1. Rückblick auf die Gesetzesentwicklung
Die Corona-Pandemie hat den vorhandenen Trend der Digitalisierung ganz besonders im Bereich der Arbeitswelt und im Bereich der Verwaltung nochmals deutlich beschleunigt. Er zeigt aber auch die damit einhergehenden neuen Abhängigkeiten und Schwachstellen. Die neuen Möglichkeiten gibt es nicht umsonst, sie werden begleitet von neuen Anforderungen. Was muss getan werden, damit digitale Prozesse nicht nur performant zur Verfügung stehen, sondern auch verlässlich abgesichert sind?
Häufig wird dabei ein angemessener Stand der IT-Sicherheit eingefordert. Genauso häufig bleibt aber offen, was darunter zu verstehen ist. Insofern wird als Lösung alles angeboten, von fast beliebigen Einzelmaßnahme bis hin zu abstrakten Zieldefinitionen und wohl formulierter Wolkenschieberei. Der Beitrag widmet sich der Frage, wie IT-Sicherheit umgesetzt werden kann. Im Fokus stehen Organisationen, die neben der Bereitstellung von Diensten auch besonders auf den Schutz der ihr anvertrauten Daten und auf die verlässliche und dauerhafte Durchführung ihrer Geschäftsprozesse angewiesen sind.
Es geht also darum in angemessener Kürze systematisch zu bestimmen, wie IT-Sicherheit organisiert ist, wie sie arbeitet und was die konkreten Ziele sind.
2. Ab- und Eingrenzung von IT-Sicherheit
Zunächst gilt es Klarheit zu erzielen, was der grundsätzliche Auftrag der IT-Sicherheit ist. Nicht selten wird sie deckungsgleich mit dem Datenschutz gesetzt. Das ist aber ein weit verbreiteter Irrtum und führt am Ende zu einer falschen Einordnung. Deshalb soll die IT-Sicherheit hier bewusst vom Datenschutz abgegrenzt werden.
Richtig ist, dass es Überschneidungen und Gemeinsamkeiten gibt, aber auch eklatante Unterschiede. Bereits im formalen Auftrag lassen sich Unterschiede erkennen. Der Datenschutzbeauftrage übt eine Kontrollfunktion aus und überwacht die Organisation, für die er zuständig ist 1 1 Vgl. Witt (2019): Datenschutz kompakt und verständlich, Springer Vieweg. . Wesentliches Ziel ist dabei der Schutz der personenbezogenen Daten aus der Perspektive der betroffenen Personen. Die IT-Sicherheit ist Teil der Unternehmensstrategie und soll für das Unternehmen sicherstellen, dass es gut abgesichert ist. Auch hier gilt das Teilziel, Personendaten zu schützen. Allerdings wird dieses nicht nur zum Zweck des Personenschutzes verfolgt, sondern mit Blick auf das Unternehmen und seinem Interesse am Schutz von Personendaten. Dem Unternehmen soll möglichst kein Schaden entstehen, sei es im Betriebsablauf oder als Schaden in der öffentlichen Reputation oder durch einen Gesetzesverstoß.
Das lässt sich anhand eines Beispiels illustrieren: Während die IT-Sicherheit z.B. bei der Überwachung der Datenkommunikation über das Internet daran interessiert ist, nutzerbezogenes Verhalten an den Endgeräten zu protokollieren und zu analysieren, um mögliche Kompromittierungen der Unternehmenssysteme festzustellen (z.B. durch eingeschleusten Schadcode), richtet sich der Bewertungsmaßstab des Datenschutzes, ob die Überwachung dieser Endgeräte zulässig ist, an den Rechten und dem Schutz der Nutzer aus.
Das Schutzziel der Datenintegrität teilen sich Datenschutz und IT-Sicherheit nur soweit personenbezogene Daten betroffen sind. Die IT-Sicherheit interessiert sich zusätzlich für den Integritätsschutz wichtiger Betriebsdaten (z.B. Dokumente zur Datenverarbeitungsarchitektur, Netzpläne, Gebäudeinfrastruktur etc.) und sie richtet die Maßnahmen nicht nur an den Betroffenenrechten aus, sondern aus Sicht des Unternehmens.
Das Schutzziel der Verfügbarkeit, also für präventive und reaktive Maßnahmen bis hin zur Notfallabsicherung von Prozessen, Verfahren und Systemen zu sorgen, um die Geschäftsprozesse der Organisation mit einem angemessenen Niveau sicherzustellen, kennt nur die IT-Sicherheit, dieses Sicherungsziel ist dem Datenschutz fremd.
