Organisation der Informationssicherheit mit DocSetMinder®
Die hohen Anforderungen der ISMS-Standards, insbesondere der Norm ISO/IEC 27001 und der BSI Standards 200-x, an die Dokumentation sowie fachlich-inhaltliche Unterstützung während der Planung, Umsetzung und Aufrechterhaltung der Sicherheitsmaßnahmen können nur bedingt und sehr aufwendig mit Office-Anwendungen realisiert werden. In Abhängigkeit von den eingesetzten Modulen liefert die Compliance Management-Software DocSetMinder® die notwendigen standardbedingten Softwarefunktionen, mit denen die Implementierung eines normkonformen Sicherheitsprozesses von der Planung über die Umsetzung und Dokumentation bis hin zum Audit effizient unterstützt wird. DocSetMinder® setzt mit dem Modul „BSI IT-Grundschutz“ konsequent alle Anforderungen und die Methodik der BSI Standards 200-2/200-3 um. Kern des Moduls ist das Schichtenmodell des IT-Grundschutz-Kompendiums, welches die Modellierung der prozess- und systemorientierten Bausteine detailliert abbildet. Das Schichtenmodell kann individuell erweitert werden. Während der Modellierung der einzelnen Schichten und Zielobjekte werden die entsprechenden Bausteine automatisch vorgeschlagen. Bausteine, die bereits bei Zielobjekten gleicher Art verwendet wurden, können optional übernommen werden. Der festgestellte Schutzbedarf kann gemäß den BSI-Methoden auf die untergeordneten Schichten vererbt werden. Die Abhängigkeiten zwischen den Zielobjekten in unterschiedlichen Schichten können automatisch grafisch dargestellt werden. Der Ausfall von Zielobjekten wie z. B. Storages und deren Auswirkung auf die kritischen Dienstleistungen lassen sich simulieren. Die in den prozessorientierten Bausteinen (ISMS, ORP, CON, OPS, DER) gestellten Sicherheitsanforderungen können in Form von Richtlinien, Prozessen, Verfahren und Konzepten mit dem integrierten Texteditor und Flowcharter detailliert beschrieben werden. Das vom BSI empfohlene Rollenkonzept kann inkl. Stellenbeschreibungen und Anforderungsprofile an die Mitarbeiterqualifikation umgesetzt werden. Die identifizierten rechtlichen Rahmenbedingungen werden im integrierten Rechtskataster mit den betriebsrelevanten Rechtspflichten dokumentiert. Die Umsetzungsnachweise für die Umsetzung der systemorientierten Bausteine (APP, SYS, NET, INF, IND) werden direkt in den den Zielobjekten zugeordneten Sicherheitsanforderungen dokumentiert. Das Modul „ISO/IEC 27001“ bildet die High Level Structure der ISO-Welt ab und fordert somit den prozessorientierten Ansatz im PDCA-Zyklus. Ergänzend stehen in den Stammdaten von DocSetMinder® diverse Gefährdungs- und Maßnahmenkataloge zur Verfügung. Dazu gehören vor allem die Maßnahmen aus dem Annex A der ISO/IEC 27001, optional die Maßnahmen der ISO 27019 und der BSI-Grundschutz-Kataloge. Eine individuelle Erweiterung der Gefährdungs- und Maßnahmenkataloge ist jederzeit möglich. Die Maßnahmen aus dem Annex A und der ISO 27019 werden u. a. bei der automatischen Erstellung der Anwendbarkeitserklärung (SoA), der Projektplanung (Umsetzungsstatus der Maßnahmen und Verantwortlichkeiten) und Planung der internen Audits verwendet. Das ISMS-Projektteam kann zwischen zwei Umsetzungsmethoden wählen: ISO/IEC 27001 „nativ“ oder unter Einbeziehung einiger Aspekte des BSI-IT-Grundschutzes, wie z. B. Schutzbedarfsfeststellung und -vererbung. Alternativ kann das Modul „BSI IT-Grundschutz“ verwendet werden.
