nicht im <strong>IT</strong>-Verbund sind, entfernen<br />
- nur Gruppen oder nicht gruppierbare Komponenten eintragen<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
<strong>IT</strong>-Strukturanalyse<br />
Erfassung der Systeme<br />
● Bei dieser Erfassung sollten folgende Informationen vermerkt werden, die für die<br />
nachfolgende Arbeit nützlich sind:<br />
- eine eindeutige Bezeichnung des <strong>IT</strong>-Systems,<br />
- Beschreibung (Typ und Funktion),<br />
- Plattform (z. B. Hardware-Architektur/Betriebssystem),<br />
- bei Gruppen: Anzahl der zusammengefassten <strong>IT</strong>-Systeme,<br />
- Aufstellungsort des <strong>IT</strong>-Systems,<br />
- Status des <strong>IT</strong>-Systems (in Betrieb, im Test, in Planung) und<br />
- Anwender/Administrator des <strong>IT</strong>-Systems.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Strukturanalyse<br />
Komplexitätsreduktion<br />
Gleichartige Komponenten sollten zu einer<br />
Gruppe zusammengefasst werden.<br />
Voraussetzungen:<br />
● gleicher Typ<br />
● gleiche oder nahezu gleiche Konfiguration<br />
● gleiche oder nahezu gleiche Netzanbindung<br />
● gleiche Rahmenbedingungen<br />
(Administration und Infrastruktur)<br />
● gleiche Anwendungen<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Ergebnisse der <strong>IT</strong>-Strukturanalyse<br />
Netzplan<br />
Bereinigter Netzplan<br />
Verwaltung Bad Godesberg<br />
Betrieb Bonn-Beuel<br />
Verwaltung Bad Godesberg<br />
Betrieb Bonn-Beuel<br />
Internet<br />
Router<br />
Firewall<br />
Switch<br />
Router<br />
Standleitung<br />
Router<br />
Internet<br />
N1: Router N3: Switch<br />
Switch<br />
N2: Firewall<br />
Vertriebsbüro Berlin<br />
Client<br />
VPN<br />
DB-Server<br />
Fibu<br />
Switch<br />
Domänen-<br />
Controller<br />
Dom.-Controller<br />
Datei- und<br />
Druckserver<br />
Vertriebsbüros<br />
VPN<br />
S2: DB-Server<br />
Fibu<br />
N4: Switch<br />
N5: Router Standleitung<br />
S6: Domänen-<br />
Controller<br />
Datei- und Druck-<br />
Server<br />
N6: Router<br />
Clients <strong>IT</strong><br />
Laptop<br />
Faxgerät<br />
Komm.-Server<br />
(Exchange)<br />
C4: Clients<br />
Vertriebsbüros<br />
S1: Domänen-<br />
Controller<br />
Vertriebsbüro Hamburg<br />
Client<br />
Clients Lohn/Fibu<br />
Datei- und<br />
Druckserver<br />
Clients Produktion<br />
C1: 12 Clients<br />
Fibu/Personal/<br />
Geschäfts-<br />
führung<br />
S3: Komm.-Server<br />
(Exchange)<br />
C3: 4 Clients<br />
Informationstechnik<br />
N7: Switch<br />
Clients<br />
Laptop<br />
Faxgerät<br />
Vertriebsbüro München<br />
Client<br />
Geschäftsführung<br />
Clients Personal<br />
Clients<br />
Market./Vertrieb<br />
DB-Server<br />
Kunden- und<br />
Auftragsbearb:<br />
Clients Entwicklung<br />
C6: 8 Laptops<br />
S4: Datei- und<br />
Druck-Server<br />
C2: 14 Clients<br />
Einkauf/Marketing/<br />
Vertrieb<br />
C5: 18 Clients<br />
Fertigung/Lager<br />
T2: Telefonanlage<br />
Clients Einkauf<br />
T3: 8 Faxgeräte<br />
T1: Telefonanlage<br />
Laptop<br />
Faxgerät<br />
Faxgeräte<br />
TK-Anlage<br />
Laptops<br />
Server und Clients werden einheitlich mit dem Betriebssystem Windows 2000 Betrieben<br />
Clients Lager<br />
Laptop<br />
Faxgerät<br />
TK-Anlage<br />
S5: DB-Server<br />
Kunden- und<br />
Auftragsbearb.<br />
Server und Clients werden einheitlich mit dem Betriebssystem Windows 2000 Betrieben<br />
<strong>IT</strong>-Systeme<br />
<strong>IT</strong>-Anwendungen<br />
Geschäftsprozesse<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Schutzbedarfsfeststellung<br />
<strong>IT</strong>-<strong>Grundschutz</strong>vorgehensweise<br />
Definition<br />
Informationsverbund<br />
Strukturanalyse<br />
Ziel der Schutzbedarfsfeststellung ist es, für die erfassten<br />
Objekte im Informationsverbund zu entscheiden, welchen<br />
Schutzbedarf sie hinsichtlich der folgenden Ziele besitzen:<br />
Vertraulichkeit (C)<br />
Gewährleistung des Zugangs zu<br />
Informationen nur für Zugangsberechtigte<br />
Schutzbedarfsfeststellung<br />
Modellierung<br />
Basissicherheitschecks<br />
Erg. Sicherheitsanalyse<br />
Zertifizierungsvorbereitung<br />
Integrität (I)<br />
Sicherstellung der Richtigkeit und Vollständigkeit<br />
von Informationen und Verarbeitungsmethoden<br />
Verfügbarkeit (A)<br />
Gewährleistung des bedarfsorientierten Zugangs zu<br />
Informationen und zugehörigen Werten für berechtigte<br />
Benutzer<br />
Dieser Schutzbedarf orientiert sich an den möglichen<br />
Schäden, die mit einer Beeinträchtigung der betroffenen<br />
Anwendungen und damit der jeweiligen Geschäftsprozesse<br />
verbunden sind.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Schutzbedarfskategorien<br />
Schutzbedarfskategorien<br />
„normal“<br />
„hoch“<br />
„sehr hoch“<br />
Die Schadensauswirkungen sind begrenzt und überschaubar.<br />
Die Schadensauswirkungen können beträchtlich sein.<br />
Die Schadensauswirkungen können ein existentiell bedrohliches,<br />
katastrophales Ausmaß erreichen.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Schutzbedarfskategorien<br />
Die Schäden, die bei dem Verlust der Vertraulichkeit, Integrität oder<br />
Verfügbarkeit für eine <strong>IT</strong>-Anwendung einschließlich ihrer Daten entstehen können,<br />
lassen sich typischerweise folgenden Schadensszenarien zuordnen:<br />
• Verstoß gegen Gesetze/Vorschriften/Verträge,<br />
• Beeinträchtigung des informationellen Selbstbestimmungsrechts,<br />
