IT Security Management: ITIL zeigt gangbare Wege auf

Wie setzt man für Unternehmen eine durchdachte Sicherheitsstrategie auf, die internationalen Maßstäben entspricht? IT Security Management System auf Basis von ITIL bietet sich dafür an. ZDNet zeigt, wie Firmen es etablieren können.

Als ob man nicht schon genug damit zu tun hätte, alle Unternehmensdaten elektronisch zu speichern, für Backup und Restore zu sorgen gegen Viren, Würmer oder Trojaner und mit den Tücken von Patches, Hotfixes und Updates zu kämpfen. Jetzt soll das alles auch noch standardisiert und dokumentiert werden, um ständig steigenden Sicherheitsanforderungen gerecht zu werden. Muss das sein?

Wahrscheinlich schon, denn was zunächst einmal mehr Arbeit verursacht, hilft IT-Abteilungen mittelfristig, sich so zu strukturieren, dass sie endlich wieder den Wald und nicht mehr nur lauter Bäume sehen - wie das nach übereinstimmender Aussage mehrerer Marktforscher^[1] heute überwiegend der Fall ist.

Ausgehend von Großunternehmen hat sich als Richtschnur für die Neustrukturierung die Best-Practice-Sammlung ITIL^[2] durchgesetzt. Letztendlich ist sie zwar in weiten Bereichen nicht viel mehr als eine Zusammenfassung dessen, was der gesunde Menschenverstand auch sagen würde. Dass manche Berater und Anbieter versuchen, daraus mit verschraubten Sätzen und unklaren Marketingphrasen wieder ein Buch mit sieben Siegeln und eine Art Geheimwissenschaft zu machen, gehört zu deren Geschäft: Was kompliziert klingt, lässt sich eben immer noch teurer verkaufen.

Nichtsdestotrotz hilft ITIL IT-Verantwortlichen, Vorgehen und Maßnahmen aufeinander abzustimmen, ohne dabei das Gesamtkonzept aus den Augen zu verlieren. Nicht zu unterschätzen ist auch, dass ITIL Begriffe und Methoden definiert, über die dann zwischen IT, Fachabteilungen und Management so gesprochen werden kann, dass man sich auch versteht - gerade auch beim oft emotional diskutierten Thema IT-Sicherheit.

IT Security Management im Rahmen von ITIL umfasst grundlegende Fragen wie die Absicherung von Unternehmensinformationen oder deren Nutzung durch Mitarbeiter, die in verschiedenen Standorten arbeiten und unterschiedliche Zugriffsrechte haben. Auch muss sichergestellt sein, dass gesetzliche Bestimmungen und verschiedene branchen- oder geschäftsspezifische Richtlinien eingehalten werden. Diese sorgen dafür, dass beispielsweise persönliche Mitarbeiterdaten vor Missbrauch geschützt oder Informationen transparent und sicher aufbewahrt werden.

IT-Verantwortliche sind dazu gefordert, ein umfassendes Security Management in Unternehmen zu implementieren. Dazu gehören die Definition von Sicherheitszielen, Richtlinien, Maßnahmen, Prozessen sowie deren Umsetzung. Ziel ist es, Schwachstellen bereits im Vorfeld zu erkennen - und nicht erst, wenn ein Schaden aufgetreten ist.

Eine gut durchdachte Sicherheitsstrategie legt genau fest, was wann in welcher Situation zu tun ist. Sehr effizient ist solch ein IT-Security-Management-System (ISMS^[3]), wenn es auf ITIL beruht und Normen wie ISO 20000^[4] und ISO 20001^[5] erfüllt. ZDNet erklärt die Grundzüge und was bei der Planung zu beachten ist. ITIL ist kein Standard im eigentlichen Sinne, sondern eine international etablierte Verfahrenssammlung, die für die Praxis Beispiele (Best Practices) zur Prozessoptimierung in Unternehmen bereitstellt. Ziel von ITIL ist die Konzentration des IT Service auf die bestmögliche Unterstützung der Geschäftsprozesse. Um dies zu erreichen, will ITIL die Basis für sichere, verfügbare und integre IT-Dienstleistungen schaffen, die in Service Level Agreements punktgenau verhandelt werden können. Daher sind ITIL und IT Security untrennbar miteinander verbunden.

ITIL baut IT-Sicherheit wesentlich stärker in Prozessabläufe ein als andere Modelle und zeigt auf, wie sich Security Management in ein professionelles IT Service Management integrieren lässt. Mit Hilfe von ITIL werden alle Informationen der Organisation bewertet, Risiken eingeschätzt, geeignete Sicherheitsrichtlinien und -maßnahmen festgelegt sowie der gesamte Sicherheitsprozess gesteuert. Dieser ist durch permanente Kontrolle und Verbesserung bestimmt.

