Externer IT-Sicherheitsbeauftragter

KRITIS-Betreiber
Alle Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) sind verpflichtet, ein IT-Security-Management-System (ISMS) im Unternehmen aufzubauen und nach der Norm aufrecht zu erhalten. Regelungen dazu finden sich im IT-Sicherheitsgesetz 2.0. Auch Unternehmen, die keine KRITIS-Betreiber sind, sind gefordert, über entsprechende Zertifizierungen im Qualitätsmanagement (ISO 9001) und der IT-Sicherheit (ISO 27001, BSI-Grundschutz, VdS10000) belastbare Nachweise zur Absicherung ihrer TK- und IT-Ressourcen gegenüber deren Kunden zu dokumentieren. Anbieter von IT-Services, z. B. Rechenzentrumsbetreiber, Cloud-Anbieter, etc. werden zunehmend von ihren Kunden auditiert bzw. werden aufgefordert, für die vom Kunden genutzten IT-Ressourcen des IT-Service-Anbieters aktuelle Zertifikate eines belastbaren Zertifizierers vorzulegen.

IT-Sicherheitsbeauftragter (ISB)
Die Bestellung eines IT-Sicherheitsbeauftragten (ISB) ist eine wichtige Voraussetzung zum Aufbau und zur Pflege eines ISMS, da diese Aufgaben durch den ISB erfüllt werden müssen. Die Hauptfunktion des IT-Sicherheitsbeauftragten liegt darin, die Unternehmensleitung bei der Wahrnehmung ihrer Aufgaben hinsichtlich der IT-Sicherheit zu beraten, bei der Einführung und Umsetzung von neuen Sicherheitsprozessen zu unterstützen, sowie die Mitarbeiter für IT-Sicherheit zu sensibilisieren.

IT-Sicherheitsmanagementsystem (ISMS)
Ein IT-Sicherheitsmanagementsystem (ISMS) sollte softwaregestützt aufgebaut werden. Am Markt werden verschiedene Softwareprodukte, z. B. verinice, fuentis, etc. zum Aufbau eines ISMS angeboten. Zunächst müssen die Assets (Werte) des Unternehmens in einer Inventarliste (Inventory) erfasst werden. Werte des Unternehmens können sehr vielfältig sein, z. B. nicht nur Werte aus der Inventarliste, sondern auch andere Werte des Unternehmens, wie z. B. Reputation eines Unternehmens, Geschäftsprozesse, eine besondere Kundenbeziehung, eine Technologie, Know-How, Erfahrung der Mitarbeiter, Forschungsergebnisse, etc.

Nach der Erfassung der kritischen und unkritischen IT-Systeme und IT-Ressourcen in einem softwaregestützten ISMS müssen die für die jeweilige Norm erforderlichen Maßnahmen-Bausteine in die verwendete ISMS-Software importiert werden. Die Maßnahmen aus den Bausteinen der Norm, sog. CONTROLS und die Gefährdungen werden dann mit den erfassten IT-Systemen bzw. IT-Ressourcen verknüpft. Im ISMS wird weiterhin das Risikomanagement (Risk-Management) abgebildet.

