Einstieg zur eigenen Security Strategie – Wo fängt man an? Teil 1/3

DSGVO, KRITIS und Co. geben viele Sicherheitsvorschriften vor. Auch die Zertifizierung nach ISO 27001 oder die Umsetzung des BSI IT Grundschutz tragen zur Sicherheit bei und ein Informationssicherheits-Managementsystem unterstützt bei der Einhaltung von Vorgaben. Zur individuellen Sicherheit gehört jedoch mehr.

Bei der Planung und Umsetzung einer Security Strategie sollten einige grundsätzliche Dinge beachtet werden.

Zielsetzung

Zunächst sollte die Zielsetzung bei der Security Strategie bestimmt werden. Es gibt hier durchaus unterschiedliche primäre Motivatoren und Herangehensweisen:

  • Schutz von Ressourcen (Verfügbarkeit)
    Es gibt Ressourcen im Unternehmen, welche für die täglichen Geschäftsprozesse unabdingbar sind und zur Verfügung stehen müssen.
  • Schutz von Informationen
    Sensible Informationen im Unternehmen sind vor Manipulation, Verlust oder unberechtigtem Zugriff/Abwanderung zu schützen.
  • Einhaltung von Compliance- /Gesetzesvorgaben
    Von übergeordneter Stelle (Muttergesellschaft oder Gesetzgeber) gibt es Vorgaben, welche erfüllt werden müssen.
  • Schutz nach Least Effort
    Mit geringst möglichen Aufwand Verbesserungen der Sicherheit erzielen.
  • Schutz nach Best Effort
    Unter „größten Bemühungen“ kann die Sicherheit durch bestmögliche Nutzung/Optimierung der bestehenden Infrastruktur erhöht werden.
  • Schutz nach Best Possible
    Erheblich mehr Aufwand und Invest entsteht durch den Ansatz den (derzeit) bestmöglichen Schutz zu implementieren, also das, was als „Stand der Technik“ gilt.

Was der Motivator einer Security Strategie ist, sollte in der Regel schnell klar sein. Aber welche Herangehensweise die Richtige ist, wird sich oft erst später zeigen. Dies ist natürlich davon abhängig, wie hoch das Risiko ist und wie schwerwiegend gefundene Schwachstellen sind. Insofern es noch keine etablierte Strategie gibt, ist es jedoch sehr wahrscheinlich, dass initial ein größerer Aufwand entsteht, unabhängig der angestrebten Herangehensweise.

Passend zur Motivation stellt sich außerdem die Frage vor welchen Risiken geschützt werden soll:

  • Finanziellen
  • Reputationsverlusten
  • Rechtlichen
  • Betrieb/Produktion
  • Ressourcen-Planung
  • Entwicklung/Spionage

Im Detail sollte hier in einer Risikobewertung auch die Wahrscheinlichkeit eines Vorfalls sowie die damit verbundenen potenziellen Auswirkungen berücksichtigt werden. Somit kann bestimmt werden, welcher Aufwand für den Schutz gerechtfertigt ist und welches Sicherheitsniveau wenigstens erreicht werden sollte. Letztendlich muss die Balance zwischen Kosten und Nutzen gefunden werden.

Vorbereitungen

Während der Planung sollten alle etwaigen Vorbereitungen und identifizierten Abhängigkeiten direkt zentral gepflegt werden. Eine geplante Umsetzung scheitert oft daran, dass nicht alle Vorbereitungen getroffen wurden oder nicht alle Ressourcen – personell oder materiell – zu gegebener Zeit verfügbar sind.

Verantwortlichkeiten

Ein weiterer wichtiger Punkt, ist „Welche Verantwortlichkeiten gibt es?“ Konkret, wer ist für welches System, welche Software, welchen Bereich zuständig? Für alle Objekte (Software oder Hardware) oder Abteilungen, welche im Unternehmen identifiziert werden, muss die Verantwortlichkeit klar geregelt sein.

Bei der Planung von Aufgaben kann dadurch meist direkt ein Verantwortlicher identifiziert werden. Dies muss nicht derjenige sein, der die Aufgabe ausführt. Sondern derjenige, der ein Interesse daran hat, dass die Aufgabe ausgeführt wird. Eine etablierte Darstellung dazu bietet die RACI Matrix. Hier wird unterschieden zwischen:

  • Responsible verantwortlich für die Umsetzung der Aufgabe
  • Accountable gesamtverantwortlich, rechenschaftspflichtig für die Aufgabe
  • Consulted muss bei Umsetzung der Aufgabe konsultiert werden
  • Informed muss über den Status der Aufgabe informiert werden

Struktur und gemeinsamer Arbeitsbereich

Bei solch übergreifenden Projekten kann der Kreis der Beteiligten schnell sehr groß werden. Umso wichtiger ist es, zu Beginn klare Strukturen und gemeinsame Arbeitsbereiche zu definieren, um eine erfolgreiche Zusammenarbeit zu gewährleisten.

Was wird überhaupt geschützt?

Man kann sich nur vor Gefahren schützen, von denen man weiß, dass sie existieren. Folglich muss zunächst der Bestand aufgenommen werden. Es ist wichtig, einen möglichst vollständigen Überblick darüber zu erhalten, was geschützt werden soll – im Mittelpunkt die Daten (und Ressourcen).

Security Guide - Was wird geschützt
Security Guide – Was wird geschützt

Auch Microsoft betrachtet in der „Secure Score“ ähnliche Bereiche, um den aktuellen Stand des Sicherheitsniveaus vereinfacht darzustellen:

  • Identity: User
  • Data: Data
  • Device: Device
  • Apps: Application
  • Infrastructure: Network, Storage,
  • Cloud, Environment
Microsoft Secure Score
Microsoft Secure Score

Neben den „greifbaren“ Komponenten gibt es noch weitere Themen, die in einer Security Strategie von Relevanz sind (äußerer Kreis im Schaubild).