Der ITIL-Security-Management-Prozess beschreibt die strukturierte Einführung von Sicherheit in allen Bereichen einer Organisation. Er basiert auf den Standards ISO 27002^[6], ISO 27001 sowie ISO 20000 und orientiert sich an Unternehmenszielen, vorhandenen Strukturen eines Unternehmens sowie bestehender IT-Infrastruktur. IT-Sicherheit wird dabei als die Implementierung von Schutzmaßnahmen zur Sicherstellung fortgesetzter IT-Services innerhalb sicherer Parameter definiert. Ein grundlegender Aspekt von IT-Sicherheit ist die Informationssicherheit. Sie setzt sich aus Vertraulichkeit, Integrität und Verfügbarkeit zusammen. Was aber versteht ITIL unter diesen drei Begriffen genau?

• Vertraulichkeit (confidentiality): Daten dürfen lediglich von autorisierten Benutzern gelesen beziehungsweise modifiziert werden. Dies gilt sowohl beim Zugriff auf gespeicherte Daten als auch während der Datenübertragung.
• Integrität (integrity): Daten dürfen nicht unbemerkt verändert werden beziehungsweise alle Änderungen müssen nachvollziehbar sein.
• Verfügbarkeit (availability): Verhindern von Systemausfällen. Zugriff auf Daten und unerlässliche IT-Services muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.

Weitere Aspekte der Informationssicherheit sind Privatsphäre beziehungsweise Anonymität (Schutz personenbezogener Daten), Authentizität (Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein) sowie Verbindlichkeit und Nachvollziehbarkeit (Urheber von Veränderungen müssen erkennbar sein und dürfen Veränderung nicht abstreiten können).

Security Management nach ITIL verfolgt grundsätzlich zwei Ziele: zum einen die Realisierung der im Service Level Agreement (SLA) definierten Sicherheitsanforderungen oder von Vorgaben, die in unterstützenden Verträgen, Gesetzen sowie internen oder externen Richtlinien spezifiziert wurden, zum anderen die Realisierung einer Basisstufe von Sicherheit, die für das Fortbestehen der Organisation notwendig ist. Dazu gehören geeignete Sicherheitstechniken (zum Beispiel Firewall, Zugriffschutz, Intrusion Detection) sowie Vorsorgemaßnahmen zur möglichst reibungslosen Wiederaufnahme des Geschäftsbetriebs nach Störungen.

Der Security Management-Prozess basiert auf den in den SLAs beschriebenen Anforderungen. Diese geben als Key-Performance-Indikatoren (KPI^[7]) beziehungsweise Schlüsselkennzahlen Aufschluss über die Einhaltung von SLAs sowie Abweichungen von den Anforderungen. Beispiele für KPIs, die gemessen werden können, sind eine (gesunkene) Zahl von sicherheitsbezogenen Serviceanfragen oder Fixes oder eine (geringere) Anzahl von Systemausfällen als Folge von Sicherheitsvorfällen.

Der ITIL-Security-Management-Prozess beruht auf den drei ISO-Standards 20000, 27001 und 27002. ISO 20000 ist ein international anerkannter Standard für das IT Service Management^[8]. Er spezifiziert die notwendigen Mindestanforderungen an Prozesse, die eine Organisation einrichten muss, um IT-Services in definierter Qualität für interne und externe Kunden erbringen zu können. ISO 20000 und ITIL stehen nicht in Konkurrenz oder im Widerspruch zueinander, sondern ergänzen sich gegenseitig.

IT Security Management ist in ITIL eine eigene Disziplin außerhalb des IT Service Management. ISO 20000 enthält nur allgemeine Vorgaben für die Einrichtung eines IT-Sicherheitsmanagements. Für die Zertifizierung des IT Security Management wurde daher mit ISO 27001eine eigene Norm geschaffen.

Die internationale Norm ISO/IEC 27001 spezifiziert die Anforderungen für geeignete Sicherheitsmechanismen zum Schutz sämtlicher Werte in der IT. Sie berücksichtigt Sicherheitsrisiken innerhalb der einzelnen Organisation (Unternehmen, staatliche Organisationen, Non Profit-Organisationen) und formuliert Grundsätze zu Implementierung, Betrieb, Überwachung, Wartung und Verbesserung eines Information-Security-Management-Systems.

Der internationale Standard ISO 27002 enthält verschiedene Kontrollmechanismen für die Informationssicherheit. Ähnlich ITIL handelt es sich dabei um einen "Best Practice"-Ansatz, also eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis. Eine Zertifizierung nach ISO 27002 ist daher grundsätzlich nicht möglich. Der Standard überwacht unter anderen Weisungen und Richtlinien zur Informationssicherheit, die Organisation der Sicherheitsmaßnahmen, Zugriffskontrolle, Systementwicklung und Wartung, den Umgang mit Sicherheitsvorfällen oder den Notfallvorsorgeplan (Business Continuity Management). ITIL gliedert Informationssicherheit in die vier Bereiche Richtlinien (Gesamtziele einer Organisation), Prozesse (wie erreicht sie diese Ziele), Vorgehensweise (wer macht was und wann, um die Ziele zu erreichen) sowie Arbeitsanweisungen für konkrete Aktionen. Dabei ist Informationssicherheit als ein komplett zyklischer Prozess mit kontinuierlicher Überprüfung und Verbesserung definiert. Dieser Prozess läuft idealtypisch in sieben Schritten ab.