Risikomanagement (Risk-Management)
Das Risikomanagement ist ein übergreifender und wichtiger Prozess im ISMS. Durch das Risikomanagement müssen wesentliche Risiken systematisch erfasst, bewertet und transparent dargestellt werden. Ziele des Risikomanagements sind das frühzeitige Erkennen und Beheben von Informationssicherheitsrisiken, die Schaffung einheitlicher Bewertungsmethoden für die identifizierten Risiken, die eindeutige Zuweisung von Verantwortlichkeiten beim Umgang mit Risiken, eine standardisierte und übersichtliche Dokumentation von Risiken, einschließlich der Bewertung der Risiken und die effektive Behandlung von Risiken. Um ein effizientes Risikomanagement umzusetzen, muss ein Unternehmen einschätzen, welche Risikofelder für das Unternehmen vorhanden sind. Dies kann z. B. durch die Erstellung einer Prozesslandkarte erfolgen. Außerdem müssen die identifizierten Risiken einem Risikobeurteilungsprozess unterzogen werden. Hierzu kann als Anregung die ISO 27005 dienen. Neben dem Hauptteil geben auch die Anlagen gute Hinweise zur Umsetzung. Der Risikobeurteilungsprozess beinhaltet die Methoden zur Risikoidentifikation, die Kriterien zur Beurteilung von Risiken und die Risikoakzeptanzkriterien. Zur Risikoidentifikation können verschiedene Werkzeuge und Techniken verwendet werden z. B. Interviews, Szenarioanalysen, Brainstorming, Business Impact Analysen, Checklisten, etc. Bei der Definition von Kriterien zur Beurteilung von IT-Sicherheitsrisiken sollen diese schriftlich formulierten Kriterien für eine möglichst große Variation von Risikotypen/ Risikokategorien verwendet werden können. Es können hier die Verletzung der Schutzziele der Vertraulichkeit, der Integrität und der Verfügbarkeit herangezogen werden.

Leistungsindikatoren/Key-Performance-Indikatoren
Leistungsindikatoren/Key-Performance-Indikatoren werden eingesetzt, um die Effektivität (Wirksamkeit) und die Effizienz (Wirtschaftlichkeit) des ISMS und dessen Maßnahmen (Controls) kontinuierlich zu überprüfen. Die Ist-Situation des ISMS soll mit dessen Vorgaben zur Soll-Situation abgeglichen werden. Die zu bestimmenden Leistungsindikatoren werden in Bezug auf die Unternehmensziele, gesetzliche Vorgaben und Schutzbedürfnisse zusammengefasst. Die aggregierten Leistungsindikatoren werden Key-Performance-Indikatoren (KPI) genannt. Der Nutzen dieser KPI liegt darin, grundlegende Aussagen über das Schutzsystem treffen zu können. Die KPI stellen für das Management eine verständliche Grundlage dafür dar, Entscheidungen zur Steuerung der Informationssicherheit treffen zu können. Mittels KPI können Anzeichen für neue Risiken, Veränderungen innerhalb der Risikolandschaft und Nicht-Konformitäten in Bezug auf die Umsetzung von Sicherheitsvorgaben und Richtlinien aufgedeckt werden.

Dokumentation
Zentrale Anforderung an die Dokumentation innerhalb eines ISMS ist der Workflow der Dokumente. Dies bedeutet, dass die Erstellung, Aktualisierung, Genehmigung und Veröffentlichung von Dokumenten einem definierten Verfahren folgen muss. Alle Dokumente müssen zur Unterstützung der Lenkung der Dokumente innerhalb eines Dokumenten-Workflows eine eindeutige Kennzeichnung haben. Die Kennzeichnung muss Titel, Datum, Autor, Version, Ablage, angemessene Eignungs- und Tauglichkeitsprüfung des Dokuments (QS) und Freigabe enthalten. Weiterhin müssen alle von der Norm geforderten Dokumente bzw. deren Inhalte bezüglich der Vertraulichkeit klassifiziert werden. Zusätzlich müssen zusätzliche Dokumente mit ausreichenden und inhaltlich relevanten Aufzeichnungen zu den operativen Tätigkeiten erstellt werden. Die Dokumentation innerhalb des ISMS muss ständig fortgeschrieben und auf Aktualität geprüft werden. Die Lenkung von Dokumenten des ISMS kann durch eine Dokumenten-Richtlinie unterstützt werden. Weiterhin müssen die ISMS-Dokumente einem regelmäßigen Review unterzogen und aktualisiert werden. Die Lenkung der Dokumente bezüglich Dokumenteneigentümer, Freigabe der Dokumente und deren Ablageorte muss klar definiert sein und die Vorgaben an die Dokumentenlenkung im Unternehmen gelebt und eingehalten werden.

