Die fortschreitende Digitalisierung bei der RollLaden GmbH und die Einhaltung des Datenschutzes erfordern die Entwicklung und Umsetzung eines Informationssicherheitskonzeptes zum Schutz der Daten und IT-Systeme. Schutzziele sind dabei die Verfügbarkeit, Vertraulichkeit und die Integrität der Daten.
Informationssicherheit ist ein komplexes Thema und erfordert umfangreiches Knowhow von den beteiligten Personen. Daher ist die RollLaden GmbH hierbei auf fachkompetente Unterstützung angewiesen. Der IT-Sicherheitsberater sollte über eine Personenzertifizierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum IT-Grundschutzberater oder eine vergleichbare Qualifikation verfügen. Entsprechende Fachkompetenzen werden auch von dem IT-Dienstleister erwartet. Die Mindestqualifizierung ist der IT-Grundschutz-Praktiker vom BSI.
Der Zeitaufwand für die Entwicklung und Umsetzung von Informationssicherheit sollte nicht unterschätzt werden. Wir benötigen einen ganzheitlichen Ansatz, wobei an alles gedacht wird. Hierbei bietet sich der Best Practice-Ansatz des BSI, der sogenannte IT-Grundschutz, an.
Der IT-Grundschutz definiert Informationssicherheit im Baukastenprinzip mit insgesamt 97 Bausteinen (Stand Ende 2020). Die einzelnen Bausteine beinhalten u. a. typische Gefährdungen und Anforderungen (Maßnahmen). Die Anforderungen gibt es in den drei Varianten: Basis, Standard und Erhöht. Teilweise gibt es noch Umsetzungshinweise, wie eine Anforderung erfüllt werden kann. Diese Informationen sind im "IT-Grundschutz-Kompendium" (ca. 850 Seiten) und in "Umsetzungshinweise IT-Grundschutz-Kompendium" (ca. 1000 Seiten) enthalten.
Die IT-Grundschutz-Bausteine werden jährlich überarbeitet:
So gab es zum Beispiel bei der Überarbeitung des IT-Grundschutz-Kompendium von 2019 nach 2020 folgende Änderungen: 2 komplett neue Bausteine, 58 überarbeitete Bausteine, 1700 Änderungen in den Anforderungen, 6 Bausteinumbenennungen und 1 Bausteinverschiebung.
Für die Schaffung von Informationssicherheit bei der RollLaden GmbH sollte der aktuelle Stand des IT-Grundschutzes, das im Moment aktuelle IT-Grundschutz-Kompendium 2020, als Basis dienen.
Aufgrund der sich ständig ändernden Gefahrenlage und deren Neubewertung mit sich verändernden Anforderungen muss das Sicherheitskonzept der RollLaden GmbH zyklisch neu überdacht, angepasst und die getroffenen Maßnahmen wieder überprüft werden.
Bei der RollLaden GmbH sollte daher alle 2-3 Jahre eine Revision erfolgen.
Aufgrund des Umfangs des Themengebietes wird nachfolgend nur die Vorgehensweise für die RollLaden GmbH beschrieben. Detaillierte Informationen sind den bereits erwähnten BSI-Dokumenten "IT-Grundschutz-Kompendium", "Umsetzungshinweise IT-Grundschutz-Kompendium" zu entnehmen.
Für die Erarbeitung eines Sicherheitskonzeptes werden zunächst Informationen zum Unternehmen RollLaden GmbH benötigt. Dazu zählen die Erfassung aller Unternehmenswerte im IT-Bereich, also IT-Systeme (Server, mobile und stationäre Endgeräte, Netzwerkgeräte), Software und Lizenzen, Infrastruktur (USV, Klimaanlagen, Kommunikationsanlagen) und Informationen (Firmendaten, Kundendaten, Verträge, Datenbanken, E-Mails). Weitere Firmeninformationen sind z. B. die Geschäftsprozesse, die Mitarbeiteranzahl, die Infrastruktur (Gebäude und Räume), die eingesetzte Software, IT-Systeme, Netze, Netzkomponenten und Kommunikationsverbindungen, externe Partner, eventuelle Cloudanbindung, Zuständigkeiten für Systempflege, Backup, IT-Sicherheit.
Hierbei gilt es auch die besonders sensiblen Daten, die "Kronjuwelen", zu ermitteln.
Der Online-Vorabcheck dient zur Vorabbewertung der IT-Sicherheit bei RollLaden GmbH. Die 55 Fragen umfassen die Themengebiete Netzwerk, Datensicherungskonzept, Mobile Business, Internet- und E-Mail-Nutzung, Notfallplan/Sicherheitsvorfälle, Betriebsmittel/Arbeitsmittel, IT-Outsourcing und Cloudcomputing sowie Wartungs- und Reparaturarbeiten. Der Vorabcheck zeigt auch die Komplexität des Themas Informationssicherheit auf.
