Das IT-Gesetz: Compliance in der IT-Sicherheit (eBook)

Ralf-T. Grünendahl ist Client Industry Executive bei DXC (entstanden aus dem Merger der Servicesparte von Hewlett Packard Enterprise mit CSC) und dort in internationalen Accounts, vorrangig in der Telekommunikationsindustrie, tätig. Andreas F. Steinbacher leitet Beratungsprojekte für die IT Governance Practice der DXC Transformation & Integration Services. Peter H. L. Will ist Branchenverantwortlicher für den Public-Bereich bei kobaltblau Management Consultants. Will war zuvor Division Head des Business Technology Management bei Kienbaum und Managing Consultant der Detecon International. Die Autoren beschäftigen sich seit vielen Jahren mit IT-Strategie, strategischer Ausrichtung von IT-Organisationen und der digitalen Transformation von Unternehmen sowie mit Regulierungsfragen (SOX, Basel II), Risikomanagement und den daraus folgenden Implikationen für die IT und insbesondere für IT-Sicherheit. 

Das IT-Gesetz: ­Compliance in der IT-Sicherheit 4
Leitfaden für ein Regelwerk zur IT-­Sicherheit im Unternehmen 4
Impressum 5
Vorwort der 2. Auflage 6
Vorwort der 1. Auflage 8
Die Autoren 9
Danksagung 10
Inhaltsverzeichnis 11
1: Einleitung 15
1.1 Gesetzliche und regulatorische Vorgaben 16
2: Bedeutung der IT-Sicherheit in Unternehmen 19
3: COBIT und BSI als Leitschnur der IT-Sicherheit 26
4: ‚Grundgesetz‘ der IT-Sicherheit 32
4.1 Regelungsziele nach COBIT 33
4.1.1 Planung und Organisation 33
4.1.2 Monitoring 36
4.2 Vorschlag für eine IT-Sicherheitspolicy 37
4.2.1 Vorbemerkung und Einführung 37
4.2.1.1 Zweck 37
4.2.1.2 Gegenstand und Umfang 38
4.2.1.3 Verantwortlichkeiten für diese Richtlinie 38
4.2.2 Übergeordnete Aspekte 38
4.2.2.1 IT-Sicherheitsmanagement 38
Aufbau, Struktur und Ablauf des IT-Sicherheitsmanagements 38
4.2.2.2 Organisation 39
Zutrittsberechtigungen, Zugangsberechtigungen und Zugriffsrechte 39
4.2.2.3 Rollen und Verantwortlichkeitn 40
Verantwortliche und Rollenbeschreibung 41
Verantwortlichkeit von Eigentümern (Owner) & Betreuer (Custodian)
Vertraulichkeitsvereinbarung 42
4.2.2.4 Continuity-Konzept 42
Grundlegende Prinzipien 42
4.2.2.5 Datensicherungskonzept 43
Unternehmenskontinuitätsplanung/Aufrechterhaltungsplanung 43
4.2.2.6 Datenschutz 44
4.2.2.7 Computer-Viren-Schutzkonzept 44
4.2.2.8 Kryptokonzept 44
Systemvertraulichkeit 44
4.2.2.9 Behandlung von Sicherheitsvorfällen 44
Verhalten im Störfall 44
Systemintegrität 45
4.2.2.10 Hard- und Software-Management 45
Grundlegende Prinzipien 45
Vereinbarungen mit Dritten, die mit Daten des Unternehmens umgehen 46
4.2.2.11 Standardsoftware 46
Planung und Konzeption 46
Beschaffung 47
Umsetzung 47
Betrieb 47
Aussonderung 47
4.2.2.12 Patch- und Änderungsmanagement 47
Planung des Patch- und Änderungsmanagement-Prozesses 47
Festlegung der Verantwortlichkeiten für das Patch- und Änderungsmanagement 48
Sicherheitsrichtlinie zum Einsatz von Patch- und Änderungsmanagement-Werkzeugen 48
4.2.2.13 Outsourcing 48
4.2.2.14 Archivierung 48
4.2.2.15 IT-Sicherheitssensibilisierung und -schulung 49
4.2.3 Infrastruktur 49
4.2.3.1 Gebäude 49
4.2.3.2 Bauliche Zugangskontrolle 49
4.2.3.3 Umgang mit Besuchern 49
4.2.3.4 Büroraum 49
4.2.3.5 Technische Räume 50
Server Raum 50
Computerraum 50
4.2.3.6 Mobiler Arbeitsplatz 50
4.2.4 IT-Systeme 51
4.2.4.1 Allgemeine Regelungen 51
Sichere Entsorgung von Equipment 51
4.2.4.2 User Account-Administration 51
Erstellung neuer User IDs 51
Kennwortübergabe 51
Nutzung für Externe 51
