Grünendahl / Steinbacher / Will Das IT-Gesetz: Compliance in der IT-Sicherheit

1;Das IT-Gesetz: ­Compliance in der IT-Sicherheit;4
1.1;Leitfaden für ein Regelwerk zur IT-­Sicherheit im Unternehmen;4
1.2;Impressum;5
1.3;Vorwort der 2. Auflage;6
1.4;Vorwort der 1. Auflage;8
1.5;Die Autoren;9
1.6;Danksagung;10
1.7;Inhaltsverzeichnis;11
2;1: Einleitung;15
2.1;1.1 Gesetzliche und regulatorische Vorgaben;16
3;2: Bedeutung der IT-Sicherheit in Unternehmen;19
4;3: COBIT und BSI als Leitschnur der IT-Sicherheit;26
5;4: ‚Grundgesetz‘ der IT-Sicherheit;32
5.1;4.1 Regelungsziele nach COBIT;33
5.1.1;4.1.1 Planung und Organisation;33
5.1.2;4.1.2 Monitoring;36
5.2;4.2 Vorschlag für eine IT-Sicherheitspolicy;37
5.2.1;4.2.1 Vorbemerkung und Einführung;37
5.2.1.1;4.2.1.1 Zweck;37
5.2.1.2;4.2.1.2 Gegenstand und Umfang;38
5.2.1.3;4.2.1.3 Verantwortlichkeiten für diese Richtlinie;38
5.2.2;4.2.2 Übergeordnete Aspekte;38
5.2.2.1;4.2.2.1 IT-Sicherheitsmanagement;38
5.2.2.1.1;Aufbau, Struktur und Ablauf des IT-Sicherheitsmanagements;38
5.2.2.2;4.2.2.2 Organisation;39
5.2.2.2.1;Zutrittsberechtigungen, Zugangsberechtigungen und Zugriffsrechte;39
5.2.2.3;4.2.2.3 Rollen und Verantwortlichkeitn;40
5.2.2.3.1;Verantwortliche und Rollenbeschreibung;41
5.2.2.3.2;Verantwortlichkeit von Eigentümern (Owner) & Betreuer (Custodian);41
5.2.2.3.3;Vertraulichkeitsvereinbarung;42
5.2.2.4;4.2.2.4 Continuity-Konzept;42
5.2.2.4.1;Grundlegende Prinzipien;42
5.2.2.5;4.2.2.5 Datensicherungskonzept;43
5.2.2.5.1;Unternehmenskontinuitätsplanung/Aufrechterhaltungsplanung;43
5.2.2.6;4.2.2.6 Datenschutz;44
5.2.2.7;4.2.2.7 Computer-Viren-Schutzkonzept;44
5.2.2.8;4.2.2.8 Kryptokonzept;44
5.2.2.8.1;Systemvertraulichkeit;44
5.2.2.9;4.2.2.9 Behandlung von Sicherheitsvorfällen;44
5.2.2.9.1;Verhalten im Störfall;44
5.2.2.9.2;Systemintegrität;45
5.2.2.10;4.2.2.10 Hard- und Software-Management;45
5.2.2.10.1;Grundlegende Prinzipien;45
5.2.2.10.2;Vereinbarungen mit Dritten, die mit Daten des Unternehmens umgehen;46
5.2.2.11;4.2.2.11 Standardsoftware;46
5.2.2.11.1;Planung und Konzeption;46
5.2.2.11.2;Beschaffung;47
5.2.2.11.3;Umsetzung;47
5.2.2.11.4;Betrieb;47
5.2.2.11.5;Aussonderung;47
5.2.2.12;4.2.2.12 Patch- und Änderungsmanagement;47
5.2.2.12.1;Planung des Patch- und Änderungsmanagement-Prozesses;47
5.2.2.12.2;Festlegung der Verantwortlichkeiten für das Patch- und Änderungsmanagement;48
5.2.2.12.3;Sicherheitsrichtlinie zum Einsatz von Patch- und Änderungsmanagement-Werkzeugen;48
5.2.2.13;4.2.2.13 Outsourcing;48
5.2.2.14;4.2.2.14 Archivierung;48
5.2.2.15;4.2.2.15 IT-Sicherheitssensibilisierung und -schulung;49
5.2.3;4.2.3 Infrastruktur;49
5.2.3.1;4.2.3.1 Gebäude;49
5.2.3.2;4.2.3.2 Bauliche Zugangskontrolle;49
5.2.3.3;4.2.3.3 Umgang mit Besuchern;49
5.2.3.4;4.2.3.4 Büroraum;49
5.2.3.5;4.2.3.5 Technische Räume;50
5.2.3.5.1;Server Raum;50
5.2.3.5.2;Computerraum;50
5.2.3.6;4.2.3.6 Mobiler Arbeitsplatz;50
5.2.4;4.2.4 IT-Systeme;51
5.2.4.1;4.2.4.1 Allgemeine Regelungen;51
5.2.4.1.1;Sichere Entsorgung von Equipment;51
5.2.4.2;4.2.4.2 User Account-Administration;51
5.2.4.2.1;Erstellung neuer User IDs;51
5.2.4.2.2;Kennwortübergabe;51
5.2.4.2.3;Nutzung für Externe;51
5.2.4.3;4.2.4.3 Kennwort-Management;52
5.2.4.3.1;Kennwortkonventionen;52
5.2.4.3.2;Individuelle Accounts;52
5.2.4.3.3;Entfernung von User-Accounts;52
5.2.4.3.4;Server;53
5.2.4.4;4.2.4.4 Laptop;53
5.2.4.5;4.2.4.5 Clients;53
5.2.4.6;4.2.4.6 Sicherheitsgateway (Firewall);53
5.2.4.7;4.2.4.7 Verzeichnisdienst;54
5.2.4.8;4.2.4.8 VPN;54
5.2.4.9;4.2.4.9 Router und Switches;55
5.2.4.10;4.2.4.10 Kommunikationseinrichtungen;55
5.2.4.10.1;TK-Anlage;55
5.2.4.10.2;Mobiltelefon;55
5.2.5;4.2.5 Netze;55
5.2.5.1;4.2.5.1 Heterogene Netze;55
5.2.5.2;4.2.5.2 Netz- und Systemmanagement;55
5.2.5.2.1;Verletzlichkeitseinstufung;56
5.2.5.2.2;Zugriffs- und Datenflusskontrollsysteme;56
5.2.5.2.3;Herstellung von Netzwerkverbindungen;56
5.2.5.2.4;Ungesicherte Netzwerkverbindungen;56
5.2.5.2.5;Standard-Netzwerk-Sicherheitsmaßnahmen;57
