Bibliografische Information der Deutschen Bibliothek
Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliothek; detaillierte bibliografische Daten sind im Internet über http://dnb.dnb.de abrufbar.

© 2019 Jacqueline Naumann

Das vorliegende Werk ist in all seinen Teilen urheberrechtlich geschützt. Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des Vortrags, der Reproduktion, der Vervielfältigung auf fotomechanischen Medien.

Herstellung und Verlag: BoD – Books on Demand GmbH, Norderstedt.

ISBN 978-3-7494-6200-1

1. Auflage, 2019

2. Auflage, 2019

Autor: Jacqueline Naumann

Buchcover: Corina Liebmann

Illustration: Florentine Naumann

Kurzüberblick

1. Einleitung
2. Scope-Ausschluss
3. Übergeordnete Leitlinie
4. Kompetenzanforderungen
5. Dokumentierte Bedienabläufe
6. Regelmäßige Dokumentationsüberprüfung
7. Dokumentenlenkung
8. Interne Verlinkung
9. Terminsynchronisation
10. Umgang mit Beweismitteln
11. Risikobeurteilungskriterien
12. Bedrohungen
13. Schwachstellen
14. Sicherheitsbereiche
15. Rechtevergabe
16. Zugangssteuerung
17. Authentisierungsinformation
18. Überwachung
19. Backup
20. Informationssicherheitsvorfälle
21. Meldungen
22. Ticketsystem
23. Maßnahmenplanung
24. Privatsphäre
25. Social Engineering
26. Auditnachweise
27. Lieferantendienstleistungen
28. Ethische Grundsätze
29. Zertifikate
30. Schlusswort

Liebe Leserin, lieber Leser,

vielen Dank, dass Sie sich für dieses Buch entschieden haben.

Informationssicherheit ist derzeit ein brennendes Thema, das vor allem durch das IT-Sicherheitsgesetz noch einmal an Fahrt aufgenommen hat.

Ich hoffe, ich kann Ihnen, liebe Informationssicherheitsbeauftragte und lieber Informationssicherheitsbeauftragter mit diesem Buch Unterstützung bieten, damit Sie Ihre Aufgaben auch unter erschwerten Bedingungen mit Eifer und Begeisterung weiterführen können.

Herzlichst, Ihre Jacqueline Naumann

Trainerin, Beraterin, Auditorin der iXactly IT-Consulting GbR

iXactly ist Ihr Dienstleister für Seminare, Beratung und Audits für Ihr ISMS.

Gostritzer Straße 61, 01217 Dresden

jacqueline.naumann@ixactly.com , www.ixactly.com

Vielen Dank
an Florentine Naumann für die Illustrationen im Buch!

