Dies ist die HTML-Version der Datei http://www.bmols.gv.at/it-koo/sicherheit/shhb1.pdf.
G o o g l e erzeugt beim Web-Durchgang automatische HTML-Versionen von Dokumenten.

Google steht zu den Verfassern dieser Seite in keiner Beziehung.

Page 1
             
IT-Sicherheitshandbuch
für die öffentliche
Verwaltung
Teil 1: IT-Sicherheitsmanagement
B u n d e s m i n i s t e r i u m   f ü r   ö f f e n t l i c h e   L e i s t u n g   u n d   S p o r t

Page 2
IT-Sicherheitshandbuch
für die öffentliche Verwaltung
Teil 1:
IT-Sicherheitsmanagement
Version 1.0
Oktober 1998

Page 3
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Vorwort
Version 1.0, Stand Oktober 1998
Seite 2 von 86
Vorwort
In den letzten Jahren gab es im Bereich der Informationstechnologie (IT) gerade in der
öffentlichen Verwaltung einen bemerkenswerten Innovationsschub. Neue kostengünstige
Technologien und sinkende Hardwarekosten haben diesen Trend begünstigt. Gerade dieser
Boom in der IT birgt aber die Gefahr, durch Konzentration auf den massiven Ausbau die
notwendigen Begleitmaßnahmen wie zum Beispiel im Bereich von Datensicherheit und
Datenschutz zu vernachlässigen.
Es haben sich daher auf Initiative und mit finanzieller Unterstützung des BM für Inneres einige
Ressorts mit traditionellem Sicherheitsbedarf im Rahmen einer Arbeitsgruppe der ADV-
Koordination im BKA zum Ziel gesetzt, ein IT-Sicherheitshandbuch für die öffentliche
Verwaltung zu entwickeln. Dieses Handbuch sollte den Ressorts ermöglichen, eine
eigenständige, jedoch mit anderen Organisationseinheiten kompatible IT-Sicherheitspolitik zu
erstellen. Weiters sollte damit eine einheitliche Sprachregelung im Bereich der IT-Sicherheit
erreicht werden.
Der vorliegende erste Teil beinhaltet konkrete Anleitungen zur Etablierung eines umfassenden
und kontinuierlichen IT-Sicherheitsprozesses innerhalb einer Organisation. In einem zweiten,
derzeit in Planung befindlichen Teil werden dann die organisatorischen, personellen,
infrastrukturellen und technischen Sicherheitsmaßnahmen für IT-Systeme mit einem mittleren
Schutzbedarf beschrieben werden.
Beide Teile basieren z.T. auf dem Grundschutzhandbuch des deutschen Bundesamtes für
Sicherheit in der Informationstechnik (BSI), für dessen Zustimmung zur Nutzung gedankt
werden darf.
Die nachstehend in alphabetischer Reihenfolge angeführten Teilnehmer der Arbeitsgruppe
hoffen, mit dem vorliegenden ersten Teil des Sicherheitshandbuches auf die Notwendigkeit der
Errichtung eines IT-Sicherheitsmanagements hinreichend aufmerksam machen zu können,
wünschen viel Erfolg bei einer allfälligen Implementierung und stehen für nähere Fragen und
Anregungen gerne zur Verfügung:
Busch Eduard
BM für Inneres
eduard.busch@bmi.gv.at
DI Garaus Theodor
Bundeskanzleramt
theodor.garaus@bka.gv.at
Herzog Gerhard
BM für Landesverteidigung
gerhard.herzog@bmlv.gv.at
Heydebreck Helmar
Bundeskanzleramt
helmar.heydebreck@bka.gv.at
Kelsch Peter
BM für Inneres
peter.kelsch@bmi.gv.at
Ing. Ledinger Roland
Bundeskanzleramt
roland.ledinger@bka.gv.at
Ing. Pleskac Johannes
BM für Finanzen
johann.pleskac@bmf.gv.at
Dr. Schaumüller-Bichl Ingrid externe Konsulentin
ingrid.schaumueller@telecom.at

Page 4
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Inhalt
Version 1.0, Stand Oktober 1998
Seite 3 von 86
Inhalt
VORWORT                                                                                                                                        2
1    IT-SICHERHEITSMANA GEMENT IN DER ÖFFENTLICHEN VERWALTUNG
               6
1.1
Ziele und Aufgaben des IT-Sicherheitsmanagements
6
1.2
Zielsetzungen des Handbuches
7
1.3
IT-Sicherheitsmanagement als kontinuierlicher Prozess
8
2    ENTWICKLUNG EINER  ORGANISATIONSWEITEN IT-SICHERHEITSPOLITIK
       12
2.1
Erstellung von IT-Sicherheitspolitiken
12
2.2
Die Inhalte der IT-Sicherheitspolitik
13
2.2.1 Grundsätzliche Ziele und Strategien
13
2.2.2 Organisation und Verantwortlichkeiten für IT-Sicherheit
14
2.2.3 Risikoanalysestrategien, akzeptables Restrisiko und Risikoakzeptanz
18
2.2.4 Klassifikation von Daten
20
2.2.5 Organisationsweite Richtlinien zu Sicherheitsmaßnahmen
22
2.2.6 Disaster Recovery Planung
25
2.2.7 Nachfolgeaktivitäten zur Überprüfung und Aufrechterhaltung der Sicherheit
27
2.3
Life Cycle der IT-Sicherheitspolitik
28
2.3.1 Erstellung
28
2.3.2 Offizielle Inkraftsetzung
29
2.3.3 Regelmäßige Überarbeitung
29
3    RISIKOANALYSE                                                                                                                     30
3.1
Risikoanalysestrategien
30
3.2
Detaillierte Risikoanalyse
31
3.2.1 Abgrenzung des Analysebereiches
34
3.2.2 Identifikation der bedrohten Objekte (Werte, assets)
34
3.2.3 Wertanalyse
35
3.2.4 Bedrohungsanalyse
37
3.2.5 Schwachstellenanalyse
40
3.2.6 Identifikation bestehender Sicherheitsmaßnahmen
41
3.2.7 Risikobewertung
41
3.2.8 Auswertung und Aufbereitung der Ergebnisse
42

Page 5
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Inhalt
Version 1.0, Stand Oktober 1998
Seite 4 von 86
3.3
Grundschutzansatz
43
3.3.1 Die Idee des IT-Grundschutzes
43
3.3.2 Grundschutzanalyse und Auswahl von Maßnahmen
44
3.4
Kombinierter Ansatz
48
3.4.1 Festlegung von Schutzbedarfskategorien
50
3.4.2 Schutzbedarfsfeststellung
51
3.4.3 Durchführung von Grundschutzanalysen
53
3.4.4 Durchführung von detaillierten Risikoanalysen
55
3.5
Akzeptables Restrisiko
56
3.6
Akzeptanz von außergewöhnlichen Restrisiken
56
4    ERSTELLUNG VON IT- SICHERHEITSKONZEPTEN                                                         57
4.1
Auswahl von Maßnahmen
57
4.1.1 Klassifikation von Sicherheitsmaßnahmen
58
4.1.2 Ausgangsbasis für die Auswahl von Maßnahmen
59
4.1.3 Auswahl von Maßnahmen auf Basis einer detaillierten Risikoanalyse
60
4.1.4 Auswahl von Maßnahmen im Falle eines Grundschutzansatzes
61
4.1.5 Auswahl von Maßnahmen im Falle eines kombinierten Risikoanalyseansatzes
61
4.1.6 Bewertung von Maßnahmen
61
4.1.7 Rahmenbedingungen
62
4.2
Risikoakzeptanz
63
4.3
IT-Systemsicherheitspolitiken
64
4.3.1 Aufgaben und Ziele
64
4.3.2 Inhalte
65
4.3.3 Fortschreibung der IT-Systemsicherheitspolitik
65
4.3.4 Verantwortlichkeiten
65
4.4
IT-Sicherheitsplan
66
4.5
Fortschreibung des IT-Sicherheitskonzeptes
67
5    UMSETZUNG DES IT-S ICHERHEITSPLANES                                                                     68
5.1
Implementierung von Maßnahmen
68
5.2
Sensibilisierung
70
5.3
Schulung
72
5.4
Akkreditierung
73
6    IT-SICHERHEIT IM L AUFENDEN BETRIEB                                                                       74
6.1
Aufrechterhaltung des erreichten Sicherheitsniveaus
74
6.1.1 Wartung und administrativer Support von Sicherheitseinrichtungen
75
6.1.2 Überprüfung von Maßnahmen auf Übereinstimmung mit der IT-Sicherheitspolitik
(Security Compliance Checking)
76