4.2.4.3 Kennwort-Management 52
Kennwortkonventionen 52
Individuelle Accounts 52
Entfernung von User-Accounts 52
Server 53
4.2.4.4 Laptop 53
4.2.4.5 Clients 53
4.2.4.6 Sicherheitsgateway (Firewall) 53
4.2.4.7 Verzeichnisdienst 54
4.2.4.8 VPN 54
4.2.4.9 Router und Switches 55
4.2.4.10 Kommunikationseinrichtungen 55
TK-Anlage 55
Mobiltelefon 55
4.2.5 Netze 55
4.2.5.1 Heterogene Netze 55
4.2.5.2 Netz- und Systemmanagement 55
Verletzlichkeitseinstufung 56
Zugriffs- und Datenflusskontrollsysteme 56
Herstellung von Netzwerkverbindungen 56
Ungesicherte Netzwerkverbindungen 56
Standard-Netzwerk-Sicherheitsmaßnahmen 57
4.2.5.3 Modem 57
4.2.5.4 Remote Access 57
LAN-Anbindung eines IT-Systems über ISDN 58
4.2.6 IT-Anwendungen 58
4.2.6.1 System-/Anwendungsentwicklung und -inbetriebnahme 58
4.2.6.2 System Logging 59
4.2.6.3 Systemzugriff 59
4.2.6.4 Peer-to-Peer-Dienste 60
Austausch von Informationen und Ressourcen über Peer-to-Peer-Dienste 60
4.2.6.5 Datenträgeraustausch 60
4.2.6.6 E-Mail 61
4.2.6.7 Webserver 61
4.2.6.8 Faxserver 61
4.2.6.9 Datenbanken 62
5: Schutz von Daten 63
5.1 Regelungsziele nach COBIT 64
5.1.1 Planung und Organisation 64
5.1.2 Delivery & Support
5.1.3 Monitoring 66
5.2 Vorschlag für eine Datenschutzrichtlinie 67
5.2.1 Geltungsbereich 67
5.2.2 Begriffsbestimmung und Eingrenzung 67
5.2.3 Ziele des Datenschutzes im Unternehmen 68
5.2.4 Verankerung des Datenschutzes in der Organisation 68
5.2.4.1 Geschäftsleitung 68
5.2.4.2 Datenschutzbeauftragter 69
5.2.4.3 Führungskräfte und Fachverantwortliche 69
5.2.4.4 Mitarbeiter 70
5.2.5 Grundsätze des Datenschutzes 70
5.2.5.1 Datenverarbeitung 70
5.2.5.2 Datenerhebung 71
5.2.5.3 Datenübermittlung 71
5.2.5.4 Verpflichtung auf den Datenschutz und das Datengeheimnis 71
5.2.5.5 Rechte der Betroffenen 72
5.2.5.6 Datenverarbeitung im Auftrag 72
5.2.5.7 Sicherheitsmaßnahmen 72
5.2.5.8 Einführung, Betrieb und Änderung von Verfahren 72
5.3 Vorschlag für eine Richtlinie zum Schutz von Unternehmensdaten 73
5.3.1 Datenschutz 73
5.3.1.1 Regelung der Verantwortlichkeiten im Bereich Datenschutz 73
5.3.1.2 Aspekte eines Datenschutzkonzeptes 73
5.3.1.3 Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle bei der Verarbeitung personenbezogener Daten 74
5.3.1.4 Festlegung von technisch-organisatorischen Maßnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten 74
5.3.1.5 Verpflichtung/Unterrichtung der Mitarbeiter bei der Verarbeitung personenbezogener Daten 75
5.3.1.6 Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei der Verarbeitung personenbezogener Daten 75
5.3.1.7 Führung von Verfahrensverzeichnissen und Erfüllung der Meldepflichten bei der Verarbeitung personenbezogener Daten 76
5.3.1.8 Datenschutzrechtliche Freigabe 76
5.3.1.9 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personenbezogener Daten 76
5.3.1.10 Aufrechterhaltung des Datenschutzes im laufenden Betrieb 76
5.3.1.11 Datenschutzgerechte Löschung/Vernichtung 76
5.3.2 Authentikation 76
5.3.2.1 Geeignete Auswahl von Authentikationsmechanismen 76
5.3.2.2 Administration der Authentikationsdaten 77
5.3.2.3 Schutz der Authentikationsdaten gegen Veränderung 77
5.3.2.4 Systemunterstützung 77
5.3.2.5 Fehlerbehandlung bei der Authentikation 77
5.3.2.6 Administration der Benutzerdaten 78
5.3.2.7 Definition der Benutzereinträge 78
5.3.2.8 Passwortgüte 78
5.3.2.9 Anforderungen an Authentikationsmechanismen für Benutzer 78
5.3.2.10 Protokollierung der Authentisierungsmechanismen 78
5.3.3 Verschlüsselung 79
