RVaktuell - Fachzeitschrift und amtliche Mitteilungen
RVaktuell - Fachzeitschrift und amtliche Mitteilungen der Deutschen Rentenversicherung

IT-Sicherheit in der digitalen Organisation

Digitalisierung und Vernetzung sind zentrale Begriffe, wenn es darum geht, Trends für die gesellschaftliche Entwicklung und die Zukunft der Arbeitswelt zu beschreiben. Von Verwaltungen und Behörden wird erwartet, dass sie ihre Kundenservices online zur Verfügung stellen und ihre internen Geschäftsprozesse möglichst papierlos als digitale Prozesse ausgestalten. Dabei kommt es ganz besonders darauf an, die geschäftliche Kommunikation – auch die zwischen Organisationen – vernetzt mit moderner (Kommunikations)technik zu betreiben. Aber je digitaler eine Organisation sich aufstellt, desto nachhaltiger sind dann auch die Konsequenzen, die Ausfälle von Systemen nach sich ziehen. Der Verlust von Daten oder Schaden an den Netzverbindungen kann im schlimmsten Fall zum Kollaps eines (Teil-)Systems führen.
Dr. Michael Stegmann ist Leiter des Zentralen IT-Sicherheitsmanagements der Deutschen Rentenversicherung Bund.

1. Rückblick auf die Gesetzesentwicklung

Die Corona-Pandemie hat den vorhandenen Trend der Digitalisierung ganz besonders im Bereich der Arbeitswelt und im Bereich der Verwaltung nochmals deutlich beschleunigt. Er zeigt aber auch die damit einhergehenden neuen Abhängigkeiten und Schwachstellen. Die neuen Möglichkeiten gibt es nicht umsonst, sie werden begleitet von neuen Anforderungen. Was muss getan werden, damit digitale Prozesse nicht nur performant zur Verfügung stehen, sondern auch verlässlich abgesichert sind?

Häufig wird dabei ein angemessener Stand der IT-Sicherheit eingefordert. Genauso häufig bleibt aber offen, was darunter zu verstehen ist. Insofern wird als Lösung alles angeboten, von fast beliebigen Einzelmaßnahme bis hin zu abstrakten Zieldefinitionen und wohl formulierter Wolkenschieberei. Der Beitrag widmet sich der Frage, wie IT-Sicherheit umgesetzt werden kann. Im Fokus stehen Organisationen, die neben der Bereitstellung von Diensten auch besonders auf den Schutz der ihr anvertrauten Daten und auf die verlässliche und dauerhafte Durchführung ihrer Geschäftsprozesse angewiesen sind.

Es geht also darum in angemessener Kürze systematisch zu bestimmen, wie IT-Sicherheit organisiert ist, wie sie arbeitet und was die konkreten Ziele sind.

2. Ab- und Eingrenzung von IT-Sicherheit

Zunächst gilt es Klarheit zu erzielen, was der grundsätzliche Auftrag der IT-Sicherheit ist. Nicht selten wird sie deckungsgleich mit dem Datenschutz gesetzt. Das ist aber ein weit verbreiteter Irrtum und führt am Ende zu einer falschen Einordnung. Deshalb soll die IT-Sicherheit hier bewusst vom Datenschutz abgegrenzt werden.

Richtig ist, dass es Überschneidungen und Gemeinsamkeiten gibt, aber auch eklatante Unterschiede. Bereits im formalen Auftrag lassen sich Unterschiede erkennen. Der Datenschutzbeauftrage übt eine Kontrollfunktion aus und überwacht die Organisation, für die er zuständig ist 1 1 Vgl. Witt (2019): Datenschutz kompakt und verständlich, Springer Vieweg. . Wesentliches Ziel ist dabei der Schutz der personenbezogenen Daten aus der Perspektive der betroffenen Personen. Die IT-Sicherheit ist Teil der Unternehmensstrategie und soll für das Unternehmen sicherstellen, dass es gut abgesichert ist. Auch hier gilt das Teilziel, Personendaten zu schützen. Allerdings wird dieses nicht nur zum Zweck des Personenschutzes verfolgt, sondern mit Blick auf das Unternehmen und seinem Interesse am Schutz von Personendaten. Dem Unternehmen soll möglichst kein Schaden entstehen, sei es im Betriebsablauf oder als Schaden in der öffentlichen Reputation oder durch einen Gesetzesverstoß.

