A.9.2 Equipment security - it-sa

Stolpersteine bei der 

Einführung von ISO 

27001 und BSI IT- 

Grundschutz 

Wilhelm Dolle 

Partner, Consulting 

Information Technology

Unternehmensdarstellung KPMG 

KPMG ist ein weltweites Netzwerk rechtlich selbstständiger Firmen mit 

145.000 Mitarbeitern in 152 Ländern. 

■ Auch in Deutschland gehört KPMG zu den führenden Wirtschaftsprüfungs- 

und Beratungsunternehmen und ist mit 8.400 Mitarbeitern an 25 Standorten 

präsent. Unsere Leistungen sind in die Geschäftsbereiche Audit, Tax und 

Advisory gegliedert. Im Mittelpunkt von Audit steht die Prüfung von Konzern- 

und Jahresabschlüssen. Tax steht für die steuerberatende Tätigkeit von 

KPMG. Der Bereich Advisory bündelt unser hohes fachliches Know-how zu 

betriebswirtschaftlichen, regulatorischen und transaktionsorientierten 

Themen. 

■ Für wesentliche Branchen unserer Wirtschaft haben wir eine 

geschäftsbereichsübergreifende Spezialisierung vorgenommen. Hier laufen 

die Erfahrungen unserer Experten weltweit zusammen und tragen zusätzlich 

zur Beratungsqualität bei. 

Im Bereich Informationssicherheit verfügt KPMG in Deutschland über 

■ Ca. 100 Mitarbeiter im Bereich Security Consulting 

■ Über 40 zertifizierte ISO/IEC 27001 Lead Auditoren (eigene 

Zertifizierungsstelle) 

■ Mehrere ISO-27001-Auditoren für Audits auf der Basis von IT-Grundschutz 

■ Über 20 Mitarbeiter mit Certified Information Systems Auditor (CISA) 

■ 20 spezialisierte Penetrationstester, insb. Webapplikationstests 

■ Zugang zum weltweiten KPMG-internen Penetration Tester Netzwerk mit 

mehr als 500 Mitgliedern 

■ Weitere zertifizierte Mitarbeiter: CISSP, TISP, CISM, PRINCE2, ITIL, COBIT, 

… 

© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger 

Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte 

vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International. 

Essen 

Köln 

Düsseldorf 

Mainz 

Frankfurt 

Saarbrücken 

Dortmund 

Freiburg 

Bremen Hamburg 

Bielefeld 

Mannheim 

Karlsruhe 

Stuttgart 

Kiel 

Hannover 

Jena 

Nürnberg 

Augsburg 

Halle 

Leipzig Dresden 

Regensburg 

München 

Berlin




BSI IT-Grundschutz 

(C) http://www.bsi.bund.de/

IT-Grundschutz(handbuch): Historie 

1994 

16 Bausteine 

160 Maßnahmen 

150 Seiten 

kein integraler Sicherheitsprozess 

Zielgruppe: Behörden 

18 Jahre IT- 

Grundschutz 




2012 

+ 

77+ Bausteine 

420+ Gefährdungen 

1140+ Maßnahmen 

4000+ Seiten (ab 11. Ergänzungslieferung) 

Vorgehensweise für Sicherheitskonzepte 

etabliertes Standardwerk für Behörden und 

Unternehmen im In-und Ausland

IT-Grundschutzgedanke 

Idee 

● Gesamtsystem enthält typische Komponenten 

(z.B. Server und Clients, Betriebssysteme) 

● pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten 

● Empfehlung geeigneter Bündel von Standard-Sicherheitsmaßnahmen 

● konkrete Umsetzungshinweise für Maßnahmen 

Ziel 

„Durch organisatorische, personelle, infrastrukturelle und technische 

Standard-Sicherheitsmaßnahmen ein Standard-Sicherheitsniveau für IT- 

Systeme aufbauen, das auch für sensiblere Bereiche ausbaufähig ist.“ 



vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.

Vorgehensweise IT-Grundschutz 

Ablauf Grundschutzvorgehen 

Informations- 

verbund 

- Infrastruktur 

- Organisation 

- Personal 

- Technik 




Strukturanalyse 

Analyse des Ist-Zustandes 

Welche Systeme und Anwendungen ? 

Feststellung des Schutzbedarfs 

IT-Grundschutzanalyse: 

Modellierung des IT-Verbunds (Auswahl der Maßnahmen) 

Basis-Sicherheitscheck (Soll-Ist-Vergleich) 

Ca. 80% 

Ergänz. Sicherheitsanalyse 

bei (sehr) hohem Schutzbedarf 

Konsolidierung der Maßnahmen 

Realisierung der Maßnahmen 

Ca. 20%

IT-Grundschutzkataloge 

Baustein Allgemeiner Client: Gefährdungen vs. Maßnahmen 

> 

Auszug Gefährdungskatalog Auszug Maßnahmenkatalog 

Handlungsempfehlungen in Form von konkreten Maßnahmen, die 

typischen Gefährdungen gegenübergestellt werden. Zusammenfassung 

in standardisierten Bausteinen für typische Komponenten. 







ISO 27001 

(C) http://www.iso.org/

Anforderungen des Standards ISO 27001 (Umsetzungstipps in ISO 27002) 

Requirements (27001) und Code of Practice (27002) Organisatorische und technische Aspekte 

> 

ISO 27001: Kapitel 4-8 und Anhang A mit normativen 

Anforderungen ohne konkrete Vorschläge an die Hand zu geben. 