• Beeinträchtigung der persönlichen Unversehrtheit,<br />
• Beeinträchtigung der Aufgabenerfüllung,<br />
• negative Außenwirkung und<br />
• finanzielle Auswirkungen.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Beispiel Schutzbedarfsfeststellung<br />
• Die Schäden, die bei dem Verlust der Vertraulichkeit, Integrität oder<br />
Verfügbarkeit für eine <strong>IT</strong>-Anwendung einschließlich ihrer Daten entstehen<br />
können, lassen sich typischerweise folgenden Schadensszenarien zuordnen:<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Beispiel Schutzbedarfsfeststellung - II<br />
• Die Schäden, die bei dem Verlust der Vertraulichkeit, Integrität oder<br />
Verfügbarkeit für eine <strong>IT</strong>-Anwendung einschließlich ihrer Daten entstehen<br />
können, lassen sich typischerweise folgenden Schadensszenarien zuordnen:<br />
Anwendung<br />
Personaldatenverarbeitung<br />
Schutzbedarf<br />
Vertraulichkeit: hoch (personenbezogene Daten)<br />
Integrität: normal (Fehler werden schnell erkannt)<br />
Verfügbarkeit: normal (Ausfälle können manuell abgefangen werden)<br />
Maschinensteuerung<br />
Vertraulichkeit: normal (Daten sind allg. bekannt)<br />
Integrität: hoch (falsche Daten können zu Fehlproduktionen führen)<br />
Verfügbarkeit: hoch (Ausfälle können nicht manuell abgefangen werden)<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Schutzbedarfsfeststellungen<br />
Vererbung<br />
1. Definition der Schutzbedarfskategorien<br />
normal hoch sehr hoch<br />
2. Schutzbedarf der Prozesse und <strong>IT</strong>-Anwendungen<br />
3. Schutzbedarf der <strong>IT</strong>-Systeme<br />
4. Schutzbedarf der<br />
Kommunikationsverbindungen<br />
<strong>IT</strong>-Räume<br />
5. Dokumentation, Plausibilitätsprüfung<br />
und Auswertung<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Interpretation der Ergebnisse der<br />
Schutzbedarfsfeststellung<br />
Schutzwirkung von Standard-Sicherheitsmaßnahmen nach <strong>IT</strong>-<strong>Grundschutz</strong><br />
Schutzbedarfkategorie<br />
„normal“<br />
Schutzbedarfkategorie<br />
„hoch“<br />
Schutzbedarfkategorie<br />
„sehr hoch“<br />
Standard-Sicherheitsmaßnahmen nach <strong>IT</strong>-<strong>Grundschutz</strong> sind im<br />
Allgemeinen ausreichend und angemessen.<br />
Standard-Sicherheitsmaßnahmen nach <strong>IT</strong>-<strong>Grundschutz</strong> bilden einen<br />
Basisschutz, sind aber unter Umständen alleine nicht ausreichend.<br />
Weitergehende Maßnahmen können auf Basis einer ergänzenden<br />
Sicherheitsanalyse ermittelt werden.<br />
Standard-Sicherheitsmaßnahmen nach <strong>IT</strong>-<strong>Grundschutz</strong> bilden einen<br />
Basisschutz, reichen aber alleine im Allgemeinen nicht aus. Die<br />
erforderlichen zusätzlichen Sicherheitsmaßnahmen müssen<br />
individuell auf der Grundlage einer ergänzenden Sicherheitsanalyse<br />
ermittelt werden<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Sonderfälle Schutzbedarf (in der Gesamtbetrachtung)<br />
• Maximumprinzip: Im Wesentlichen bestimmt der Schaden bzw. die Summe der Schäden<br />
mit den schwerwiegendsten Auswirkungen den Schutzbedarf eines <strong>IT</strong>-Systems.<br />
• Kumulationseffekt: Werden mehrere <strong>IT</strong>-Anwendungen bzw. Informationen auf einem <strong>IT</strong>-<br />
System verarbeitet, so ist zu überlegen, ob durch Kumulation mehrerer (z. B. kleinerer)<br />
Schäden auf einem <strong>IT</strong>-System ein insgesamt höherer Gesamtschaden entstehen kann.<br />
Dann erhöht sich der Schutzbedarf des <strong>IT</strong>-Systems entsprechend.<br />
• Verteilungseffekt: Auch der umgekehrte Effekt kann eintreten. So ist es möglich, dass eine<br />
<strong>IT</strong>-Anwendung einen hohen Schutzbedarf besitzt, ihn aber deshalb nicht auf ein betrachtetes<br />
<strong>IT</strong>-System überträgt, weil auf diesem <strong>IT</strong>-System nur unwesentliche Teilbereiche der <strong>IT</strong>-<br />
Anwendung laufen. Hier ist der Schutzbedarf zu relativieren.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Modellierung<br />
<strong>IT</strong>-<strong>Grundschutz</strong>vorgehensweise<br />
Definition<br />
Informationsverbund<br />
Strukturanalyse<br />
Schutzbedarfsfeststellung<br />
Modellierung<br />
Basissicherheitschecks<br />
Erg. Sicherheitsanalyse<br />
Zertifizierungsvorbereitung<br />
Bei der Modellierung wird der im ersten Schritt definierte<br />
Informationsverbund und seine einzelnen Komponenten mit<br />
Hilfe der <strong>Grundschutz</strong>bausteine nachgebaut. Das Ergebnis ist<br />
ein <strong>IT</strong>-<strong>Grundschutz</strong>-Modell.<br />
Das <strong>IT</strong>-<strong>Grundschutz</strong>-Modell folgt dem folgenden<br />
Schichtmodell:<br />
• Übergreifende Aspekte: Betreffen grundsätzliche<br />
organisatorische Aspekte der <strong>IT</strong>-Sicherheit und gelten in<br />
der Regel für den gesamten <strong>IT</strong>-Verbund.<br />
• Infrastruktur: Behandeln die baulich-technische Fragen<br />
und dienen insbesondere dem physischen Schutz etwa<br />
vor Feuer, Wasser oder Diebstahl.<br />
• <strong>IT</strong>-Systeme: Beschreiben die Sicherheitsaspekte von <strong>IT</strong>-<br />
Systemen.<br />
• Netze: Hier finden Sie Bausteine für Netzaspekte<br />
• <strong>IT</strong>-Anwendungen: Behandeln Aspekte zur Sicherheit<br />
ausgewählter Anwendungen.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Basissicherheitscheck<br />
Beispiel Bausteinauswahl<br />
•Microsoft Exchange Server<br />