Page 6
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Inhalt
Version 1.0, Stand Oktober 1998
Seite 5 von 86
6.1.3 Fortlaufende Überwachung der IT-Systeme (Monitoring)
76
6.2
Change Management
78
6.3
Reaktion auf sicherheitsrelevante Ereignisse ( Incident Handling )
78
7    ANHANG                                                                                                                                    80
7.1
Literatur
80
7.2
Glossar
81
7.3
Index
85

Page 7
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 1: IT-Sicherheitsmanagement in der öffentlichen Verwaltung
Version 1.0, Stand Oktober 1998
Seite 6 von 86
1  IT-Sicherheitsmanagement in der öffentlichen Verwaltung
Die Sicherheit und Verlässlichkeit von Systemen der Informationstechnik (IT-Systemen) ist
von entscheidender Bedeutung für eine Vielzahl von Organisationen und letztlich für die
Funktionsfähigkeit unserer Gesellschaft. Die Erkenntnis, dass weite Bereiche des täglichen
Lebens ohne den Einsatz von informationstechnischen Systemen heute nicht mehr
funktionsfähig sind, rückt die Frage nach der Sicherheit der Informationstechnologie
zunehmend in den Brennpunkt des Interesses. Gerade im Bereich der öffentlichen Verwaltung
bestehen besonders hohe Anforderungen an die Vertrauenswürdigkeit und Sicherheit von IT-
Systemen.
In den vergangenen Jahren wurde auch zunehmend deutlich, dass sich Sicherheit nicht auf
einzelne Teilaspekte, wie die Verschlüsselung vertraulicher Daten oder die Installation von
Firewall-Rechnern beschränken kann, sondern integraler Bestandteil eines modernen IT-
Konzeptes sein muss. Methodisches Sicherheitsmanagement ist zur Gewährleistung
umfassender und angemessener IT-Sicherheit unerlässlich.
1.1  Ziele und Aufgaben des IT- Sicherheitsmanagements
IT-Sicherheitsmanagement ist ein kontinuierlicher Prozess, der die Vertraulichkeit, Integrität,
Verfügbarkeit, Zurechenbarkeit, Authentizität und Zuverlässigkeit von Systemen der
Informationstechnik (IT-Systemen) innerhalb einer Organisation gewährleisten soll.
Zu den Aufgaben des IT-Sicherheitsmanagements gehören:
ü Festlegung der IT-Sicherheitsziele, -strategien und -politiken der Organisation,
ü Festlegung der IT-Sicherheitsanforderungen,
ü Ermittlung und Analyse von Bedrohungen und Risiken,
ü Festlegung geeigneter Sicherheitsmaßnahmen,
ü Überwachung der Implementierung und des laufenden Betriebes der ausgewählten
Maßnahmen,
ü Förderung des Sicherheitsbewusstseins innerhalb der Organisation  sowie
ü Entdecken von und Reaktion auf sicherheitsrelevante Ereignisse.
IT-Sicherheit ist immer eine Management-Aufgabe. Nur wenn die Leitung einer Organisation
voll hinter den IT-Sicherheitszielen und den damit verbundenen Aktivitäten steht, kann diese
Aufgabe erfolgreich wahrgenommen werden.

Page 8
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 1: IT-Sicherheitsmanagement in der öffentlichen Verwaltung
Version 1.0, Stand Oktober 1998
Seite 7 von 86
1.2  Zielsetzungen des Handbuches
Das vorliegende IT-Sicherheitshandbuch wurde für die Anwendung in der öffentlichen Verwal-
tung erstellt und ist auf die spezifischen Anforderungen in diesem Bereich abgestimmt.
Aufgrund des generellen Ansatzes kann es aber auch durchaus für Anwender außerhalb dieses
Bereiches von Nutzen sein.
Die Anwendung dieses Handbuches soll es den einzelnen Ressorts ermöglichen, die für ihren
Bereich relevanten IT-Sicherheitsziele und -strategien zu ermitteln, eine eigenständige, jedoch
mit den anderen Ressorts kompatible IT-Sicherheitspolitik zu erstellen, geeignete und
angemessene Sicherheitsmaßnahmen auszuwählen und zu realisieren sowie IT-Sicherheit im
laufenden Betrieb zu gewährleisten. Darüber hinaus soll das Handbuch dazu beitragen,
innerhalb der österreichischen Behörden eine einheitliche Vorgehensweise und Sprachregelung
im Bereich der IT-Sicherheit zu entwickeln, wobei aber größtmögliche Flexibilität zur
Umsetzung der unterschiedlichen Sicherheitsanforderungen der einzelnen Ressorts bzw.
Organisationseinheiten (OEs) gewahrt bleiben soll.
Ziel ist es, IT-Sicherheit zu einem integralen Bestandteil der Entwicklung und des Betriebes
von IT-Systemen in der öffentlichen Verwaltung zu machen.
Einige generelle Anmerkungen:
*
 Das vorliegende Handbuch konzentriert sich auf den Bereich "Sicherheit von Systemen der
Informationstechnik" (kurz "IT-Sicherheit"). Dies umfasst Hardware, Software, Daten, aber
auch organisatorische, bauliche und personelle Fragen, soweit sie in direktem
Zusammenhang mit der Sicherheit von IT-Systemen stehen.
 
Abzugrenzen davon ist das Gebiet der "Informationssicherheit", das sich mit dem Schutz
von Information generell, also etwa auch in schriftlicher Form, auf Mikrofilmen oder in
gesprochener Form, befasst. Dies ist nicht Gegenstand dieses Handbuches.
 
*
 Das IT-Sicherheitshandbuch versteht sich als Sammlung von Leitlinien und Empfehlungen,
die entsprechend den spezifischen Anforderungen und Bedürfnissen der anwendenden
Organisationseinheit angepasst werden sollten. Es stellt eine Ergänzung zu den bestehenden
Regelungen und Vorschriften (Datenschutzgesetz, Verschlusssachenvorschriften, Amts-
geheimnis,...) dar und soll diese nicht außer Kraft setzen oder zu ihnen im Widerspruch
stehen.
 
*
 Das IT-Sicherheitshandbuch besteht aus zwei Teilen.
 
Teil 1 "IT-Sicherheitsmanagement" liegt nun vor. Er beinhaltet konkrete Anleitungen zur
Etablierung eines umfassenden und kontinuierlichen IT-Sicherheitsprozesses innerhalb einer
Organisation.

Page 9
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 1: IT-Sicherheitsmanagement in der öffentlichen Verwaltung
Version 1.0, Stand Oktober 1998
Seite 8 von 86
 
Teil 2 "Baseline Security" ist derzeit in Planung. Er beinhaltet die Beschreibung organisa-
torischer, personeller, infrastruktureller und technischer Standardsicherheitsmaßnahmen.
Ziel ist die Gewährleistung eines angemessenen und ausreichenden Sicherheitsniveaus für
IT-Systeme mit mittlerem Schutzbedarf.
 
