So viel ist sicher

Odysseus war ein cleverer Bursche. Nachdem die Griechen über Jahre das Städtchen Troja erfolglos belagert hatten, kam er auf die Idee mit dem berühmten Pferd aus Holz. Der Mythos ist bekannt: Die Trojaner hielten es für ein unterwürfiges Zeichen der griechischen Niederlage, zogen das Holzungetüm siegestrunken in ihre Stadt – und ließen damit den Feind hinter ihre Mauern. Der Rest ist Geschichte.

Solch eine Festung betreibt auch das ITDZ Berlin. Eine Festung für Daten. Sie besteht aus dem eigenen Landesnetz, den beiden Serverparks und der Hard- und Software bei den Kunden. Hier lagern Verwaltungsdaten der Berliner Bürgerinnen und Bürger, und ein trojanischer oder anderweitig sicherheitsgefährdender Zugriff darauf wäre fatal.

Entsprechend hoch ist das Sicherheitsniveau aller Prozesse und der IT-Standardinfrastruktur, die in der Verantwortung des ITDZ Berlin liegen. Doch wer legt eigentlich fest, ab wann eine IT sicher ist und welche Vorkehrungen dafür getroffen werden müssen?

In Deutschland sind diese Vorgaben äußerst streng geregelt und werden vom Bundesamt für Sicherheit in der Informationstechnologie im Rahmen des sogenannten IT-Grundschutzes definiert. Der IT-Grundschutz des BSI ist eine zielgerichtete Methodik, mit deren Hilfe das Niveau der Informationssicherheit in Behörden und Unternehmen anforderungsgerecht erhöht wird. Er betrachtet dabei sowohl die Absicherung von Informationen als auch den Aufbau eines Managementsystems für Informationssicherheit (ISMS). Dabei formuliert der IT-Grundschutz konkrete Anforderungen, während die sogenannten BSI-Standards in diesem Rahmen zu Methoden und Prozessen zur Informationssicherheit nach dem Stand der Technik vorgeben. Sie sind also so etwas wie der Guide für IT-Verantwortliche in Unternehmen und Institutionen für die Sicherheit von Daten und IT-Infrastruktur.

Das ITDZ Berlin wurde erstmals 2015 nach den Richtlinien dieses IT-Grundschutzes zertifiziert, in 2018 als erste Institution rezertifiziert nach neuem IT-Grundschutz. Die Rezertifizierung wird alle drei Jahre durchgeführt, während zusätzliche sogenannte Überwachungsaudits in einem jährlichen Turnus die Einhaltung und Fortführung der Sicherheitsstandards kontrollieren.

Doch die IT-Welt bewegt sich in rasanter Geschwindigkeit weiter. Entsprechend dynamisch wurden auch die Anforderungen an den IT-Grundschutz immer wieder angepasst und im Oktober 2017 sogar grundlegend modernisiert. „Das ITDZ Berlin hat sich bereits 2018 nach diesen neuen Vorgaben des Grundschutzes zertifizieren lassen“ erklärt Karsten Pirschel, IT-Sicherheitsbeauftragter im ITDZ Berlin. „Die gesamte Berliner Verwaltung muss sich außerdem bis spätestens 2021 ebenfalls auf den neuen Grundschutz umstellen – ein ehrgeiziges Ziel. Da wollten wir vorangehen und unseren Informationsverbund mit seiner für Berlin wesentlichen standardisierten IT-Infrastruktur bereits frühzeitig auf den Stand der Technik bringen.“

Für diese neuen Anforderungen entwickelte das ITDZ Berlin einen Zeit- und Realisierungsplan, dessen Einhaltung durch das Überwachungsaudit überprüft wird. „Bestandteil solch eines Realisierungsplanes ist es, neue Maßnahmen zu definieren und umzusetzen“, weiß Karsten Pirschel. Denn gerade im ITDZ Berlin ist die Sicherheit von Daten und Infrastruktur ein äußerst sensibles Thema, sodass bei der Maßnahmenumsetzung sehr detailliert gearbeitet werden muss. „Der Speiseplan für die Kantine hat wenig Schutzbedarf – die Daten für die Justiz oder Polizei allerdings schon. Sie müssen unversehrt bleiben, immer verfügbar sein und vertraulich behandelt werden.“