5.2.5.3;4.2.5.3 Modem;57
5.2.5.4;4.2.5.4 Remote Access;57
5.2.5.4.1;LAN-Anbindung eines IT-Systems über ISDN;58
5.2.6;4.2.6 IT-Anwendungen;58
5.2.6.1;4.2.6.1 System-/Anwendungsentwicklung und -inbetriebnahme;58
5.2.6.2;4.2.6.2 System Logging;59
5.2.6.3;4.2.6.3 Systemzugriff;59
5.2.6.4;4.2.6.4 Peer-to-Peer-Dienste;60
5.2.6.4.1;Austausch von Informationen und Ressourcen über Peer-to-Peer-Dienste;60
5.2.6.5;4.2.6.5 Datenträgeraustausch;60
5.2.6.6;4.2.6.6 E-Mail;61
5.2.6.7;4.2.6.7 Webserver;61
5.2.6.8;4.2.6.8 Faxserver;61
5.2.6.9;4.2.6.9 Datenbanken;62
6;5: Schutz von Daten;63
6.1;5.1 Regelungsziele nach COBIT;64
6.1.1;5.1.1 Planung und Organisation;64
6.1.2;5.1.2 Delivery & Support;65
6.1.3;5.1.3 Monitoring;66
6.2;5.2 Vorschlag für eine Datenschutzrichtlinie;67
6.2.1;5.2.1 Geltungsbereich;67
6.2.2;5.2.2 Begriffsbestimmung und Eingrenzung;67
6.2.3;5.2.3 Ziele des Datenschutzes im Unternehmen;68
6.2.4;5.2.4 Verankerung des Datenschutzes in der Organisation;68
6.2.4.1;5.2.4.1 Geschäftsleitung;68
6.2.4.2;5.2.4.2 Datenschutzbeauftragter;69
6.2.4.3;5.2.4.3 Führungskräfte und Fachverantwortliche;69
6.2.4.4;5.2.4.4 Mitarbeiter;70
6.2.5;5.2.5 Grundsätze des Datenschutzes;70
6.2.5.1;5.2.5.1 Datenverarbeitung;70
6.2.5.2;5.2.5.2 Datenerhebung;71
6.2.5.3;5.2.5.3 Datenübermittlung;71
6.2.5.4;5.2.5.4 Verpflichtung auf den Datenschutz und das Datengeheimnis;71
6.2.5.5;5.2.5.5 Rechte der Betroffenen;72
6.2.5.6;5.2.5.6 Datenverarbeitung im Auftrag;72
6.2.5.7;5.2.5.7 Sicherheitsmaßnahmen;72
6.2.5.8;5.2.5.8 Einführung, Betrieb und Änderung von Verfahren;72
6.3;5.3 Vorschlag für eine Richtlinie zum Schutz von Unternehmensdaten;73
6.3.1;5.3.1 Datenschutz;73
6.3.1.1;5.3.1.1 Regelung der Verantwortlichkeiten im Bereich Datenschutz;73
6.3.1.2;5.3.1.2 Aspekte eines Datenschutzkonzeptes;73
6.3.1.3;5.3.1.3 Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle bei der Verarbeitung personenbezogener Daten;74
6.3.1.4;5.3.1.4 Festlegung von technisch-organisatorischen Maßnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten;74
6.3.1.5;5.3.1.5 Verpflichtung/Unterrichtung der Mitarbeiter bei der Verarbeitung personenbezogener Daten;75
6.3.1.6;5.3.1.6 Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei der Verarbeitung personenbezogener Daten;75
6.3.1.7;5.3.1.7 Führung von Verfahrensverzeichnissen und Erfüllung der Meldepflichten bei der Verarbeitung personenbezogener Daten;76
6.3.1.8;5.3.1.8 Datenschutzrechtliche Freigabe;76
6.3.1.9;5.3.1.9 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personenbezogener Daten;76
6.3.1.10;5.3.1.10 Aufrechterhaltung des Datenschutzes im laufenden Betrieb;76
6.3.1.11;5.3.1.11 Datenschutzgerechte Löschung/Vernichtung;76
6.3.2;5.3.2 Authentikation;76
6.3.2.1;5.3.2.1 Geeignete Auswahl von Authentikationsmechanismen;76
6.3.2.2;5.3.2.2 Administration der Authentikationsdaten;77
6.3.2.3;5.3.2.3 Schutz der Authentikationsdaten gegen Veränderung;77
6.3.2.4;5.3.2.4 Systemunterstützung;77
6.3.2.5;5.3.2.5 Fehlerbehandlung bei der Authentikation;77
6.3.2.6;5.3.2.6 Administration der Benutzerdaten;78
6.3.2.7;5.3.2.7 Definition der Benutzereinträge;78
6.3.2.8;5.3.2.8 Passwortgüte;78
6.3.2.9;5.3.2.9 Anforderungen an Authentikationsmechanismen für Benutzer;78
6.3.2.10;5.3.2.10 Protokollierung der Authentisierungsmechanismen;78
6.3.3;5.3.3 Verschlüsselung;79
6.3.3.1;5.3.3.1 Entwicklung eines Kryptokonzepts;79
6.3.3.1.1;Einsatz von Verschlüsselung, Checksummen oder digitalen Signaturen;79
6.3.3.1.2;Geeignetes Schlüsselmanagement;80
6.3.3.1.3;Schlüsselerzeugung;80
6.3.3.1.4;Schlüsseltrennung;80
6.3.3.1.5;Schlüsselverteilung/Schlüsselaustausch;80
6.3.3.1.6;Schlüsselinstallation und -speicherung;81
6.3.3.1.7;Schlüsselarchivierung;81
6.3.3.1.8;Zugriffs- und Vertreterregelung;82
6.3.3.1.9;Schlüsselvernichtung;82
6.3.4;5.3.4 Datensicherung und Archivierung;82
6.3.4.1;5.3.4.1 Verpflichtung der Mitarbeiter zur Datensicherung;82
6.3.4.2;5.3.4.2 Regelung des Datenträgeraustausches;82
