365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Holger Schildt, Referatsleiter "BSI-Standards und IT-Grundschutz", hat bereits einen Großteil der Karriereleiter beim Bundesamt für Sicherheit in der Informationstechnik (BSI) durchlaufen: Schon während seines Studiums hat sich der Diplom-Informatiker beim BSI auf ein Praktikum beworben. Dort gefiel es ihm so gut, dass er beim BSI hängen blieb. Das war vor 15 Jahren, heute leitet er das für den IT-Grundschutz zuständige Referat und ist unter anderem für die BSI-Standards und die IT-Grundschutz-Bausteine verantwortlich. Aus eigener Erfahrung könne er das BSI als Arbeitgeber nur empfehlen, denn es biete die besten Karrierechancen, ist er überzeugt. Im Gespräch erläutert er, wie sich die Sicherheit mobiler Geräte – egal ob Smartphone oder Laptop – mit dem IT-Grundschutz erhöhen lässt.
Der IT-Grundschutz ist eine ganzheitliche Vorgehensweise, um Informationssicherheit aufzubauen und zu optimieren. Es geht nicht darum, nur eine einzelne technische Maßnahme wie Virenschutz zu ergreifen, sondern behandelt zum Beispiel auch notwendige organisatorische, personelle und infrastrukturelle Maßnahmen, um IT-Sicherheit in der ganzen Breite zu erreichen. Einzelne Speziallösungen decken das nicht ab. Genauer gesagt, geht es sogar nicht nur um IT-Sicherheit, sondern um Informationssicherheit. Das reicht wesentlich weiter. Was nutzen beispielsweise die besten Informationen, wenn sie auf einem Ausdruck im Drucker auf dem Flur vergessen werden. Zur Umsetzung empfiehlt sich aufgrund der hohen Komplexität ein Managementsystem für Informationssicherheit (ISMS). Das IT-Grundschutz-Kompendium beinhaltet inzwischen 94 Bausteine, Tendenz steigend. Ob Drucker oder Telefon, alles wird erfasst und geschützt.
Es gibt Einstiegshilfen, die zeigen, wie am besten mit dem IT-Grundschutz begonnen werden kann. Wir haben den IT-Grundschutz 2017 grundlegend modernisiert, jetzt ist es noch einfacher. Unter anderem bieten wir die drei Vorgehensweisen Basis-, Kern- und Standard-Absicherung an, um sich nach den individuellen Bedürfnissen und Sicherheitsanforderungen mit dem IT-Grundschutz zu befassen. Die Bausteine sind übersichtlicher und kürzer geworden, die Inhalte insgesamt verschlankt und besser zu aktualisieren.
Uns geht es auch darum, zu zeigen, wie sich eine Institution selbst schützen kann, ohne gleich zwingend einen Berater zu benötigen. Wenn dennoch ein geeigneter IT-Grundschutz-Berater notwendig ist, hat das BSI hierfür ein Qualifizierungsverfahren erarbeitet. Wenn Sie den IT-Grundschutz komplett umsetzen, dann ist eine Zertifizierung nach ISO-27001 auf der Basis nach IT-Grundschutz keine Hürde mehr. Sie könnten sich dazu einen externen Auditor ins Haus holen, der einen Bericht erstellt und dem BSI vorgelegt.
Der Klassiker ist der Verlust von Geräten auf Flughäfen, in der Bahn oder an anderen Orten. Viele vergessen auch, dass sie beim Telefonieren in der Öffentlichkeit ungeschützt Informationen offenbaren. Es ist immer eine potenzielle Gefährdung, wenn IT-Geräte außerhalb einer geschützten Umgebung benutzt werden. Hinzu kommen noch die klassischen Probleme, wie veraltete Software, insbesondere bei Smartphones.