Das lässt sich anhand eines Beispiels illustrieren: Während die IT-Sicherheit z.B. bei der Überwachung der Datenkommunikation über das Internet daran interessiert ist, nutzerbezogenes Verhalten an den Endgeräten zu protokollieren und zu analysieren, um mögliche Kompromittierungen der Unternehmenssysteme festzustellen (z.B. durch eingeschleusten Schadcode), richtet sich der Bewertungsmaßstab des Datenschutzes, ob die Überwachung dieser Endgeräte zulässig ist, an den Rechten und dem Schutz der Nutzer aus.

Das Schutzziel der Datenintegrität teilen sich Datenschutz und IT-Sicherheit nur soweit personenbezogene Daten betroffen sind. Die IT-Sicherheit interessiert sich zusätzlich für den Integritätsschutz wichtiger Betriebsdaten (z.B. Dokumente zur Datenverarbeitungsarchitektur, Netzpläne, Gebäudeinfrastruktur etc.) und sie richtet die Maßnahmen nicht nur an den Betroffenenrechten aus, sondern aus Sicht des Unternehmens.
Das Schutzziel der Verfügbarkeit, also für präventive und reaktive Maßnahmen bis hin zur Notfallabsicherung von Prozessen, Verfahren und Systemen zu sorgen, um die Geschäftsprozesse der Organisation mit einem angemessenen Niveau sicherzustellen, kennt nur die IT-Sicherheit, dieses Sicherungsziel ist dem Datenschutz fremd.

3. IT-Sicherheit als PRE-Ansatz

Besonders en vogue ist aktuell die Begrifflichkeit der sog. Cyber-Sicherheit als Spezialgebiet der IT-Sicherheit. So firmiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Bericht als „Cyber-Sicherheitsbehörde“ des Bundes 2 2 BSI: Die Lage der IT-Sicherheit in Deutschland 2020, S. 3. . Tatsächlich ist die Absicherung von Netzzugängen und von Datenkommunikation über Netze ein wesentlicher Pfeiler der Absicherung von Online-Services und der Online-Kommunikation. Aber es gehört auch zur Wahrheit, dass es weitere wichtige Säulen einer Sicherheitsstrategie geben muss.

Die Umsetzung von IT-Sicherheit muss für eine Organisation angemessen gestaltet werden. Das beinhaltet die organisatorische Einbettung in die Organisation sowie den Aufbau und die Gestaltung von Prozessen. Wichtige Orientierungsgrößen sind Standards zur IT-Sicherheit. Ein wichtiger Maßstab ist die ISO 27001 3 3 Vgl. Brenner et al. (2017): Praxishandbuch ISO/IEC 27001, Management der Informationssicherheit und Vorbereitung auf die Zertifizierung, Carl Hanser Verlag, München. . Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem aktuellen Standard BSI-Grundschutz einen elaborierten Rahmen geschaffen, mit dem IT-Sicherheit ausgestaltet werden kann 4 4 BSI: BSI-Standard 200-2, IT-Grundschutzmethodik (www.bsi.bund.de/grundschutz). . Die Deutsche Rentenversicherung hat sich bereits im Jahr 2018 durch eine verbindliche Entscheidung ihres Bundesvorstandes darauf festgelegt, Informationssicherheit nach dem BSI-Grundschutz umzusetzen 5 5 Die verbindlichen Entscheidungen (s. Entscheidung vom 18.6.2018) der Deutschen Rentenversicherung können eingesehen werden unter:Zu den Verbindlichen Entscheidungen .

Häufig bleibt beim bloßen begrifflichen Bezug auf IT-Sicherheit oder im weiter gefassten Sinne auf Informationssicherheit unklar, wie diese definiert werden kann und was die konkreten Ziele sind. Die Ziele, die mit den Strukturen und Prozessen der IT-Sicherheit verbunden sind, müssen geordnet werden, um eine grundsätzliche Systematik zu erkennen. Der hier vorgeschlagene PRE-Ansatz zur IT-Sicherheit liefert einen kompakten Zugang.

Systematisch lässt sich IT-Sicherheit mit zwei Dimensionen grundsätzlich definieren. Die erste Dimension bildet die organisatorische und strukturelle Unterscheidung der IT-Sicherheit in IT-Sicherheitsmanagement und operative IT-Sicherheit. Beide bilden eine Einheit. Handlungsrahmen, Prozesse und auch die fachliche Expertise des notwendigen Personals sind allerdings verschieden.