Netzwerkmanagement mit SCUDOS
Die SCUDOS-Plattform ist eine adaptive Sicherheitsmanagementlösung für Netzwerkinfrastruktur und eine ideale Ergänzung für DocSetMinder®. Durch Einsatz von agentenlosen Mapping- und Fingerprinting-Techniken wird das Netzwerk vollständig gescannt und seine Topologie mit den inventarisierten IT-Komponenten in Echtzeit dargestellt (Netzplan). Mit Hilfe von SCUDOS-Plattform-APIs werden die eingesetzten IOT, POC-Systeme, Industriesensoren sowie BYOD ebenfalls erfasst und sichtbar gemacht. Die damit erreichte Transparenz liefert die notwendigen Informationen für die Durchführung der Strukturanalyse als Ausgangspunkt jedes IT-Sicherheitskonzeptes. Gleichzeitig deckt sie den Einsatz von nicht autorisierten Geräten auf und verhindert unbefugten Zugriff auf die Netzwerkinfrastruktur mithilfe von Whitelisting. Die automatischen Bedrohungsabwehrmechanismen initiieren proaktive Sicherheitsmaßnahmen, indem z. B. ein Gerät vom Netzwerk getrennt oder in die Quarantäne vorschoben wird. Die SCUDOS-Plattform kombiniert Netzwerkzugangskontrolle mit Geräteinventarisierung sowie Risikobewertung mit der Orchestrierung von Sicherheitsvorfällen und wandelt so traditionelle Netzwerke in transparente und hochsichere IT-Infrastrukturen um. SCUDOS mit seinen Softwarefunktionen erfüllt diverse Sicherheitsanforderung des BSI IT-Grundschutzes (u. a.: DER.1.A1, DER.1.A5, DER.1.A8, NET.1.1, NET.1.2, NET.3.1, IND.1, IND.2.1 etc.) und der ISO/IEC 27001 (u. a.: A.8.1.1, A.8.1.2, A.9.1.2, A.12.6.1).
Schulung und Awareness mit Layer8
Bei der Implementierung der Informationssicherheit einer Institution muss der Faktor Mensch kritisch betrachtet werden. Der BSI IT-Grundschutz spezifiziert eine Reihe von Sicherheitsanforderungen, die sich mit der Sensibilisierung und Schulung der Mitarbeiter zur Informationssicherheit befassen (u.a.: ISMS.1.A14, ORP.2.A9, ORP.3, DER.1.A4, DER.2.1.A15, APP.5.1.A12, APP.5.2.A14). Vergleichbar behandelt die Norm ISO/IEC 27001 das Thema (u. a.: NK 7.3 Bewusstsein und A.7.2.1). Die genannten Maßnahmen fordern geplante, themenbezogene und regelmäßige Schulungen von Mitarbeitern sowie einen entsprechenden Nachweis über deren Durchführung. Bei einem Unternehmen mit mehreren hundert oder tausend Mitarbeitern können durch diese Sicherheitsanforderungen erhebliche Kosten entstehen. Hierbei sind nicht nur die Kosten für die Schulung der Mitarbeiter zu betrachten, sondern ebenso der Produktivitätsverlust, der durch die kontinuierlichen Schulungen entsteht. Die innovative Security-Awareness-Plattform Layer8 bietet Ihnen die Möglichkeit, vielfältige Security-Awareness-Trainings und Phishing-Simulationen durchzuführen. Mithilfe von diversen Schulungsvideos zu aktuellen Themen (u. a.: Datenschutz, QR-Codes, USB-Geräte, sichere Passwörter, Virenschutz, aufgeräumter Arbeitsplatz, Fake E-Mails etc.) und interaktiven Schulungskampagnen (online) wird den Mitarbeitern das notwendige Wissen vermittelt. Die Schulungen können langfristig unter Berücksichtigung der Sicherheitsanforderungen und der Kosten geplant werden. Die auf den Warnungen des BSI basierenden Phishing-Templates ermöglichen realistische Simulationen, um die Beschäftigten auf diese Angriffe vorzubereiten. Durch die Kombination aus Schulung, Sensibilisierung und Auswertung kann ein tagesaktuelles Bild über das Sicherheitsbewusstsein der Mitarbeiter einer Institution erstellt werden. Über den Allgeier CORE Awareness Rahmenvertrag „Sicher gewinnt“ mit der Bundesakademie für öffentliche Verwaltung sind Behörden in der Lage, ihre Mitarbeiter über zielgruppen- und themenspezifische Veranstaltungen zu sensibilisieren. Die gezielten und gut geplanten Schulungen und Sensibilisierungen der Mitarbeiter gehören zu den wichtigsten organisatorischen Informationssicherheitsmaßnahmen einer Institution. Mit Layer8 werden die genannten Sicherheitsanforderungen erfüllt.