5.3.3.1 Entwicklung eines Kryptokonzepts 79
Einsatz von Verschlüsselung, Checksummen oder digitalen Signaturen 79
Geeignetes Schlüsselmanagement 80
Schlüsselerzeugung 80
Schlüsseltrennung 80
Schlüsselverteilung/Schlüsselaustausch 80
Schlüsselinstallation und -speicherung 81
Schlüsselarchivierung 81
Zugriffs- und Vertreterregelung 82
Schlüsselvernichtung 82
5.3.4 Datensicherung und Archivierung 82
5.3.4.1 Verpflichtung der Mitarbeiter zur Datensicherung 82
5.3.4.2 Regelung des Datenträgeraustausches 82
5.3.4.3 Beschaffung eines geeigneten Datensicherungssystems 83
5.3.4.4 Regelmäßige Funktions- und Recoverytests bei der Archivierung 84
5.3.4.5 Erstellung eines Datensicherungsplans 85
5.3.4.6 Regelung der Vorgehensweise für die Löschung oder Vernichtung von Informationen 85
Richtlinie für die Löschung und Vernichtung von Informationen 85
Vernichtung von Datenträgern durch externe Dienstleister 86
Erstellung von Datensicherungen für Verzeichnisdienste 86
Datensicherung für Domänen-Controller 86
5.4 Hinweise für ein Datensicherungskonzept 87
5.4.1 Definitionen 87
5.4.2 Gefährdungslage 87
5.4.3 Regelungsbedarfe je IT-System 87
5.4.3.1 Spezifikation der zu sichernden Daten 87
5.4.3.2 Verfügbarkeitsanforderungen 88
5.4.3.3 Rekonstruktionsaufwand 88
5.4.3.4 Datenvolumen 88
5.4.3.5 Änderungsvolumen 88
5.4.3.6 Änderungszeitpunkte der Daten 88
5.4.3.7 Fristen 88
5.4.3.8 Vertraulichkeitsbedarf 89
5.4.3.9 Integritätsbedarf der Daten 89
5.4.3.10 Häufigkeit des Datenverlustes 89
5.4.3.11 Fähigkeiten der IT-Benutzer 89
5.4.4 Datensicherungsplan je IT-System 89
5.4.4.1 Festlegungen je Datenart 89
5.4.4.2 Festlegung je System 90
5.4.4.3 Festlegung der Vorgehensweise bei der Datenrestaurierung 90
5.4.4.4 Randbedingungen für das Datensicherungsarchiv 90
5.4.4.5 Vorhalten von arbeitsfähigen Lesegeräten 90
5.4.4.6 Wiederherstellungsplan 90
5.4.5 Minimaldatensicherungskonzept 90
5.4.6 Verpflichtung der Mitarbeiter zur Datensicherung 90
5.4.7 Sporadische Restaurierungsübungen 91
6: Sicherheitsmanagement 92
6.1 Regelungsziele nach COBIT 92
6.1.1 Prozess und Organisation 93
6.1.2 Akquisition und Implementierung 97
6.1.3 Delivery & Support
6.1.4 Monitoring 100
6.2 Vorschlag für eine Richtlinie zum Sicherheitsmanagement 101
6.2.1 Vorbemerkung und Einführung 102
6.2.2 Rollen und Verantwortlichkeiten 103
6.2.2.1 Verantwortlichkeiten des Managements 103
Übernahme der Gesamtverantwortung für IT-Sicherheit 103
IT-Sicherheit integrieren 103
IT-Sicherheit steuern und aufrecht erhalten 103
Erreichbare Sicherheitsziele setzen 104
IT-Sicherheitskosten gegen Nutzen abwägen 104
Vorbildfunktion 104
6.2.2.2 Verantwortlichkeiten des IT-Sicherheitsbeauftragten 104
6.2.3 Änderungsmanagement 105
6.2.3.1 Abstimmung von Änderungsanforderungen 105
6.2.3.2 Konzeption und Organisation des Anforderungsmanagements 105
6.2.4 Notfallmanagement 106
6.2.4.1 Qualifizieren und Bewerten von Sicherheitsvorfällen 106
6.2.4.2 Dokumentation von Sicherheitsvorfällen 106
6.2.4.3 Treuhänderische Hinterlegung (Escrow) 106
6.2.5 IT-Sicherheitsziele des Unternehmens 107
6.2.5.1 Schutz von IT-Anwendungen, Systemen, Räumen und Kommunikation entsprechend dem jeweiligen Schutzbedarf 107
6.2.5.2 Schutzbedarfsfeststellung für Vertraulichkeit, Integrität und Verfügbarkeit von schutzrelevanten Daten 107
6.2.5.3 Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung 107
6.2.6 IT-Sicherheitskonzept des Unternehmens 108
6.2.7 Sicherheitsmanagement-Prozess des Unternehmens 111