6.3.4.3;5.3.4.3 Beschaffung eines geeigneten Datensicherungssystems;83
6.3.4.4;5.3.4.4 Regelmäßige Funktions- und Recoverytests bei der Archivierung;84
6.3.4.5;5.3.4.5 Erstellung eines Datensicherungsplans;85
6.3.4.6;5.3.4.6 Regelung der Vorgehensweise für die Löschung oder Vernichtung von Informationen;85
6.3.4.6.1;Richtlinie für die Löschung und Vernichtung von Informationen;85
6.3.4.6.2;Vernichtung von Datenträgern durch externe Dienstleister;86
6.3.4.6.3;Erstellung von Datensicherungen für Verzeichnisdienste;86
6.3.4.6.4;Datensicherung für Domänen-Controller;86
6.4;5.4 Hinweise für ein Datensicherungskonzept;87
6.4.1;5.4.1 Definitionen;87
6.4.2;5.4.2 Gefährdungslage;87
6.4.3;5.4.3 Regelungsbedarfe je IT-System;87
6.4.3.1;5.4.3.1 Spezifikation der zu sichernden Daten;87
6.4.3.2;5.4.3.2 Verfügbarkeitsanforderungen;88
6.4.3.3;5.4.3.3 Rekonstruktionsaufwand;88
6.4.3.4;5.4.3.4 Datenvolumen;88
6.4.3.5;5.4.3.5 Änderungsvolumen;88
6.4.3.6;5.4.3.6 Änderungszeitpunkte der Daten;88
6.4.3.7;5.4.3.7 Fristen;88
6.4.3.8;5.4.3.8 Vertraulichkeitsbedarf;89
6.4.3.9;5.4.3.9 Integritätsbedarf der Daten;89
6.4.3.10;5.4.3.10 Häufigkeit des Datenverlustes;89
6.4.3.11;5.4.3.11 Fähigkeiten der IT-Benutzer;89
6.4.4;5.4.4 Datensicherungsplan je IT-System;89
6.4.4.1;5.4.4.1 Festlegungen je Datenart;89
6.4.4.2;5.4.4.2 Festlegung je System;90
6.4.4.3;5.4.4.3 Festlegung der Vorgehensweise bei der Datenrestaurierung;90
6.4.4.4;5.4.4.4 Randbedingungen für das Datensicherungsarchiv;90
6.4.4.5;5.4.4.5 Vorhalten von arbeitsfähigen Lesegeräten;90
6.4.4.6;5.4.4.6 Wiederherstellungsplan;90
6.4.5;5.4.5 Minimaldatensicherungskonzept;90
6.4.6;5.4.6 Verpflichtung der Mitarbeiter zur Datensicherung;90
6.4.7;5.4.7 Sporadische Restaurierungsübungen;91
7;6: Sicherheitsmanagement;92
7.1;6.1 Regelungsziele nach COBIT;92
7.1.1;6.1.1 Prozess und Organisation;93
7.1.2;6.1.2 Akquisition und Implementierung;97
7.1.3;6.1.3 Delivery & Support;97
7.1.4;6.1.4 Monitoring;100
7.2;6.2 Vorschlag für eine Richtlinie zum Sicherheitsmanagement;101
7.2.1;6.2.1 Vorbemerkung und Einführung;102
7.2.2;6.2.2 Rollen und Verantwortlichkeiten;103
7.2.2.1;6.2.2.1 Verantwortlichkeiten des Managements;103
7.2.2.1.1;Übernahme der Gesamtverantwortung für IT-Sicherheit;103
7.2.2.1.2;IT-Sicherheit integrieren;103
7.2.2.1.3;IT-Sicherheit steuern und aufrecht erhalten;103
7.2.2.1.4;Erreichbare Sicherheitsziele setzen;104
7.2.2.1.5;IT-Sicherheitskosten gegen Nutzen abwägen;104
7.2.2.1.6;Vorbildfunktion;104
7.2.2.2;6.2.2.2 Verantwortlichkeiten des IT-Sicherheitsbeauftragten;104
7.2.3;6.2.3 Änderungsmanagement;105
7.2.3.1;6.2.3.1 Abstimmung von Änderungsanforderungen;105
7.2.3.2;6.2.3.2 Konzeption und Organisation des Anforderungsmanagements;105
7.2.4;6.2.4 Notfallmanagement;106
7.2.4.1;6.2.4.1 Qualifizieren und Bewerten von Sicherheitsvorfällen;106
7.2.4.2;6.2.4.2 Dokumentation von Sicherheitsvorfällen;106
7.2.4.3;6.2.4.3 Treuhänderische Hinterlegung (Escrow);106
7.2.5;6.2.5 IT-Sicherheitsziele des Unternehmens;107
7.2.5.1;6.2.5.1 Schutz von IT-Anwendungen, Systemen, Räumen und Kommunikation entsprechend dem jeweiligen Schutzbedarf;107
7.2.5.2;6.2.5.2 Schutzbedarfsfeststellung für Vertraulichkeit, Integrität und Verfügbarkeit von schutzrelevanten Daten;107
7.2.5.3;6.2.5.3 Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung;107
7.2.6;6.2.6 IT-Sicherheitskonzept des Unternehmens;108
7.2.7;6.2.7 Sicherheitsmanagement-Prozess des Unternehmens;111
7.2.8;6.2.8 IT-Strukturanalyse;111
7.2.8.1;6.2.8.1 Dokumentation der Systemkonfiguration;113
7.2.8.2;6.2.8.2 Dokumentation der zugelassenen Benutzer und Rechteprofile;114
7.2.9;6.2.9 Schutzbedarfsfeststellung;114
7.2.9.1;6.2.9.1 Analyse der aktuellen Netzsituation;114
7.2.9.2;6.2.9.2 Detaillierte Schutzbedarfsfeststellung;115
7.2.9.3;6.2.9.3 Analyse von Schwachstellen im Netz;115
7.2.10;6.2.10 Sicherheitsanalyse und Formulierung zielführender Sicherheitsmaßnahmen;119
7.2.11;6.2.11 IT-Sicherheitsreporting an das Management;120
7.2.12;6.2.12 Verhaltensweisen zu Sicherheitsvorfällen;120