*
 Seit einigen Jahren werden auf nationaler und internationaler Ebene verstärkt Anstrengun-
gen unternommen, einheitliche methodische Vorgehensweisen zur Etablierung von IT-
Sicherheit zu erarbeiten. Die österreichische öffentliche Verwaltung unterstützt diese
Bestrebungen und versucht, im vorliegenden Handbuch diesen internationalen
Entwicklungen so weit wie möglich Rechnung zu tragen. Das Handbuch geht aus von den
Konzepten, die im Technical Report "Guidelines for the Management of IT Security
(GMITS)" der ISO/IEC vorgestellt werden, den im "IT-Grundschutzhandbuch" und "IT-
Sicherheitshandbuch" des Bundesamtes für Informationstechnik (BSI) in Bonn gewählten
Ansätzen, sowie einigen weiteren, im Literaturverzeichnis angeführten Arbeiten, wurde
jedoch an die spezifischen Anforderungen für den definierten Anwendungsbereich adaptiert.
Der besseren Lesbarkeit halber wird im Text des Handbuches i.a. auf direkte Verweise
sowie die Beschreibung von Unterschieden verzichtet, der interessierte Leser sei hier auf die
Originalliteratur verwiesen.
*
 Auch die Konzepte und Methoden des IT-Sicherheitsmanagements sind einer ständigen
Änderung und Weiterentwicklung unterworfen. Es ist daher notwendig, das vorliegende
Handbuch kontinuierlich weiterzuentwickeln und neuen Erfordernissen anzupassen. Von
besonderer Bedeutung ist dabei ein Feedback über die Erfahrungen mit der Anwendung des
Handbuches in der Praxis. Alle Anwender des Handbuches werden daher eingeladen,
diesbezügliche Anregungen und Erfahrungen den Verfassern mitzuteilen.
1.3  IT-Sicherheitsmanagement als kontinuierlicher Prozess
Risiken sind in unserer Welt allgegenwärtig. Man kann ihnen nicht völlig aus dem Weg gehen,
man muss vielmehr lernen, sie zu erkennen und bestmöglich zu beherrschen. Diese
methodische Bewältigung von Risiken ist Gegenstand des Risikomanagements.
IT-Sicherheitsmanagement stellt jenen Teil des allgemeinen Risikomanagements dar, der die
Vertraulichkeit, Integrität, Verfügbarkeit, Zurechenbarkeit, Authentizität und Zuverlässigkeit
von Systemen der Informationstechnik gewährleisten soll. Dabei handelt es sich um einen
kontinuierlichen Prozess, dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit
und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind.
Die nachfolgende Graphik zeigt - in Anlehnung an das Konzept in [ISO/IEC 13335], aber für
die aktuellen Anforderungen im Bereich der öffentlichen Verwaltung adaptiert - die
wichtigsten Aktivitäten im Rahmen des IT-Sicherheitsmanagements und die eventuell
erforderlichen Rückkopplungen zwischen den einzelnen Stufen.

Page 10
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 1: IT-Sicherheitsmanagement in der öffentlichen Verwaltung
Version 1.0, Stand Oktober 1998
Seite 9 von 86
Anmerkung:
Der dargestellte Prozess kann sowohl auf eine gesamte Organisation als auch auf Teilbereiche
Anwendung finden. Generell sollte der Prozess zumindest auf Ressortebene durchgeführt
werden, über die Anwendung auf Ebene einzelner Behörden, Abteilungen oder anderer OEs ist
dann im spezifischen Zusammenhang - abhängig vom IT-Konzept und den bestehenden
Sicherheitsanforderungen - zu entscheiden.
Im Folgenden wird, wenn nicht ausdrücklich anders angeführt, allgemein der Begriff
"Organisation" (oder synonym dazu "Institution") verwendet, wobei aber zu beachten ist, dass
damit beliebige Organisationseinheiten gemeint sein können.
Entwicklung einer organisationsweiten
 
IT-Sicherheitspolitik
Risikoanalyse
Detaillierte
Risikoanalyse 
Grundschutz-
Ansatz
Erstellung eines IT-Sicherheitskonzeptes
Auswahl von Maßnahmen
Risikoakzeptanz
IT-Systemsicher heitspolitiken
IT-Sicherheitsplan
Umsetzung des IT-Sicherheitsplans
  Maßnahmen             Sensibilisierung             Training
Akkreditierung
IT-Sicherheit im laufenden Betrieb
Change Management
Aufrechterhaltung des Sicherheitsniveaus
Reaktion auf sicherheitsrelevante Ereignisse
Kombinierter
Ansatz
Entwicklung
Realisierung
Betrieb
Abbildung 1.1: Aktivitäten im Rahmen des IT-Sicherheitsmanagements

Page 11
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 1: IT-Sicherheitsmanagement in der öffentlichen Verwaltung
Version 1.0, Stand Oktober 1998
Seite 10 von 86
IT-Sicherheitsmanagement umfasst damit folgende Schritte:
*
 
Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Als organisationsweite IT-Sicherheitspolitik ( 
Corporate IT Security Policy
 ) bezeichnet man
die Leitlinien und Vorgaben innerhalb einer Organisation, die unter Berücksichtigung
gegebener Randbedingungen grundlegende Ziele, Strategien, Verantwortlichkeiten und
Methoden für die Gewährleistung der IT-Sicherheit festlegen.
Die organisationsweite IT-Sicherheitspolitik (im Folgenden der Einfachheit halber als "IT-
Sicherheitspolitik" bezeichnet) soll allgemeine Festlegungen treffen, die für alle Einsatzbereiche
der Informationstechnologie innerhalb einer Organisation Gültigkeit haben (s. dazu Kap.2). Da
es sich um ein langfristig orientiertes Grundlagendokument handelt, können technische Details
sowie Einzelheiten zu Sicherheitsmaßnahmen und deren Umsetzung nicht Bestandteil der
organisationsweiten IT-Sicherheitspolitik sein. Sie sind im Rahmen der einzelnen "IT-System-
sicherheitspolitiken" zu behandeln.
Die IT-Sicherheitspolitik ist eingebettet in eine Hierarchie von Regelungen und Politiken.
Abhängig vom IT-Konzept und den Sicherheitsanforderungen kann es auch notwendig werden,
eine Hierarchie von IT-Sicherheitspolitiken für verschiedene Organisationseinheiten (etwa
Abteilungen, nachgeordnete Dienststellen,...) zu erstellen.
*
 
Risikoanalyse
Eine wesentliche Aufgabe des IT-Sicherheitsmanagements ist das Erkennen und  Einschätzen
von Sicherheitsrisiken und deren Reduktion auf ein tragbares Maß. Im Rahmen des
vorliegenden Handbuches werden drei Risikoanalysestrategien behandelt (s. Kapitel 3):
Detaillierte Risikoanalyse, Grundschutzansatz und Kombinierter Ansatz. Die Wahl der
Risikoanalysestrategie sollte im Rahmen der IT-Sicherheitspolitik erfolgen, um ein
organisationsweit einheitliches Vorgehen zu gewährleisten.
*
 
Erstellung eines IT-Sicherheitskonzeptes
Abhängig von den Ergebnissen der Risikoanalyse werden in einem nächsten Schritt
Maßnahmen ausgewählt, die die Risiken auf ein definiertes und beherrschbares Maß reduzieren
sollen. Im Anschluss daran ist das verbleibende Restrisiko zu ermitteln und zu prüfen, ob dieses
für die Organisation tragbar ist oder weitere Maßnahmen zur Risikoreduktion erforderlich sind.
Für große und komplexe IT-Systeme sollten eigene IT-Systemsicherheitspolitiken erarbeitet
werden, die - kompatibel mit der organisationsweiten IT-Sicherheitspolitik - sowohl die
grundlegenden Leitlinien zur Sicherheit eines konkreten IT-Systems vorgeben als auch
konkrete Sicherheitsmaßnahmen und ihre Umsetzung beschreiben.
In einem IT-Sicherheitsplan werden alle kurz-, mittel- und langfristigen Aktionen festgehalten,
die zur Umsetzung der ausgewählten Maßnahmen erforderlich sind.

