Startseite

Themensammlung: Informationssicherheit

Inhalt

Hintergrundinformationen

Bundesamt für Sicherheit in der Informationstechnik (BSI)

In Deutschland kommt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Rolle für die IT-Sicherheit zu.

Die Befugnisse des BSI und damit in Verbindung stehend die Anforderungen und rechtlichen Vorgaben an Organisationen und öffentliche sowie nicht-öffentliche Stellen / Unternehmen, sind durch das BSI-Gesetz geregelt. Dieses Gesetz wurde 2015 durch das IT-Sicherheitsgesetz 1.0 und 2021 durch as IT-Sicherheitsgesetz 2.0 überarbeitet.

Eine Auflistung relevanter, deutscher IT-Sicherheitsgesetze findet sich weiter unten auf dieser Seite.

Normen

International Organization for Standardization (ISO)

Die ISO ist eine internationale, unabhängige, Nicht-Regierungs-Organisation zur Entwicklung internationaler Standards. Dabei handelt es sich insbesondere auch um Standards in den Themen Informationssicherheit, IT-Sicherheit und Datenschutz. Eine zentrale Rolle - nicht nur - in den letztgenannten Standards spielen Managementsysteme, wie das Informationssicherheitsmanagementsystem und das Datenschutzmanagementsystem. Darüber hinaus gibt es noch zahlreiche weitere Managementsysteme z.B. Qualitätsmanagementsystem, Umweltmanagementsystem etc.

Integrierte Managementsysteme

Mehrere Managementsysteme können in einem integrierten Managementsystem zusammengefasst werden, um Synergien zu nutzen und Aufwände zu reduzieren. Ein integriertes Managementsystem ist ein gemeinsamer Aufbau bzw. die Zusammenführung von (Teil-)Mana-gementsystemen wie beispielsweise Qualitäts-, Umwelt-, Arbeitsschutz-, Informationssicherheits- oder Daten-schutzmanagementsystemen.

Um integrierte Managementsysteme leichter aufbauen bzw. implementieren zu können, wurde von der internationalen Organisation für Normung „ISO“, eine einheitliche Struktur (Annex SL) für alle neuen und überarbeiteten Managementsysteme wie z.B. die ISO 9001:2015, die ISO 14001:2015 und auch die ISO/IEC 27701:2019 entwickelt:

Einige relevante ISO-Standards mit Bezug zu Informations-/IT-Sicherheit und Datenschutz sind weiter unten auf dieser Seite aufgelistet.

Gesetze

BSI-Gesetz, IT-Sicherheitsgesetze, Kritische Infrastrukturen, NIS 2

IT-Sicherheit in Krankenhäusern

  • Seit 01.01.2022 sind Krankenhäuser gemäß § 75c SGB V gesetzlich verpflichtet sich um IT-Sicherheit zu kümmern, siehe auch die anzuwendenden branchenspezifischen Standards.
  • Aktuell (Stand 01.01.2022) hat der Gesetzgeber noch keine Sanktionen vorgesehen, wenn die obige Frist nicht eingehalten wird.
  • Im Falle eines erfolgreichen Cyber-Angriffs ist aber davon auszugehen, dass Versicherungen die dadurch entstandenen Schäden nicht einfach regulieren weden, insbesondere wenn keine IT-Sicherheitsmaßnahmen ergriffen worden sind, diese nicht dem Stand der Technik entsprachen oder diese nicht dem Risiko angemessen waren.
  • Sollten Patienten zu Schaden kommen, sind auch strafrechtliche Ermittlungen nicht ausgeschlossen.
  • Ab dem 01.01.2022 müssen sich alle Krankenhäuser in Deutschland verpflichtend um IT-Sicherheit kümmern. Das verlangt der neue § 75c SGB V. Derzeit sieht der Gesetzgeber (noch) keine Sanktionen vor, wenn Krankenhäuser diese Frist nicht einhalten. Es ist aber davon auszugehen, dass im Falle einer gelungenen Cyberattacke Versicherungen entstandene Schäden nicht so einfach regulieren werden. Sollten darüber hinaus sogar Patienten zu Schaden kommen, sind auch strafrechtliche Ermittlungen nicht ausgeschlossen. Wie Sie Informationssicherheit in Ihrem Krankenhaus nach dem gesetzlich vorgeschriebenen Standard B3S umsetzen, erfahren Sie in unserem Training.
  • Förderung der Digitaliserung und Informationssicherheit durch das Krankhauszukunftsgesetz (KHZG) (KHZG Gesetzestext).

