:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
ISO 27001:2005 – Vermögensverwaltung für Unternehmen Informationen und Systeme richtig klassifizieren und inventarisieren
Die Norm ISO/IEC 27001:2005 beschreibt ein Managementsystem für Informationssicherheit (ISMS). Die Vermögensverwaltung ist in der Norm einer von insgesamt 11 Überwachungsbereichen, die ihre Wurzeln aus den Best-Practices von ISO/IEC 17799:2005 haben. Dieser Artikel liefert neben der Normbetrachtung auch Informationen aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Praxis.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
Unter Vermögensverwaltung versteht die Norm eine laufende Inventarisierung und Klassifizierung der materiellen und immateriellen IT-Vermögenswerte einer Firma oder Organisation. Der dritte von insgesamt 11 Überwachungsbereichen handelt von der Vermögensverwaltung, bzw. vom „Asset Management“ (siehe Annex A, §7). Der Bereich ist in folgender Weise gegliedert:
1. Die Verantwortlichkeit für Vermögen – hierunter fallen Inventur, Besitzrechte und Verwendung des Vermögens.
2. Klassifizierung von Informationen – darunter fallen Richtlinien zum Klassifizieren und Etikettieren von Informationen.
Für eine genaue Bemessung der Vermögenswerte bedarf es einer besonderen IT-relevanten Inventur. Sinn und Zweck dieses Aufwands ist eine spätere Risikoabschätzung in Relation zum inventarisierten Vermögenswert.
Verwalten des Firmenvermögens – die Inventur
Leider hat sich in der Praxis gezeigt, dass gerade unvollständige Bestandsaufnahmen zu Sicherheitslücken geführt haben. Insbesondere Produktfeatures wie CTI-Funktionen in TK-Anlagen oder spezielle VPN-Anschlüsse müssen hierbei fachgerecht in die Inventur eingetragen werden. Die Prämisse heißt hier: „Denken Sie an alles!“
Bei der Inventur sind laut Norm folgende Vermögenswerte zu beachten:
1. Alle Informationen, die sich auf beweglichen Datenträgern, Festplatten und Printmedien befinden und folgenden Inhalt haben:
- Datenbanken, aktive und archivierte Dateien
- Verträge und Vereinbarungen
- Systemdokumentation
- Forschungsinformationen, Benutzermanuals und Trainingsmaterialien
- Supportinformationen (der Helpdesk-Abteilung)
- Geschäftspläne, die während eines Schadensfalls und danach die Weiterführung des Geschäftsfeldes gewährleisten
- Überwachungspfade
2. Alle auf Software basierenden Werte, wie Anwendungen, Systemsoftware (Betriebssysteme, usw.) und Entwicklungs-Tools
- Alle physikalischen Werte, wie Computer und Kommunikationseinrichtungen, Telefone, Telefonanlagen, Voice-over-IP-Installationen, usw.
- Kommunikationsdienste und Dienste zum Betrieb von Computern, wie Klimaanlage, Stromversorgung, Beleuchtung und andere Dienstleistungen
- Das Humankapital, das heißt Mitarbeiter und deren Qualifikation, Beruf und Erfahrung
- Immaterielle Werte, wie Reputation und Image der Organisation
Besitzrecht im Sinne von Verantwortlichkeit
ISO 27001:2005 schreibt vor, dass alle Informationen und Vermögenswerte eine Art „Besitzer“ erhalten. Unter dem „Besitzer“ versteht die Norm eine Person oder Einheit, die für die Verwaltung des Vermögenswerts verantwortlich ist. Darunter fallen Kontrolle, Entwicklung, Wartung und Benutzung der Sache. Der juristische Besitz im Sinne von „Eigentum“ laut BGB ist damit nicht gemeint.
Verwendung des Vermögens
Die Norm gibt außerdem vor, wie das oben beschriebene Vermögen sinnvoll verwendet wird und verweist auf andere Kontrollziele (siehe Annex A, §10). Dahinter steckt die Idee, dass Regeln und Richtlinien erstellt werden, die die Verwendung von geistigen und materiellen Gütern betreffen.
Alle Mitarbeiter und partizipierenden Personen sollen ausdrücklich Regeln befolgen, die den Gebrauch von E-Mails und Internet sowie die Verwendung von mobilen Geräten betreffen. Intention des Kontrollziels ist – wie sollte es auch anders sein – der Schutz des Vermögens.