Page 12
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 1: IT-Sicherheitsmanagement in der öffentlichen Verwaltung
Version 1.0, Stand Oktober 1998
Seite 11 von 86
Die Erstellung von IT-Sicherheitskonzepten wird in Kapitel 4 dieses Handbuches behandelt.
*
 
Umsetzung des IT-Sicherheitsplans
Bei der Implementierung der ausgewählten Sicherheitsmaßnahmen ist zu beachten, dass die
meisten technischen Sicherheitsmaßnahmen ein geeignetes organisatorisches Umfeld brauchen,
um vollständig wirksam zu sein. Unabdingbare Voraussetzung für eine erfolgreiche Umsetzung
des IT-Sicherheitsplanes in der Praxis sind auch entsprechende Sensibilisierungs- und
Schulungsmaßnahmen. Weiters ist sicherzustellen, dass die IT-Systeme den Anforderungen der
IT-Systemsicherheitspolitiken und des IT-Sicherheitsplanes in der konkreten Einsatzumgebung
genügen ("Akkreditierung").
Kapitel 5 des vorliegenden Handbuches behandelt diese Umsetzungsfragen.
*
 
IT-Sicherheit im laufenden Betrieb
Umfassendes IT-Sicherheitsmanagement beinhaltet nicht zuletzt auch die Aufgabe, die Sicher-
heit im laufenden Betrieb aufrechtzuerhalten und gegebenenfalls veränderten Bedingungen
anzupassen. Zu den erforderlichen Follow-Up-Aktivitäten zählen (s. Kapitel 6):
ü Aufrechterhaltung des erreichten Sicherheitsniveaus
dies umfasst:
-  Wartung und administrativen Support von Sicherheitseinrichtungen,
-  die Überprüfung von Maßnahmen auf Übereinstimmung mit der IT-Sicherheitspolitik
    ( 
Security Compliance Checking 
) sowie
-  die fortlaufende Überwachung der IT-Systeme ( 
Monitoring 
)
ü Reaktion auf sicherheitsrelevante Ereignisse ( 
Incident Handling
 )
ü Change Management

Page 13
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 12 von 86
2  Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Die IT-Sicherheitspolitik bildet die Basis für die Entwicklung und die Umsetzung eines
risikogerechten und wirtschaftlich angemessenen IT-Sicherheitskonzeptes. Sie stellt ein
Grundlagendokument dar, das die sicherheitsbezogenen Ziele, Strategien, Verantwortlichkeiten
und Methoden langfristig und verbindlich festlegt.
Die organisationsweite IT-Sicherheitspolitik soll allgemeine Festlegungen treffen, die für alle
Einsatzbereiche der Informationstechnologie innerhalb einer Organisation zur Anwendung
kommen. Diese Richtlinien werden in den nachgeordneten "IT-Systemsicherheitspolitiken",
etwa der PC-Sicherheitspolitik oder der Netzsicherheitspolitik, konkret umgesetzt.
2.1  Erstellung von IT-Sicherheitspolitiken
Geltungsbereich
Jedes Ressort sollte eine eigene, ressortspezifische IT-Sicherheitspolitik erstellen. Bei Bedarf
können aus dieser weitere Sicherheitspolitiken, etwa auf Behörden- oder Abteilungsebene,
abgeleitet werden.
Das folgende Kapitel gibt eine Anleitung zur Erstellung einer derartigen Politik und legt die
wesentlichen Inhalte fest. Ziel dieses Abschnittes des IT-Sicherheitshandbuches ist es, die
Erarbeitung eigenständiger, jedoch mit denen anderer Institutionen der öffentlichen Ver-
waltung kompatibler IT-Sicherheitspolitiken zu unterstützen. Dies soll ein äquivalentes Niveau
der IT-Sicherheit in den einzelnen Organisationen gewährleisten sowie Synergieeffekte nutzbar
machen.
Aufgaben und Ziele einer IT-Sicherheitspolitik
Eine organisationsweite IT-Sicherheitspolitik hat die Aufgabe, alle Aspekte einer sicheren
Nutzung der Informationstechnik innerhalb einer Organisation abzudecken. Dabei gilt:
ü Die IT-Sicherheitspolitik wird als schriftliches Dokument erstellt und bildet die Grundlage
des IT-Sicherheitsmanagements.
ü Die IT-Sicherheitspolitik legt Leitlinien fest, schreibt aber keine Implementierung vor.
ü Die IT-Sicherheitspolitik wird offiziell verabschiedet und in Kraft gesetzt.
ü Jeder Mitarbeiter muss Kenntnis über die wichtigsten Inhalte der IT-Sicherheitspolitik
haben; die direkt mit IT-Sicherheit beschäftigten Mitarbeiter (dazu gehören die Mitglieder
des IT-Sicherheitsmanagement-Teams, der Datenschutz-/IT-Sicherheitsbeauftragte, die

Page 14
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 13 von 86
Bereichs-IT-Sicherheitsbeauftragten sowie die Applikations-/Projektverantwortlichen, s.
auch Kap. 2.2.2 ) müssen im Besitz einer aktuellen Version der IT-Sicherheitspolitik sein.
2.2  Die Inhalte der IT-Sicherheitspolitik
Der folgende Abschnitt beschreibt, welche Themenbereiche die IT-Sicherheitspolitik an-
sprechen sollte, und gibt Hinweise und Leitlinien zur Erstellung dieses Dokumentes.
2.2.1  Grundsätzliche Ziele und Strategien
Schritt 1: Festlegung der wesentlichen IT-Sicherheitsziele
Bei der Erstellung der IT-Sicherheitspolitik sind zunächst die spezifischen IT-Sicherheitsziele
der Organisation zu erarbeiten, die mit dieser Politik erreicht werden sollen.
Beispiele für solche Ziele sind:
ü Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen
ü Gewährleistung des Vertrauens der Öffentlichkeit in die betroffene Organisation bzw. die
öffentliche Verwaltung im Allgemeinen
ü Hohe Verlässlichkeit des Handelns, insbesondere in Bezug auf Vertraulichkeit, Richtigkeit
und Rechtzeitigkeit. Dies erfordert:
  Vertraulichkeit der verarbeiteten Informationen und Einhaltung des Datenschutzgesetzes
  Korrektheit, Vollständigkeit und Authentizität der Informationen (Integrität der IT)
  Rechtzeitigkeit (Verfügbarkeit der IT)
ü Sicherung der investierten Werte
ü Sicherstellung der Kontinuität der Arbeitsabläufe
ü Reduzierung der im Schadensfall entstehenden Kosten (Schadensvermeidung und
Schadensbegrenzung)
ü Gewährleistung des besonderen Prestiges
Neben diesen eher allgemein gültigen Zielen sind die organisationsspezifischen Sicherheitsziele
- bezugnehmend auf die spezifischen Aufgaben und Projekte - zu formulieren.
Zur Präzisierung dieser Ziele können folgende Fragen hilfreich sein:
ü Welche essentiellen Aufgaben der betreffenden Organisation können ohne IT-Unterstützung
nicht mehr durchgeführt werden?
ü Welche wesentlichen Entscheidungen hängen von der Genauigkeit, Integrität oder Verfüg-
barkeit von durch die IT-Systeme verarbeiteter Information ab?
ü Welche vertrauliche Information ist zu schützen?