Der Managementprozess nach ISO 27001 

Erstellung 

des Scope 

Regionale 

Ausrichtung? 

Organisatorische 

Ausrichtung? 

Das ganze 

Unternehmen? 

Inventory of 

Information 

Assets 

Services 

Hardware 

Software 

Schwachstellen- 

und 

Risikoanalyse 




Schaden 

Act 

3 4 5 6 

2 3 4 5 

1 2 3 4 

1 1 2 3 

Eintrittswahrscheinlichkeit 

Etablierung von 

Kontrollen 

Plan Do 

Anwendung des 

Annex A des ISO 

27001 bzw. 

ISO 27002 oder 

eigene Controls 

Entwicklung des SoA 

Etablierung 

Internal Audit 

gem. 

ISO/IEC 

27001:2005 

Etablierung 

eines 

Information 

Security Forums 

Check 

Behandlung von 

Sicherheitsvorfällen 

Preventives Audit 

durch internal Audit 

Verbesserungen des 

ISMS

Bespiel ISO 27001: Die Control "A.9.2 Equipment security" 

> 

Objective: To prevent loss, damage, theft or compromise of assets and interruption to the 

organization’s activities. 

Sehr generische Darstellung der Zielstellung (Objective) und der 

erwarteten Maßnahmen (Controls). 




Beispiel ISO 27002: Erweiterung der Control "A.9.2 Equipment security" 




> 

Höhere Präzisierung der 

generischen Anforderungen in 

der ISO 27002, dennoch ein 

sehr weit gefasster 

Interpretationsspielraum.

Umsetzung zur elektrotechnischen Verkabelung im IT-Grundschutz Baustein 2.2 

> 

Die Anforderungen der ISO lassen sich mit Standardmaßnahmen 

aus dem IT-Grundschutzkatalog abbilden. 







Stolpersteine

Stolpersteine 

Zeitliche Planung 

● Überschätzung des Reifegrades der eigenen Organisation und dadurch oft 

zeitlich zu kurz geplante Einführungsdauer. 

● Pauschal keine Aussage zum Aufwand möglich (typisch 12-36 Monate für 

ISO 27001/GS) 

● Starke Abhängigkeit von Größe und Komplexität des Scopes / IV 

● Wenn möglich GAP-Analyse (10 – 15 PT) zur Aufwandsabschätzung mit 

„echten“ und erfahrenen Auditoren 

● Verschiedene Modelle vom Coaching bis zur Komplettunterstützung 

● Interne Verfügbarkeiten (und Know How) sind häufig Flaschenhals 

● Aufwand des Auditors (15 – 40 PT) 

● Zeitlicher Aufwand des Zertifizierungsverfahrens (BSI ca. 6 Monate) 




Stolpersteine 

Komplexität des Projektes 

● Geschäftsprozesse müssen dokumentiert und benötigte Assets (u.a. 

Hardware, Software, Personal, Daten oder Services) abgeleitet werden; Die 

Detaillierung ist dabei so zu wählen, dass die Komplexität unter Kontrolle 

bleibt (Risikoanalyse). 

● Inhomogene Umgebungen mit wenig Standardkomponenten und hohem 

Schutzbedarf machen Einführung eines ISMS (insb. GS) sehr aufwändig. 

● Bei großen Unternehmen sollte das ISMS evtl. mit zunächst gut 

handhabbaren Scope/IV eingeführt werden 

● Internationalität / Kulturelle Unterschiede 




Zusammenfassung 

■ Sinnvolle Zeitplanung 

Erfolgsfaktoren Hindernisse 

■ Reduktion der Komplexität (Unterstützung 

inbs. Bei der Definition des Scopes / IV) 

■ Unterstützung durch Vorstand, 

Geschäftsführung, Behördenleitung 

■ Verständnis, Kooperationsbereitschaft 

und aktive Unterstützung durch alle 

Verantwortlichen (ins. IT-Leitung) 

■ Tool-Unterstützung (u.a. GSTool, HiScout, 

Verinice) 

■ Bestehendes Qualitätsmanagementsystem (zum 

Beispiel ISO 9001). Die Dokumentation der 

Geschäftsprozesse ist dann bereits 

abgeschlossen. 




■ Schlechtes internes Marketing 

■ Verzicht auf die konsequente Anwendung 

von Projektmanagement Methoden 

■ Fehlende frühzeitige Definition der Security 

Organisation, also Transparenz hinsichtlich Rollen 

und Verantwortlichkeiten und den Schnittstellen zu 

den Fachbereichen - damit verbunden das 

frühzeitige "Abholen" der Mitarbeiter. Die 

Einführung ist meistens ja auch ein gewisser 

Kulturwandel im Unternehmen. 

■ Personalwechsel 

■ Umbau der Systemlandschaft 

■ Änderung der Prüfgrundlagen (insb. IT- 

Grundschutz-Kataloge, weniger ISO 27001) 

■ Zu starke Fokussierung auf technische Aspekte

Vielen Dank für 

Ihre Aufmerksamkeit 

Wilhelm Dolle 

Partner, Consulting 

Information Technology 

Klingelhöferstr. 18 Tel. +49 30 2068-2323 

10785 Berlin Mobile +49 174 3049537 

wdolle@kpmg.com 

Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, 

zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in 

Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation. 

© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG 

International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind 

eingetragene Markenzeichen von KPMG International. Alle Rechte vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von 

KPMG International.

A.9.2 Equipment security - it-sa

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?