IT-Sicherheit

Erfolgreiches Überwachungsaudit

Mit dem Erreichen der Erstzertifizierung im Juli 2009 setzte der Prozess der regelmäßigen Überprüfungen des Status der Informationssicherheit durch BSI-zertifizierte Auditoren im Unternehmen ein. In den beiden Folgejahren nach einer Erstzertifizierung stehen die so genannten „Überwachungsaudits“ an, die eine Überprüfung des Sicherheits-managements beinhalten. Nach drei Jahren erfolgt dann eine erste Rezertifizierung mit dem gleichen Umfang wie bei der Erstzertifizierung.

Nun könnte man einwenden, dass ein Überwachungsaudit eigentlich kein besonders nennenswerter Vorgang sei, geht es dabei doch überwiegend um die Überprüfung des ISMS (Informationssicherheits-Manage-mentsystems). Aufgrund der Größe des Untersuchungsgegenstandes bei der ekom21 mit drei Unternehmens- und ca. 500 Kundenstandorten wurden in Absprache mit dem BSI Teile der Hauptprüfung auf die folgenden Jahre verteilt. So stand beim ersten Überwachungsaudit, das in der zweiten Aprilhälfte dieses Jahres stattfand, unter anderem auch die neue Geschäftsstelle in Darmstadt im Fokus des Prüfers. Zusätzlich war eine ganze Woche für Martin Steger, den zertifizierten Prüfer der Fa. intersoft consulting services, einzuplanen, um eine Auswahl aus 500 Kundenstandorten „unter die Lupe“ zu nehmen, wobei das Hauptaugenmerk auf die Absicherung der Kommunikations-Komponenten gelegt wurde, die die Verbindung zur ekom21 herstellen. Dazu wurden – um einen repräsentativen Querschnitt abzubilden – 16 Verwaltungen unterschiedlicher Größe und Funktion (Gemeinde-, Stadt- und Kreisverwaltungen) im südlichen Teil Hessens ausgewählt und gemeinsam mit den IT-Sicherheitsbeauftragten der ekom21 besucht.

Erfreulicherweise wurden diese Prüfungen, die ja nicht der gesamten Verwaltung galten, sondern sich, räumlich begrenzt, der Unterbringung der von der ekom21 betriebenen Kommunikationssysteme widmete, von den anwesenden EDV-Verantwortlichen durchweg positiv aufgenommen. So konnten diese aus den Ergebnissen des Prüfers auch über das Prüfobjekt hinaus hilfreiche Erkenntnisse und Argumentationshilfen ziehen, wenn es beispielsweise um Themen wie Vermeidung unnötiger Brandlasten, fehlende Rauchmelder oder ungeprüfte Feuerlöscher, aber auch unverschlossene Verteilerschränke in Räumen mit Mehrfachnutzung ging. Absolut nichts zu beanstanden gab es in Eltville: Der IT-Raum der Stadtverwaltung wurde vom Prüfer im Bericht als „das Vorzeige-Objekt“ der zu prüfenden Kundenstandorte gewürdigt, was die dortigen Verantwortlichen ganz besonders freuen dürfte. Weil es um das Thema Leitungsanbindungen und deren Zuverlässigkeit ging, war auch die diesbezügliche Serviceleistung der ekom21 eine spannende Frage aus dem Katalog des Prüfers. Diese wurde von den befragten IT-Verantwortlichen durchgehend positiv beantwortet: Die ohnehin sehr selten auftretenden Verbindungsstörungen konnten in allen Fällen zügig durch die ekom21-Mitarbeiter im Bereich Communication Services behoben werden. Aufgrund einer Änderung des Prüfschemas für Überwachungsaudits hat das BSI die Latte für ein Bestehen dieser Audits etwas höher gelegt. Wer sich bereits mit dem IT-Grundschutzkatalogen beschäftigt hat, weiß, dass dort ein IT-Verbund in fünf Schichten gegliedert wird, die wiederum diverse Bausteine enthalten.

Um die Wirksamkeit der Sicherheitsprozesse in einem Unternehmen zwischen den Hauptprüfungen zu verifizieren, wurden bisher im Zuge der jährlichen Überwachungsaudits reine Dokumentenprüfungen vorgenommen. Ein IT-Betrieb verändert sich stetig, Richtlinien, Netzpläne und weitere Referenzdokumente müssen entsprechend angepasst werden. Die Aufgabe des Auditors war es, die Funktionsfähigkeit des ISMS eines Unternehmens anhand der Fortschreibung, Aktualisierung und Erweiterung der Referenzdokumente ausschließlich anhand der Umsetzung der Sicherheitsmaßnahmen aus der Schicht B1, „Übergreifende Aspekte“ zu bewerten.

bsi_Zertrhythmus.gif


Seit Anfang des Jahres 2010 greift eine signifikante Erweiterung des Prüfschemas für Überwachungsaudits durch das BSI: Um den kontinuierlichen Verbesserungsprozesses in Sachen Informationssicherheit nachzuweisen, wird nun stichprobenartig über alle Schichten hinweg überprüft, wie es um die Umsetzung von Sicherheitsmaßnahmen bestellt ist. Ein besonderes Augenmerk wird dabei auf Veränderungen im IT-Verbund – wie zum Beispiel die Einbindung der neuen Geschäftsstelle in Darmstadt – gelegt.

Die Prüfung selbst und die damit verbundene Berichtserstellung durch den Auditor gewinnen durch die Erweiterung des Prüfschemas nicht unerheblich an Umfang.

Umso erfreulicher war es, mit dem positiven Bescheid zum 1. Überwachungsaudit durch das BSI die Gewissheit zu haben, dass die ekom21 in Sachen Informationssicherheit weiter auf dem richtigen Weg ist. Im 2. Quartal des kommenden Jahres 2011 stehen die gleichen Prüfungen an, wobei dann ausgewählte Kundenstandorte im nordhessischen Raum überprüft werden.