6.2.8 IT-Strukturanalyse 111
6.2.8.1 Dokumentation der Systemkonfiguration 113
6.2.8.2 Dokumentation der zugelassenen Benutzer und Rechteprofile 114
6.2.9 Schutzbedarfsfeststellung 114
6.2.9.1 Analyse der aktuellen Netzsituation 114
6.2.9.2 Detaillierte Schutzbedarfsfeststellung 115
6.2.9.3 Analyse von Schwachstellen im Netz 115
6.2.10 Sicherheitsanalyse und Formulierung zielführender Sicherheitsmaßnahmen 119
6.2.11 IT-Sicherheitsreporting an das Management 120
6.2.12 Verhaltensweisen zu Sicherheitsvorfällen 120
7: IT-Betrieb 121
7.1 Regelungsziele nach COBIT 121
7.1.1 Planung & Organisation
7.1.2 Akquisition & Implementierung
7.1.3 Delivery & Support
7.1.4 Monitoring 134
7.2 Vorschlag für eine Richtlinie zum sicheren IT-Betrieb 134
7.2.1 Vorbemerkung und Einführung 134
7.2.2 Gebäudesicherheit 135
7.2.2.1 Klimatisierung 135
7.2.2.2 Lokale und zentrale unterbrechungsfreie Stromversorgung 136
7.2.2.3 Brandmeldeanlage 136
7.2.2.4 Videoüberwachung 137
7.2.2.5 Geeignete Aufstellung von Archivsystemen 137
7.2.2.6 Brandschutz von Patchfeldern 137
7.2.2.7 Schlüsselverwaltung 138
7.2.2.8 Brandschutzbegehungen 138
7.2.2.9 Rauchverbot 139
7.2.2.10 Beschaffung geeigneter Schutzschränke 139
7.2.2.11 Funktionstests der technischen Infrastruktur 139
7.2.2.12 Einführung in die Bedrohung durch Schadprogramme 140
7.2.3 Organisation und Governance 140
7.2.3.1 Festlegung von Verantwortlichkeiten und Regelungen für den IT-Einsatz 140
7.2.3.2 Aufgabenverteilung und Funktionstrennung 141
7.2.3.3 Ernennung eines Administrators und eines Vertreters 142
7.2.3.4 Aufteilung der Administrationstätigkeiten unter Unix 142
7.2.3.5 Aufteilung der Administrationstätigkeiten 142
7.2.3.6 Einrichtung einer Poststelle 143
7.2.3.7 Aufteilung von Administrationstätigkeiten bei Datenbanksystemen 143
7.2.3.8 Konzeption des IT-Betriebs 144
Konventionen für Namens-, Adress- und Nummernräume 145
7.2.3.9 Vertretungsregelungen 146
7.2.3.10 Vertraulichkeitsvereinbarungen 146
7.2.3.11 Auswahl eines vertrauenswürdigen Administrators und Vertreters 147
7.2.3.12 Netzverwaltung 147
7.2.3.13 Einrichtung eines zusätzlichen Netzadministrators 147
7.2.3.14 Umgang mit Änderungsanforderungen 148
7.2.3.15 Konfiguration von Autoupdate-Mechanismen beim Patch- und Änderungsmanagement 148
7.2.4 Regelungen zu Zutritt, Zugang, Zugriff 148
7.2.4.1 Vergabe von Zutrittsberechtigungen 148
7.2.4.2 Schutz eines Rechenzentrums gegen unbefugten Zutritt 149
7.2.4.3 Vergabe von Zugangsberechtigungen 149
7.2.4.4 Vergabe von Zugriffsrechten 149
7.2.4.5 Regelung des Passwortgebrauchs 150
7.2.4.6 Zutrittsregelung und -kontrolle 152
7.2.4.7 Hinterlegen des Passwortes 152
7.2.4.8 Regelung für die Einrichtung von Benutzern/Benutzergruppen 153
7.2.4.9 Einrichtung einer eingeschränkten Benutzerumgebung 154
7.2.4.10 Einrichten der Zugriffsrechte 154
7.2.4.11 Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System 154
7.2.4.12 Regelung für die Einrichtung von Datenbankbenutzern/-benutzergruppen 154
7.2.4.13 Richtlinien für die Zugriffs- bzw. Zugangskontrolle 155
7.2.4.14 Passwortschutz für IT-Systeme 156
7.2.4.15 Planung von SAP-Berechtigungen 156
7.2.4.16 Absicherung eines SAP-Systems im Portal-Szenario 157
7.2.4.17 Zugangsbeschränkungen für Accounts und/oder Terminals 157
7.2.4.18 Sicherstellung einer konsistenten Systemverwaltung 158
7.2.4.19 Restriktive Vergabe von Zugriffsrechten auf Systemdateien 158
7.2.4.20 Restriktive Rechtevergabe 159