•Anzuwendende Bausteine für den Server:<br />
1 übergreifende Aspekte<br />
[…]<br />
2 Infrastruktur<br />
[…]<br />
3 <strong>IT</strong>-Systeme<br />
B 3.101 Allgemeiner Server<br />
B 3.102 Server unter Unix<br />
B 3.103 Server unter Windows NT)<br />
B 3.104 Server unter Novell Netware 3.x<br />
B 3.105 Server unter Novell Netware 4.x<br />
B 3.106 Windows 2000 Server<br />
4 Netze<br />
[…]<br />
5 <strong>IT</strong>-Anwendungen<br />
B 5.1 Peer-to-Peer-Dienste<br />
B 5.2 Datenträgeraustausch<br />
B 5.3 E-Mail<br />
B 5.4 WWW-Server<br />
B 5.5 Lotus Notes<br />
B 5.6 Faxserver<br />
B 5.7 Datenbanken<br />
B 5.8 Telearbeit<br />
B 5.9 Novell eDirectory<br />
B 5.10 Internet Information Server<br />
B 5.11 Apache Webserver)<br />
B 5.12 Exchange 2000 / Outlook 2000<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Beispiel einer Maßnahme<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Gefährdungen für Clients unter XP<br />
Höhere Gewalt<br />
• G 1.1 Personalausfall<br />
• G 1.2 Ausfall des <strong>IT</strong>-Systems<br />
• G 1.4 Feuer<br />
• G 1.5 Wasser<br />
• G 1.8 Staub, Verschmutzung<br />
Organisatorische Mängel<br />
• G 2.7 Unerlaubte Ausübung von Rechten<br />
• G 2.9 Mangelhafte Anpassung an Veränderungen beim <strong>IT</strong>-Einsatz<br />
Menschliche Fehlhandlungen<br />
• G 3.2 Fahrlässige Zerstörung von Gerät oder Daten<br />
• G 3.3 Nichtbeachtung von <strong>IT</strong>-Sicherheitsmaßnahmen<br />
• G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal<br />
• G 3.8 Fehlerhafte Nutzung des <strong>IT</strong>-Systems<br />
• G 3.9 Fehlerhafte Administration des <strong>IT</strong>-Systems<br />
• G 3.22 Fehlerhafte Änderung der Registrierung<br />
• G 3.48 Fehlkonfiguration von Windows 2000/XP Rechnern<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Gefährdungen für Clients unter XP<br />
Technisches Versagen<br />
• G 4.1 Ausfall der Stromversorgung<br />
• G 4.7 Defekte Datenträger<br />
• G 4.8 Bekanntwerden von Softwareschwachstellen<br />
• G 4.23 Automatische CD-ROM-Erkennung<br />
Vorsätzliche Handlungen<br />
• G 5.2 Manipulation an Daten oder Software<br />
• G 5.4 Diebstahl<br />
• G 5.7 Abhören von Leitungen<br />
• G 5.9 Unberechtigte <strong>IT</strong>-Nutzung<br />
• G 5.18 Systematisches Ausprobieren von Passwörtern<br />
• G 5.21 Trojanische Pferde<br />
• G 5.23 Computer-Viren<br />
• G 5.43 Makro-Viren<br />
• G 5.52 Missbrauch von Administratorrechten im Windows NT/2000/XP System<br />
• G 5.71 Vertraulichkeitsverlust schützenswerter Informationen<br />
• G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000/XP Systemen<br />
• G 5.83 Kompromittierung kryptographischer Schlüssel<br />
• G 5.85 Integritätsverlust schützenswerter Informationen<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Maßnahmen für Clients unter Windows XP<br />
Planung und Konzeption<br />
• M 2.324 (A)Einführung von Windows XP planen<br />
• M 2.325 (A)Planung der Windows XP Sicherheitsrichtlinie<br />
• M 2.326 (A)Planung der Windows XP Gruppenrichtlinien<br />
• M 2.327 (B)Sicherheit beim Fernzugriff unter Windows XP<br />
• M 2.328 (B)Einsatz von Windows XP auf mobilen Rechnern<br />
• M 3.28 (A)Schulung zu Windows 2000/XP Sicherheitsmechanismen für Benutzer<br />
• M 4.48 (A)Passwortschutz unter Windows NT/2000/XP<br />
• M 4.57 (A)Deaktivieren der automatischen CD-ROM-Erkennung<br />
• M 4.75 (A)Schutz der Registrierung unter Windows NT/2000/XP<br />
• M 4.147 (Z)Sichere Nutzung von EFS unter Windows 2000/XP<br />
• M 4.149 (A)Datei- und Freigabeberechtigungen unter Windows 2000/XP<br />
• M 4.243 (Z)Windows XP Verwaltungswerkzeuge<br />
• M 4.244 (A)Sichere Windows XP Systemkonfiguration<br />
• M 4.245 (A)Basiseinstellungen für Windows XP GPOs<br />
• M 4.246 (A)Konfiguration der Systemdienste unter Windows XP<br />
• M 4.247 (A)Restriktive Berechtigungsvergabe unter Windows XP<br />
• M 5.37 (B)Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten Netz<br />
• M 5.89 (A)Konfiguration des sicheren Kanals unter Windows 2000/XP<br />
• M 5.90 (Z)Einsatz von IPSec unter Windows 2000/XP<br />
• M 5.123 (B)Absicherung der Netzwerkkommunikation unter Windows XP<br />
• M 4.56 (C)Sicheres Löschen unter Windows-Betriebssystemen<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Maßnahmen für Clients unter Windows XP<br />
Umsetzung<br />
• M 2.32 (Z)Einrichtung einer eingeschränkten Benutzerumgebung<br />
• M 4.248 (A)Sichere Installation von Windows XP<br />
Betrieb<br />
• M 2.329 (A)Einführung von Windows XP SP2<br />
• M 2.330 (B)Regelmäßige Prüfung der Windows XP Sicherheitsrichtlinien und ihrer Umsetzung<br />
• M 4.49 (A)Absicherung des Boot-Vorgangs für ein Windows NT/2000/XP System<br />
• M 4.52 (A)Geräteschutz unter Windows NT/2000/XP<br />
• M 4.146 (A)Sicherer Betrieb von Windows 2000/XP<br />
• M 4.148 (B)Überwachung eines Windows 2000/XP Systems<br />
• M 4.249 (A)Windows XP Systeme aktuell halten<br />
Aussonderung/Stilllegung<br />
• M 4.56 (C)Sicheres Löschen unter Windows-Betriebssystemen<br />
Notfallvorsorge<br />
• M 6.76 (C)Erstellen eines Notfallplans für den Ausfall eines Windows 2000/XP Netzes<br />
• M 6.78 (A)Datensicherung unter Windows 2000/XP<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Modellierung<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Basissicherheitscheck<br />
<strong>IT</strong>-<strong>Grundschutz</strong>vorgehensweise<br />
Definition<br />
Informationsverbund<br />
Strukturanalyse<br />