3. IT-Sicherheit als PRE-Ansatz
Besonders en vogue ist aktuell die Begrifflichkeit der sog. Cyber-Sicherheit als Spezialgebiet der IT-Sicherheit. So firmiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Bericht als „Cyber-Sicherheitsbehörde“ des Bundes 2 2 BSI: Die Lage der IT-Sicherheit in Deutschland 2020, S. 3. . Tatsächlich ist die Absicherung von Netzzugängen und von Datenkommunikation über Netze ein wesentlicher Pfeiler der Absicherung von Online-Services und der Online-Kommunikation. Aber es gehört auch zur Wahrheit, dass es weitere wichtige Säulen einer Sicherheitsstrategie geben muss.
Die Umsetzung von IT-Sicherheit muss für eine Organisation angemessen gestaltet werden. Das beinhaltet die organisatorische Einbettung in die Organisation sowie den Aufbau und die Gestaltung von Prozessen. Wichtige Orientierungsgrößen sind Standards zur IT-Sicherheit. Ein wichtiger Maßstab ist die ISO 27001 3 3 Vgl. Brenner et al. (2017): Praxishandbuch ISO/IEC 27001, Management der Informationssicherheit und Vorbereitung auf die Zertifizierung, Carl Hanser Verlag, München. . Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem aktuellen Standard BSI-Grundschutz einen elaborierten Rahmen geschaffen, mit dem IT-Sicherheit ausgestaltet werden kann 4 4 BSI: BSI-Standard 200-2, IT-Grundschutzmethodik (www.bsi.bund.de/grundschutz). . Die Deutsche Rentenversicherung hat sich bereits im Jahr 2018 durch eine verbindliche Entscheidung ihres Bundesvorstandes darauf festgelegt, Informationssicherheit nach dem BSI-Grundschutz umzusetzen 5 5 Die verbindlichen Entscheidungen (s. Entscheidung vom 18.6.2018) der Deutschen Rentenversicherung können eingesehen werden unter:Zu den Verbindlichen Entscheidungen .
Häufig bleibt beim bloßen begrifflichen Bezug auf IT-Sicherheit oder im weiter gefassten Sinne auf Informationssicherheit unklar, wie diese definiert werden kann und was die konkreten Ziele sind. Die Ziele, die mit den Strukturen und Prozessen der IT-Sicherheit verbunden sind, müssen geordnet werden, um eine grundsätzliche Systematik zu erkennen. Der hier vorgeschlagene PRE-Ansatz zur IT-Sicherheit liefert einen kompakten Zugang.
Systematisch lässt sich IT-Sicherheit mit zwei Dimensionen grundsätzlich definieren. Die erste Dimension bildet die organisatorische und strukturelle Unterscheidung der IT-Sicherheit in IT-Sicherheitsmanagement und operative IT-Sicherheit. Beide bilden eine Einheit. Handlungsrahmen, Prozesse und auch die fachliche Expertise des notwendigen Personals sind allerdings verschieden.
Die zweite Dimension ist die Zielstellung. IT-Sicherheit hat einen präventiven Ansatz („P“). Dabei geht es um die Vorsorge für die Organisation. Die Strukturen und Prozesse dienen der Resilienz der Organisation, so dass ihre Daten, Verfahren und Geschäftsprozesse und ihre Infrastruktur möglichst geschützt sind. Im Rahmen des IT-Sicherheitsmanagements geht es u. a. darum, den Geschäftsbetrieb durch Vorgaben (Policy) und die strukturierte Betrachtung und Beobachtung der Prozesse in Form von Sicherheitskonzepten abzusichern. Präventive Maßnahmen im Rahmen der operativen IT-Sicherheit sind z.B. die systematische Überwachung der Netze und der IT-Systeme sowie der betriebenen Anwendungen.
Was unter „geschützt“ zu verstehen ist, dem widmen wir uns im Abschnitt zu den Schadvektoren. Ferner hat IT-Sicherheit einen reaktiven Ansatz („RE“). Hier drehen sich die Prozesse darum, einen eingetretenen Schaden oder eine erkannte Schwachstelle zu beheben und ggf. Maßnahmen einzuleiten, um in einem eingetretenen Schadensereignis weiter handlungsfähig zu bleiben.