7.2.4.21 Authentisierung bei Druckern, Kopierern und Multifunktionsgeräten 159
7.2.4.22 Informationsschutz bei Druckern, Kopierern und Multifunktionsgeräten 159
7.2.5 Hardware- und Softwareeinsatz 160
7.2.5.1 Nutzungsverbot nicht freigegebener Hard- und Software 160
7.2.5.2 Überprüfung des Hard- und Software-Bestandes 160
7.2.5.3 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln 161
7.2.5.4 Planung des Einsatzes eines WLANs 161
7.2.5.5 Sicherstellen der Integrität von Standardsoftware 162
7.2.5.6 Installation und Konfiguration von Standardsoftware 162
7.2.5.7 Lizenzverwaltung und Versionskontrolle von Standardsoftware 163
7.2.5.8 Sicheres Löschen von Datenträgern 163
7.2.5.9 Überblick über Methoden zur Löschung und Vernichtung von Daten 163
7.2.5.10 Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten 163
7.2.5.11 Einweisung aller Mitarbeiter über Methoden zur Löschung oder Vernichtung von Daten 164
7.2.5.12 Schutz vor unerwünschten Informationsabflüssen 164
7.2.5.13 Planung des Servereinsatzes 164
7.2.5.14 Planung des Einsatzes von Druckern, Kopierern und Multifunktionsgeräten 165
7.2.5.15 Test neuer Hard- und Software 166
7.2.5.16 Planung der Administration für Windows Server 2003 166
7.2.5.17 Planung des SAP-Einsatzes 167
7.2.5.18 Aussonderung von IT-Systemen 167
7.2.6 Sichere technische Infrastruktur 168
7.2.6.1 Entwicklung eines Konzepts für Sicherheitsgateways 168
7.2.6.2 Festlegung einer Policy für ein Sicherheitsgateway 169
7.2.6.3 Integration von Servern in das Sicherheitsgateway 170
7.2.6.4 Sicherer Betrieb eines Sicherheitsgateways 170
7.2.6.5 Entwicklung eines Netzmanagementkonzeptes 172
7.2.6.6 Sicherer Betrieb eines Netzmanagementsystems 172
7.2.6.7 Planung der Administration von Verzeichnisdiensten 173
7.2.6.8 Planung der Migration von Verzeichnisdiensten 174
7.2.6.9 Geregelte Außerbetriebnahme eines Verzeichnisdienstes 174
7.2.6.10 Trennung der Verwaltung von Diensten und Daten eines Active Directory 174
7.2.6.11 Schulung zur Administration von Verzeichnisdiensten 174
7.2.6.12 Sichere Installation von Verzeichnisdiensten 174
7.2.6.13 Sicherer Betrieb von Verzeichnisdiensten 175
7.2.6.14 Überwachung von Verzeichnisdiensten 175
7.2.6.15 Bereitstellung von sicheren Domänen-Controllern 175
7.2.6.16 Überwachung der Active Directory-Infrastruktur 175
7.2.6.17 Umsetzung sicherer Verwaltungsmethoden für Active Directory 176
7.2.6.18 Planung des VPN-Einsatzes 176
7.2.6.19 Planung der technischen VPN-Realisierung 176
7.2.6.20 Sicherer Betrieb eines VPNs 177
7.2.6.21 Sperrung nicht mehr benötigter VPN-Zugänge 177
7.2.6.22 Sichere Anbindung eines externen Netzes mit OpenVPN 177
7.2.6.23 Sichere Anbindung eines externen Netzes mit IPSec 178
7.2.6.24 Installation, Konfiguration und Betreuung eines WLANs durch Dritte 178
7.2.6.25 Sicherer Betrieb der WLAN-Komponenten 179
7.2.6.26 Entwurf eines NDS-Konzeptes 180
7.2.6.27 Anforderungen an ein Systemmanagementsystem 180
7.2.6.28 Sicherer Betrieb eines WWW-Servers 181
7.2.6.29 Schulung der Administratoren eines Samba-Servers 182
7.2.6.30 Sichere Grundkonfiguration eines Samba-Servers 182
7.2.6.31 MB Message Signing und Samba 182
7.2.6.32 Sicherer Betrieb eines Samba-Servers 182
7.2.6.33 Verhinderung ungesicherter Netzzugänge 182
7.2.6.34 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates 183
7.2.6.35 Software-Pflege auf Routern und Switches 184
7.2.6.36 Sichere Außerbetriebnahme von Routern und Switches 184
7.2.6.37 Sicherheitsgateways und Hochverfügbarkeit 185