Ergebnis für die Rollladen GmbH: Da die RollLaden GmbH erst am Anfang steht, ist noch viel Verbesserungspotential vorhanden.
Insgesamt enthält das IT-Grundschutz-Kompendium von 2020 97 Bausteine. Für die RollLaden GmbH sind 63 Bausteine relevant. Jeder Baustein umfasst ca. 10 Seiten im Kompendium. Dazu kommen noch teilweise Umsetzungshinweise zu den Bausteinen. Diese Bausteine müssen für die RollLaden GmbH bearbeitet, also umgesetzt, werden.
Für die Umsetzung der Anforderungen der einzelnen Bausteine sind viele Dokumente und Dokumentationen erforderlich. Die 63 Bausteine für die RollLaden GmbH umfassen ca. 200 Dokumente und Dokumentationen. Der Aufbau der Dokumente und Dokumentationen muss formal korrekt und teilweise, wie z. B. bei der Sicherheitsrichtlinie für Mitarbeiter, juristisch belastbar sein. Hierzu ist es sinnvoll, wenn die RollLaden GmbH auf Musterformulare zugreifen kann bzw. Unterstützung beim Entwurf der IT-Sicherheitsrichtlinien durch Spezialsoftware zur Unternehmensrichtlinienerstellung erhält. In jedem Fall ist Fremdhilfe erforderlich.
Zu den erforderlichen Dokumenten zählen u.a.:
Dokumentationen sind Prüfberichte oder Prüfprotokolle wie z.B. Checkhefte der einzelnen IT-Systeme.
Durch Netzwerksegmentierung und Abgrenzung mit Firewalls kann eine sichere Netzwerkstruktur erzielt werden. Für die RollLaden GmbH sollten folgende Netzwerksegmente vorhanden sein: Stationäre Endgeräte, mobile Endgeräte, Server, Produktion, DMZ (für gewünschten Fernzugriff) und VoIP. Der Übergang des Firmennetzes zum Internet ist besonders zu schützen (Perimeterschutz). Hier sollte die RollLaden GmbH durch ein Sicherheitsgateway abgesichert werden.
Diese entsprechenden Schutzmaßnahmen wurden bei der RollLaden GmbH bisher noch nicht umgesetzt.
Dieser Punkt ist sicherlich am umfangreichsten und zeitaufwendigsten. Die in den 63 ausgewählten Bausteinen definierten Anforderungen sind umzusetzen. Hierbei sind alle Basisanforderungen und teilweise auch Standardanforderungen zu erfüllen.
Der IT-Grundschutz definiert Anforderungen, die manchmal auch als Maßnahmen beschrieben werden. Konkrete Handlungsanweisungen zur Erfüllung der Anforderungen werden nicht gegeben. Daher ist es schwierig, für die RollLaden GmbH zu entscheiden, wann eine Anforderung erfüllt ist.
Bei der Umsetzung sollte auf Anforderungslisten (Prüflisten) vom BSI oder Spezial-IT-Grundschutz-Software zur Bausteinbearbeitung, zurückgegriffen werden.
Die Überprüfung der Umsetzung der einzelnen Bausteinanforderungen kann über Checklisten, die konkrete Maßnahmen definieren, erfolgen. Hierfür eignet sich z. B. die 60-seitige KDH-Checkliste.
Die Informationssicherheit bei der RollLaden GmbH lässt sich auch nach Sicherheit-Standards überprüfen und zertifizieren. Hierzu eignet sich das "Testat nach der Basis-Absicherung gemäß IT-Grundschutz" vom BSI, das sich in vereinfachter Aufbereitung über den "E-Check-IT" wiederfindet.
Zur Entwicklung und Implementierung von Informationssicherheit bei der RollLaden GmbH sind das BSI "IT-Grundschutz-Kompendium" sowie die "Umsetzungshinweise IT-Grundschutz-Kompendium" maßgeblich.
Zur Unterstützung kann der vom KDH entwickelte "Routenplaner" als Leitfaden verwendet werden. Dieser gibt weitere Hinweise bei der Bearbeitung der einzelnen Bausteine. Im Detail wird immer auf das "IT-Grundschutz-Kompendium" und die "Umsetzungshinweise IT-Grundschutz-Kompendium" verlinkt. Beim Einsatz des "Routenplaners" gilt zu bedenken, dass zurzeit noch der Bausteinstand von 2019 erfasst ist und dadurch im Moment noch nicht der aktuelle Bausteinkatalog mit den Änderungen berücksichtigt wird.
|
|
Zurück zu Weg zum Ziel |
