Home / Aktuelles & Termine / it.sec blog

In diesem Beitrag werden fünf in der Praxis oft anzutreffende Fallstricke benannt, die bei einem Aufbau eines Informations-Sicherheits-Management-Systems (ISMS) einer kritischen Infrastruktur besser vermieden werden sollten.

Fehler Nr. 1: Das ISMS falsch ausrichten

Noch vor Inkrafttreten des IT-Sicherheitsgesetzes wurden insbesondere im Energiesektor zahlreiche Projekte ausgeschrieben, die faktisch zu einem ISMS führen, das nur bedingt mit dem IT-Sicherheitskatalog der Bundesnetzagentur im Einklang steht.

Hier ist der Fehler, zu Beginn eines ISMS-Projekts nicht präzise erhoben zu haben, welche Anforderungen tatsächlich zu erfüllen sind. Das ISMS ist jedoch nur so passgenau, wie in seiner Spezifikation angelegt. Eine fehlerhafte Spezifikation verschlingt unnötig viele Ressourcen. Ein ISMS ist ein fortlaufender Prozess und kein irgendwann mal abgeschlossenes Projekt.

Fehler Nr. 2: Das ISMS falsch steuern

Die Zielgenauigkeit und Wirksamkeit eines ISMS hängt maßgeblich davon ab, ob im Rahmen der Risikoanalyse die richtigen Risiken erkannt und anschließend verantwortungsgerecht behandelt werden. In der Praxis ist jedoch ausgerechnet die Risikoanalyse oft das ungeliebte Stiefkind:

  • Hier werden entweder solche Methoden verwendet, die ein bereits vorhandenes oder billig erwerbbares Tool unterstützt, unabhängig davon, ob das wirklich zu dem Kontext der kritischen Infrastruktur passt.
  • Oder es werden ausschließlich vordefinierte Gefährdungskataloge eingesetzt, ohne zu prüfen, ob kontextbezogen ggf. eine andere Gefährdung zusätzlich bzw. vorrangig betrachtet werden sollte.

Hier ist der Fehler, dass eine Risikoanalyse als lästige Übung angesehen wird. Ein ISMS wird aber tatsächlich im Wesentlichen über eine adäquate Betrachtung der Risiken gesteuert.

Fehler Nr. 3: Den falschen IT-Sicherheitsbeauftragten einsetzen

Die Güte eines ISMS steht und fällt in der Praxis mit dem IT-Sicherheitsbeauftragten bzw. Informations-Sicherheitsbeauftragten (SiBe). Doch gerade bei der Besetzung dieser Funktion werden besonders viele Zugeständnisse zugunsten des operativen Geschäfts gemacht oder Funktionsträger faktisch in operative Interessenskonflikte gebracht.

Hier ist der Fehler, die Aufgaben des SiBe zu unterschätzen. Die tatsächlich geforderte Aufgabenvielfalt erfordert erfahrene und für Informationssicherheit ausdrücklich ausgewiesene Spezialisten. Und die findet man oft nur bei externen Beratungshäusern.

Fehler Nr. 4: Die falschen Dinge regeln

Wohlklingende Regelungen in Sicherheitskonzepten oder Organisationsrichtlinien sind nutzlos, wenn diese nicht der Praxis entsprechen und/oder nicht effizient überprüfbar sind. Bei einem ISMS werden Schutzvorkehrungen im Rahmen der Risikobehandlung festgelegt. Simplifizierte Musterpolicies oder Dokumentationen „von der Stange“ helfen daher ebenso wenig, wie Regelungen, die für den Anwender nicht klar verständlich sind oder in der Praxis nicht umgesetzt werden.

Hier ist der Fehler, die organisatorischen Vorgaben als Zielsetzung und nicht als Beschreibung der Umsetzung anzusehen. Solche Inkonsistenzen führen in der Praxis dazu, dass vorgesehene Maßnahmen wirkungslos sind und der Eindruck entsteht, dass ja schon das Wesentliche mit der Festlegung des Ziels bei einem ISMS gemacht sei.

Fehler Nr. 5: Sicherheitsvorfälle falsch adressieren

Der Schutz kritischer Infrastrukturen hängt oft empfindlich vom Aufbau eines wirksamen Security Incident Response Managements ab. Dabei ist sowohl wichtig, wie man entsprechende Vorfälle einstufen und dementsprechend behandeln sollte als auch wie man aufgestellt sein muss, um mit Vorfällen adäquat umgehen zu können (Incident Response Readiness).

Hier ist der Fehler, das Vorfallmanagement erst damit beginnen zu lassen, wenn und wie ein Vorfall gemeldet wird. Im Zuge eines konsequenten Incident Response Managements ist dafür zu sorgen, dass nach einer Ausnahmeregelung wieder geordnet in den Regelbetrieb übergegangen wird.

Bernhard C. Witt

Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit

bcwitt@it-sec.de

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 26 DSGVO Art. 32 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Betroffenenrechte BfDI BGH Bußgeld CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzverletzung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung Facebook Fahrzeugdaten Fahrzeuge Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Konzern konzerninterner Datentransfer Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine One Stop Shop Passwörter. 2016 Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediengesetz Tracking Tracking Tools Übermittlung personenbezogener Daten Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 42a BDSG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30