Der IT-Grundschutz beschäftigt sich bekanntermaßen mit der Informationssicherheit. Er bietet Methoden, um Sicherheitsmaßnahmen gemäß dem Stand der Technik zu identifizieren und umzusetzen. Die Bezeichnung Grundschutz ist dabei eigentlich ein wenig irreführend, denn die beschriebenen Maßnahmen gehen teils deutlich über einen Grundschutz hinaus, also grundlegenden Schutzmaßnahmen. Wenn Sie sich mit dem IT-Grundschutz-Kompendium (früher IT-Grundschutzkataloge) des Bundesamt für Sicherheit in der Informationstechnik (BSI) beschäftigen, so wollen (oder müssen) Sie sich wahrscheinlich mit der Einführung eines Managementsystems zur Informationssicherheit (ISMS) beschäftigen. Denn Sicherheit muss gemanagt werden.
Jeder muss für sich definieren was Sicherheit bedeutet und welchen Stellenwert diese hat. Für sich selbst und vor allem für das Unternehmen. Da Sicherheit nur ein Begriff ist und nichts was man anfassen kann, stellt sich die Frage: Was bedeutet IT-Sicherheit? Ich finde folgende Aussage recht treffend:
„Sicherheit = Ordnung + Sauberkeit“
Bezogen auf eine IT-Landschaft bedeutet dies für mich auch eine nachvollziehbare IT-Dokumentation zu erstellen und zu pflegen. Diese muss alle relevanten Inhalte haben und jederzeit auf einem aktuellen Stand sein. Jeder IT-Mitarbeiter muss diese kennen, sie finden und damit umgehen können.
Im IT-Grundschutz-Kompendium finden sich zahlreiche Verweise auf die Notwendigkeit einer umfangreichen und aussagekräftigen IT-Dokumentation. Folgende Maßnahme ist dabei besonders relevant: OPS.1.1.3.M11 Kontinuierliche Dokumentation der Informationsverarbeitung. Dies ist eine zentrale Maßnahme, die sich wieder in verschiedene Einzelmaßnahmen unterteilt.
- Umfang und Inhalt einer IT-Dokumentation werden in der Maßnahme „Dokumentation der Systemkonfiguration“ beschrieben. Dort wird gefordert, dass in der IT-Dokumentation die physikalische Netzstruktur sowie die logische Netzkonfiguration zu beschreiben sind, ebenso die Datensicherung, die eingesetzten Applikationen sowie die Dateistrukturen auf den IT-Systemen. Auch die Erstellung eines Wiederanlaufplans und die Notwendigkeit der Dokumentation der Meldeketten werden in der Maßnahmen beschrieben.
- Die Maßnahme „ORP.4.A3 Dokumentation der zugelassenen Benutzer und Rechteprofile“ definiert die Anforderungen hinsichtlich eines Rollenkonzeptes und Dokumentation eines Verzeichnisdienstes wie Microsoft Active Directory.
- Eine besondere Herausforderung stellt die Maßnahme „Dokumentation der Veränderungen an einem bestehenden System“ dar. Denn die Dokumentation der täglichen Änderungen an IT-Systemen ist eine besondere Herausforderung für jede IT-Abteilung.
- Die Maßnahme „OPS.1.1.2.M12 Regelungen für Wartungs- und Reparaturarbeiten“ beschreibt die notwendige Dokumentation von Wartungstätigkeiten und den Umgang mit externen Dienstleistern. Die Maßnahme zeigt auch die Tätigkeiten auf, die vor und nach einer Reparatur durchzuführen sind.
- In der Maßnahme „Fehlerbehandlung“ wird beschrieben, welche Anforderungen an die IT-Dokumentation hinsichtlich aufgetretener Fehler und Störungen an IT-Systemen gestellt werden.
- Etwas einfacher lassen sich die Maßnahmen zur „Ernennung eines Administrators und eines Vertreters“ umsetzen. Hier gilt es vor allem organisatorische Maßnahmen zu treffen und die Mitarbeiter einzuweisen.
- Die Maßnahme zur „Dokumentation der Datensicherung“ sollte bereits Teil Ihres Datenschutzkonzeptes sein. Haben Sie dieses Konzept bereits zur Hand, dann können Sie in der IT-Dokumentation direkt darauf verweisen.
- Mit der Maßnahme „DER.2.1.A3 Festlegung von Verantwortlichkeiten und Ansprechpartnern bei Sicherheitsvorfällen“ wird dokumentiert, wer über was bei welchen Sicherheitsvorfällen zu informieren ist. Welche Benutzergruppen sollten im Vorfeld definiert werden und welche Rechten und Pflichten müssen Ihnen bei einem Sicherheitsvorfall übertragen werden.
Es gibt viel zu tun
Bei der eingangs erwähnten Maßnahme M2.219 handelt es sich um eine Maßnahme der Siegelstufe A. Das bedeutet, dass diese als Basismaßnahme bearbeitet werden muss und nicht erst für den Fall einer angestrebten Zertifizierung. Sie ist als Maßnahme beim Baustein B1.14 – Patch- und Änderungsmanagement eingeordnet. Sicherlich fragt auch Ihr Datenschutzbeauftragter beispielsweise im Rahmen seiner Prüfung der technischen und organisatorischen Maßnahmen (TOM) nach einer IT-Dokumentation. Diese gehört auch dazu, wenn es um Verfügbarkeit der EDV-Anlage geht. Wie soll nach einem Ausfall eine Wiederherstellung funktionieren, wenn niemand weiß wie ein ausgefallenes System vor dessen Absturz konfiguriert war? Man hat selten eine topaktuelle Sicherung der Konfiguration, sondern nur eine etwas ältere. Dann müssen die letzten Änderungen manuell nachgearbeitet werden. Oder eine neue Konfiguration schlägt fehl und man möchte die alten Einstellungen wiederherstellen. Leider wurde die Erstellung einer Sicherung der Konfiguration vor dem Update vergessen. Wo schaut man nach wie es vorher war?
Fertig ist man nie
Ein Punkt sollte klar sein: Mit einer IT-Dokumentation ist man niemals fertig. Man befindet sich maximal auf dem aktuellen Stand sein. Dies ergibt sich schon aus der Forderung nach einer Dokumentation der Veränderungen an bestehenden Systemen. Aber wenn Sie es geschafft haben, Ihre IT-Dokumentation auf einen aktuellen Stand zu bringen und dies zu halten, dann haben Sie ein großartiges Werkzeug an der Hand. Natürlich gibt es auch hier Softwaretools, die Sie bei der Arbeit unterstützen. Leider können einige Arbeiten nicht automatisiert werden. Nehmen Sie deshalb diese in Ihre Prozessbeschreibungen auf, damit sie nicht vergessen werden.
Eine Software zur automatisierten IT-Dokumentation ist beispielsweise das Dokumentationstool Docusnap. Im weiteren Verlauf des Beitrags verweise ich an geeigneten Stellen auf diese Software und wie Maßnahmen damit konkret umgesetzt werden können.
Lesen Sie im zweiten Teil des Artikels mehr über die einzelnen Maßnahmen, die der IT-Grundschutzkatalog fordert.