Die zweite Dimension ist die Zielstellung. IT-Sicherheit hat einen präventiven Ansatz („P“). Dabei geht es um die Vorsorge für die Organisation. Die Strukturen und Prozesse dienen der Resilienz der Organisation, so dass ihre Daten, Verfahren und Geschäftsprozesse und ihre Infrastruktur möglichst geschützt sind. Im Rahmen des IT-Sicherheitsmanagements geht es u. a. darum, den Geschäftsbetrieb durch Vorgaben (Policy) und die strukturierte Betrachtung und Beobachtung der Prozesse in Form von Sicherheitskonzepten abzusichern. Präventive Maßnahmen im Rahmen der operativen IT-Sicherheit sind z.B. die systematische Überwachung der Netze und der IT-Systeme sowie der betriebenen Anwendungen.

Was unter „geschützt“ zu verstehen ist, dem widmen wir uns im Abschnitt zu den Schadvektoren. Ferner hat IT-Sicherheit einen reaktiven Ansatz („RE“). Hier drehen sich die Prozesse darum, einen eingetretenen Schaden oder eine erkannte Schwachstelle zu beheben und ggf. Maßnahmen einzuleiten, um in einem eingetretenen Schadensereignis weiter handlungsfähig zu bleiben.
Die beiden Dimensionen lassen sich miteinander in Beziehung setzen. So lässt sich erkennen, wie unter dem grundsätzlichen Aspekt der Ausrichtung Prävention und Reaktion („PRE“) die Aufgaben der IT-Sicherheit zu definieren und die Schwerpunkte festzulegen sind (vgl. Abb.1).

Abb. 1: PRE-Ansatz zur IT-Sicherheit

 PRÄVENTIONREAKTIONIT-Sicherheit
ISM
(IT-Sicherheits-management)
  • Regelwerk (Policy)

  • Sicherheitskonzepte

  • Risikoplanung

  • Prüfung und Revision

  • Schulung, Sensibilisierung

  • Beratung

  • Monitoring der Maßnahmen zur Behebung erkannter Schwachstellen

  • Planen von Maßnahmen aus der Risikobetrachtung

  • Planung, Steuerung und Vorgaben zur Erreichen eines Vorsorgeniveaus für eine abgesicherte Organisation
    Operative IT-Sicherheit (ITSI)
  • Monitoring

  • Erkennen und Behandeln von Schwachstellen (SIEM)

  • Sicherheitsvorfälle erkennen

  • Prozesse, um Sicherheitsvorfälle zu beheben

  • Überwachung der Verfahren und Systeme zur Vermeidung von Sicherheitsvorfällen und Behandlung von eingetretenen Sicherheitsvorfällen
    IT-SicherheitVorsorge zur Härtung der Organisation
    (mit PDCA-Zyklus: Plan, Do, Check, Act)

    Beheben von Sicherheitslücken und von Sicherheitsvorfällen
    Quelle: Eigene Darstellung.

    4. Angriffsvektoren und Aufgaben der IT-Sicherheit

    Wie bereits erwähnt, ist es sinnvoll einen Schritt weiter zu gehen. Wenn IT-Sicherheit als präventive und reaktive Instanz etabliert werden soll, ist damit noch immer nicht geklärt, vor was die Organisation eigentlich geschützt werden soll. Neben dem Regelwerk zur Umsetzung von IT-Sicherheit ist es wichtig das Ziel „Absicherung der Organisation“ auf der praktischen Ebene zu verdeutlichen. Das geht zum einen dadurch, indem man konkret die Arbeitsweise von IT-Sicherheit definiert und indem man konkret versucht die möglichen Schadensvektoren für die Organisation zu benennen.

    Das lässt sich auf Basis von Schadszenarien oder Angriffsvektoren auf den Punkt bringen. Die Bedrohungen oder Schwachstellen der Organisation lassen sich auf Aufgaben der IT-Sicherheit beziehen und dienen damit auch als Bewertungsrahmen. Im Wesentlichen wird hier versucht, den Ansatz des BSI auf die Organisation selbst anzuwenden 6 6 BSI: BSI Standard 200-2, a. a. O. . Das BSI gibt in seinem Standard zur Informationssicherheit einen sehr feingranularen, auf Gefährdungen bezogenen Ansatz vor. Es gilt diesen auf elementare Schadvektoren für die zu schützende Organisation zu verallgemeinern. Der Blick soll hier auf Organisationen gerichtet werden, die in ihrem Geschäftsbetrieb im Schwerpunkt auf EDV-bezogene Organisation ihrer Geschäftsprozesse und auf die netzbasierte (Daten)-kommunikation angewiesen sind. Dabei lassen sich sieben potenzielle Schwachstellen und Angriffsvektoren identifizieren.