Inhalt

1. Einleitung
   • 1.1 Bekanntmachung mit unserem Buch-ISB
   • 1.2 Anonymität
   • 1.3 Schwertsymbolik
2. Scope-Ausschluss
   • 2.1 Praxisbeispiel: Kein Scope für Präzisionsgeräte
   • 2.2 Ihre Aufgabe als ISB
3. Übergeordnete Leitlinie
   • 3.1 Praxisbeispiel: Leitlinie aus den USA
   • 3.2 Ihre Aufgabe als ISB
4. Kompetenzanforderungen
   • 4.1 Praxisbeispiel: Excel nur für Studierte
   • 4.2 Ihre Aufgabe als ISB
5. Dokumentierte Bedienabläufe
   • 5.1 Praxisbeispiel: Gegenderte Dokumentation
   • 5.2 Ihre Aufgabe als ISB
6. Regelmäßige Dokumentationsüberprüfung
   • 6.1 Praxisbeispiel: Ablaufdatum einer Richtlinie
   • 6.2 Ihre Aufgabe als ISB
   • 6.3 Praxisbeispiel: Nicht integrer Cousin
   • 6.4 Ihre Aufgabe als ISB
7. Dokumentenlenkung
   • 7.1 Praxisbeispiel: Unnütze Mappen
   • 7.2 Ihre Aufgabe als ISB
8. Interne Verlinkung
   • 8.1 Praxisbeispiel: Hochkomplexe Linkstruktur
   • 8.2 Ihre Aufgabe als ISB
9. Terminsynchronisation
   • 9.1 Praxisbeispiel: Gruppenkalender
   • 9.2 Ihre Aufgabe als ISB
10. Umgang mit Beweismitteln
    • 10.1 Praxisbeispiel: Vertrauliche Vorfälle
    • 10.2 Ihre Aufgabe als ISB
11. Risikobeurteilungskriterien
    • 11.1 Praxisbeispiel: Gewachsene Fachkompetenz
    • 11.2 Praxisbeispiel: Erworbenes Bauchgefühl
    • 11.3 Ihre Aufgabe als ISB
12. Bedrohungen
    • 12.1 Praxisbeispiel: Demonstrationen
    • 12.2 Praxisbeispiel: Microsoft-E-Mails
    • 12.3 Praxisbeispiel: Ablauf der Firmen-Domain
    • 12.4 Praxisbeispiel: Hochwasser
    • 12.5 Ihre Aufgabe als ISB
13. Schwachstellen
    • 13.1 Praxisbeispiel: Herzschrittmacher
    • 13.2 Ihre Aufgabe als ISB
    • 13.3 Praxisbeispiel: Serverschrank mit Holzbretteinlagen
    • 13.4 Ihre Aufgabe als ISB
    • 13.5 Praxisbeispiel: Freizugänglicher Schwesternrechner
    • 13.6 Ihre Aufgabe als ISB
14. Sicherheitsbereiche
    • 14.1 Praxisbeispiel: Kupferkabeldiebe
    • 14.2 Praxisbeispiel: Hotelzimmerschlüssel
    • 14.3 Ihre Aufgabe als ISB
15. Rechtevergabe
    • 15.1 Praxisbeispiel: Sammeluseraccounts für Mitarbeiter
    • 15.2 Ihre Aufgabe als ISB
16. Zugangssteuerung
    • 16.1 Praxisbeispiel: Ausgeschalteter Monitor
    • 16.2 Ihre Aufgabe als ISB
    • 16.3 Praxisbeispiel: Geliebte am Firmentor
    • 16.4 Ihre Aufgabe als ISB
17. Authentisierungsinformation
    • 17.1 Praxisbeispiel: Verbot von 3853
    • 17.2 Ihre Aufgabe als ISB
18. Überwachung
    • 18.1 Praxisbeispiel: Nächtlicher Upload
    • 18.2 Praxisbeispiel: Video vom Softwarefehler
    • 18.3 Ihre Aufgabe als ISB
19. Backup
    • 19.1 Praxisbeispiel: Fehlendes Backup
    • 19.2 Praxisbeispiel: Ledertasche für Sicherungsbänder
    • 19.3 Ihre Aufgabe als ISB
20. Informationssicherheitsvorfälle
    • 20.1 Praxisbeispiel: Wasserkocher
    • 20.2 Praxisbeispiel: Beschränkter Stromausfall
    • 20.3 Ihre Aufgabe als ISB
21. Meldungen
    • 21.1 Praxisbeispiel: Meldequalität
    • 21.2 Ihre Aufgabe als ISB
22. Ticketsystem
    • 22.1 Praxisbeispiel: Quellcode im Ticketsystem
    • 22.2 Ihre Aufgabe als ISB
23. Maßnahmenplanung
    • 23.1 Praxisbeispiel: Maßnahmennummern IA_lfdNr
    • 23.2 Ihre Aufgabe als ISB
24. Privatsphäre
    • 24.1 Praxisbeispiel: Personendaten am Telefon
    • 24.2 Ihre Aufgabe als ISB
25. Social Engineering
    • 25.1 Praxisbeispiel: Ehepartner am Firmentor
    • 25.2 Praxisbeispiel: CEO Fraud
    • 25.3 Ihre Aufgabe als ISB
26. Auditnachweise
    • 26.1 Praxisbeispiel: Fehlende Auditnachweise
    • 26.2 Ihre Aufgabe als ISB
27. Lieferantendienstleistungen
    • 27.1 Praxisbeispiel: Externe Prüfer
    • 27.2 Ihre Aufgabe als ISB
28. Ethische Grundsätze
    • 28.1 Praxisbeispiel: Verlockende Angebote
    • 28.2 Ihre Aufgabe als ISB
29. Zertifikate
    • 29.1 Praxisbeispiel: Gekaufte Zertifikate
    • 29.2 Ihre Aufgabe als ISB
30. Schlusswort

Das scheinbar grenzenlose Universum an Aufgaben

Ihr Untergang als ISB

1 Einleitung

Möglicherweise spricht Sie dieses Buch an, weil Sie das Gefühl haben, in einem Universum an unzähligen Aufgaben-Galaxien zu versinken.

Das liegt daran, dass Sie nun mindestens das Grobgerüst Ihres ISMS aufgebaut haben und immer mehr Optimierungsaufgaben erledigen.

Dieses Buch ist für den Informationssicherheitsbeauftragten gedacht, der sein ISMS bereits seit über einem Jahr aufgebaut hat und nun eine gewisse Erschöpfung verspürt.

Das Buch soll Ihnen wieder Praxisbeispiele aus anderen Organisationen zeigen, damit Sie die bereits erreichte Qualität Ihres ISMS besser einschätzen können.

Liebe Informationssicherheitsbeauftragte, ich habe Ihr Buch dieses Mal streng nach GRC (Governance¹, Risikomanagement und Compliance) unterteilt. Im Governance-Teil erhalten Sie Praxisbeispiele aus der Planung und den Anforderungen eines ISMS. Im Risikomanagement-Teil finden Sie Praxisbeispiele aus den typischen Risikothemen und im Compliance²-Teil geht es um die Einhaltung diverser Anforderungen aus Gesetzen, Verträgen oder einfach der ISO/IEC 27001.

1.1 Bekanntmachung mit unserem Buch-ISB

Im Buch werden viele Praxisbeispiele aus tatsächlich stattgefundenen Begebenheiten wiedergegeben. Um die Anonymität zu gewährleisten, nutze ich sogenannte schwarze Schafe, denen ich alle Kuriositäten unterschiebe.