Der Basissicherheitscheck dient dazu, die bereits<br />
umgesetzten Sicherheitsmaßnahmen mit den Empfehlungen<br />
der <strong>IT</strong>-<strong>Grundschutz</strong>-Kataloge zu vergleichen, um das<br />
erreichte <strong>IT</strong>-Sicherheitsniveau zu identifizieren,<br />
Verbesserungsmöglichkeiten aufzuzeigen und die Planung<br />
ihrer Umsetzung einzuleiten.<br />
Schutzbedarfsfeststellung<br />
Modellierung<br />
Basissicherheitschecks<br />
Die Erhebung des Basissicherheitschecks erfolgt in Form<br />
eines Interviews des jeweiligen Objekt-/Ressourcenverantwortlichen.<br />
Hierzu werden die Maßnahmen des<br />
jeweiligen Bausteins, für den die Interviewpartner zuständig<br />
sind, der Reihe nach durchgearbeitet und hinsichtlich des<br />
Umsetzungsstatus bewertet (Umgesetzt, Nicht umgesetzt,<br />
Teilweise umgesetzt, Umsetzung entbehrlich).<br />
Erg. Sicherheitsanalyse<br />
Zertifizierungsvorbereitung<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Basissicherheitscheck<br />
Umsetzungsstatus<br />
Als Antworten bezüglich des Umsetzungsstatus der einzelnen Maßnahmen kommen<br />
folgende Aussagen in Betracht:<br />
- „entbehrlich" - Die Umsetzung der Maßnahmenempfehlungen ist in der<br />
vorgeschlagenen Art nicht notwendig, da den entsprechenden Gefährdungen mit<br />
anderen adäquaten Maßnahmen entgegengewirkt wird (z. B. durch Maßnahmen, die<br />
nicht im <strong>IT</strong><strong>Grundschutz</strong> aufgeführt sind, aber dieselbe Wirkung erzielen), oder die<br />
Maßnahmenempfehlungen nicht relevant sind (z. B. weil Dienste nicht aktiviert wurden).<br />
- "ja" - Alle Empfehlungen in der Maßnahme sind vollständig und wirksam umgesetzt.<br />
- "teilweise" - Einige der Empfehlungen sind umgesetzt, andere noch nicht oder nur<br />
teilweise.<br />
- "nein" - Die Empfehlungen der Maßnahme sind größtenteils noch nicht umgesetzt.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Basissicherheitscheck<br />
<strong>IT</strong>-<strong>Grundschutz</strong>modell<br />
Internet<br />
Primärer<br />
Domänen- Exchange-<br />
Controller (Windows NT) Server (Windows NT)<br />
File-Server<br />
(Novell<br />
Netware)<br />
Kommunikations<br />
- Server<br />
(Unix)<br />
Backup<br />
Domänen-<br />
Controller (Windows NT)<br />
Router<br />
Switch<br />
IP<br />
IP<br />
Switch<br />
Firewall<br />
Router<br />
Standleitung<br />
Router<br />
Switch<br />
Server für<br />
Personalverwaltun<br />
g (Windows NT)<br />
15 Client-<br />
Computer (Windows NT)<br />
75 Client-<br />
Computer (Windows NT) Liegenschaft<br />
Bonn<br />
Liegenschaft<br />
Berlin<br />
40 Client-<br />
Computer (Windows NT)<br />
Maßnahmenempfehlungen<br />
Soll-/Ist-<br />
Vergleich<br />
Realisierte<br />
Maßnahmen<br />
defizitäre Maßnahmen<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Basissicherheitscheck<br />
Mögliche Probleme<br />
• Unsicherheit, welche Bausteine auf welche Systeme angewendet<br />
werden sollen.<br />
• Es existiert kein Baustein für das bestehende System.<br />
• Zur Prüfung der umgesetzten Maßnahmen fehlt das technische<br />
Know How.<br />
• Es existieren zu viele Systeme, um diese alle zu prüfen.<br />
• Was ist mit Systemen, die einen „hohen“ oder „sehr hohen“<br />
Schutzbedarf haben<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Ergänzende Sicherheitsanalyse / Risikoanalyse<br />
<strong>IT</strong>-<strong>Grundschutz</strong>vorgehensweise<br />
Definition<br />
Informationsverbund<br />
Strukturanalyse<br />
Schutzbedarfsfeststellung<br />
Modellierung<br />
Basissicherheitschecks<br />
In einer ergänzenden Sicherheitsanalyse wird geprüft, wie<br />
diejenigen Zielobjekte zu behandeln sind, die mindestens<br />
eines der folgenden Kriterien erfüllen:<br />
• ein hoher oder sehr hoher Schutzbedarf existiert oder<br />
• existierende Standardmaßnahmen sind unzureichend<br />
• Einsatzszenarien (Umgebung, Anwendung) möglich sind,<br />
die im Rahmen der Standardmaßnahmenpakete des <strong>IT</strong>-<br />
Sicherheits-Managements nicht berücksichtigt sind<br />
Diese Überlegungen können zu dem Ergebnis führen, dass<br />
die Umsetzung der <strong>IT</strong>-<strong>Grundschutz</strong>-Maßnahmen genügt, sie<br />
können aber auch einen Bedarf an zusätzlichen oder<br />
höherwertigen Maßnahmen aufzeigen.<br />
Erg. Sicherheitsanalyse<br />
Zertifizierungsvorbereitung<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Ergänzende Sicherheitsanalyse / Risikoanalyse<br />
Beispiel Risikoanalyse nach BSI 100-3<br />
M1 M2 M3 M4 M5 M6 M7 M8<br />
G1 X X<br />
G2<br />
X<br />
G3 X X<br />
G4 X X<br />
G5<br />
X<br />
G6 X X<br />
Siko<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Erweiterte Risikoanalyse<br />
Normaler Schutzbedarf<br />
Erhöhter Schutzbedarf<br />
<strong>IT</strong>-<strong>Grundschutz</strong> Teil 1<br />
- <strong>IT</strong>-Strukturanalyse<br />
- Schutzbedarfsfeststellung<br />
- Modellierung<br />
- Basis-Sicherheitscheck<br />
Erstellung der<br />
Gefährdungsübersicht<br />
Ermittlung zusätzlicher<br />
Gefährdungen<br />
Gefährdungsbewertung<br />
<strong>IT</strong>-<strong>Grundschutz</strong> Teil 2<br />
- Erg. Sicherheitsanalyse<br />
- Realisierung<br />
- Zertifizierung<br />
Maßnahmenauswahl zur<br />
Behandlung von Risiken<br />
Konsolidierung des<br />
<strong>IT</strong>-Sicherheitskonzepts<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Risikoanalyse<br />
Risikoanalyse direkt nach dem<br />
Basis-Sicherheitscheck<br />