    Abb. 2 nennt zunächst sieben zentrale Angriffsvektoren und beschreibt die damit verbundenen Schwachstellen. Im Folgenden werden dann die zugehörigen Aufgaben und Tätigkeiten der IT-Sicherheit bestimmt. Dabei wird unterschieden zwischen dem IT-Sicherheitsmanagement und der operativen IT-Sicherheit. Ein wichtiger Punkt dabei ist, dass sich IT-Sicherheit und die für die Geschäftsprozesse verantwortlichen Einheiten, und hier insbesondere die Betriebseinheiten der IT ergänzen müssen. Deshalb soll neben dem Aktionsradius der IT-Sicherheit auch der Anknüpfungspunkt an die betriebliche Umsetzung dargestellt werden.

    AngriffsvektorSchwachstellenIT-Sicherheit
    Operativ
    IT-Sicherheit
    Management
    Betriebliche Umsetzung
    Zugänge in das Netz der Deutschen Rentenversicherung (insbesondere Internet)Cyberattacken aus Fremdnetzen und Einfangen von Schadsoftware insbesondere aus dem Internet durch unzureichende Absicherung der Datenkommunikation, der Mail-Systeme, der Download-Möglichkeiten, der URL-AbsicherungÜberwachen der Sicherheitssysteme

    Operative Policy zur Nutzung der Gateways

    Betreiben der Sicherheitssysteme

    Prozesse zur Behandlung von Sicherheitsvorfällen
    (CERT/SOC)

    Teilweise wird auch der Betrieb der Sicherheitsinfrastruktur betrieben (Perimeterschutzsysteme)
    Vorgaben zur Sicherheitsarchitektur (CERT)
    Risikomanagement

    Vorgaben, z.B. Benutzerrichtlinien,
    Policy zur Nutzung der Gateways
    Betrieb der Infrastruktur: Netzkomponenten und Perimeterschutzsysteme

    Prozesse des betrieblichen Incidenthandling
    Ausnutzen von Schwachstellen in der InfrastrukturSabotage an der Infrastruktur (Gebäude Verkabelung und Gebäude-EDV). Z.B. durch mangelhafte ZutrittsregelungenPlanung, Umsetzung einer gehärteten Infrastruktur
    durch Pflege des Basis-Sicherheitskonzepts
    Vorgaben und Überprüfung nach den Vorgaben des BSI-GS
    Risikomanagement
    Betrieb nach den Vorgaben. Dokumentiert und geplant durch das Sicherheitskonzept
    Umsetzung der Anforderungen in der betrieblichen Praxis.
    Etablierung von Prozessen zur Sicherstellung der Anwendung von Richtlinien zur Sicherheit
    Schwachstellen in Verfahren für die GeschäftsprozesseUnzureichendes Rollen- und Rechtekonzept, fehlende Kontrolle und Überprüfung der Zugriffe.

    Schwachstellen in Webanwendungen

    Unzureichende Datensicherung und Recovery-Planung

    Fehlende Planung zur Verfügbarkeit (Ausfallsicherheit)
    Pflege von Verfahrenssicherheits-konzepten (gesteuert über den ISIP-Prozess)

    Sicherheitsmonitoring von System und Verfahren über ein entsprechende Use Cases und Überwachung über ein Security Event Managementsystem (SIEM)
    Beratung und Überprüfung bei der Erstellung der Verfahrenssicherheitskonzepte
    Informationssicherheit in Prozessen (ISIP)

    Auditierung von Verfahren
    Anwendungsbetrieb nach den Vorgaben. Dokumentiert und geplant durch das Sicherheitskonzept
    Gezielter Angriff durch Innentäter (Sabotage)Gezielter Missbrauch durch bestehende Möglichkeiten oder die Beschaffung von Möglichkeiten (gezielter Schaden an Infrastruktur und Systemen)

    -

    -

    Muss möglichst vermieden werden durch Härtung der Infrastruktur
    Datenverarbeitung durch externe DritteKompromittierung von Daten der RV durch mangelhafte Umsetzung der IT-Sicherheit bei Externen (z.B. externe Datenverarbeitung)