7.2.6.38 Physikalisches Löschen der Datenträger vor und nach Verwendung 185
7.2.6.39 Schutz der Integrität der Index-Datenbank von Archivsystemen 185
7.2.6.40 Schadensmindernde Kabelführung 186
7.2.6.41 Verkabelung in Serverräumen 186
7.2.6.42 Deaktivieren nicht benötigter Netzdienste 186
7.2.6.43 Sensibilisierung der Mitarbeiter zum sicheren Umgang mit mobilen Datenträgern und Geräten 186
7.2.7 Regelmäßige Kontrollmaßnahmen 187
7.2.7.1 Kontrolle bestehender Verbindungen 187
7.2.7.2 Kontrolle der Protokolldateien 187
7.2.7.3 Kontrolle der Protokolldateien eines Datenbanksystems 188
7.2.7.4 Regelmäßige Kontrolle von Routern und Switches 188
7.2.7.5 Sicherer Betrieb eines Systemmanagementsystems 189
7.2.7.6 Regelmäßige Integritätsprüfung 191
7.2.7.7 Einsatz eines Protokollierungsservers in einem ­Sicherheitsgateway 192
7.2.7.8 Überwachung und Verwaltung von Speichersystemen 193
7.2.7.9 Regelmäßiger Sicherheitscheck des Netzes 193
7.2.7.10 Protokollierung am Server 194
7.2.7.11 Planung der Systemüberwachung unter Windows Server 2003 194
7.2.7.12 Durchführung von Notfallübungen 194
7.2.8 Datensicherung und Archivierung 195
7.2.8.1 Geeignete Lagerung von Archivmedien 195
7.2.8.2 Verwendung geeigneter Archivmedien 195
7.2.8.3 Protokollierung der Archivzugriffe 196
7.2.9 Schutz gegen Angriffe 196
7.2.9.1 Meldung von Computer-Virus-Infektionen 196
7.2.9.2 Aktualisierung der eingesetzten Computer-Viren-Suchprogramme 197
7.2.9.3 Regelungen zum Computer-Virenschutz 197
7.2.9.4 Vorbeugung gegen Trojanische Pferde 198
7.2.9.5 Vermeidung gefährlicher Dateiformate 199
7.2.9.6 Intrusion Detection- und Intrusion Response-Systeme 199
7.2.10 Dokumentation 199
7.2.10.1 Aktuelle Infrastruktur- und Baupläne 199
7.2.10.2 Neutrale Dokumentation in den Verteilern 200
7.2.10.3 Dokumentation der Systemkonfiguration 200
7.2.10.4 Dokumentation der zugelassenen Benutzer und Rechteprofile 200
7.2.10.5 Dokumentation der Veränderungen an einem bestehenden System 201
7.2.10.6 Bereithalten von Handbüchern 201
7.2.10.7 Ist-Aufnahme der aktuellen Netzsituation 201
7.2.10.8 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen 203
7.2.10.9 Dokumentation der Systemkonfiguration von Routern und Switches 203
7.2.10.10 Dokumentation und Kennzeichnung der Verkabelung 204
7.2.10.11 Laufende Fortschreibung und Revision der Netzdokumentation 205
7.2.10.12 Übersicht über Netzdienste 205
7.2.11 Schulung und Training 205
7.2.11.1 Betreuung und Beratung von IT-Benutzern 205
7.2.11.2 Schulung des Wartungs- und Administrationspersonals 205
7.2.11.3 Einweisung der Benutzer in die Bedienung des Archivsystems 206
7.2.11.4 Schulung der Administratoren des Sicherheitsgateways 207
7.2.12 Ergänzende allgemeine Sicherheitsrichtlinien 207
7.2.12.1 Der aufgeräumte Arbeitsplatz 207
7.2.12.2 Konzeption der sicheren E-Mail-Nutzung 207
7.2.12.3 Regelung für den Einsatz von E-Mail 208
7.2.12.4 Bildschirmsperre 209
8: IT-Systeme 210
8.1 Regelungsziele nach COBIT 210
8.1.1 Planung & Organisation
8.1.2 Akquisition & Implementierung
8.1.3 Delivery & Support
8.1.4 Monitoring 217
8.2 Vorschlag für eine Richtlinie zu IT-Systemen 218
8.2.1 Vorbemerkung und Einführung 218
8.2.2 Allgemeine Sicherheitsrichtlinien 219
8.2.3 User-Management 221
8.2.4 Server 223
8.2.5 Client 225
8.2.6 Mobile Systeme 226
8.2.7 Externer Zugang 227
8.2.8 Lotus Notes/Domino 228
8.2.9 Webserver 231
8.2.10 Novell 232
8.2.11 Windows XP 235
8.2.12 Windows 239
8.2.12.1 Geeignete Auswahl einer Windows-Version 239
