Ende 2019 bis Anfang 2020 wurde im CMS eine Informationssicherheitskurzrevision (IS-Kurzrevision) durch einen externen Partner unter Leitung des IT-Sicherheitsbeauftragen durchgeführt. Ziele der IS-Kurzrevision waren, einen Überblick des Sicherheitsstatus ausgewählter, sicherheitskritischer Themenbereiche innerhalb des CMS zu erhalten und verbessernde Maßnahmen zu etablieren.

Konzeption

Eine IS-Kurzrevision ist das Einstiegsverfahren unter den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) definierten Revisionen, denn es ist flexibel ausgelegt und lässt Freiheitsgrade bezüglich der betrachteten Prüfthemen, die sich in „obligatorisch“ und „optional“ unterteilen. Das BSI definiert weitere Revisionsarten, doch jede von ihnen dient im Wesentlichen zur Ermittlung des Status Quo und hilft bei der Aufrechterhaltung bzw. Verbesserung der Informationssicherheit. Damit sind Revisionen (bzw. Audits) ein wichtiger Teil eines Informationssicherheitsmanagementsystems (ISMS) und sollten zyklisch durchgeführt werden, um bisher unbemerkte Risiken aufzudecken und adäquat zu behandeln. Dabei gilt der Leitsatz: Kenne Deine Risiken und handle angemessen und nachweisbar.

Zu Beginn der IS-Kurzrevision legten CMS-Leitung und IT-Sicherheitsbeauftragter gemeinsam mit dem externen Partner Ziele und konkrete Prüfthemen fest, die den inhaltlichen Umfang und die durchzuführende Tiefe der IS-Kurzrevision definierten. Daraus entstand ein Prüfplan für essentielle Kernbereiche, welche zur Bereitstellung des IT-Portfolios beitragen (z. B. Speicherdienste, Zutritts-/Zugriffsregelungen und Netzwerkinfrastruktur).

Durchführung

Die Evaluation basierte auf zwei großen Aktivitäten: der Auswertung vorhandener Dokumente und der Durchführung von Interviews mit Mitarbeitenden. Das Spektrum der gesichteten Dokumente reichte über die gesamte Spanne der Dokumentenpyramide von strategisch über taktisch bis hinunter zur operativen Ebene mit Arbeitsanweisungen und technischen Dokumentationen. Dabei dürfen sich keine Widersprüche ergeben und es muss stets nachvollziehbar dokumentiert sein, warum auf operativer Ebene bestimmte Prozesse, beispielsweise zur Administration eines Servers, durchgeführt werden. Wesentlich mehr Zeit als die Dokumentenanalyse nahm die Vor-Ort-Prüfung an den zwei Standorten Adlershof und Mitte ein, die aus Interviews und der Begehung von Räumlichkeiten wie den Serverräumen bestand.

Ergebnisse

Abschließend wurde ein interner Revisionsbericht erstellt, der einen Überblick des aktuell bestehenden Sicherheitsstatus der betrachteten Kernbereiche und der darin vorhandenen, sicherheitskritischen Themenkomplexe bietet. Dabei zeigten sich allgemein ein hoher Grad der Professionalisierung auf operativer Ebene, jedoch auch Defizite in der Dokumentation von Prozessen. Als eine reaktive Maßnahme wurde der Aufbau eines Notfallhandbuchs begonnen, in dem die vorhandenen Informationen gesammelt, überprüft und um fehlende ergänzt werden.

Der Revisionsbericht einer IS-Kurzrevision umfasst laut BSI drei Klassen von Mängeln: „schwerwiegender Sicherheitsmangel“, „Sicherheitsmangel“ und „Sicherheitsempfehlung“. Im konkreten Fall war der einzige schwerwiegende Sicherheitsmangel organisatorischer Natur.
Das Projekt IS-Kurzrevision umfasste zusätzlich zum standardisierten Vorgehen nach BSI, das sich vor allem auf Maßnahmen des IT-Grundschutzes stützt, auch den Auftrag, Empfehlungen zur Verbesserung des im Aufbau befindlichen ISMS zu geben und einen Penetrationstest durchzuführen. In einem Penetrationstest werden ähnliche Methoden eingesetzt, die auch Hacker verwenden würden, um unautorisiert in ein IT-System einzudringen („Penetration“ genannt). Der durchgeführte Penetrationstest nutzte ausschließlich technische Mittel; Methoden des Social Engineering wurden nicht eingesetzt, da diese vereinfacht ausgedrückt „irritierend“ für die Mitarbeitenden sein könnten.

Die durchgeführte IS-Kurzrevision war die erste, standardisierte Revision unter externer Beteiligung am CMS und die gewonnenen Erfahrungen sind positiv. Perspektivisch sind weitere Revisionen geplant.