Daher wird beispielsweise genau analysiert, welche Geschäftsprozesse mit welchen IT-Komponenten in welchen Räumen ablaufen und dabei jeder Aspekt aus Sicht der IT-Sicherheit überprüft. Auch ein ständig aktualisierendes Patch- und Changemanagement von Software ist wesentlicher Teil des BSI-Grundschutzes. Erneuert wurden auch die Vorgaben zur Erkennung von Angriffen von außen, das notwendige Alarmsystem, die korrekte Reaktion auf Angriffe sowie die Nachverfolgung und Dokumentation solcher Ereignisse. Selbstverständlich gelten die hohen Sicherheitsstandards auch für die Fachkompetenz und Zuverlässigkeit von Mitarbeiterinnen und Mitarbeitern, deren Umgang mit personenbezogenen und sonstigen Daten sowie für externe Dienstleister. Und sogar ein Notfallmanagement ist Teil der BSI-Standards. Dabei wird sichergestellt, dass selbst bei einem großflächigen Stromausfall ein Notbetrieb aufrechterhalten und schnellstmöglich in den Regelbetrieb zurückgekehrt werden kann.

Die überwachenden Audits zu diesen und zahlreichen weiteren Aspekten werden von externen Auditoren vorgenommen, die die Umsetzung der BSI-Standards prüfen. „Das ist wie der TÜV bei Fahrzeugen – nur um ein Vielfaches detaillierter.“ Sind die umfangreichen Standards aus Sicht der Auditoren erfüllt, sprechen sie dem BSI eine Empfehlung zur Zertifizierung aus. Der letztendliche Bescheid ergeht nach eingehender Prüfung vom BSI. Ein Qualitätssiegel für hohe und für die betrachteten Geschäftsprozesse angemessene Informationssicherheit, das nur durch ebenso hohe und angemessene Aufwände erreicht werden kann: mit neuen Organisationseinheiten, neuen technischen Maßnahmen und neuen Investitionen.

„IT-Sicherheit ist mehr als je zuvor ein gesellschaftliches Thema, mit dem sich jeder auseinandersetzen muss wie mit der Impfpflicht“, verdeutlicht Karsten Pirschel die Relevanz der Digitalisierung. Wo liegen die Server meiner Daten? Wer hat darauf Zugriff und kann sie überwachen? Liegen meine Daten außerhalb der EU und gibt es Gesetze, die fremden Staaten den Zugriff auf meine Daten geben? Wie gehe ich selbst mit meinen Daten um? „Jeder Einzelne muss sich bereits als Individuum mit solchen Fragen auseinandersetzen – und wir als IT-Dienstleister des Landes Berlin in aller Breite und der maximal möglichen Tiefe. Nur so können wir unserer Verantwortung für die Daten aller Berliner gerecht werden.“

Die BSI-Standards in der Übersicht, nach denen sich das ITDZ Berlin zertifizieren lässt:
Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Er ist kompatibel zum ISO-Standard 27001 und berücksichtigt die Empfehlungen anderer ISO-Standards wie ISO 27002.

Der BSI-Standard 200-2 bildet die Basis der bewährten BSI-Methodik zum Aufbau eines Informationssicherheitsmanagements (ISMS).

Der BSI-Standard 200-3 beinhaltet alle Arbeitsschritte bei der Umsetzung des IT-Grundschutzes. Er wird angewendet, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT-Grundschutz-Methodik aus dem BSI-Standard 200-2 arbeiten und eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten.

Der BSI-Standard 100-4 enthält Regelungen zum Notfallmanagement