Die beiden Dimensionen lassen sich miteinander in Beziehung setzen. So lässt sich erkennen, wie unter dem grundsätzlichen Aspekt der Ausrichtung Prävention und Reaktion („PRE“) die Aufgaben der IT-Sicherheit zu definieren und die Schwerpunkte festzulegen sind (vgl. Abb.1).
Abb. 1: PRE-Ansatz zur IT-Sicherheit
PRÄVENTION | REAKTION | IT-Sicherheit | |
---|---|---|---|
ISM (IT-Sicherheits-management) | Planung, Steuerung und Vorgaben zur Erreichen eines Vorsorgeniveaus für eine abgesicherte Organisation | ||
Operative IT-Sicherheit (ITSI) | Überwachung der Verfahren und Systeme zur Vermeidung von Sicherheitsvorfällen und Behandlung von eingetretenen Sicherheitsvorfällen | ||
IT-Sicherheit | Vorsorge zur Härtung der Organisation (mit PDCA-Zyklus: Plan, Do, Check, Act) | Beheben von Sicherheitslücken und von Sicherheitsvorfällen |
4. Angriffsvektoren und Aufgaben der IT-Sicherheit
Wie bereits erwähnt, ist es sinnvoll einen Schritt weiter zu gehen. Wenn IT-Sicherheit als präventive und reaktive Instanz etabliert werden soll, ist damit noch immer nicht geklärt, vor was die Organisation eigentlich geschützt werden soll. Neben dem Regelwerk zur Umsetzung von IT-Sicherheit ist es wichtig das Ziel „Absicherung der Organisation“ auf der praktischen Ebene zu verdeutlichen. Das geht zum einen dadurch, indem man konkret die Arbeitsweise von IT-Sicherheit definiert und indem man konkret versucht die möglichen Schadensvektoren für die Organisation zu benennen.
Das lässt sich auf Basis von Schadszenarien oder Angriffsvektoren auf den Punkt bringen. Die Bedrohungen oder Schwachstellen der Organisation lassen sich auf Aufgaben der IT-Sicherheit beziehen und dienen damit auch als Bewertungsrahmen. Im Wesentlichen wird hier versucht, den Ansatz des BSI auf die Organisation selbst anzuwenden 6 6 BSI: BSI Standard 200-2, a. a. O. . Das BSI gibt in seinem Standard zur Informationssicherheit einen sehr feingranularen, auf Gefährdungen bezogenen Ansatz vor. Es gilt diesen auf elementare Schadvektoren für die zu schützende Organisation zu verallgemeinern. Der Blick soll hier auf Organisationen gerichtet werden, die in ihrem Geschäftsbetrieb im Schwerpunkt auf EDV-bezogene Organisation ihrer Geschäftsprozesse und auf die netzbasierte (Daten)-kommunikation angewiesen sind. Dabei lassen sich sieben potenzielle Schwachstellen und Angriffsvektoren identifizieren.
Abb. 2 nennt zunächst sieben zentrale Angriffsvektoren und beschreibt die damit verbundenen Schwachstellen. Im Folgenden werden dann die zugehörigen Aufgaben und Tätigkeiten der IT-Sicherheit bestimmt. Dabei wird unterschieden zwischen dem IT-Sicherheitsmanagement und der operativen IT-Sicherheit. Ein wichtiger Punkt dabei ist, dass sich IT-Sicherheit und die für die Geschäftsprozesse verantwortlichen Einheiten, und hier insbesondere die Betriebseinheiten der IT ergänzen müssen. Deshalb soll neben dem Aktionsradius der IT-Sicherheit auch der Anknüpfungspunkt an die betriebliche Umsetzung dargestellt werden.