8;7: IT-Betrieb;121
8.1;7.1 Regelungsziele nach COBIT;121
8.1.1;7.1.1 Planung & Organisation;122
8.1.2;7.1.2 Akquisition & Implementierung;127
8.1.3;7.1.3 Delivery & Support;129
8.1.4;7.1.4 Monitoring;134
8.2;7.2 Vorschlag für eine Richtlinie zum sicheren IT-Betrieb;134
8.2.1;7.2.1 Vorbemerkung und Einführung;134
8.2.2;7.2.2 Gebäudesicherheit;135
8.2.2.1;7.2.2.1 Klimatisierung;135
8.2.2.2;7.2.2.2 Lokale und zentrale unterbrechungsfreie Stromversorgung;136
8.2.2.3;7.2.2.3 Brandmeldeanlage;136
8.2.2.4;7.2.2.4 Videoüberwachung;137
8.2.2.5;7.2.2.5 Geeignete Aufstellung von Archivsystemen;137
8.2.2.6;7.2.2.6 Brandschutz von Patchfeldern;137
8.2.2.7;7.2.2.7 Schlüsselverwaltung;138
8.2.2.8;7.2.2.8 Brandschutzbegehungen;138
8.2.2.9;7.2.2.9 Rauchverbot;139
8.2.2.10;7.2.2.10 Beschaffung geeigneter Schutzschränke;139
8.2.2.11;7.2.2.11 Funktionstests der technischen Infrastruktur;139
8.2.2.12;7.2.2.12 Einführung in die Bedrohung durch Schadprogramme;140
8.2.3;7.2.3 Organisation und Governance;140
8.2.3.1;7.2.3.1 Festlegung von Verantwortlichkeiten und Regelungen für den IT-Einsatz;140
8.2.3.2;7.2.3.2 Aufgabenverteilung und Funktionstrennung;141
8.2.3.3;7.2.3.3 Ernennung eines Administrators und eines Vertreters;142
8.2.3.4;7.2.3.4 Aufteilung der Administrationstätigkeiten unter Unix;142
8.2.3.5;7.2.3.5 Aufteilung der Administrationstätigkeiten;142
8.2.3.6;7.2.3.6 Einrichtung einer Poststelle;143
8.2.3.7;7.2.3.7 Aufteilung von Administrationstätigkeiten bei Datenbanksystemen;143
8.2.3.8;7.2.3.8 Konzeption des IT-Betriebs;144
8.2.3.8.1;Konventionen für Namens-, Adress- und Nummernräume;145
8.2.3.9;7.2.3.9 Vertretungsregelungen;146
8.2.3.10;7.2.3.10 Vertraulichkeitsvereinbarungen;146
8.2.3.11;7.2.3.11 Auswahl eines vertrauenswürdigen Administrators und Vertreters;147
8.2.3.12;7.2.3.12 Netzverwaltung;147
8.2.3.13;7.2.3.13 Einrichtung eines zusätzlichen Netzadministrators;147
8.2.3.14;7.2.3.14 Umgang mit Änderungsanforderungen;148
8.2.3.15;7.2.3.15 Konfiguration von Autoupdate-Mechanismen beim Patch- und Änderungsmanagement;148
8.2.4;7.2.4 Regelungen zu Zutritt, Zugang, Zugriff;148
8.2.4.1;7.2.4.1 Vergabe von Zutrittsberechtigungen;148
8.2.4.2;7.2.4.2 Schutz eines Rechenzentrums gegen unbefugten Zutritt;149
8.2.4.3;7.2.4.3 Vergabe von Zugangsberechtigungen;149
8.2.4.4;7.2.4.4 Vergabe von Zugriffsrechten;149
8.2.4.5;7.2.4.5 Regelung des Passwortgebrauchs;150
8.2.4.6;7.2.4.6 Zutrittsregelung und -kontrolle;152
8.2.4.7;7.2.4.7 Hinterlegen des Passwortes;152
8.2.4.8;7.2.4.8 Regelung für die Einrichtung von Benutzern/Benutzergruppen;153
8.2.4.9;7.2.4.9 Einrichtung einer eingeschränkten Benutzerumgebung;154
8.2.4.10;7.2.4.10 Einrichten der Zugriffsrechte;154
8.2.4.11;7.2.4.11 Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System;154
8.2.4.12;7.2.4.12 Regelung für die Einrichtung von Datenbankbenutzern/-benutzergruppen;154
8.2.4.13;7.2.4.13 Richtlinien für die Zugriffs- bzw. Zugangskontrolle;155
8.2.4.14;7.2.4.14 Passwortschutz für IT-Systeme;156
8.2.4.15;7.2.4.15 Planung von SAP-Berechtigungen;156
8.2.4.16;7.2.4.16 Absicherung eines SAP-Systems im Portal-Szenario;157
8.2.4.17;7.2.4.17 Zugangsbeschränkungen für Accounts und/oder Terminals;157
8.2.4.18;7.2.4.18 Sicherstellung einer konsistenten Systemverwaltung;158
8.2.4.19;7.2.4.19 Restriktive Vergabe von Zugriffsrechten auf Systemdateien;158
8.2.4.20;7.2.4.20 Restriktive Rechtevergabe;159
8.2.4.21;7.2.4.21 Authentisierung bei Druckern, Kopierern und Multifunktionsgeräten;159
8.2.4.22;7.2.4.22 Informationsschutz bei Druckern, Kopierern und Multifunktionsgeräten;159
8.2.5;7.2.5 Hardware- und Softwareeinsatz;160
8.2.5.1;7.2.5.1 Nutzungsverbot nicht freigegebener Hard- und Software;160
8.2.5.2;7.2.5.2 Überprüfung des Hard- und Software-Bestandes;160
8.2.5.3;7.2.5.3 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln;161
8.2.5.4;7.2.5.4 Planung des Einsatzes eines WLANs;161
8.2.5.5;7.2.5.5 Sicherstellen der Integrität von Standardsoftware;162