Page 15
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 14 von 86
ü Welche Auswirkungen hätte eine gravierende Verletzung der Sicherheit (Verlust von
Vertraulichkeit, Integrität und/oder Verfügbarkeit)?
Schritt 2: Festlegung des angestrebten Sicherheitsniveaus
In diesem Schritt ist festzulegen, welches Sicherheitsniveau in Bezug auf
ü Vertraulichkeit,
ü Integrität und
ü Verfügbarkeit
angestrebt werden soll.
Schritt 3: Ausarbeitung von Strategien für das IT-Sicherheitsmanagement
Die IT-Sicherheitsstrategie legt fest, wie die definierten Sicherheitsziele erreicht werden
können.
Eine organisationsweite IT-Sicherheitspolitik kann und soll lediglich eine High-Level-
Beschreibung der gewählten Strategie beinhalten - Detailbeschreibungen sind Aufgabe der
nachgeordneten IT-Systemsicherheitspolitiken.
Beispiele für Bereiche, die in der IT-Sicherheitsstrategie angesprochen werden könnten, sind:
ü die Forderung nach einer organisationsweiten Methodik zur IT-Sicherheit,
ü eine klare Zuordnung aller Verantwortlichkeiten im IT-Sicherheitsprozess,
ü die Einführung eines QM-Systems,
ü die Entwicklung einer IT-Systemsicherheitspolitik für jedes IT-System,
ü die Etablierung eines organisationsweiten Incident Handling Plans,
ü die Voraussetzungen für eine sichere externe Kommunikation,
ü Orientierung an internationalen Richtlinien und Standards,
ü IT-Sicherheit als integraler Bestandteil des gesamten Lebenszyklus eines IT-Systems,
ü die Förderung des Sicherheitsbewusstseins aller Mitarbeiter.
2.2.2  Organisation und Verantwortlichkeiten für IT-Sicherheit
Um eine Berücksichtigung aller wichtigen Aspekte und eine effiziente Erledigung sämtlicher
anfallender Aufgaben zu gewährleisten, ist es erforderlich, die Rollen und Verantwortlichkeiten
aller in den IT-Sicherheitsprozess involvierten Personen klar zu definieren.
Die Organisation des IT-Sicherheitsmanagements ist für jede Institution - entsprechend ihrer
Größe, Struktur und Aufgaben - spezifisch festzulegen und in der IT-Sicherheitspolitik festzu-
schreiben. Als Leitlinie soll dabei das nachfolgende Bild dienen, das beispielhaft zeigt, wie die
Organisation des IT-Sicherheitsmanagements auf Ebene eines Ressorts aussehen könnte.

Page 16
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 15 von 86
KIT
IT-Management
IT-Sicherheits-
management-
Team
Datenschutz-/
IT-Sicherheits-
beauftragter
Bereichs-
IT-Sicherheits-
beauftragter
IT-Anwender
Applikations-/Projekt-
verantwortliche
Vertreter der
IT-Anwender
bestellt / weist an
ist Mitglied von
Abbildung 2.1: Beispiel zur Organisation des IT-Sicherheitsmanagements in einem Ressort
Das nächste Bild zeigt, wie das IT-Sicherheitsmanagement in einer kleinen bis mittelgroßen
Institution organisiert sein könnte:
IT-Management
Datenschutz-/
IT-Sicherheits-
beauftragter
IT-Anwender
Applikations-/Projekt-
verantwortliche
bestellt / weist an
Abbildung 2.2: Beispiel zur Organisations des IT-Sicherheitsmanagements
in einer Institution kleiner bis mittlerer Größe
Zentrale Aufgaben im IT-Sicherheitsmanagementprozess kommen dabei
ü dem IT-Sicherheitsmanagement-Team,

Page 17
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 16 von 86
ü dem Datenschutz-/IT-Sicherheitsbeauftragten,
ü dem Bereichs-IT-Sicherheitsbeauftragten und
ü den Applikations-/Projektverantwortlichen
zu.
Es ist zu betonen, dass es sich bei diesen Funktionen bzw. Gremien, die im Folgenden näher
beschrieben werden, um Rollen handelt, die - abhängig von der Größe und den Sicherheits-
anforderungen einer Organisation - durchaus auch von mehreren Personen wahrgenommen
werden können. In diesem Fall ist auf eine genaue Trennung der Kompetenzen und Verant-
wortlichkeiten Bedacht zu nehmen. Genauso ist es möglich, dass eine Person eine dieser Rollen
zusätzlich zu anderen Aufgaben übernimmt (beispielsweise könnte ein Systemadministrator als
Bereichs-IT-Sicherheitsbeauftragter für dieses System agieren), wobei darauf zu achten ist,
dass ausreichend Zeit für die sicherheitsrelevanten Tätigkeiten zur Verfügung steht und es zu
keinen Kollisionen von Verantwortlichkeiten oder Interessen kommt.
Nachfolgend werden die wichtigsten typischen Aufgaben und Verantwortlichkeiten dieser
Funktionen bzw. Gremien kurz beschrieben. Eine detaillierte, auf die speziellen Aufgaben und
Anforderungen der betreffenden Organisation abgestimmte Beschreibung ist im Rahmen der
organisationsweiten IT-Sicherheitspolitik zu geben.
Das IT-Sicherheitsmanagement-Team
Aufgaben:
Das IT-Sicherheitsmanagement-Team ist verantwortlich für die Regelung der organisations-
weiten IT-Sicherheitsbelange sowie für die Erarbeitung von Plänen, Vorgaben und Richtlinien
zur IT-Sicherheit. Zu seinen Aufgaben zählen unter anderem:
ü Festlegung der IT-Sicherheitsziele der Organisation
ü Entwicklung einer organisationsweiten IT-Sicherheitspolitik
ü Unterstützung und Beratung bei der Erstellung des IT-Sicherheitskonzeptes sowie
Überprüfung des Konzeptes auf Erreichung der IT-Sicherheitsziele
ü Förderung des IT-Sicherheitsbewusstseins in der gesamten Organisation
ü Festlegung der personellen und finanziellen Ressourcen für IT-Sicherheit
Zusammensetzung des Teams:
Die genaue Festlegung der Zusammensetzung sowie der Aufgaben und Verantwortlichkeiten
des IT-Sicherheitsmanagement-Teams hat im Rahmen der IT-Sicherheitspolitik zu erfolgen.
Generell ist zu empfehlen, dass der Datenschutz-/IT-Sicherheitsbeauftragte sowie ein Vertreter
der IT-Anwender Mitglieder des IT-Sicherheitsmanagements-Teams sind.

Page 18
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 17 von 86
Der Datenschutz-/IT-Sicherheitsbeauftragte
Zentrale Aufgaben des Datenschutz-/IT-Sicherheitsbeauftragten sind die Wahrnehmung der
datenschutzrechtlichen Belange lt. Datenschutzgesetz in der jeweils gültigen Fassung sowie die
fachliche Verantwortung für alle IT-Sicherheitsfragen innerhalb einer Organisation.
Zu seinen Pflichten gehören:
ü die verantwortliche Mitwirkung an der Erstellung des IT-Sicherheitskonzeptes,
ü die Gesamtverantwortung für die Realisierung der ausgewählten Sicherheitsmaßnahmen,
ü die Planung und Koordination von Schulungs- und Sensibilisierungsveranstaltungen,
ü die Gewährleistung der IT-Sicherheit im laufenden Betrieb,
ü die Verwaltung der für IT-Sicherheit zur Verfügung stehenden Ressourcen  sowie
ü die Wahrnehmung der datenschutzrechtlichen Belange lt. Datenschutzgesetz in der jeweils
gültigen Fassung.
Der Datenschutz-/IT-Sicherheitsbeauftragte kann einzelne Aufgaben delegieren, die Gesamt-
verantwortung für die IT-Sicherheit verbleibt aber bei ihm.
Abhängig von Größe und Aufgaben einer Institution kann eine Trennung der datenschutzrecht-
lichen und der übrigen IT-sicherheitsspezifischen Aufgaben sinnvoll sein. Aufgrund der
Komplexität und Vielfalt der Aufgaben besteht auch, wie bereits oben erwähnt, die
Möglichkeit diese Funktion durch mehrere Personen abzudecken.
Der Funktion des Datenschutz-/IT-Sicherheitsbeauftragten kommt eine zentrale Bedeutung zu.
Daher sollte diese Rolle in jedem Fall - also auch bei kleinen Organisationseinheiten - definiert
und klar einer Person (eventuell zusätzlich zu anderen Aufgaben) zugeordnet sein.
Die Bereichs-IT-Sicherheitsbeauftragten
Die Komplexität moderner IT-Systeme erfordert zur Gewährleistung eines angemessenen
Sicherheitsniveaus tief gehende Systemkenntnisse, die von einer einzelnen Person i.a. nicht
mehr abgedeckt werden können, insbesondere wenn mehrere unterschiedliche Systemplatt-
formen zum Einsatz kommen. Daher wird es in den meisten Fällen empfehlenswert sein,
Bereichs-IT-Sicherheitsbeauftragte zu definieren. Diese haben die fachliche Verantwortung für
alle IT-Sicherheitsbelange in einem bestimmten Bereich. Ein Bereich kann beispielsweise ein
IT-System oder eine Betriebssystemplattform sein, auch eine Zuordnung nach Abteilungen ist
denkbar.
Zu den Aufgaben eines Bereichs-IT-Sicherheitsverantwortlichen zählen
ü die Mitwirkung bei den seinen Bereich betreffenden Teilen des IT-Sicherheitskonzeptes,
ü die Erarbeitung eines detaillierten Planes zur Realisierung der ausgewählten IT-
Sicherheitsmaßnahmen,
ü die Umsetzung dieses Planes,