Sichere E-Mail-Kommunikation mit julia mailoffice
Kommunikation ohne E-Mail ist heutzutage unvorstellbar, denn die E-Mail ist seit vielen Jahren das Standard-Kommunikationsmittel in der Geschäftswelt. Ein Marktführer im Bereich der E-Mail-Sicherheit ist julia mailoffice welches z. B. die virtuelle Poststelle des Bundes ist, aber auch von zahlreichen Bundesbehörden sowie namhaften Unternehmen der freien Wirtschaft eingesetzt wird. julia mailoffice bietet Ihnen unter anderem die elektronische Ver- und Entschlüsselung sowie digitale Signatur/-prüfung für E-Mails. Über ein Regelwerk werden die Daten systematisch verschlüsselt und für den Empfänger sicher bereitgestellt, ohne dass der Absender aktiv handeln muss. Weitere Features, die julia mailoffice bietet, sind z. B. die Klassifikation eines Dokuments, Steuerung des sicheren Versands (Verschlüsselungsverfahren) durch den Empfänger, ein Outlook-Plug-in für die Wahl der Verschlüsselungs- und Versandoption durch den Versender, eine Krypto-Vorschau für den internen Benutzer zur Wahl der Verschlüsselungs- und Versandoptionen, die dynamische Verwaltung von PDF- und ZIP-Passwörtern, die Anbindung beliebiger Trustcenter etc. Damit erfüllt julia mailoffice diverse Sicherheitsanforderungen des BSI aus den Bausteinen APP.5.1 und APP.5.2. und aus dem Annex A der Norm 27001 (A.13.2.1, A.13.2.3).
Fazit
Das IT-Security-Portfolio der Allgeier Technologie-Gruppe ist ein gelungenes Gesamtpaket zur Umsetzung eines Informationssicherheits-Managementsystems. Die vorgestellten Produkte können auch unabhängig voneinander eingesetzt werden. Sie sind einfach zu implementieren, intuitiv bedienbar und können branchenunabhängig in Unternehmen und Behörden jeder Größe eingesetzt werden – und Sie sind jederzeit „Ready for Audit“.
Von Krzysztof Paschke, Allgeier CORE GmbH
Die Allgeier CORE GmbH ist ein Unternehmen der international agierenden Unternehmensgruppe Allgeier. Allgeier beschäftigt über 10.000 Mitarbeiter weltweit und gehört in Deutschland zu den führenden Anbietern für branchenübergreifende IT-Dienstleistungen.
Die Allgeier CORE GmbH mit dem Sitz in Kiel bietet seit dem Jahr 2004 ihren Kunden in Deutschland sowie im deutschsprachigen Ausland die Compliance Management Software DocSetMinder® an. Die Software ist in Konzernen und mittelständischen Unternehmen aus unterschiedlichsten Branchen ebenso wie bei Körperschaften des öffentlichen Rechts, Forschungsinstituten, Universitäten und Hochschulen sowie Behörden von Ministerien bis zu Landkreisen im Einsatz. Der DocSetMinder® ist ein multifunktionales Werkzeug für die Planung, Umsetzung und permanenten Verbesserung der IT-Governance, Unternehmensorganisation (IMS) und Compliance einer Organisation.
Weitere Informationen: https://www.docsetminder.de
Allgeier CyRis GmbH
Schauenburgerstraße 116
24118 Kiel
Telefon: +49 (431) 53033-990
Telefax: +49 (431) 53033-999
https://www.allgeier-grc.de
Team Manager DocSetMinder®
Telefon: +49 (431) 53033-990
Fax: +49 (431) 53033-999
E-Mail: piotr-walter.nuernberg@allgeier-core.com