8.2.5.6;7.2.5.6 Installation und Konfiguration von Standardsoftware;162
8.2.5.7;7.2.5.7 Lizenzverwaltung und Versionskontrolle von Standardsoftware;163
8.2.5.8;7.2.5.8 Sicheres Löschen von Datenträgern;163
8.2.5.9;7.2.5.9 Überblick über Methoden zur Löschung und Vernichtung von Daten;163
8.2.5.10;7.2.5.10 Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten;163
8.2.5.11;7.2.5.11 Einweisung aller Mitarbeiter über Methoden zur Löschung oder Vernichtung von Daten;164
8.2.5.12;7.2.5.12 Schutz vor unerwünschten Informationsabflüssen;164
8.2.5.13;7.2.5.13 Planung des Servereinsatzes;164
8.2.5.14;7.2.5.14 Planung des Einsatzes von Druckern, Kopierern und Multifunktionsgeräten;165
8.2.5.15;7.2.5.15 Test neuer Hard- und Software;166
8.2.5.16;7.2.5.16 Planung der Administration für Windows Server 2003;166
8.2.5.17;7.2.5.17 Planung des SAP-Einsatzes;167
8.2.5.18;7.2.5.18 Aussonderung von IT-Systemen;167
8.2.6;7.2.6 Sichere technische Infrastruktur;168
8.2.6.1;7.2.6.1 Entwicklung eines Konzepts für Sicherheitsgateways;168
8.2.6.2;7.2.6.2 Festlegung einer Policy für ein Sicherheitsgateway;169
8.2.6.3;7.2.6.3 Integration von Servern in das Sicherheitsgateway;170
8.2.6.4;7.2.6.4 Sicherer Betrieb eines Sicherheitsgateways;170
8.2.6.5;7.2.6.5 Entwicklung eines Netzmanagementkonzeptes;172
8.2.6.6;7.2.6.6 Sicherer Betrieb eines Netzmanagementsystems;172
8.2.6.7;7.2.6.7 Planung der Administration von Verzeichnisdiensten;173
8.2.6.8;7.2.6.8 Planung der Migration von Verzeichnisdiensten;174
8.2.6.9;7.2.6.9 Geregelte Außerbetriebnahme eines Verzeichnisdienstes;174
8.2.6.10;7.2.6.10 Trennung der Verwaltung von Diensten und Daten eines Active Directory;174
8.2.6.11;7.2.6.11 Schulung zur Administration von Verzeichnisdiensten;174
8.2.6.12;7.2.6.12 Sichere Installation von Verzeichnisdiensten;174
8.2.6.13;7.2.6.13 Sicherer Betrieb von Verzeichnisdiensten;175
8.2.6.14;7.2.6.14 Überwachung von Verzeichnisdiensten;175
8.2.6.15;7.2.6.15 Bereitstellung von sicheren Domänen-Controllern;175
8.2.6.16;7.2.6.16 Überwachung der Active Directory-Infrastruktur;175
8.2.6.17;7.2.6.17 Umsetzung sicherer Verwaltungsmethoden für Active Directory;176
8.2.6.18;7.2.6.18 Planung des VPN-Einsatzes;176
8.2.6.19;7.2.6.19 Planung der technischen VPN-Realisierung;176
8.2.6.20;7.2.6.20 Sicherer Betrieb eines VPNs;177
8.2.6.21;7.2.6.21 Sperrung nicht mehr benötigter VPN-Zugänge;177
8.2.6.22;7.2.6.22 Sichere Anbindung eines externen Netzes mit OpenVPN;177
8.2.6.23;7.2.6.23 Sichere Anbindung eines externen Netzes mit IPSec;178
8.2.6.24;7.2.6.24 Installation, Konfiguration und Betreuung eines WLANs durch Dritte;178
8.2.6.25;7.2.6.25 Sicherer Betrieb der WLAN-Komponenten;179
8.2.6.26;7.2.6.26 Entwurf eines NDS-Konzeptes;180
8.2.6.27;7.2.6.27 Anforderungen an ein Systemmanagementsystem;180
8.2.6.28;7.2.6.28 Sicherer Betrieb eines WWW-Servers;181
8.2.6.29;7.2.6.29 Schulung der Administratoren eines Samba-Servers;182
8.2.6.30;7.2.6.30 Sichere Grundkonfiguration eines Samba-Servers;182
8.2.6.31;7.2.6.31 MB Message Signing und Samba;182
8.2.6.32;7.2.6.32 Sicherer Betrieb eines Samba-Servers;182
8.2.6.33;7.2.6.33 Verhinderung ungesicherter Netzzugänge;182
8.2.6.34;7.2.6.34 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates;183
8.2.6.35;7.2.6.35 Software-Pflege auf Routern und Switches;184
8.2.6.36;7.2.6.36 Sichere Außerbetriebnahme von Routern und Switches;184
8.2.6.37;7.2.6.37 Sicherheitsgateways und Hochverfügbarkeit;185
8.2.6.38;7.2.6.38 Physikalisches Löschen der Datenträger vor und nach Verwendung;185
8.2.6.39;7.2.6.39 Schutz der Integrität der Index-Datenbank von Archivsystemen;185
8.2.6.40;7.2.6.40 Schadensmindernde Kabelführung;186
8.2.6.41;7.2.6.41 Verkabelung in Serverräumen;186
8.2.6.42;7.2.6.42 Deaktivieren nicht benötigter Netzdienste;186
8.2.6.43;7.2.6.43 Sensibilisierung der Mitarbeiter zum sicheren Umgang mit mobilen Datenträgern und Geräten;186
8.2.7;7.2.7 Regelmäßige Kontrollmaßnahmen;187
8.2.7.1;7.2.7.1 Kontrolle bestehender Verbindungen;187