Page 19
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 18 von 86
ü die regelmäßige Prüfung der Wirksamkeit und Einhaltung der eingesetzten IT-Sicherheits-
maßnahmen im laufenden Betrieb,
ü Information des Datenschutz-/IT-Sicherheitsbeauftragten über bereichsspezifischen
Schulungsbedarf   sowie
ü Meldungen an den Datenschutz-/IT-Sicherheitsbeauftragten bei sicherheitsrelevanten
Ereignissen.
Applikations-/Projektverantwortliche
Für jede IT-Anwendung und jedes IT-Projekt ist die fachliche Gesamtverantwortung und damit
auch die Verantwortung für deren/dessen Sicherheit klar festzulegen.
Zu den Aufgaben des Applikations-/Projektverantwortlichen zählen insbesondere
ü die Festlegung der Sicherheits- und Qualitätsanforderungen,
ü die Klassifikation der verarbeiteten Daten,
ü die Vergabe von Zugriffsrechten  sowie
ü organisatorische und administrative Maßnahmen zur Gewährleistung der IT-Sicherheit in
der Projektentwicklung und im laufenden Betrieb.
Darüber hinaus muss jeder Mitarbeiter, auch wenn er nicht direkt in den Bereich IT-Sicherheit
involviert ist, seine spezifischen Pflichten und Verantwortlichkeiten im Rahmen der IT-
Sicherheit kennen und erfüllen. Ebenso sind die Rechte und Pflichten von externen Mit-
arbeitern, Lieferanten und Vertragspartnern festzulegen.
Im Rahmen der organisationsweiten IT-Sicherheitspolitik sind daher auch die Aufgaben und
Verantwortlichkeiten folgender Personenkreise im Detail zu definieren.
ü Management/Behördenleitung ("Sicherheit als Managementaufgabe")
ü DV-Entwicklung und technischer Support
ü Dienstnehmer
ü Leasingpersonal, externe Mitarbeiter
ü Lieferanten und Vertragspartner
2.2.3  Risikoanalysestrategien, akzeptables Restrisiko und Risikoakzeptanz
Methodisches Risikomanagement ist zur Erarbeitung eines vollständigen und organisations-
weiten IT-Sicherheitskonzeptes unerlässlich. Um Risiken zu beherrschen, ist es zunächst
erforderlich, sie zu kennen und zu bewerten. Dazu wird in einer Risikoanalyse das
Gesamtrisiko ermittelt. Ziel ist es, dieses Risiko so weit zu reduzieren, dass das verbleibende
Restrisiko quantifizierbar und akzeptierbar wird.

Page 20
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 19 von 86
In der IT-Sicherheitspolitik sollen die Risikoanalysestrategie der Organisation sowie das
akzeptable Restrisiko festgelegt werden. Weiters ist die Vorgehensweise bei der Akzeptanz
von außergewöhnlichen Restrisiken zu definieren.
Im folgenden Abschnitt werden die wichtigsten Punkte, die im Rahmen der IT-Sicherheits-
politik zum Thema Risikoanalyse festgelegt werden sollten, aufgeführt. Details zur Risiko-
analyse sind in Kapitel 3 enthalten.
Schritt 1: Festlegung der anzuwendenden Risikoanalysestrategie
Die heute gängige Praxis kennt verschiedene Varianten zur Risikoanalysestrategie einer
Organisation, von denen die wichtigsten drei im Folgenden kurz beschrieben werden:
*
 Grundschutzansatz:
Unabhängig vom tatsächlichen Schutzbedarf werden für alle IT-Systeme Grundschutz-
maßnahmen eingesetzt. Diese Vorgehensweise spart Ressourcen und führt schnell zu einem
relativ hohen Niveau an Sicherheit. Der Nachteil liegt darin, dass der Grundschutzlevel für
das betrachtete IT-System möglicherweise nicht angemessen sein könnte.
*
 Detaillierte Risikoanalyse:
Für alle IT-Systeme wird eine detaillierte Risikoanalyse durchgeführt. Diese Methode
gewährleistet die Auswahl von effektiven und angemessenen Sicherheitsmaßnahmen,
benötigt jedoch viel Zeit und Aufwand. Dies führt zu relativ hohen Kosten, darüber hinaus
besteht auch die Gefahr, dass die Schutzmaßnahmen für kritische Systeme zu spät realisiert
werden.
*
 Kombinierter Ansatz:
In einem ersten Schritt wird in einer Schutzbedarfsfeststellung ( 
High Level Risk Analysis 
)
der Schutzbedarf für die einzelnen IT-Systeme ermittelt. Für IT-Systeme der Schutzbedarfs-
kategorie "niedrig bis mittel" wird von einer pauschalisierten Gefährdungslage ausgegangen,
so dass auf eine detaillierte Risikoanalyse verzichtet und eine Grundschutzanalyse (s.o.)
durchgeführt werden kann. Dies erlaubt eine schnelle und effektive Auswahl von grund-
legenden Sicherheitsmaßnahmen bei gleichzeitiger Gewährleistung eines angemessenen
Schutzniveaus. IT-Systeme der Schutzbedarfskategorie "hoch oder sehr hoch" sind einer
detaillierten Risikoanalyse zu unterziehen, auf deren Basis individuelle
Sicherheitsmaßnahmen ausgewählt werden.
Diese Option kombiniert die Vorteile des Grundschutz- und des Risikoanalyseansatzes, da
alle IT-Systeme mit hohem Schutzbedarf wirksam und angemessen geschützt werden, und
Maßnahmen für die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv
ausgewählt werden können.