Verpflichtungen aufgrund von Gesetzen, Regularien oder (Branchen-)Standards

Penetrationstests

Penetrationstests (kurz: Pentests) simulieren echte Angriffe von Hackern, um Schwachstellen zu finden und diese dann beheben zu können, bevor Hacker mit bösen Absichten (sogenannte Black Hat Hacker) diese Schwachstellen entdecken und ausnutzen.

Ein Verpflichtung zur Durchführung regelmäßiger, also zumindest jährlicher, Penetrationstests ergibt sich beispielsweise aus:

Penetrationstest als Dienstleistung

Systeme zur automatisierten Angriffserkennung

Die Pflicht zum Einsatz von Systemen zur automatisierten Angriffserkennung ab 01.05.2023 ergibt sich aus § 8a (1a) des IT-Sicherheitsgesetz 2.0 (siehe auch obigen Abschnitt über Gesetze und Verpflichtungen).

BSI Orientierungshilfe für Systeme zur Angriffserkennung

Unternehmensberatung zu Systemen zur automatisierten Angriffserkennung

Cloud Act

Der Cloud Act ist ein US-amerikansiches Gesetz, welches den US-Behörden Zugriffsrechte auf Daten garantiert, die im Internet gespeichert sind, unabhängig davon, ob die Daten in den USA gespeichert sind.

ISO-Standards

In Deutschland kann/muss man die ISO-Standards vom Beuth-Verlag erwerben.

ISO-Standards mit Bezug zu Informations-/IT-Sicherheit

Auszug einiger relevanter ISO-Standards mit Bezug zu Informations-/IT-Sicherheit.

ISMS-Implementierung

ISO/IEC 27000
Überblick und Terminologie
ISO/IEC 27001
Anforderungen (normativ)
ISO/IEC 27002
Leitfaden für Informationssicherheitsmaßnahmen (Anleitung zur Umsetzung der Maßnahmen aus Anhang A der ISO/IEC 27001)
ISO/IEC 27003
Anleitung (Anleitung zur Umsetzung der Klauseln 4 bis 10 der ISO/IEC 27001)
ISO/IEC 27004
Überwachung, Messung, Analyse und Evaluation
ISO/IEC 27005
Informationssicherheits-Risikomanagement
ISO/IEC TS 27008
Leitfaden zur Bewertung von Informationssicherheitsmaßnahmen
ISO/IEC 27009
Sektorspezifische Anwendung der ISO/IEC 27001 - Anforderungen
ISO/IEC 27010
Informationssicherheitsmanagement für sektor- und organisationsübergreifende Kommunikation
ISO/IEC TS 27022
Guidance on information security management system processes
ISO/IEC 27032
Leitfaden für Cybersicherheit
ISO/IEC 27033
Netzwerksicherheit
ISO/IEC 27034
Sicherheit von Anwendungen
ISO/IEC 27035
Informationssicherheit Störfallmanagement
ISO/IEC 27036
Cybersecurity - Supplier relationships
ISO/IEC 27039
Auswahl, Einsatz und Betrieb von Intrusion Detection Systemen (IDPS)
ISO/IEC 27040
Speichersicherheit
ISO/IEC 27099
Public-Key-Infrastruktur - Praktiken und politische Rahmenbedingungen
ISO/IEC 11770
Schlüsselmanagement
ISO/IEC 15408
Evaluationskriterien für IT-Sicherheit (Common Criteria)
ISO/IEC 15816
Sicherheitsinformationsobjekte für die Zugriffskontrolle
ISO/IEC 18045
Methodik zur IT-Sicherheitsbewertung (Pentesting)
ISO/IEC 19770
Management von IT-Assets
ISO/IEC 19791
Sicherheitsbeurteilung operativer Systeme
ISO/IEC 22301
Business Continuity Management System
ISO/IEC 29147
Offenlegung von Schwachstellen
ISO/IEC 30111
Prozesse für die Behandlung von Schwachstellen
ISO/IEC 31000
Risikomanagement