8.2.7.2;7.2.7.2 Kontrolle der Protokolldateien;187
8.2.7.3;7.2.7.3 Kontrolle der Protokolldateien eines Datenbanksystems;188
8.2.7.4;7.2.7.4 Regelmäßige Kontrolle von Routern und Switches;188
8.2.7.5;7.2.7.5 Sicherer Betrieb eines Systemmanagementsystems;189
8.2.7.6;7.2.7.6 Regelmäßige Integritätsprüfung;191
8.2.7.7;7.2.7.7 Einsatz eines Protokollierungsservers in einem ­Sicherheitsgateway;192
8.2.7.8;7.2.7.8 Überwachung und Verwaltung von Speichersystemen;193
8.2.7.9;7.2.7.9 Regelmäßiger Sicherheitscheck des Netzes;193
8.2.7.10;7.2.7.10 Protokollierung am Server;194
8.2.7.11;7.2.7.11 Planung der Systemüberwachung unter Windows Server 2003;194
8.2.7.12;7.2.7.12 Durchführung von Notfallübungen;194
8.2.8;7.2.8 Datensicherung und Archivierung;195
8.2.8.1;7.2.8.1 Geeignete Lagerung von Archivmedien;195
8.2.8.2;7.2.8.2 Verwendung geeigneter Archivmedien;195
8.2.8.3;7.2.8.3 Protokollierung der Archivzugriffe;196
8.2.9;7.2.9 Schutz gegen Angriffe;196
8.2.9.1;7.2.9.1 Meldung von Computer-Virus-Infektionen;196
8.2.9.2;7.2.9.2 Aktualisierung der eingesetzten Computer-Viren-Suchprogramme;197
8.2.9.3;7.2.9.3 Regelungen zum Computer-Virenschutz;197
8.2.9.4;7.2.9.4 Vorbeugung gegen Trojanische Pferde;198
8.2.9.5;7.2.9.5 Vermeidung gefährlicher Dateiformate;199
8.2.9.6;7.2.9.6 Intrusion Detection- und Intrusion Response-Systeme;199
8.2.10;7.2.10 Dokumentation;199
8.2.10.1;7.2.10.1 Aktuelle Infrastruktur- und Baupläne;199
8.2.10.2;7.2.10.2 Neutrale Dokumentation in den Verteilern;200
8.2.10.3;7.2.10.3 Dokumentation der Systemkonfiguration;200
8.2.10.4;7.2.10.4 Dokumentation der zugelassenen Benutzer und Rechteprofile;200
8.2.10.5;7.2.10.5 Dokumentation der Veränderungen an einem bestehenden System;201
8.2.10.6;7.2.10.6 Bereithalten von Handbüchern;201
8.2.10.7;7.2.10.7 Ist-Aufnahme der aktuellen Netzsituation;201
8.2.10.8;7.2.10.8 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen;203
8.2.10.9;7.2.10.9 Dokumentation der Systemkonfiguration von Routern und Switches;203
8.2.10.10;7.2.10.10 Dokumentation und Kennzeichnung der Verkabelung;204
8.2.10.11;7.2.10.11 Laufende Fortschreibung und Revision der Netzdokumentation;205
8.2.10.12;7.2.10.12 Übersicht über Netzdienste;205
8.2.11;7.2.11 Schulung und Training;205
8.2.11.1;7.2.11.1 Betreuung und Beratung von IT-Benutzern;205
8.2.11.2;7.2.11.2 Schulung des Wartungs- und Administrationspersonals;205
8.2.11.3;7.2.11.3 Einweisung der Benutzer in die Bedienung des Archivsystems;206
8.2.11.4;7.2.11.4 Schulung der Administratoren des Sicherheitsgateways;207
8.2.12;7.2.12 Ergänzende allgemeine Sicherheitsrichtlinien;207
8.2.12.1;7.2.12.1 Der aufgeräumte Arbeitsplatz;207
8.2.12.2;7.2.12.2 Konzeption der sicheren E-Mail-Nutzung;207
8.2.12.3;7.2.12.3 Regelung für den Einsatz von E-Mail;208
8.2.12.4;7.2.12.4 Bildschirmsperre;209
9;8: IT-Systeme;210
9.1;8.1 Regelungsziele nach COBIT;210
9.1.1;8.1.1 Planung & Organisation;211
9.1.2;8.1.2 Akquisition & Implementierung;213
9.1.3;8.1.3 Delivery & Support;216
9.1.4;8.1.4 Monitoring;217
9.2;8.2 Vorschlag für eine Richtlinie zu IT-Systemen;218
9.2.1;8.2.1 Vorbemerkung und Einführung;218
9.2.2;8.2.2 Allgemeine Sicherheitsrichtlinien;219
9.2.3;8.2.3 User-Management;221
9.2.4;8.2.4 Server;223
9.2.5;8.2.5 Client;225
9.2.6;8.2.6 Mobile Systeme;226
9.2.7;8.2.7 Externer Zugang;227
9.2.8;8.2.8 Lotus Notes/Domino;228
9.2.9;8.2.9 Webserver;231
9.2.10;8.2.10 Novell;232
9.2.11;8.2.11 Windows XP;235
9.2.12;8.2.12 Windows;239
9.2.12.1;8.2.12.1 Geeignete Auswahl einer Windows-Version;239
9.2.12.2;8.2.12.2 Einsatz von Windows auf mobilen Rechnern;239
9.2.12.3;8.2.12.3 Einführung von Windows Service Pack;239
9.2.12.4;8.2.12.4 Einsatz von BitLocker Drive Encryption;240
9.2.12.5;8.2.12.5 Einsatz von Windows Vista File und Registry Virtualization;240
9.2.12.6;8.2.12.6 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista;240
9.2.12.7;8.2.12.7 Einsatz der Windows Vista-Benutzerkontensteuerung – UAC;240
9.2.13;8.2.13 Windows Server 2003;240