Page 21
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 20 von 86
Schritt 2: Festlegung des akzeptablen Restrisikos
Auch bei Durchführung aller ausgewählten Sicherheitsmaßnahmen verbleibt im Allgemeinen
ein Restrisiko, dessen Abdeckung wirtschaftlich nicht mehr vertretbar wäre. In der IT-
Sicherheitspolitik sind diese akzeptablen Restrisiken so exakt wie möglich zu quantifizieren.
Schritt 3: Festlegung der Vorgehensweise zur Akzeptanz von außergewöhnlichen Restrisiken
Verbleibt nach Durchführung aller im Sicherheitsplan vorgesehenen Maßnahmen ein
Restrisiko, das höher ist als das generell akzeptable und dessen weitere Reduktion technisch
nicht möglich oder unwirtschaftlich wäre, so besteht in begründeten Ausnahmefällen die
Möglichkeit einer bewussten Akzeptanz des erhöhten Restrisikos.
In der Sicherheitspolitik sind
ü das Vorgehen bei Risiken, die in Abweichung von der generellen Sicherheitspolitik in Kauf
genommen werden sollen, sowie
ü die Verantwortlichkeiten dafür
festzulegen.
2.2.4  Klassifikation von Daten
Die Klassifizierung der von den IT-Systemen verarbeiteten Daten in Bezug auf ihre
Vertraulichkeit und Integrität ist wesentliche Voraussetzung für die spätere Auswahl adäquater
Sicherheitsmaßnahmen. Daher sind in der IT-Sicherheitspolitik entsprechende Klassen zu
definieren und weiters die Verantwortlichkeiten für die Durchführung der Klassifikation
festzulegen.
Schritt 1: Definition der Sicherheitsklassen
Es ist jeder Organisation überlassen, in ihrer IT-Sicherheitspolitik eine für ihre Zwecke
adäquate Definition von Sicherheitsklassen vorzunehmen.
Empfehlung für ein Klassifizierungsschema:
Im Folgenden wird ein Beispiel für ein Klassifizierungsschema gegeben, das für ein typisches
Szenario im Bereich der öffentlichen Verwaltung geeignet ist. Die Anwendung dieses Schemas
in all denjenigen Bereichen, in denen nicht zwingende Gründe für ein anderes Klassifikations-
schema bestehen, wird aus Gründen der Kompatibilität empfohlen.
Die Sicherheitsklassen können als Maß dafür gesehen werden, welche Auswirkungen ein
Missbrauch dieser Information - dazu zählen sowohl der Verlust der Vertraulichkeit als auch
die unbefugte Veränderung oder Zerstörung der Information - auf die Institution haben kann.

Page 22
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 21 von 86
Es sind 4 hierarchische Klassen definiert:
*
 offen:
Information, die ausdrücklich zur Veröffentlichung freigegeben wurde.
Dazu zählen etwa Gesetze, Verordnungen und Pressemitteilungen.
 
*
 vertraulich:
Information, die für den internen dienstlichen Gebrauch bestimmt und grundsätzlich zur
Veröffentlichung nicht vorgesehen ist (z.B. behördeninterner Schriftverkehr, interne
Telefonverzeichnisse, Organisationspläne).
*
 geheim:
Information, deren Missbrauch der Organisation, der öffentlichen Verwaltung oder der
Öffentlichkeit unter Umständen erheblichen Schaden zufügen könnte. Dazu zählen unter
anderem alle Daten, die unter eine Verschlusssachenverordnung fallen.
 
Darüber hinaus wird eine eigene Klasse definiert für lt. Datenschutzgesetz besonders schutz-
würdige Daten:
*
 sensibel
Daten über rassische und ethnische Herkunft, politische Meinungen, Gewerkschaftszuge-
hörigkeit, religiöse oder philosophische Überzeugungen, Gesundheit oder Sexualleben von
natürlichen Personen.
Anmerkung:
Im Rahmen der IT-Sicherheitspolitik sollte darauf hingewiesen werden, dass die Klassifikation
der Daten sehr sorgfältig vorzunehmen ist. Nicht nur die Einstufung in eine zu niedrige
Sicherheitsklasse ist mit potentiellen Gefahren verbunden, auch die leichtfertige Einstufung in
eine zu hohe Sicherheitsklasse ist zu vermeiden, da etwa die Behandlung von geheimen Daten
durchwegs mit erheblichem Aufwand verbunden ist.
Schritt 2: Festlegung der Verantwortlichkeiten und der Vorgehensweise
Es ist generell festzulegen, wer die Klassifikation der Daten vorzunehmen hat. Dies kann in den
einzelnen Organisationen unterschiedlich sein und auch von IT-System zu IT-System
differieren.
Als allgemeine Richtlinie kann gelten, dass die Klassifikation einer Information von demjenigen
vorzunehmen ist, von dem diese Information stammt, oder von dem Mitarbeiter der
Organisation, der diese Information von außen erhält. Für IT-Anwendungen wird dies in der
Regel der Applikations-/Projektverantwortliche (s. Kap. 2.2.2) sein.
Weiters ist festzulegen, in welcher Form die Klassifkation erfolgt und wie die Information
gekennzeichnet wird.

Page 23
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 22 von 86
Schritt 3: Erarbeitung von Regelungen zur Verwendung elektronischer Information
In diesem Schritt ist festzulegen, wie die Information in Abhängigkeit von den Sicherheits-
klassen zu behandeln ist.
Beispiele dafür sind etwa Vorschriften zur Speicherung von schützenswerter Information (z.B.
Zugriffskontrolle, verschlüsselte Speicherung, keine Speicherung auf Laptops für geheime
Daten,...), Regelungen für Ausdrucke und Kopien, Vorschriften zur Übertragungssicherheit
(Authentisierung, Verschlüsselung, digitale Unterschrift, E-Mails,...), Wiederverwendung von
Datenträgern, etc.
2.2.5  Organisationsweite Richtlinien zu Sicherheitsmaßnahmen
Grundsätzlich soll die IT-Sicherheitspolitik keine Aussagen zur Implementierung konkreter
Sicherheitsmaßnahmen treffen, da diese in einem langlebigen Dokument, wie es die
organisationsweite IT-Sicherheitspolitik darstellt, nicht sinnvoll wären.
Sie soll jedoch organisationsweit gültige Richtlinien zu Sicherheitsmaßnahmen festlegen, die
für alle Einsatzbereiche der Informationstechnologie innerhalb einer Institution zur Anwendung
kommen. Die Interpretation dieser Richtlinien für spezielle Bereiche muss in den einzelnen IT-
Systemsicherheitspolitiken, etwa der Internet-Sicherheitspolitik oder der PC-Sicherheitspolitik,
erfolgen.
Die Inhalte dieses Kapitels sind von den einzelnen Ressorts bzw. Organisationen individuell
festzulegen. Im Folgenden wird eine Reihe von Themen angeführt, die im Rahmen einer IT-
Sicherheitspolitik typischerweise behandelt werden sollten. Die Tiefe der einzelnen Kapitel ist
abhängig von der Bedeutung der Themen für die Organisation.
1. Computersicherheit
Dieser Abschnitt soll die wichtigsten Sicherheitsmaßnahmen zum Schutz von Rechnern als
Einzelkomponenten umfassen. Zu betrachten sind dabei, je nach Hardwareausstattung, etwa
Mainframes, Server, Workstations, PCs und Notebooks.
Die IT-Sicherheitspolitik sollte Aussagen zu zumindest folgenden Punkten treffen:
ü 
Zugriffskontrolle
*
 
Benutzeridentifikation
*
 
Authentisierung von Personen und Geräten
*
 
Beschränkung der Anzahl vergeblicher Zugriffsversuche

Page 24
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 23 von 86
*
 
Rechteverwaltung und Rechteprüfung
*
 
Bildschirmsperre
ü 
Protokollierung
*
 
Auswahl der zu protokollierenden Information
*
 
Speicherung und Auswertung von Protokollen
*
 
Verantwortlichkeiten
ü 
Virenschutz
*
 
Virenschutzkonzept
*
 
Verpflichtung zur Überprüfung von Datenträgern und Files
*
 
Aktionen bei Auftreten eines Virus
ü 
Aufstellung und Installation von Geräten
ü 
Wartung und Reparatur
ü 
Außerbetriebnahme von Geräten
2. Netzwerksicherheit
Ziel der Netzwerksicherheit ist der Schutz von Information in Netzwerken sowie der
Netzwerk-Infrastruktur. Zu betrachten sind sowohl interne Netzwerke als auch Kommuni-
kation über öffentliche Netze.
Dazu sind im Rahmen der IT-Sicherheitspolitik Aussagen u.a. zu folgenden Punkten zu treffen:
ü 
Schutz der Netzwerkkomponenten (z.B. Firewalls, Router)
 
ü 
Sicherheit der Daten während der Übertragung
 
ü 
Firewalls
ü 
Internet/Intranet
ü 
Remote Support
3. Software
In diesem Kapitel sind u.a. zu regeln:
ü der Einsatz von Originalsoftware,
ü Verteilung von Software,