Mögliche Vorteile:<br />
- Es wird Mehraufwand vermieden, da keine<br />
Maßnahmen umgesetzt werden, die im Rahmen der<br />
Risikoanalyse eventuell durch stärkere Maßnahmen<br />
ersetzt werden.<br />
- Eventuell erforderliche Hochsicherheitsmaßnahmen<br />
werden früher identifiziert und umgesetzt.<br />
Risikoanalyse erst nach vollständiger<br />
Umsetzung der <strong>IT</strong>-<strong>Grundschutz</strong>-Maßnahmen<br />
Mögliche Vorteile:<br />
- <strong>IT</strong>-<strong>Grundschutz</strong>-Maßnahmen werden früher umgesetzt,<br />
da die Risikoanalyse häufig aufwendig ist.<br />
- Elementare Sicherheitslücken werden vorrangig<br />
behandelt, bevor fortgeschrittene Gefährdungen<br />
analysiert werden.<br />
Mögliche Nachteile:<br />
- <strong>IT</strong>-<strong>Grundschutz</strong>-Maßnahmen werden später<br />
umgesetzt, da die Risikoanalyse häufig<br />
aufwendig ist.<br />
- Eventuell werden elementare Sicherheitslücken<br />
werden vernachlässigt, während fortgeschrittene<br />
Gefährdungen analysiert werden.<br />
Mögliche Nachteile:<br />
- Es kann Mehraufwand entstehen, da eventuell einige<br />
<strong>IT</strong>-<strong>Grundschutz</strong>-Maßnahmen umgesetzt werden, die<br />
später im Rahmen der Risikoanalyse durch stärkere<br />
Maßnahmen ersetzt werden.<br />
- Eventuell erforderliche Hochsicherheitsmaßnahmen<br />
werden erst später identifiziert und umgesetzt.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Zertifizierungsvorbereitung<br />
<strong>IT</strong>-<strong>Grundschutz</strong>vorgehensweise<br />
Definition<br />
Informationsverbund<br />
Strukturanalyse<br />
Schutzbedarfsfeststellung<br />
Die Zertifizierung nach ISO 27001 nach <strong>IT</strong>-<strong>Grundschutz</strong><br />
belegt in besonderer Weise das Bemühen um <strong>IT</strong>-Sicherheit,<br />
da Grundlage der Vergabe nicht nur die Erfüllung der<br />
allgemeinen Anforderungen von ISO 27001 an das<br />
Sicherheitsmanagement ist, sondern auch die<br />
nachgewiesene Umsetzung der konkreten <strong>IT</strong>-<strong>Grundschutz</strong>-<br />
Maßnahmen.<br />
Dazu sind entsprechende Zertifizierungsdokumente<br />
bereitzustellen, die im Prüfschema beschrieben werden.<br />
Modellierung<br />
Basissicherheitschecks<br />
Erg. Sicherheitsanalyse<br />
Zertifizierungsvorbereitung<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
BSI <strong>IT</strong>-<strong>Grundschutz</strong> Zertifizierung<br />
(C) http://www.bsi.bund.de/<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Zertifizierung nach ISO27001 / GS<br />
Nachweis der Erfüllung<br />
● Der BSI-Standard 100-1 erklärt Möglichkeiten für die Umsetzung des ISMS zur<br />
Erfüllung des Managementrahmens der ISO 27001.<br />
● Ein funktionierender Sicherheitsmanagementprozess nach BSI-Standard 100-1 oder<br />
anderen Methoden muss nachgewiesen werden.<br />
● Umsetzung der <strong>IT</strong>-<strong>Grundschutz</strong>-Vorgehensweise = Anwendungsansatz für die<br />
Etablierung und Aufrechterhaltung eines ISMS basierend auf der <strong>Grundschutz</strong>methode<br />
(BSI-Standard 100-2) und den <strong>IT</strong>-<strong>Grundschutz</strong>katalogen.<br />
● Erfüllung des BSI-Standards 100-2 ist Pflicht!<br />
● Die Umsetzung des Risikomanagementansatzes erfolgt als qualitative Methode im<br />
BSI-Standard 100-2.<br />
● Eine vereinfachte, auf <strong>IT</strong>-<strong>Grundschutz</strong> aufbauende, Fortführung dieser Methode<br />
wird in BSI-Standard 100-3 vorgeschlagen. Es kann jedoch auch eine andere<br />
Methode bspw. quantitativ gewählt werden.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Zertifizierungsschema / Lizenzierung<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Auditierungsschema ISO27001 auf der Basis von <strong>IT</strong>-<strong>Grundschutz</strong><br />
Das Zertifizierungsschema für ISO 27001 auf<br />
Basis von <strong>IT</strong>-GS enthält:<br />
• Einleitung<br />
• Ablauf der Zertifizierung<br />
• Überblick über den Zertifizierungsprozess<br />
• Rollen und Zuständigkeiten im Zertifizierungsverfahren<br />
• Zertifizierungsantrag<br />
• Unabhängigkeitserklärung<br />
• Auswahl des Auditteams<br />
• Vertraulichkeit von Informationen<br />
• Ziel eines Audits und Auditphasen<br />
• Audittypen<br />
• Prüf- und Auditbegleitung der Zertifizierungsstelle des BSI<br />
• Auditbericht<br />
• Zertifikatserteilung<br />
• Aussetzung und Zurückziehung von Zertifikaten<br />
• Beschwerdeverfahren<br />
• Formulare und Übersichten<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Anlagen zum Auditierungsschema<br />
Quelle: BSI<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Auditierungsschema ISO27001 auf der Basis von <strong>IT</strong>-<strong>Grundschutz</strong><br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
Das Auditierungsschema für die<br />
Zertifizierung enthält:<br />
• Auditprinzipien<br />
• Ablauf des Auditprozesses<br />
• Phase 1 des Zertifizierungsaudits:<br />
Sichtung der Referenzdokumente<br />
• Zertifizierungsaudit:<br />
Vorbereitung der Tätigkeit vor Ort<br />
• Phase 2 des Zertifizierungsaudits:<br />
Inspektion vor Ort<br />
• Nachbesserungen und Nachforderungen<br />
• Gesamtvotum für die Erteilung eines Zertifikats<br />
• Überwachungsaudit<br />
• Auditierung im Rahmen einer Re-Zertifizierung<br />
• Praktische Hilfen, Auditortestat
Grundlage des Audits<br />
• Grundlage des Zertifizierungsschemas sind die Normen<br />