9.2.14;8.2.14 Unix;243
9.2.15;8.2.15 Aktive Netzwerkkomponenten;245
9.2.16;8.2.16 Paketfilter & Proxy;249
9.2.17;8.2.17 Datenbanken;252
9.2.18;8.2.18 SAP;253
9.2.19;8.2.19 Drucker;256
9.2.20;8.2.20 Samba;256
9.2.20.1;8.2.20.1 Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server;256
9.2.21;8.2.21 Verzeichnisdienst;257
9.2.21.1;8.2.21.1 Geeignete Auswahl von Komponenten für Verzeichnisdienste;257
9.2.21.2;8.2.21.2 Planung der Partitionierung und Replikation im Verzeichnisdienst;257
9.2.21.3;8.2.21.3 Schutz der Authentisierung beim Einsatz von Active Directory;258
9.2.21.4;8.2.21.4 Sicherer Einsatz von DNS für Active Directory;258
9.2.21.5;8.2.21.5 Computer-Viren-Schutz für Domänen-Controller;258
9.2.21.6;8.2.21.6 Sichere Konfiguration von Verzeichnisdiensten;258
9.2.21.7;8.2.21.7 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste;258
9.2.21.8;8.2.21.8 Sichere Richtlinieneinstellungen für Domänen und Domänen-Controller;259
9.2.21.9;8.2.21.9 Aufrechterhaltung der Betriebssicherheit von Active Directory;259
9.2.21.10;8.2.21.10 Absicherung der Kommunikation mit Verzeichnisdiensten;259
9.2.22;8.2.22 VPN;259
9.2.22.1;8.2.22.1 Geeignete Auswahl von VPN-Produkten;259
9.2.22.2;8.2.22.2 Sichere Installation von VPN-Endgeräten;260
9.2.22.3;8.2.22.3 Sichere Konfiguration eines VPNs;260
9.3;8.3 Vertiefende Detailregelungen in Arbeitsanweisungen;260
10;9: Verankerung der IT-Sicherheit in der Organisation;267
10.1;9.1 Regelungsziele nach COBIT;267
10.1.1;9.1.1 Planung und Organisation;268
10.1.2;9.1.2 Delivery & Support;270
10.2;9.2 Vorschlag für eine Richtlinie zur IT-Organisation;270
10.2.1;9.2.1 Schulung und Training;270
10.2.1.1;9.2.1.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter;270
10.2.1.2;9.2.1.2 Schulung vor Programmnutzung;271
10.2.1.3;9.2.1.3 Schulung zu IT-Sicherheitsmaßnahmen;271
10.2.1.4;9.2.1.4 Einweisung des Personals in den sicheren Umgang mit IT;271
10.2.1.5;9.2.1.5 Regelungen für den Einsatz von Fremdpersonal;272
10.2.1.6;9.2.1.6 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern;272
10.2.1.7;9.2.1.7 Beaufsichtigung oder Begleitung von Fremdpersonen;273
11;10: Service-Management;274
11.1;10.1 Regelungsziele nach COBIT;274
11.1.1;10.1.1 Planung und Organisation;275
11.1.2;10.1.2 Akquisition und Implementierung;277
11.1.3;10.1.3 Delivery & Support;284
11.2;10.2 Vorschlag für eine Service-Management-Richtlinie;286
11.2.1;10.2.1 Vorbemerkung und Einführung;286
11.2.1.1;10.2.1.1 Zweck;286
11.2.1.2;10.2.1.2 Grundlage;287
11.2.1.3;10.2.1.3 Gegenstand und Umfang;287
11.2.1.4;10.2.1.4 Verantwortlichkeiten für diese Richtlinie;287
11.2.2;10.2.2 Incident-Management;287
11.2.2.1;10.2.2.1 Anforderungen;288
11.2.2.2;10.2.2.2 Dokumentation;289
11.2.2.3;10.2.2.3 Kommunikation;289
11.2.2.4;10.2.2.4 Major Incidents und Katastrophenfälle;290
11.2.2.5;10.2.2.5 Rollen;290
11.2.3;10.2.3 Problem-Management;290
11.2.3.1;10.2.3.1 Anforderungen;290
11.2.3.2;10.2.3.2 Rollen;291
11.2.3.3;10.2.3.3 Problemaufnahme;292
11.2.3.4;10.2.3.4 Known Errors;292
11.2.3.5;10.2.3.5 Problemlösung;292
11.2.3.6;10.2.3.6 Kommunikation;293
11.2.3.7;10.2.3.7 Problemverfolgung und -eskalation;293
11.2.3.8;10.2.3.8 Schließen von Tickets;293
11.2.3.9;10.2.3.9 Problem-Management-Audit;294
11.2.3.10;10.2.3.10 Problemvermeidung;294
11.2.4;10.2.4 Change-Management;295
11.2.4.1;10.2.4.1 Anforderungen;295
11.2.4.2;10.2.4.2 Rollen;297
11.2.4.3;10.2.4.3 Kommunikation;298
11.2.4.4;10.2.4.4 Planung und Implementierung;298
11.2.4.5;10.2.4.5 Changemanagement und Projekte;300
11.2.4.6;10.2.4.6 Schließen von Änderungsanträgen;301
11.2.4.7;10.2.4.7 Emergency Changes;301
11.2.4.8;10.2.4.8 Changemanagement-Audit und Berichtswesen;302
11.2.5;10.2.5 Release-Management;303
11.2.5.1;10.2.5.1 Anforderungen;303
11.2.5.2;10.2.5.2 Rollen;304
11.2.5.3;10.2.5.3 Kommunikation;304
11.2.5.4;10.2.5.4 Releaseplanung;305
11.2.5.5;10.2.5.5 Releaseerstellung (design, build, configure);306
11.2.5.6;10.2.5.6 Freigabe;307