8.2.12.2 Einsatz von Windows auf mobilen Rechnern 239
8.2.12.3 Einführung von Windows Service Pack 239
8.2.12.4 Einsatz von BitLocker Drive Encryption 240
8.2.12.5 Einsatz von Windows Vista File und Registry Virtualization 240
8.2.12.6 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista 240
8.2.12.7 Einsatz der Windows Vista-Benutzerkontensteuerung – UAC 240
8.2.13 Windows Server 2003 240
8.2.14 Unix 243
8.2.15 Aktive Netzwerkkomponenten 245
8.2.16 Paketfilter & Proxy
8.2.17 Datenbanken 252
8.2.18 SAP 253
8.2.19 Drucker 256
8.2.20 Samba 256
8.2.20.1 Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server 256
8.2.21 Verzeichnisdienst 257
8.2.21.1 Geeignete Auswahl von Komponenten für Verzeichnisdienste 257
8.2.21.2 Planung der Partitionierung und Replikation im Verzeichnisdienst 257
8.2.21.3 Schutz der Authentisierung beim Einsatz von Active Directory 258
8.2.21.4 Sicherer Einsatz von DNS für Active Directory 258
8.2.21.5 Computer-Viren-Schutz für Domänen-Controller 258
8.2.21.6 Sichere Konfiguration von Verzeichnisdiensten 258
8.2.21.7 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste 258
8.2.21.8 Sichere Richtlinieneinstellungen für Domänen und Domänen-Controller 259
8.2.21.9 Aufrechterhaltung der Betriebssicherheit von Active Directory 259
8.2.21.10 Absicherung der Kommunikation mit Verzeichnisdiensten 259
8.2.22 VPN 259
8.2.22.1 Geeignete Auswahl von VPN-Produkten 259
8.2.22.2 Sichere Installation von VPN-Endgeräten 260
8.2.22.3 Sichere Konfiguration eines VPNs 260
8.3 Vertiefende Detailregelungen in Arbeitsanweisungen 260
9: Verankerung der IT-Sicherheit in der Organisation 267
9.1 Regelungsziele nach COBIT 267
9.1.1 Planung und Organisation 268
9.1.2 Delivery & Support
9.2 Vorschlag für eine Richtlinie zur IT-Organisation 270
9.2.1 Schulung und Training 270
9.2.1.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter 270
9.2.1.2 Schulung vor Programmnutzung 271
9.2.1.3 Schulung zu IT-Sicherheitsmaßnahmen 271
9.2.1.4 Einweisung des Personals in den sicheren Umgang mit IT 271
9.2.1.5 Regelungen für den Einsatz von Fremdpersonal 272
9.2.1.6 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern 272
9.2.1.7 Beaufsichtigung oder Begleitung von Fremdpersonen 273
10: Service-Management 274
10.1 Regelungsziele nach COBIT 274
10.1.1 Planung und Organisation 275
10.1.2 Akquisition und Implementierung 277
10.1.3 Delivery & Support
10.2 Vorschlag für eine Service-Management-Richtlinie 286
10.2.1 Vorbemerkung und Einführung 286
10.2.1.1 Zweck 286
10.2.1.2 Grundlage 287
10.2.1.3 Gegenstand und Umfang 287
10.2.1.4 Verantwortlichkeiten für diese Richtlinie 287
10.2.2 Incident-Management 287
10.2.2.1 Anforderungen 288
10.2.2.2 Dokumentation 289
10.2.2.3 Kommunikation 289
10.2.2.4 Major Incidents und Katastrophenfälle 290
10.2.2.5 Rollen 290
10.2.3 Problem-Management 290
10.2.3.1 Anforderungen 290
10.2.3.2 Rollen 291
10.2.3.3 Problemaufnahme 292
10.2.3.4 Known Errors 292
10.2.3.5 Problemlösung 292
10.2.3.6 Kommunikation 293
10.2.3.7 Problemverfolgung und -eskalation 293
10.2.3.8 Schließen von Tickets 293
10.2.3.9 Problem-Management-Audit 294
10.2.3.10 Problemvermeidung 294
10.2.4 Change-Management 295
10.2.4.1 Anforderungen 295
10.2.4.2 Rollen 297
10.2.4.3 Kommunikation 298
10.2.4.4 Planung und Implementierung 298
10.2.4.5 Changemanagement und Projekte 300
10.2.4.6 Schließen von Änderungsanträgen 301
10.2.4.7 Emergency Changes 301
10.2.4.8 Changemanagement-Audit und Berichtswesen 302
