Wer definiert die Anforderungen?
Das Sicherheitskonzept gemäß der IT-Grundschutz-Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat in den letzten Jahren und mit der internationalen Zunahme an Sicherheitsvorfällen an Bedeutung gewonnen. Es gibt jeder Institution Anforderungen mit, deren Umsetzung die Informationssicherheit auf der Prozessebene und die IT-Sicherheit auf der Systemebene erhöhen und gegen bekannte Cyber-Attacken wappnet. Das ist löblich und dennoch wird das „Konzept“ häufig missverstanden. Ein Siko gibt keine Zielarchitektur vor, damit es sicher ist. Es ist eine Liste an Anforderungen, die zu berücksichtigen sind, um die Informationssicherheit nach Stand der Technik gewährleisten zu können. Diese basieren auf dem Wissen bekannter Bedrohungen.
Das BSI gibt jährlich ein aktualisiertes IT-Grundschutz-Kompendium heraus. Dieser Anforderungskatalog enthält in Bausteinen gebündelte Themen der Informationssicherheit. Jeder Baustein umfasst wiederum Anforderungen, die für das jeweilige Thema technisch oder prozessual umzusetzen sind. Im Rahmen der Erstellung eines Sikos werden die relevanten Bausteine für das betrachtete Fachverfahren oder den Prozess ausgewählt (modelliert) und im Rahmen eines Soll-Ist-Vergleichs auf deren Umsetzung hin befragt (IT-Grundschutz-Check). Alle Abweichungen werden im Rahmen einer Offenen-Punkte-Liste aufgeführt und müssen umgesetzt werden, um den Stand der Technik für die Informationssicherheit gewährleisten zu können.
Robert Krelle | IT-Sicherheitsbeauftragter Ministerium für Klimaschutz, Landwirtschaft, ländliche Räume und Umwelt M-V
Das Ministerium für Klimaschutz, Landwirtschaft, ländliche Räume und Umwelt M-V verfügt seit 2016 über ein gültiges ISO 27001-Zertifikat auf der Basis von IT-Grundschutz des BSI. Seitdem ist vor allem eine Erkenntnis gereift: Die Erstellung eines Sicherheitskonzepts ist nicht das Ende der Sicherheitsbetrachtung, sondern es ist der Anfang. Denn erst danach können Aussagen getroffen werden, welche relevanten Anforderungen noch umzusetzen sind, um ein angemessenes Sicherheitsniveau zu erreichen.
Ist ein Siko nicht Sache des IT-Dienstleisters?
Ein Sicherheitskonzept betrachtet alle Komponenten des Fachverfahrens. Das schließt auch die IT-Infrastrukturen, wie Server, Switche und Verkabelung, bis hin zu den Gebäuden und Räumen ein. Die Systeme und Prozesse im Rechenzentrum der DVZ M-V GmbH sind nach den strengen Vorgaben des Standards ISO 27001 auf Basis von IT-Grundschutz ausgerichtet und zertifiziert. Damit wurde für die nach dem DVZ-Standard aufgebauten IT-Komponenten auch ein Sicherheitskonzept erstellt. Aufgrund ihres individuellen Charakters sind Fachverfahren in dieser Zertifizierung jedoch nicht inbegriffen. Das Siko eines Fachverfahrens nutzt die bestehende Zertifizierung als Basis und kann sich so rein auf das Fachverfahren fokussieren.
Beispielhaft verhält es sich also wie im Straßenverkehr: Die Straße wird durch das Straßenbauamt gebaut und gewartet. Aber das Auto, das auf der Straße fährt, muss nach den Ansprüchen des oder der Fahrer*in ausgewählt und entsprechend der Verkehrsregeln geführt und gepflegt werden.
Je eher, desto besser
Die IT-Gefährdungslage ändert sich rasant. Deshalb ist ein Fachverfahren regelmäßig daraufhin zu prüfen, ob es dem aktuellen Stand der Technik noch genügt. Dabei gilt der Grundsatz „Je eher, desto besser“. Eine Schwachstelle kann wie ein Satz abgefahrener Reifen zu katastrophalen Schäden führen. Statt komplexer und aufwändiger Reparaturen helfen rechtzeitige Korrekturen nicht nur der Sicherheit, sondern sie sind auch kostengünstiger und sparen allen Beteiligten eine Menge Nerven. In diesem Sinne: Wir wünschen unseren Kund*ìnnen freie Fahrt, ob sie nun digital oder analog unterwegs sind!