11.2.5.7;10.2.5.7 Verteilung und Installation (roll out, distribution, installation);307
11.2.5.8;10.2.5.8 Dokumentation;308
11.2.5.9;10.2.5.9 Schließen von Release;309
11.2.5.10;10.2.5.10 Emergency Release;309
11.2.6;10.2.6 Configuration-Management;309
11.2.6.1;10.2.6.1 Anforderungen;309
11.2.6.2;10.2.6.2 Rollen;311
11.2.6.3;10.2.6.3 Einrichtung des Configuration-Managements;311
11.2.6.4;10.2.6.4 Objekte des Configuration-Managements;312
11.2.6.5;10.2.6.5 Soll-Ist-Abgleich;316
11.2.6.6;10.2.6.6 Configuration-Management-Revision und Berichtswesen;317
12;11: IT Continuity-Planung;319
12.1;11.1 Regelungsziele nach COBIT;319
12.1.1;11.1.1 Planung und Organisation;320
12.1.2;11.1.2 Delivery & Support;320
12.2;11.2 Vorschlag für eine IT Continuity-Richtlinie;322
12.2.1;11.2.1 Grundlegende Maßnahmen zur IT Continuity-Planung;322
12.2.1.1;11.2.1.1 Aufbau einer geeigneten Organisationsstruktur für das Notfallmanagement;322
12.2.1.2;11.2.1.2 Erstellung eines Notfallkonzepts;323
12.2.1.3;11.2.1.3 Integration von Notfallmanagement in organisationsweite Abläufe und Prozesse;323
12.2.1.4;11.2.1.4 Tests und Notfallübungen;323
12.2.1.5;11.2.1.5 Überprüfung und Aufrechterhaltung der Notfallmaßnahmen;324
12.2.1.6;11.2.1.6 Dokumentation im Notfallmanagement-Prozess;324
12.2.1.7;11.2.1.7 Überprüfung und Steuerung des Notfallmanagementsystems;325
12.2.1.8;11.2.1.8 Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen;325
12.2.1.9;11.2.1.9 Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen;326
12.2.1.10;11.2.1.10 Einrichtung einer zentralen Kontaktstelle für die Meldung von Sicherheitsvorfällen;326
12.2.1.11;11.2.1.11 Schulung der Mitarbeiter des Service Desks zur Behandlung von Sicherheitsvorfällen;326
12.2.1.12;11.2.1.12 Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen;327
12.2.1.13;11.2.1.13 Notfallplan für den Ausfall eines VPNs;327
12.2.2;11.2.2 Ziele der IT Continuity-Planung;327
12.2.3;11.2.3 Abgrenzung;328
12.2.3.1;11.2.3.1 Business Continuity-Planung;328
12.2.3.2;11.2.3.2 Krisen-Management;329
12.2.3.3;11.2.3.3 Disaster Recovery-Planung;329
12.2.3.4;11.2.3.4 Business Resumption-Planung;329
12.2.4;11.2.4 Gegenstand dieser Richtlinie;329
12.2.4.1;11.2.4.1 Kriterien der Planung;329
12.2.4.2;11.2.4.2 Zweck und Ziel;330
12.2.4.3;11.2.4.3 Voraussetzungen;330
12.2.5;11.2.5 Planung der IT Continuity;331
12.2.5.1;11.2.5.1 Verantwortlichkeit;331
12.2.5.2;11.2.5.2 Review;331
12.2.5.3;11.2.5.3 Maintenance;331
12.2.5.4;11.2.5.4 Verteilung;331
12.2.6;11.2.6 Contingency-Management;332
12.2.7;11.2.7 Prozesse der IT Continuity;332
12.2.7.1;11.2.7.1 IT Continuity-Planungsprozess;332
12.2.7.2;11.2.7.2 IT Continuity Change-Prozess;332
12.2.7.3;11.2.7.3 IT Continuity Review-Prozess;333
12.2.7.4;11.2.7.4 IT Continuity Trainings- und Verifikationsprozess;333
12.2.7.5;11.2.7.5 IT Continuity-Wiederherstellungsprozess (Disaster Recovery);333
12.2.8;11.2.8 Organisation der IT Continuity;333
12.2.8.1;11.2.8.1 Disaster Recovery Management-Team;333
12.2.8.2;11.2.8.2 Disaster Recovery Action-Team;334
12.2.8.3;11.2.8.3 Application Recovery-Teams;334
12.2.9;11.2.9 Umgebungswiederherstellung;335
12.2.9.1;11.2.9.1 Wiederherstellung von Standorten;335
12.2.9.2;11.2.9.2 Wiederherstellung der Netzwerke;336
12.2.9.3;11.2.9.3 Wiederherstellung der Hardware;336
12.2.9.4;11.2.9.4 Wiederherstellung der Software;337
12.2.9.5;11.2.9.5 Wiederherstellung von Applikationsdaten;338
12.2.9.6;11.2.9.6 Wiederherstellung der Monitoring-Plattformen;339
12.2.10;11.2.10 Funktionale Wiederherstellung;339
12.2.10.1;11.2.10.1 Business Resumption Plans;339
12.2.10.2;11.2.10.2 Daten-Synchronisation – Backlog Processing;339
12.2.10.3;11.2.10.3 Wiederaufnahme der Geschäftsfunktionen;339
12.2.10.4;11.2.10.4 Verlegung zum Übergangsstandort;339
12.2.10.5;11.2.10.5 Rückverlegung zum Heimatstandort;340
13;Stichwortverzeichnis;342

IT-Sicherheit allgemein.- Sicherer IT-Betrieb.- Sichere IT-Systeme.- IT-Sicherheitsmanagement.- Schutz von Daten.- Organisation von IT-Sicherheit.