Für die Bestandsaufnahme betrachten wir zunächst die Infrastrukturkomponenten.

Bestandsaufnahme der Infrastrukturkomponenten
Bestandsaufnahme der Infrastrukturkomponenten

Weiterhin gibt es sehr wahrscheinlich bereits (eigene) Verordnungen oder Vorgaben bezüglich Cyber Security durch Konzern oder Land, welche gesammelt und berücksichtigt werden sollten.

Immer wichtig – ein Schaubild

Nichts trägt besser zum gemeinsamen Verständnis bei als ein Bild. Neben der generellen Erfassung ist es empfehlenswert ein einfaches Schaubild mit allen relevanten Komponenten zu erstellen. Dieses dient als Diskussionsgrundlage für das weitere Vorgehen. Das Schaubild sollte vor dem nächsten Schritt gemeinsam besprochen und von allen Beteiligten akzeptiert werden.

Welche Ressourcen sind wichtig?

Auf Basis der Bestandsaufnahme werden nun alle Ressourcen und Informationen nach eigenem Ermessen gruppiert. Die Gruppierung sollte nach Art und Wert der Information gemacht werden und ähnliches zusammenfassen.

Ressourcen sortiert nach Wichtigkeit
Ressourcen sortiert nach Wichtigkeit

Natürlich gibt es in der Praxis sensiblere Informationen und Ressourcen als die Home-Laufwerke der Benutzer – und genau das sollte nun in einer Liste ergänzt werden, als Beispiel:

Bezeichnung Wert Risiko Schaden Wahrscheinlichkeit Erkennung
Daten 1 Hoch /
>100.000 €
Risiko1, fin. Gering Mittel Früh
Risiko2, rep. Hoch Sehr gering Spät-Nie
Daten 2
Ressource 1
Ressource 2

In dieser Phase sollte man sich allerdings noch nicht zu sehr im Detail verlieren, sondern erst eine möglichst vollständige Übersicht erzeugen. Diese kann je nach Differenzierungsgrad auch sehr kurz sein. Eine genaue Risikobewertung sollte in der späteren Planung durchgeführt werden, wenn es darum geht welche Maßnahmen umgesetzt werden sollen.

Alles eine Sache der Definition

Klassifizierung

Aus der vorangegangenen Bestimmung der Werte sollte man nun ableiten können, welche Klassifizierungen sinnvoll sind. Hier kann man sich orientieren:

Klassifizierung der Werte für die Security Strategie
Klassifizierung der Werte für die Security Strategie

Klassifizierungen können für Informationen und Ressourcen verwendet werden, wobei möglichst klar spezifiziert werden muss, welche Faktoren zu einer gewissen Klassifizierung führen. In der Praxis ist es sinnvoll die potenzielle Schadenshöhe als führenden Indikator zu nutzen. Die Definitionen der Klassifizierungen müssen nachvollziehbar und klar formuliert sein.

Schutzklassen

Angelehnt an die Klassifizierung sollten Schutzklassen beschrieben werden, in welchen die Anforderungen an eingesetzte Software oder Hardware beschrieben sind, damit diese mit Informationen einer bestimmten Klassifizierung verwendet werden dürfen. Weiterhin können auch Architektur und Designvorgaben für bestimmte Klassifizierungen aufgeführt werden.

Die Bezeichnung einer Schutzklasse kann entweder der Klassifizierung entsprechen oder einem eigenen Namensschema folgen. Als Beispiel könnte es die Schutzklassen von MINIMUM bis MAXIMUM geben und die Zuordnung wie folgt vorgeschrieben sein:

MINIMUM LOW MEDIUM HIGH MAXIMUM
PUBLIC allowed allowed allowed allowed allowed
INTERNAL not allowed allowed allowed allowed allowed
CONFIDENTIAL not allowed not allowed allowed allowed allowed
SECRET not allowed not allowed not allowed allowed allowed

Die Schutzklasse „HIGH“ könnte nachfolgende Sicherheitsanforderungen definieren:

  • Verschlüsselung bei Transport & Speicherung
  • Schlüssel lokal auf HSM
  • Multi-Faktor Authentifizierung erforderlich
  • Standort-redundante Speicherung
  • Ausgelagerte Protkollierung für Zugriff, Bearbeitung und Löschen
  • Wiederherstellungszeit < 1 Stunde
  • Aufbewahrung von Sicherungen für 5 Jahre

Eine einfach gestaltete Orientierungshilfe zur Bestimmung des notwendigen Schutzes ist die CIA triad. Für alle Informationen muss die Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability) jederzeit gewährleistet werden. Schutz vor unberechtigtem Zugriff allein ist nicht ausreichend.

CIA Triad
CIA Triad

Die Sicherheitsanforderungen können gegebenenfalls von mehreren Komponenten erreicht werden, sodass die gesamte Umgebung und der Zugang die Anforderungen erfüllt. Sobald also eine Umgebung die Bedingungen für eine Schutzklasse erfüllt, dürfen dort Informationen der dafür vorgesehenen Klassifizierung verarbeitet werden.

Fazit – Einstieg zur Security Strategie Teil 1

Damit endet der erste Teil zum Thema „Einstieg zur eigenen Security Strategie“. Sie haben hiermit hoffentlich einen Überblick erhalten, wie Sie beginnen und welche Kriterien Sie zur Bewertung Ihrer bisherigen Umgebung nutzen können. Im nächsten Teil wird es um die Planung und Auswahl von Maßnahmen gehen.

Diesen Beitrag kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.