1. Über eine Analyse der Risiken (zum Beispiel Softwarefehler, Betriebsfehler, Kommunikation unterbrochen, Wahrscheinlichkeit des Auftretens, potenzieller Einfluss auf Business, vergangene Erfahrungen) identifizieren die IT-Kunden ihre Sicherheitsanforderungen.
2. Die IT-Abteilung prüft die Machbarkeit dieser Anforderungen und vergleicht sie mit den in der Organisation festgesetzten Minimalrichtlinien für Informationssicherheit.
3. Der Kunde - sei er nun intern oder extern - und die IT-Abteilung verhandeln und erarbeiten ein Service Level Agreement (SLA). Dieses definiert Anforderungen an Informationssicherheit in messbaren Größen und legt genau fest, wie diese überprüfbar erreicht werden sollen.
4. Die IT-Organisation definiert Operational Level Agreements (OLA), die detailliert beschreiben, wie sie die Services für Informationssicherheit bereitstellt.
5. Die SLAs und OLAs werden implementiert und überwacht.
6. Die Kunden erhalten regelmäßig Berichte über die Effektivität und den aktuellen Status der Services, die die Informationssicherheit garantieren sollen.
7. SLAs and OLAs werden überarbeitet, falls es notwendig sein sollte.

Wichtig dabei: IT Security Management ist Chefsache. Die Entscheidung, ob, wie und zu welchen Kosten derartige Prozesse im Unternehmen eingeführt werden, setzt eine Abstimmung und Zustimmung mit der beziehungsweise durch die Geschäftsführung voraus. Das Senior Management sollte die Sicherheitsstrategie definieren, nach innen und außen kommunizieren und für die effektive Implementierung sorgen. Zudem ist es Aufgabe des Managements, die Rollen und Zuständigkeiten für Secuity Management zu definieren und zu verteilen.

Eine vorher festgelegte Managergruppe muss die Effizienz der Sicherheitsmaßnahmen kontinuierlich überwachen, um deren Effektivität und Effizienz fortwährend zu bewerten und eine Grundlage für Anpassungen und weitere Maßnahmen zu erhalten. Wichtig dabei sind die Dokumentation und das regelmäßige Reporting: Damit erhält das Management Informationen über die Wirksamkeit der Sicherheitsmaßnahmen, Trends bei Sicherheitsvorfällen und Anregungen für mögliche Verbesserungen. Informationssicherheit wird zu oft als Kostenfaktor oder Behinderung für Businessfunktionen wahrgenommen. Mit ITIL setzen sich Business-Verantwortliche und IT-Leute an einen Tisch, um die Services für Informationssicherheit festzulegen. Das stellt sicher, dass die Services mit den Geschäftszielen auf einer Linie liegen.

ITIL ermöglicht Organisationen, Informationssicherheit auf Grundlage von Best Practices strukturiert zu entwickeln und zu implementieren. Die für Sicherheit zuständigen Mitarbeiter der IT-Abteilung können damit planvoller arbeiten. Da ITIL zudem die Rollen und Verantwortlichkeiten für Informationssicherheit klar definiert, steht während eines Zwischenfalls sofort fest, wer zuständig ist.

ITIL etabliert dokumentierte Standards und Prozesse (zum Beispiel SLAs und OLAs), die sich überwachen lassen, und fordert regelmäßig Reports ein. Daher ist das Management sehr gut über die Effizienz der Sicherheitsprogramme informiert und kann fundierte Entscheidungen treffen. Da ITIL eine ständige Überprüfung erfordert, ist dafür gesorgt, dass getroffene Maßnahmen zur Informationssicherheit effektiv bleiben - selbst wenn sich Anforderungen, Umgebungen oder Bedrohungen ändern.

Das ITIL-Regelwerk verhindert zudem die übereilte, unorganisierte Einführung von IT-Security-Maßnahmen, da es eine konsistente, messbare Strategie erfordert. "Feuerwehreinsätze" nach Sicherheitsvorfällen sind damit Vergangenheit. Das spart Zeit und Geld.

URLs in diesem Artikel:
[1] = http://www.zdnet.de/itmanager/strategie/0,39023331,39198987-2,00.htm
[2] = http://www.itil-officialsite.com/home/home.asp
[3] = http://de.wikipedia.org/wiki/ISMS
[4] = http://de.wikipedia.org/wiki/ISO_20000
[5] = http://de.wikipedia.org/wiki/ISO_27001
[6] = http://de.wikipedia.org/wiki/ISO_27002
[7] = http://de.wikipedia.org/wiki/Key_Performance_Indicator
[8] = http://www.zdnet.de/itmanager/strategie/0,39023331,39198987,00.htm