- DIN EN ISO 19011 "Leitfaden für Audits von Qualitätsmanagement- und/oder<br />
Umweltmanagementsystemen",<br />
- ISO/IEC 27006:2007 „Information technology - Security techniques - Requirements for<br />
bodies providing audit and certification of information security management systems“<br />
sowie<br />
- DIN EN ISO/IEC 17021:2006 "Konformitätsbewertung - Anforderungen an Stellen, die<br />
Managementsysteme auditieren und zertifizieren", welche Anleitungen und<br />
Anforderungen für den Ablauf und die Durchführung von Audits enthalten.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Audittypen<br />
Für die ISO 27001-Zertifizierung auf der Basis von <strong>IT</strong>-<strong>Grundschutz</strong> sind – bezogen auf<br />
die dreijährige Laufzeit eines Zertifikates – verschiedene Typen von Audits zu<br />
unterscheiden:<br />
- Voraudit (optional): Beim Voraudit werden gezielt einzelne Aspekte ausgewählt und<br />
stichprobenartig geprüft. Der Auditor kann so einen Eindruck bekommen, ob das<br />
Zertifizierungsaudit zu einem positiven Ergebnis kommen könnte.<br />
- Erstzertifizierungsaudit: Im Rahmen eines Erstzertifizierungsaudits wird erstmalig der<br />
betreffende <strong>IT</strong>-Verbund der Institution unter <strong>IT</strong>-<strong>Grundschutz</strong>-Aspekten auditiert.<br />
- Überwachungsaudit: In die dreijährige Laufzeit eines Zertifikates integriert sind jährliche<br />
Überwachungsaudits der zertifizierten Institution, die auf die Kontrolle der für das<br />
Zertifikat nachgewiesenen <strong>IT</strong>-Sicherheit im <strong>IT</strong>-Verbund zielen. Das Audit dient dem<br />
Nachweis, dass der zertifizierte <strong>IT</strong>-Verbund weiterhin den Sicherheitsansprüchen bzgl.<br />
ISO 27001 und <strong>IT</strong>-<strong>Grundschutz</strong> genügt.<br />
- Re-Zertifizierungsaudit: Nach Ablauf der Zertifikatslaufzeit von drei Jahren wird eine Re-<br />
Zertifizierung des <strong>IT</strong>-Verbundes fällig. Diese umfasst insbesondere ein Re-<br />
Zertifizierungsaudit des <strong>IT</strong>-Verbundes, das identisch zum Erstzertifizierungsaudit abläuft.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Phasen der ISO 27001-Zertifizierung auf Basis von <strong>IT</strong>-<strong>Grundschutz</strong><br />
Quelle: BSI<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Vertrauenswürdigkeit<br />
Zertifizierungs-Stufen<br />
Jede Maßnahme ist eine Stufe zugeordnet<br />
A Die Maßnahme ist ab der Einstiegstufe erforderlich.<br />
B Die Maßnahme ist ab der Ausbaustufe erforderlich.<br />
C Die Maßnahme ist nur für das ISO27001-Zertifikat erforderlich.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
B C<br />
ISO27001-auf Basis von <strong>IT</strong> <strong>Grundschutz</strong>-<br />
Zertifikat<br />
A<br />
Auditorentestat „Aufbaustufe“<br />
Auditorentestat<br />
„Einstiegsstufe“<br />
Sicherheit<br />
Nichtgekennzeichnete Maßnahmen sollten zur Steigerung der <strong>IT</strong>-Sicherheit umgesetzt werden,<br />
diese sind jedoch zur Qualifizierung nach <strong>IT</strong>-<strong>Grundschutz</strong> nicht erforderlich.
Ablauf des Audit- bzw. Zertifizierungsprozesses<br />
Zertifizierungsantrag<br />
Phase1: Sichtung der<br />
Referenzdokumente<br />
Vorbereitung der<br />
Audittätigkeit vor Ort<br />
Phase2: Inspektion vor Ort<br />
Erstellung des Auditberichts<br />
Nachbesserungen und<br />
Nachforderungen<br />
Gesamtvotum für die<br />
Erteilung eines Zertifikats<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
71
Ablauf des Audit- bzw. Zertifizierungsprozesses<br />
Zertifizierungsantrag<br />
Beteiligte Stellen<br />
Phase1: Sichtung der<br />
Referenzdokumente<br />
Vorbereitung der<br />
Audittätigkeit vor Ort<br />
• Antragsteller<br />
- Umsetzung von <strong>IT</strong>-<strong>Grundschutz</strong><br />
Phase2: Inspektion vor Ort<br />
• Prüfer / Auditor<br />
Erstellung des Auditberichts<br />
Nachbesserungen und<br />
Nachforderungen<br />
- Prüfung des <strong>IT</strong>-Verbunds<br />
- Erstellung eines Auditreports<br />
Gesamtvotum für die<br />
Erteilung eines Zertifikats<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Zertifizierung: Beteiligte Stellen<br />
Quelle: BSI<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Zertifizierung: Übersicht über den Zeitverlauf der Zertifizierung<br />
Quelle: BSI<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Zertifizierung: Antrags- und Auditierungsphase<br />
Quelle: BSI<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Zertifizierung: Fristen Überwachungsaudit<br />
Quelle: BSI<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Ablauf des Audit- bzw. Zertifizierungsprozesses<br />
Zertifizierungsantrag<br />
beim BSI stellen<br />
Phase1: Sichtung der<br />
Referenzdokumente<br />
Vorbereitung der<br />
Audittätigkeit vor Ort<br />
Phase2: Inspektion vor Ort<br />
Erstellung des Auditberichts<br />
Nachbesserungen und<br />
Nachforderungen<br />
Gesamtvotum für die<br />
Erteilung eines Zertifikats<br />
• <strong>IT</strong>-Sicherheitsrichtlinien (A.0)<br />
• <strong>IT</strong>-Strukturanalyse (A.1)<br />
• Schutzbedarfsfeststellung (A.2)<br />
• Modellierung des <strong>IT</strong>-Verbunds (A.3)<br />
• Ergebnis des Basis-Sicherheitschecks (A.4)<br />
• Ergänzende Sicherheitsanalyse (A.5)<br />
• Risikoanalyse (A.6)<br />
• Risikobehandlungsplan (A.7)<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
77
Ablauf des Audit- bzw. Zertifizierungsprozesses<br />
Zertifizierungsantrag<br />