Die Norm ISO 27001 fordert für die Etablierung eines belastbaren ISMS folgende Dokumente:

  • Geltungsbereich des ISMS (Scope of the ISMS)
  • Informationssicherheitsleitlinie
  • Beschreibung des Risikobeurteilungsprozesses
  • Beschreibung des Risikobehandlungsprozesses
  • Erklärung zur Anwendbarkeit (Statement of Applicability)
  • Risikobehandlungsplan
  • Sicherheitsziele
  • Kompetenznachweise
  • Nachweise zur korrekten Ausführung der ISMS-Prozesse
  • Ergebnisse der Risikobeurteilung
  • Ergebnisse der Risikobehandlungen
  • Nachweis von Kontrolle und Leistungsmessung des ISMS
  • Nachweis über die Durchführung von Audits und deren Resultate
  • Nachweis über Ergebnisse von Management-Reviews
  • Festgestellte Abweichungen von ISMS-Vorgaben, sowie Maßnahmen zur Behebung
  • Nachweis über Resultate von Korrekturmaßnahmen

Wir können Sie im Rahmen der Übernahme der Funktion des externen IT-Sicherheitsbeauftragten/ IT-Sicherheitsberaters und dem Aufbau und der Pflege eines IT-Sicherheitsmanagementsystems (ISMS) unterstützen. Rechtsanwalt Costard ist TÜV-zertifizierter IT-Sicherheitsbeauftragter, IT-Security-Manager, IT-Security-Auditor und BSI-Grundschutz/ISO 27001-Experte.

Leistungen der Kanzlei
Zu den Leistungen der Kanzlei zählen insbesondere:

  • Übernahme der Funktion des externen IT-Sicherheitsbeauftragten (ISB)
  • Beratung des internen IT-Sicherheitsbeauftragten (IT-Sicherheitsberater)
  • Aufbau eines softwaregestützten IT-Sicherheitsmanagementsystems (ISMS)
  • Unterstützung bei der Erstellung der nach der Norm geforderten Dokumente
  • Strukturierung der Dokumente zur IT-Sicherheit
  • Unterstützung bei der Erstellung von Schulungsplänen zur IT-Sicherheit
  • Beratung bei der Umsetzung des Risikobeurteilungsprozesses
  • Beratung bei der Umsetzung des Risikobehandlungsprozesses
  • Unterstützung bei der Erstellung einer Dokumentation zur Messstruktur für alle eingesetzten KPI
  • Unterstützung bei der Erstellung von Richtlinien für Lieferanten
  • Erstellung der Vereinbarung vertraglicher Regelungen mit Lieferanten
  • Beratung bei der Umsetzung des Prozesses zur kontinuierlichen Verbesserung (KVP)
  • Beratung bei der Umsetzung von Compliance-Anforderungen im Unternehmen
  • Unterstützung bei der Planung und Durchführung von internen Audits
  • Unterstützung von Zertifizierungsaudits
  • Unterstützung bei der Schließung von Haupt- und Nebenabweichungen
  • Begleitung von Audits von Zertifizierungsstellen (TÜV, DEKRA, etc.)
  • Unterstützung bei der Erstellung eines Incident Response Plans (IRP)
  • Beratung bei schriftlichen Vorgaben zu Verhaltensregeln für die Beschäftigten bei sicherheitsrelevanten Unregelmäßigkeiten
  • Unterstützung bei der Erstellung von Prozessbeschreibungen und Arbeitsanweisungen für die Sicherung von Beweisen für die Beschäftigten
  • Unterstützung bei der Erstellung des Tätigkeitsberichts des IT-Sicherheitsbeauftragten
  • Erstellung der technisch-organisatorischen Maßnahmen im Datenschutz (DS-GVO, BDSG, KDG, KDG-DVO, DSG-EKD)