Auch dieses Thema muss ganzheitlich betrachtet werden. Es nutzt wenig, wenn ich ein einzelnes Gerät geschützt habe, aber die Server, auf die ich darüber zugreife, sind ungeschützt. Bei der Auswahl von Geräten muss sichergestellt werden, dass Updates über den gesamten Nutzungszeitraum verfügbar sind. Ansonsten sind es auch hier wieder die Klassiker: patchen, Backups erstellen und so weiter. Außerdem sollten sie in ein bestehendes ISMS integriert werden und dürfen nicht als Insellösung betrachtet werden. Der Schutz mobiler Geräte muss zum Sicherheitskonzept der Firma passen.
Das ist zunächst mal abhängig von der Größe des Unternehmens. Im IT-Grundschutz sind konkrete Maßnahmen und Anforderungen zu finden. Größere Institutionen setzen zum Beispiel ein Mobile-Device-Management (MDM) ein. Damit lassen sich Smartphones oder Tablets zentral kontrollieren und konfigurieren. Kleinere Unternehmen werden ihre Geräte eher manuell managen, etwa Patchen und Updaten oder Daten sichern. Ein MDM benötigt personelle und finanzielle Ressourcen, die Maßnahme muss daher zur Zielgruppe passen. Wir geben im IT-Grundschutz dazu passende Empfehlungen, auch zur Auswahl eines MDM. Wenn Sie bereits ein MDM einsetzen, berücksichtigen Sie den Baustein SYS.3.2.2 Mobile Device Management (MDM) für die Absicherung eines MDM.
Wir haben unter anderem spezielle Bausteine für iOS und für Android. Wir unterteilen immer zwischen Basis-Anforderungen – das sind die wichtigsten Schritte, die vorrangig umgesetzt werden müssen – und den darauf aufbauenden Standard-Anforderungen. Bei Tablets gehört zu den Basis-Anforderungen beispielsweise, dass eine Bildschirmsperre eingerichtet werden muss und Software regelmäßig zu aktualisieren ist. Damit muss angefangen werden. Zu den Standard-Anforderungen gehört hingegen die Verschlüsselung des Gerätespeichers oder biometrische Verfahren. Bei biometrischen Verfahren sollte man jedoch vorab prüfen, ob die wirklich sicher sind. Bei einigen Geräten reicht ein vor die Kamera gehaltenes Foto des Besitzers aus, um es zu entsperren. Außerdem sollten Sprachassistenten nur aktiviert werden, wenn sie benötigt werden.
Für den Datenschutz sind in Deutschland andere Behörden zuständig, daher können wir leider nicht dieses Thema in der notwendigen Tiefe beleuchten. Aber natürlich müssen sich Unternehmen beim Einsatz mobiler Geräte um Datenschutzfragen kümmern.
Wir haben jeweils eigene IT-Grundschutz-Bausteine, beispielsweise für Laptops und Smartphones. Denn die Schwerpunkte sind unterschiedlich. Bei Laptops sind der Virenschutz und die Datensicherung ein großes Thema, insbesondere bei Laptops, die nicht permanent am Netz hängen. Das ist bei Smartphones anders, auf denen werden auch keine langen Texte geschrieben. Laptops arbeiten auf Fileservern, auch das ist bei Smartphones anders. Ein Smartphone haben Sie wahrscheinlich immer in der Jackentasche, den Laptop nehmen Sie hingegen nur mit, wenn Sie ihn brauchen, sonst liegt er vielleicht ungeschützt im Hotelzimmer. Aus all diesen Punkten ergeben sich andere Sicherheitsanforderungen.
Ganz wichtig ist, bei mobiler Nutzung die Sicherheitsmaßnahmen nicht nur auf die Technik zu beschränken, sondern auch an organisatorische Aspekte wie etwa Diebstahlschutz oder Anwenderschulungen zu denken. Wir haben einen Online-Kurs auf unseren Webseiten im Angebot. Dort lernt man, wie der IT-Grundschutz funktioniert und wie die passenden Bausteine ausgewählt werden. Alle unsere Informationen stehen kostenlos zur Verfügung.
Autor: Uwe Sievers