    -

    Regelungen (Richtlinien, Konzepte und Handlungsanweisungen)
    zu Sicherheitsanforderungen für Auftragsverarbeitung von Daten und Diensten

    Vertragliche Regelungen nach Vorgaben der etablierten Policy

    Überprüfung der Umsetzung der Sicherheitsanforderungen beim Dienstleister
    Beachtung des Regelwerks zur IT-Sicherheit bei der Gestaltung von Verträgen sowie bei der Durchführung von Beschaffungen
    Quelle: Eigene Darstellung

    5. Schluss

    Der Digitalisierung von Geschäftsprozessen und Kunden-Services kann sich die Deutsche Rentenversicherung nicht verschließen. Je mehr Arbeitsabläufe allerdings digital und vernetzt gestaltet werden, umso wichtiger ist aus Sicht der Organisation die Absicherung von Infrastruktur und Geschäftsprozessen. Die Ausführungen haben beschrieben, wie das durch ein IT-Sicherheitsmanagementsystem erreicht werden soll. Hier hat die Deutsche Rentenversicherung Weichen gestellt. Sie hat sich dazu entschieden bei allen Institutionen der RV die Standards des BSI-Grundschutz umzusetzen und das in einer eigenen Informationssicherheits-Policy konkretisiert. Es geht dabei darum, Strukturen zu schaffen, die in der Lage sind, durch präventive Maßnahmen die EDV-Infrastruktur und die Geschäftsprozesse zu härten. Ferner geht es darum, eine operative IT-Sicherheitsorganisation zu etablieren, um auf Sicherheitsvorfälle und Schwachstellen operativ reagieren zu können. In diesem Kontext muss sie auch ihre besondere Bedeutung für das gesellschaftliche Leben im Blick behalten. Diese hat auch der Gesetzgeber erkannt und die Deutsche Rentenversicherung als Leistungserbringer der Altersversorgung als kritische Infrastruktur bestimmt. Aus dieser Verpflichtung ergibt sich der nicht immer leichte Spagat, moderne Services und Dienste anbieten zu wollen und gleichzeitig die besonders schützenswerten Daten und Kernprozesse der RV so abzusichern, dass dieser gesellschaftlichen Verpflichtung verlässlich nachgekommen werden kann.

    Forschung Veranstaltungen

    Irgendwie ganz anders und doch auch sehr vertraut fühlte sich die Jahrestagung des Forschungsnetzwerkes Alterssicherung (FNA) im Jahr 2021 zum Thema „Nachhaltigkeit in der Alterssicherung“ an. Anders, da die Corona-Pandemie eine digitale Veranstaltung notwendig machte. Vertraut, da das Publikum dennoch wie gewohnt rege mit den Referentinnen und Referenten und untereinander diskutierte. Letzteres lag sicher nicht nur an den spannenden wissenschaftlichen Vorträgen, sondern auch an der kompetenten Zuhörerschaft und der bewährt guten Moderation von Prof. Dr. Johannes Varwick (Universität Halle). Diese Vertrautheit lag aber vermutlich auch am Thema „Nachhaltigkeit“. Hinter dem schillernder Begriff, so ließ sich während der Tagung lernen, verbergen sich Diskurse über die Alterssicherung, die die Rentenversicherung bereits in ihrer Gründungszeit begleitet haben – die damals allerdings noch nicht mit Nachhaltigkeit umschrieben wurden. Anders als in den vergangenen Jahren konnte im digitalen Format auf eine Beschränkung der Anzahl der Teilnehmenden verzichtet werden. Mit kontinuierlich zwischen 150 und 220 Personen in der Zoom-Konferenz und weiteren ca. 300–400 Personen im Livestream war das diesjährige Publikum sehr viel größer als in den Räumlichkeiten der Rentenversicherung (RV) möglich gewesen wäre. Das rege Interesse unterstrich die Rolle der FNA-Jahrestagung als wichtigste Fachtagung im Bereich der Alterssicherung für Wissenschaft, Verwaltung und Sozialpolitik.

    Jetzt lesen

    Wir verwenden Cookies, um Ihnen die Inhalte und Funktionen der Website bestmöglich anzubieten. Darüber hinaus verwenden wir Cookies zur Analyse. Weiterführende Informationen erhalten Sie in unseren Datenschutzhinweisen.