10.2.5 Release-Management 303
10.2.5.1 Anforderungen 303
10.2.5.2 Rollen 304
10.2.5.3 Kommunikation 304
10.2.5.4 Releaseplanung 305
10.2.5.5 Releaseerstellung (design, build, configure) 306
10.2.5.6 Freigabe 307
10.2.5.7 Verteilung und Installation (roll out, distribution, installation) 307
10.2.5.8 Dokumentation 308
10.2.5.9 Schließen von Release 309
10.2.5.10 Emergency Release 309
10.2.6 Configuration-Management 309
10.2.6.1 Anforderungen 309
10.2.6.2 Rollen 311
10.2.6.3 Einrichtung des Configuration-Managements 311
10.2.6.4 Objekte des Configuration-Managements 312
10.2.6.5 Soll-Ist-Abgleich 316
10.2.6.6 Configuration-Management-Revision und Berichtswesen 317
11: IT Continuity-Planung 319
11.1 Regelungsziele nach COBIT 319
11.1.1 Planung und Organisation 320
11.1.2 Delivery & Support
11.2 Vorschlag für eine IT Continuity-Richtlinie 322
11.2.1 Grundlegende Maßnahmen zur IT Continuity-Planung 322
11.2.1.1 Aufbau einer geeigneten Organisationsstruktur für das Notfallmanagement 322
11.2.1.2 Erstellung eines Notfallkonzepts 323
11.2.1.3 Integration von Notfallmanagement in organisationsweite Abläufe und Prozesse 323
11.2.1.4 Tests und Notfallübungen 323
11.2.1.5 Überprüfung und Aufrechterhaltung der Notfallmaßnahmen 324
11.2.1.6 Dokumentation im Notfallmanagement-Prozess 324
11.2.1.7 Überprüfung und Steuerung des Notfallmanagementsystems 325
11.2.1.8 Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen 325
11.2.1.9 Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen 326
11.2.1.10 Einrichtung einer zentralen Kontaktstelle für die Meldung von Sicherheitsvorfällen 326
11.2.1.11 Schulung der Mitarbeiter des Service Desks zur Behandlung von Sicherheitsvorfällen 326
11.2.1.12 Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen 327
11.2.1.13 Notfallplan für den Ausfall eines VPNs 327
11.2.2 Ziele der IT Continuity-Planung 327
11.2.3 Abgrenzung 328
11.2.3.1 Business Continuity-Planung 328
11.2.3.2 Krisen-Management 329
11.2.3.3 Disaster Recovery-Planung 329
11.2.3.4 Business Resumption-Planung 329
11.2.4 Gegenstand dieser Richtlinie 329
11.2.4.1 Kriterien der Planung 329
11.2.4.2 Zweck und Ziel 330
11.2.4.3 Voraussetzungen 330
11.2.5 Planung der IT Continuity 331
11.2.5.1 Verantwortlichkeit 331
11.2.5.2 Review 331
11.2.5.3 Maintenance 331
11.2.5.4 Verteilung 331
11.2.6 Contingency-Management 332
11.2.7 Prozesse der IT Continuity 332
11.2.7.1 IT Continuity-Planungsprozess 332
11.2.7.2 IT Continuity Change-Prozess 332
11.2.7.3 IT Continuity Review-Prozess 333
11.2.7.4 IT Continuity Trainings- und Verifikationsprozess 333
11.2.7.5 IT Continuity-Wiederherstellungsprozess (Disaster Recovery) 333
11.2.8 Organisation der IT Continuity 333
11.2.8.1 Disaster Recovery Management-Team 333
11.2.8.2 Disaster Recovery Action-Team 334
11.2.8.3 Application Recovery-Teams 334
11.2.9 Umgebungswiederherstellung 335
11.2.9.1 Wiederherstellung von Standorten 335
11.2.9.2 Wiederherstellung der Netzwerke 336
11.2.9.3 Wiederherstellung der Hardware 336
11.2.9.4 Wiederherstellung der Software 337
11.2.9.5 Wiederherstellung von Applikationsdaten 338
11.2.9.6 Wiederherstellung der Monitoring-Plattformen 339
11.2.10 Funktionale Wiederherstellung 339
11.2.10.1 Business Resumption Plans 339
11.2.10.2 Daten-Synchronisation – Backlog Processing 339
11.2.10.3 Wiederaufnahme der Geschäftsfunktionen 339
11.2.10.4 Verlegung zum Übergangsstandort 339
11.2.10.5 Rückverlegung zum Heimatstandort 340
Stichwortverzeichnis 342