beim BSI stellen<br />
Phase1: Sichtung der<br />
Referenzdokumente<br />
Vorbereitung der<br />
Audittätigkeit vor Ort<br />
Phase2: Inspektion vor Ort<br />
Erstellung des Auditberichts<br />
Nachbesserungen und<br />
Nachforderungen<br />
Gesamtvotum für die<br />
Erteilung eines Zertifikats<br />
• Aktualität der Dokumente<br />
• Aktualität der Version der Prüfgrundlagen<br />
• Aktualität der Referenzdokumente<br />
• Datum des Basis-Sicherheitschecks<br />
• <strong>IT</strong>-Sicherheitsrichtlinien<br />
• Vollständigkeit der <strong>IT</strong>-Sicherheitsrichtlinien<br />
• Verantwortung des Managements<br />
• Nachvollziehbarkeit der<br />
Informationssicherheitsrichtlinien<br />
• <strong>IT</strong>-Strukturanalyse<br />
• Nachvollziehbarkeit der Abgrenzung<br />
• Identifizierbarkeit der Komponenten im bereinigten<br />
Netzplan; Umfang der Liste der <strong>IT</strong>-Systeme/Anw.<br />
• Konformität der Liste der <strong>IT</strong>-Systeme mit Netzplan<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
78
Ablauf des Audit- bzw. Zertifizierungsprozesses<br />
Zertifizierungsantrag<br />
beim BSI stellen<br />
Phase1: Sichtung der<br />
Referenzdokumente<br />
Vorbereitung der<br />
Audittätigkeit vor Ort<br />
Phase2: Inspektion vor Ort<br />
Erstellung des Auditberichts<br />
Nachbesserungen und<br />
Nachforderungen<br />
Gesamtvotum für die<br />
Erteilung eines Zertifikats<br />
• Schutzbedarfsfeststellung<br />
• Plausibilität der Definition der SB-Kategorien<br />
• Vollständigkeit der SBF der Anwendungen<br />
• Vollständigkeit der SBF der <strong>IT</strong>-Systeme<br />
• Plausibilität der SBF der <strong>IT</strong>-Systeme<br />
• Kritikalität der Kommunikationsverbindungen<br />
• Plausibilität der SBF der Räume<br />
• Modellierung des <strong>IT</strong>-Verbunds<br />
• Nachvollziehbarkeit der Modellierung<br />
• Korrektheit der Gruppenbildung<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
79
Ablauf des Audit- bzw. Zertifizierungsprozesses<br />
Zertifizierungsantrag<br />
beim BSI stellen<br />
Phase1: Sichtung der<br />
Referenzdokumente<br />
Vorbereitung der<br />
Audittätigkeit vor Ort<br />
• Ergebnis des Basis-Sicherheitschecks<br />
• Konformität zur Modellierung<br />
• Transparenz der Interviewpartner<br />
• Umsetzungsgrad der <strong>IT</strong>-<strong>Grundschutz</strong>-<br />
Maßnahmen<br />
Phase2: Inspektion vor Ort<br />
Erstellung des Auditberichts<br />
Nachbesserungen und<br />
Nachforderungen<br />
Gesamtvotum für die<br />
Erteilung eines Zertifikats<br />
• Ergänzende Sicherheitsanalyse und ergänzende<br />
Risikoanalyse<br />
• Vollständigkeit und Plausibilität der ergänzenden<br />
Sicherheitsanalyse<br />
• Vollständigkeit und Plausibilität der ergänzenden<br />
Risikoanalyse<br />
• Umsetzungsgrad aller Maßnahmen<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
80
Ablauf des Audit- bzw. Zertifizierungsprozesses<br />
Zertifizierungsantrag<br />
beim BSI stellen<br />
Phase1: Sichtung der<br />
Referenzdokumente<br />
Vorbereitung der<br />
Audittätigkeit vor Ort<br />
• Entscheidung zur Weiterführung des Audits mit<br />
Phase2<br />
• Erstellung des Prüfplans<br />
• Vorbereitung der Arbeitsdokumente<br />
Phase2: Inspektion vor Ort<br />
Erstellung des Auditberichts<br />
Nachbesserungen und<br />
Nachforderungen<br />
Gesamtvotum für die<br />
Erteilung eines Zertifikats<br />
• Auswahl der Prüfbausteine<br />
• Informationssicherheitsmanagement<br />
• Zufällig ausgewählte Bausteine<br />
• Gezielt ausgewählte Bausteine<br />
• Stichproben aus der ergänzenden Sicherheitsbzw.<br />
Risikoanalyse<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
81
Ablauf des Audit- bzw. Zertifizierungsprozesses<br />
Zertifizierungsantrag<br />
beim BSI stellen<br />
Phase1: Sichtung der<br />
Referenzdokumente<br />
Vorbereitung der<br />
Audittätigkeit vor Ort<br />
Phase2: Inspektion vor Ort<br />
Erstellung des Auditberichts<br />
Nachbesserungen und<br />
Nachforderungen<br />
• Überblick über die Auditaktivitäten vor Ort<br />
• Wirksamkeit des Managementsystems für<br />
Informationssicherheit<br />
• Verifikation des Netzplans<br />
• Übereinstimmung des Netzplans mit der Realität<br />
• Übereinstimmung der Realität mit dem Netzplan<br />
• Verifikation der Liste der <strong>IT</strong>-Systeme<br />
• Verifikation des Basis-Sicherheitschecks<br />
• Verifikation der Umsetzung der zusätzlichen<br />
Maßnahmen aus der ergänzenden Risikoanalyse<br />
Gesamtvotum für die<br />
Erteilung eines Zertifikats<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
82
Ablauf des Audit- bzw. Zertifizierungsprozesses<br />
Zertifizierungsantrag<br />
beim BSI stellen<br />
Phase1: Sichtung der<br />
Referenzdokumente<br />
Vorbereitung der<br />
Audittätigkeit vor Ort<br />
Phase2: Inspektion vor Ort<br />
Erstellung des Auditberichts<br />
Nachbesserungen und<br />
Nachforderungen<br />
Gesamtvotum für die<br />
Erteilung eines Zertifikats<br />
Für jedes Audit ist vom Auditteamleiter ein Auditbericht zu<br />
erstellen, der alle Prüfergebnisse enthält. In Anlehnung an<br />
die Aufteilung eines Audits in zwei Phasen ist der<br />
Auditbericht in zwei Schritten zu erstellen:<br />
• Im ersten Schritt dokumentiert der Auditbericht die<br />
Auditergebnisse für Phase 1 des Auditprozesses<br />
(Dokumentenprüfung),<br />
• im zweiten Schritt sind die Auditergebnisse aus der<br />
Phase 2 des Auditprozesses (Umsetzungsprüfung) zu<br />
ergänzen.<br />