Im Buch verwende ich die fiktive Organisation T34M. Die Organisation hatte bei ihrer Gründung Freude daran, die Buchstaben E durch 3 und A durch 4 zu ersetzen, so wie es einige angehende Hacker in der Sprache Leet tun.

Bei T34M arbeitet natürlich auch ein ISB, der hier T34M-L34D bezeichnet wird und der im Buch interviewt wird oder einfach Tatsachen erzählt.

T34M-L34D steht stellverstretend für hunderte Kunden, Kollegen, Mitarbeiter und Seminarteilnehmer, mit denen ich in den letzten 20 Jahren gesprochen oder denen ich einfach nur zugehört habe.

T34M-L34Ds Erzählungen sind Praxisbeispiele, die Ihnen zeigen sollen, dass sich in allen Organisationen teilweise recht kuriose Begebenheiten bezüglich Informationssicherheit ereignen.

T34M-BO$$ ist die oberste Leitung von T34M. Er kommt relativ wenig zu Wort, da T34M-L34D als ISB alle Aufgaben und Themen auf seinem Tisch hat und bearbeiten muss.

T34M-ADMIN ist als Administrator bei T34M beschäftigt.

T34M-EXTERNER ist ein fiktiver Dienstleister, dem alle Zitate von echten Dienstleistern untergeschoben werden.

1.2 Anonymität

Die vielen Zitate von Kunden, Lieferanten, externen Dienstleistern, ehemaligen Kollegen und auch Seminarteilnehmern sind anonymisiert. Für den Fall, dass Ihnen ein Zitat bekannt vorkommt, möchte ich anmerken, dass viele Herausforderungen nicht nur bei einer Organisation anzutreffen sind und sich deshalb Zitate auch ähneln können. Kein Leser muss in Sorge geraten, wenn er meint, sich in einem Zitat wiedererkannt zu haben. Die gesammelten Zitate umfassen einen zeitlichen Rahmen von über zwanzig Jahren.

1.3 Schwertsymbolik

Das Schwert des ISBs auf dem Cover versinkt sprichwörtlich in einer Aufgaben-Galaxie. Beginnen Sie gleich mit dem Lesen, um zu erfahren, unter welchen Bedingungen andere ISBs zu versinken drohten.

Viel Spaß beim Lesen und Lernen!

¹ Governance: Unternehmensführung, Erziehung

² Compliance: Einhaltung von Anforderungen aus Verträgen, Gesetzen und Normen

Werben Sie mit Ihrem Zertifikat für Ihr Produkt- und Dienstleistungsangebot

2 Scope-Ausschluss

Wann lohnt es sich, einen Scope³-Ausschluss zu definieren?

Die meisten Organisationen möchten mit einem Ausschluss Kosten sparen und bestimmen, welche Bereiche ein Zertifizierungsauditor nicht prüfen soll. Sehr oft werden Teile der Organisation dann ausgeschlossen, wenn sie nicht zwingend für die Wertschöpfung nötig sind.

Angenommen, bei Ihnen wäre die Urlaubsplanung in einer eigenen Abteilung angesiedelt, dann würde ich diese Abteilung aus dem ISO 27001-Geltungsbereich ausschließen. Einfach deshalb, weil Kunden nicht für eine sichere Urlaubsplanung bei Ihnen zahlen werden. Kunden interessieren sich für die Dienstleistungen, die diese bei Ihnen erwerben.

ISO/IEC 27001 Kap. 4.3 Festlegen des Anwendungsbereichs

Wären Sie allerdings eine KRITIS⁴-Organisation, bei der Schichtpläne zwingend erforderlich sind, dann müssten Sie selbst die Urlaubsplanung bei Ihrer Scope-Definition berücksichtigen.

Wie der Zertifizierungsscope lautet, bestimmen in aller Regel die Organisationen selbst. Manchmal werden allerdings Begrifflichkeiten von den Zertifizierungsstellen abgelehnt.

Ihr Scope wird ganz sicher abgelehnt, wenn Sie beispielsweise folgenden Text auf Ihrem ISO/IEC 27001-Zertifikat stehen haben möchten: „Sichere Uhren nach ISO/IEC 27001“.

Die Ablehnung kommt zustande, weil die ISO/IEC 27001 Anforderungen an ein Managementsystem stellt und die Zertifizierung eines Managementsystems keine Produktzertifizierung ist. Weiterhin würde das Adjektiv „sichere“ abgelehnt, weil der Auditor nur das Managementsystem prüft und keine Produkteigenschaften. Er kann also nicht die Verantwortung für eine sichere Uhr übernehmen. Außerdem ist „sicher“ ein dehnbarer Begriff. Jeder könnte etwas anderes darunter verstehen. Und zu guter Letzt wird bei vielen Zertifizierungsstellen die Nennung der Norm, hier ISO/IEC 27001, abgelehnt.

Der Kunde soll beim Lesen des Scopes eine Vorstellung von Ihren zertifizierten Prozessen bekommen und nicht durch Normnennung getäuscht werden.

2.1 Praxisbeispiel: Kein Scope für Präzisionsgeräte