Klassifizierung von Informationen
Neben der Inventarisierung von Informationen und Gütern ist eine Klassifizierung notwendig, um den Schutzbedarf zu charakterisieren. Die ISO-Norm gibt vor, dass Datenträger und Geräte entsprechend der Inventur und Klassifizierung etikettiert werden sollen.
ISO 27001:2005 beschreibt sehr allgemein den Schutzgrad, wohl wissend, dass man ihn schlecht „greifen“ kann. Das BSI übernimmt den Denkansatz und verarbeitet diesen. Das Ergebnis sind drei Grade, die das BSI im BSI-Standard 100-2 „Schutzbedarfskategorien“ nennt. Die drei Kategorien, die auch qualitative Aussagen enthalten, lauten wie Folgt:
- Normal – Die Schadensauswirkungen sind begrenzt und überschaubar
- Hoch – Die Schadensauswirkungen können beträchtlich sein
- Sehr hoch – Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.
Inventur in der Praxis
Zur Inventur von Microsoft-basierenden IT-Netzwerken gibt es mittlerweile eine Reihe von Anwendungen. Microsoft selbst bietet den Systems Management Server an, der eine Hard- und Softwareinventur zulässt (siehe Abbildung 1). Er kann auch die Active Directory-Informationen über Computer und Benutzer auswerten und Netzwerkpläne mit Routern, Servern und anderen SNMP-fähigen Geräten zeichnen. Alle Informationen werden in einer SQL-Datenbank abgelegt.
Nachträgliche Auswertungen der Datenbank sind ebenfalls möglich. Mit „Crystal Reports“ von der Firma Business Objects SA können beispielsweise Berichte aus der Datenbank generiert werden. Desweiteren ist es vorstellbar, Berichte über Webanwendungen auf Sharepoint-Websites darzustellen.
Eine Alternative aus dem Hause Microsoft gab es in der Visio 2002 Enterprise Edition. Hier konnten Netzwerkdiagramme über ein Add-On und unter Zuhilfenahme von SNMP erstellt werden. Bei den neueren Visio-Versionen existiert diese Funktion leider nicht mehr.
Die Firma 3Com bietet mit dem „Network Director“ ein Produkt an, mit dem sich Netzwerkpläne erstellen lassen. Über eine Exportfunktion können die Daten bei Bedarf auch zu Microsoft Visio übertragen werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt in seinen Richtlinien ferner Hinweise, wie eine Ausarbeitung aussehen könnte: In der Erfassung von IT-Systemen sollten Informationen, wie Nummer, Beschreibung, Plattform, Anzahl, Aufstellungsort, Status und Anwender, tabellarisch aufgelistet sein (siehe Abbildung 2). Bei der Inventur von Organisationsstrukturen wird entsprechend vorgegangen und eine Tabelle mit Raum, IT-Informationen und Schutzbedarf aufgestellt.
Fazit
Um potenzielle Schwachstellen entdecken zu können, bedarf es einer ausführlichen Inventur. ISO/IEC 27001:2005 beschreibt die notwendigen Kategorien, das heißt welche Güter materieller und immaterieller Art in das Managementsystem für Informationssicherheit (ISMS) einfließen. Bei einer automatisierten Erfassung der Inventurdaten helfen Anwendungen, wie beispielsweise Microsoft Systems Management Server oder 3Com Network Director.
Alle Anwendungen füllen kontinuierlich eine Datenbank mit Informationen oder erstellen Netzwerkdiagramme. Wie alle Kontrollbereiche der Norm unterliegt auch die Inventur dem Lebenszyklusmodell (Plan-Do-Check-Act-Modell, siehe Abbildung 3 in der Bildergalerie) und muss laufend überwacht sowie gewartet werden.
Artikelfiles und Artikellinks
(ID:2006534)
:quality(80)/images.vogel.de/vogelonline/bdb/1902400/1902401/original.jpg "Sicherheitszertifizierungen sind heute wichtiger denn je. Sie ermöglichen nicht nur einen ganzheitlichen Unternehmensschutz, sondern auch einen Wettbewerbsvorteil. (BSI)")
:quality(80)/images.vogel.de/vogelonline/bdb/1941600/1941618/original.jpg "Unter einem Sicherheitsvorfall oder Security Incident versteht man ein die Informationssicherheit beeinträchtigendes Ereignis. (gemeinfrei)")