Angriffsvektor | Schwachstellen | IT-Sicherheit Operativ | IT-Sicherheit Management | Betriebliche Umsetzung |
---|---|---|---|---|
Zugänge in das Netz der Deutschen Rentenversicherung (insbesondere Internet) | Cyberattacken aus Fremdnetzen und Einfangen von Schadsoftware insbesondere aus dem Internet durch unzureichende Absicherung der Datenkommunikation, der Mail-Systeme, der Download-Möglichkeiten, der URL-Absicherung | Überwachen der Sicherheitssysteme Operative Policy zur Nutzung der Gateways Betreiben der Sicherheitssysteme Prozesse zur Behandlung von Sicherheitsvorfällen (CERT/SOC) Teilweise wird auch der Betrieb der Sicherheitsinfrastruktur betrieben (Perimeterschutzsysteme) | Vorgaben zur Sicherheitsarchitektur (CERT) Risikomanagement Vorgaben, z.B. Benutzerrichtlinien, Policy zur Nutzung der Gateways | Betrieb der Infrastruktur: Netzkomponenten und Perimeterschutzsysteme Prozesse des betrieblichen Incidenthandling |
Ausnutzen von Schwachstellen in der Infrastruktur | Sabotage an der Infrastruktur (Gebäude Verkabelung und Gebäude-EDV). Z.B. durch mangelhafte Zutrittsregelungen | Planung, Umsetzung einer gehärteten Infrastruktur durch Pflege des Basis-Sicherheitskonzepts | Vorgaben und Überprüfung nach den Vorgaben des BSI-GS Risikomanagement | Betrieb nach den Vorgaben. Dokumentiert und geplant durch das Sicherheitskonzept Umsetzung der Anforderungen in der betrieblichen Praxis. Etablierung von Prozessen zur Sicherstellung der Anwendung von Richtlinien zur Sicherheit |
Schwachstellen in Verfahren für die Geschäftsprozesse | Unzureichendes Rollen- und Rechtekonzept, fehlende Kontrolle und Überprüfung der Zugriffe. Schwachstellen in Webanwendungen Unzureichende Datensicherung und Recovery-Planung Fehlende Planung zur Verfügbarkeit (Ausfallsicherheit) | Pflege von Verfahrenssicherheits-konzepten (gesteuert über den ISIP-Prozess) Sicherheitsmonitoring von System und Verfahren über ein entsprechende Use Cases und Überwachung über ein Security Event Managementsystem (SIEM) | Beratung und Überprüfung bei der Erstellung der Verfahrenssicherheitskonzepte Informationssicherheit in Prozessen (ISIP) Auditierung von Verfahren | Anwendungsbetrieb nach den Vorgaben. Dokumentiert und geplant durch das Sicherheitskonzept |
Gezielter Angriff durch Innentäter (Sabotage) | Gezielter Missbrauch durch bestehende Möglichkeiten oder die Beschaffung von Möglichkeiten (gezielter Schaden an Infrastruktur und Systemen) | - | - | Muss möglichst vermieden werden durch Härtung der Infrastruktur |
Datenverarbeitung durch externe Dritte | Kompromittierung von Daten der RV durch mangelhafte Umsetzung der IT-Sicherheit bei Externen (z.B. externe Datenverarbeitung) | - | Regelungen (Richtlinien, Konzepte und Handlungsanweisungen) zu Sicherheitsanforderungen für Auftragsverarbeitung von Daten und Diensten Vertragliche Regelungen nach Vorgaben der etablierten Policy Überprüfung der Umsetzung der Sicherheitsanforderungen beim Dienstleister | Beachtung des Regelwerks zur IT-Sicherheit bei der Gestaltung von Verträgen sowie bei der Durchführung von Beschaffungen |
5. Schluss
Der Digitalisierung von Geschäftsprozessen und Kunden-Services kann sich die Deutsche Rentenversicherung nicht verschließen. Je mehr Arbeitsabläufe allerdings digital und vernetzt gestaltet werden, umso wichtiger ist aus Sicht der Organisation die Absicherung von Infrastruktur und Geschäftsprozessen. Die Ausführungen haben beschrieben, wie das durch ein IT-Sicherheitsmanagementsystem erreicht werden soll. Hier hat die Deutsche Rentenversicherung Weichen gestellt. Sie hat sich dazu entschieden bei allen Institutionen der RV die Standards des BSI-Grundschutz umzusetzen und das in einer eigenen Informationssicherheits-Policy konkretisiert. Es geht dabei darum, Strukturen zu schaffen, die in der Lage sind, durch präventive Maßnahmen die EDV-Infrastruktur und die Geschäftsprozesse zu härten. Ferner geht es darum, eine operative IT-Sicherheitsorganisation zu etablieren, um auf Sicherheitsvorfälle und Schwachstellen operativ reagieren zu können. In diesem Kontext muss sie auch ihre besondere Bedeutung für das gesellschaftliche Leben im Blick behalten. Diese hat auch der Gesetzgeber erkannt und die Deutsche Rentenversicherung als Leistungserbringer der Altersversorgung als kritische Infrastruktur bestimmt. Aus dieser Verpflichtung ergibt sich der nicht immer leichte Spagat, moderne Services und Dienste anbieten zu wollen und gleichzeitig die besonders schützenswerten Daten und Kernprozesse der RV so abzusichern, dass dieser gesellschaftlichen Verpflichtung verlässlich nachgekommen werden kann.