Zertifizierung, Auditierung und Akkreditierung

ISO/IEC 27006
Anforderungen an Institutionen, die Audits und Zertifizierungen von Informationssicherheits-Managementsystemen anbieten
ISO/IEC 27007
Leitfäden für das Auditieren von Informationssicherheitsmanagementsystemen
ISO/IEC 17021
Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren
ISO/IEC 19011
Leitfaden zur Auditierung von Managementsystemen

ISO-Standards mit Bezug zum Datenschutz (Auszug)

ISO/IEC 20889
Techniken zur De-Identifizierung von Daten für einen verbesserten Schutz der Privatsphäre
ISO/IEC 27555
Richtlinien zur Löschung persönlich identifizierbarer Informationen
ISO/IEC 27701
Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Management von Informationen zum Datenschutz - Anforderungen und Leitlinien
ISO/IEC 29100
Rahmenwerk für Datenschutz
ISO/IEC 29101
Architekturrahmenwerk für Datenschutz
ISO/IEC 29134
Leitlinien für die Datenschutz-Folgenabschätzung
ISO/IEC 29151
Leitfaden für den Schutz personenbezogener Daten
ISO/IEC 29184
Online Datenschutzerklärung und -einwilligung

ISO-Standards mit Bezug zu physischer und umgebungsbezogener Sicherheit (Auszug)

ISO/IEC 22340
Sicherheit und Resilienz - Schützende Sicherheitsmaßnahmen - Leitfaden für eine Sicherheitsarchitektur und einen Sicherheitsrahmen für Unternehmen
ISO/IEC 30104
Informationstechnik - IT-Sicherheitsverfahren - Physische Angriffe auf die Sicherheit, Minderungstechniken und Sicherheitsanforderungen

NIST Cyber Security Framework (CSF)

Weitere Rahmenwerke und Quellen für (Sicherheits-)Maßnahmen

Überblick:

BSI IT-Grundschutz

COBIT

COBIT (Control Objectives for Information and Related Technology) ist ein international anerkanntes Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (Maßnahmenziele). Dabei wird definiert was umzusetzen ist, d.h. welche Anforderungen, aber nicht wie.

COSO

COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist ein unternehmensweites Risikomanagementsystem (ERM = Enterprise Risk Management).

ISMS-Implementierung

Empfehlungen zur Kryptographie (vgl. A.10 ISO/IEC 27001)

  • www.keylength.com führt mehrere Standards den empfohlenen Schlüssellängen verschiedener kryptographier Verfahren auf.
  • ISO/IEC 11770: Schlüsselmanagement
  • ISO/IEC 27099: Public-Key-Infrastruktur - Praktiken und politische Rahmenbedingungen

ISMS-Management-Software

KMU setzen gerne Excel ein, um ihr ISMS zu verwalten, insbesondere die Sicherheitsmaßnahmen. Es gibt aber professionelle Software zur kompletten Verwaltung des ISMS.

Ein Vergleich populärer ISMS-Management-Software findet sich beispielsweise hier:
https://konbriefing.com/de-software/isms/tools.html

Auch das BSI listet Software zum ISMS-Management, hauptsächlich mit Fokus auf die BSI IT-Grundschutzmethodik:

Eine kurze Auflistung populärer ISMS-Management-Software:

ISO Zertifizierung / Audit

Branchenspezifische Sicherheitsstandards

Informationsklassifikation

IT-Sicherheitskennzeichen

Zero Trust

Zero Trust ist ein Konzept, welches Ressourcen vor unbefugtem Zugriff von Innen und Außen schützt, es besteht also kein implizites Vertrauen für Entitäten (z.B. Nutzer oder Geräte) im internen Netzwerk.

Grundlegende Prinzipien sind: Weitere Informationen:

Cloud Security

Microsoft

Cyber-Versicherungen