Der auf Phase 1 des Audits bezogene Auditbericht ist vor<br />
der Vorbereitung und Durchführung der Vor-Ort-Prüfung in<br />
Phase 2 des Audits abzuschließen.<br />
Der Auditbericht unterliegt formalen Aspekten.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
83
Ablauf des Audit- bzw. Zertifizierungsprozesses<br />
Zertifizierungsantrag<br />
beim BSI stellen<br />
Phase1: Sichtung der<br />
Referenzdokumente<br />
Vorbereitung der<br />
Audittätigkeit vor Ort<br />
Nachbesserungen<br />
und Nachforderungen<br />
müssen gemäß dem<br />
folgenden Prozess<br />
geprüft werden:<br />
Phase2: Inspektion vor Ort<br />
Erstellung des Auditberichts<br />
Nachbesserungen und<br />
Nachforderungen<br />
Gesamtvotum für die<br />
Erteilung eines Zertifikats<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
84
Ablauf des Audit- bzw. Zertifizierungsprozesses<br />
Zertifizierungsantrag<br />
beim BSI stellen<br />
Phase1: Sichtung der<br />
Referenzdokumente<br />
Vorbereitung der<br />
Audittätigkeit vor Ort<br />
Phase2: Inspektion vor Ort<br />
Erstellung des Auditberichts<br />
Nachbesserungen und<br />
Nachforderungen<br />
Gesamtvotum für die<br />
Erteilung eines Zertifikats<br />
• Grundlage für die Entscheidung über die Vergabe eines<br />
ISO 27001-Zertifikats auf der Basis von <strong>IT</strong>-<strong>Grundschutz</strong><br />
bzw. eines Auditortestats ist die Einschätzung des<br />
Auditteamleiters, ob der betrachtete<br />
Untersuchungsgegenstand die jeweiligen Anforderungen<br />
erfüllt.<br />
• Erfüllt der betrachtete Untersuchungsgegenstand die<br />
Anforderungen des ISO 27001-Zertifikats auf der Basis<br />
von <strong>IT</strong>-<strong>Grundschutz</strong> bzw. des angestrebten<br />
Auditortestats<br />
• Das Gesamtvotum ist vom Auditteamleiter mit Datum zu<br />
unterschreiben.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
85
Überwachungsaudit<br />
Überwachungsaudit<br />
Phase1: Sichtung der<br />
Referenzdokumente<br />
Vorbereitung der<br />
Audittätigkeit vor Ort<br />
Phase2: Inspektion vor Ort<br />
Erstellung des Auditberichts<br />
Nachbesserungen und<br />
Nachforderungen<br />
Gesamtvotum für die<br />
Erteilung eines Zertifikats<br />
• Planung der Überwachungsaudits<br />
• Phase1 des Überwachungsaudits: Sichtung der<br />
Referenzdokumente<br />
• Vorbereitung der Auditaktivitäten vor Ort<br />
• Phase2 des Überwachungsaudits: Inspektion vor Ort<br />
• Prüfung des Managementsystems für<br />
Informationssicherheit<br />
• Prüfung von Änderungen am Informationsverbund<br />
• Prüfung der zwischenzeitlichen Behebung von<br />
Abweichungen<br />
• Prüfung der Einhaltung von Auflagen<br />
• Gesamtvotum für die Aufrechterhaltung des Zertifikats<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.<br />
86
Anerkennung des Zertifikats ISO27001 / <strong>IT</strong>-GS<br />
● Das BSI ist als nationale Sicherheitsbehörde auf Gesetzesgrundlage zur<br />
Erteilung von Sicherheitszertifikaten für informationstechnische Systeme<br />
oder Komponenten ermächtigt (§4 BSIG, 17.Dezember 1990).<br />
● Ergänzt durch das "Gesetz zur Stärkung der Sicherheit in der<br />
Informationstechnik des Bundes" (BSI-Gesetz / BSIG; gültig ab 20.08.2009);<br />
● Im Gegensatz zu privatwirtschaftlichen Organisationen ist aus BSI-Sicht eine<br />
Akkreditierung als Zertifizierungsstelle derzeit nicht nötig.<br />
● Bei der Zertifizierung nach "ISO 27001 auf Basis <strong>IT</strong>-<strong>Grundschutz</strong>" hält sich<br />
das BSI an die dafür vorgegeben internationalen Standards.<br />
● Das BSI sagt Unterstützung bei Schwierigkeiten in der<br />
Anerkennung zu.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Fazit<br />
● Der entscheidende Vorteil der <strong>IT</strong>-<strong>Grundschutz</strong>kataloge (und die darauf<br />
basierende ISO27001/GS Zertifizierung) im Vergleich zu ISO 27001<br />
ist eine klar gegliederte Sammlung praxisnaher <strong>IT</strong>-<br />
Sicherheitsmaßnahmen sowie die Darlegung von deren Wechselwirkungen.<br />
● Da für viele Maßnahmen im Regelwerk auch praktische<br />
Realisierungsvorschläge angeboten werden, kann <strong>IT</strong>-<strong>Grundschutz</strong> oft schnell<br />
und effektiv realisiert werden.<br />
● Die bei der klassischen ISO 27001 Zertifizierung oft vorliegende Unsicherheit<br />
über die umzusetzenden Maßnahmen wird durch die Anwendung der<br />
Vorgehensweise nach <strong>IT</strong>-<strong>Grundschutz</strong> stark eingegrenzt.<br />
● Auch bei einer ISO 27001 „Klassik“ Zertifizierung kann <strong>IT</strong>-<strong>Grundschutz</strong><br />
zusätzlich genutzt werden, um die Effektivität der Zertifizierungsprojektes zu<br />
steigern.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger<br />
Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.
Vielen Dank für<br />
Ihre Aufmerksamkeit<br />
Wilhelm Dolle<br />
Partner, Consulting<br />
Klingelhöferstr. 18 Tel. +49 30 2068-2323<br />
10785 Berlin Mobile +49 174 3049537<br />
wdolle@kpmg.com<br />
Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen,<br />
zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in<br />
Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation.<br />
© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG<br />
International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind<br />
eingetragene Markenzeichen von KPMG International. Alle Rechte vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von<br />
KPMG International.