Page 25
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 24 von 86
ü private Verwendung dienstlicher Hard- und Software,
ü Verwendung privater Hard- und Software für dienstliche Zwecke,
ü Evaluierung und Zertifizierung von sicherheitskritischen Anwendungen gemäß
internationalen Kriterienkatalogen (etwa ITSEC, Common Criteria,...).
4. Sicherheit in der Systementwicklung
Es ist dafür Sorge zu tragen, dass der IT-Sicherheitsprozess so weit wie möglich in den
gesamten Lebenszyklus eines IT-Systems integriert wird. Dazu sind auch die Verantwortlich-
keiten für die Sicherheit in den einzelnen Phasen der Systementwicklung sowie die Rechte und
Pflichten der Beteiligten festzulegen.
Dies betrifft
ü Eigenentwicklungen durch IT-Abteilung,
ü Eigenentwicklungen durch interne Anwender  sowie
ü Systementwicklung durch Externe.
Dabei sind die sicherheitsrelevanten Aspekte zumindest folgender Bereiche zu behandeln:
ü Vorgehensmodelle
ü Methodik
ü Trennung von Entwicklung und Produktion
ü Qualitätssicherung / Qualitätsmanagement
ü Dokumentation (z.B. Übergabe oder Hinterlegen des Sourcecodes bei
Fremdentwicklungen)
5. Personelle Sicherheit
Auch personelle Angelegenheiten sollten, soweit sie direkt auf die IT-Sicherheit Bezug
nehmen, in der IT-Sicherheitspolitik geregelt werden. Dazu zählen etwa:
ü Voraussetzungen und Maßnahmen bei Einstellung und Ausscheiden von Mitarbeitern
(Geheimhaltungsverpflichtungen, Vergabe/Sperre/Löschen von User-IDs, Passwort-
Verwaltung,...)
ü Schulungsprogramme
ü Programme zur Sensibilisierung  für sicherheitsrelevante Fragen
ü Regelungen für den Einsatz von Fremdpersonal
 
Darüber hinaus sollten in diesem Rahmen Policies zu den sicherheitsrelevanten Aspekten von
ü Teleworking,
ü Outsourcing und
ü Remote Support

Page 26
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 25 von 86
formuliert werden, falls Anwendungen dieser Art existieren oder geplant sind.
Optional können darüber hinaus im Rahmen der IT-Sicherheitspolitik auch Regelungen etwa
zu folgenden Bereichen - soweit sie direkten Bezug zur IT-Sicherheit haben - getroffen
werden:
Bauliche Sicherheit
Umgang mit Dokumenten in Schriftform und auf elektronischen Speichermedien
Telefon und FAX
2.2.6  Disaster Recovery Planung
Ziel der Disaster Recovery Planung ist es, die Verfügbarkeit der wichtigsten Applikationen und
Systeme innerhalb eines definierten Zeitraumes zu gewährleisten sowie Vorkehrungen zur
Schadensbegrenzung im Katastrophenfall zu treffen.
Der in der IT-Sicherheitspolitik zu beschreibende Planungsprozess sollte die nachfolgend
angeführten Bereiche umfassen. Die eigentliche Durchführung der Schritte (also etwa die
Erfassung der Anwendungen oder die Erstellung eines Backup-Konzeptes) ist nicht Bestandteil
der IT-Sicherheitspolitik, sondern muss in den entsprechenden weiteren Aktivitäten erfolgen.
1. Definition von Verfügbarkeitsklassen
Um den Verfügbarkeitsanspruch von IT-Anwendungen einer Organisation darstellen zu
können, sind im Rahmen der IT-Sicherheitspolitik entsprechende Verfügbarkeitsklassen zu
definieren.
Nachfolgend ein Beispiel für ein solches Klassifizierungsschema:
*
 Verfügbarkeitsklasse 1:
Die Applikation muss innerhalb von einigen Minuten wieder verfügbar sein.
*
 Verfügbarkeitsklasse 2:
Die Applikation muss innerhalb von einigen Stunden wieder verfügbar sein.
*
 Verfügbarkeitsklasse 3:
Die Applikation muss innerhalb von einigen Tagen wieder verfügbar sein.

Page 27
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 26 von 86
2.  Erfassung aller Anwendungen und Klassifikation nach Verfügbarkeitsanforderungen
Um die Verfügbarkeit der wichtigsten DV-Anwendungen einer Organisation zu gewährleisten,
ist eine Klassifizierung aller Anwendungen gemäß den oben zu definierenden Klassen
vorzunehmen.
3. Festlegung der Schadensereignisse, gegen die Vorkehrungen zu treffen sind;
Risikoakzeptanz bei nicht abzudeckenden Ereignissen
Ein Disaster Recovery Plan muss nicht notwendigerweise alle Schadensereignisse abdecken;
die IT-Sicherheitspolitik soll die wesentlichen Leitlinien darüber vorgeben, welche Schadens-
ereignisse abzudecken sind und wie mit den nicht abzudeckenden Ereignissen umzugehen ist.
4.  Notfallorganisation und Notlaufplan
Hier sind die wichtigsten Anforderungen und Leitlinien zum Thema Notfallorganisation
anzuführen. Dazu gehören:
ü die Festlegung der Verantwortlichkeiten und insbesondere die Benennung eines
Notfallverantwortlichen;
ü die schriftliche Festlegung von Sofortmaßnahmen im Katastrophenfall
5. Erstellung eines Backup-Konzeptes
Dieses Kapitel umfasst die Anforderungen an
ü ein Datensicherungskonzept,
ü einen Datensicherungsplan,
ü die Backup-Planung für Hardware- und Netzwerkkomponenten (Ausweich-RZ, Backup-
Verträge,...)
ü Redundanzplanung (Spiegelsysteme,...) sowie
ü die Wiederbeschaffbarkeit von Hard- und Software.
6. Erstellung von Wiederanlaufplänen
Die Vorgangsweise für einen geregelten Wiederanlauf nach Ausfall einer IT-Komponente oder
eines IT-Systems ist in Form von schriftlichen Arbeitsanweisungen ("Wiederanlaufplan")
niederzulegen.

Page 28
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 27 von 86
Dazu zählen:
ü Aufbau und Installation der notwendigen Hardware-Komponenten,
ü Einspielen der Systemsoftware,
ü Einspielen der Anwendungssoftware,
ü Bereitstellen der notwendigen Daten einschließlich Konfigurationsdateien,
ü Wiederanlauf.
Eine revisionsfähige Protokollierung des Wiederanlaufs ist zu gewährleisten.
Weiters sind die Verantwortlichkeiten für die Erstellung, regelmäßige Tests sowie die
Umsetzung des Wiederanlaufplanes im Ernstfall festzulegen.
7. Regelmäßige Tests und Training
In diesem Abschnitt sind die Anforderungen an Testpläne für das Disaster Recovery und regel-
mäßige Tests (etwa Alarmierungspläne, Wiedereinspielen gesicherter Daten, Verlagerung von
Applikationen auf Ausweichsysteme) zu definieren.
8. Weiterentwicklung und Anpassung des Disaster Recovery Plans
Um die Funktionsfähigkeit und Effizienz des Disaster Recovery Plans zu gewährleisten, ist
dieser regelmäßig auf seine Aktualität zu prüfen und gegebenenfalls an Veränderungen
anzupassen.
2.2.7  Nachfolgeaktivitäten zur Überprüfung  und Aufrechterhaltung der Sicherheit
Ein IT-Sicherheitskonzept ist kein statisches, unveränderbares Dokument, umfassendes IT-
Sicherheitsmanagement beinhaltet vielmehr auch die kontinuierliche Aufgabe, IT-Sicherheit im
laufenden Betrieb aufrechtzuerhalten.
Die IT-Sicherheitspolitik muss daher Leitlinien zur Bewertung der IT-Sicherheit hinsichtlich
Angemessenheit, Wirksamkeit und Ordnungsmäßigkeit der eingesetzten IT-Sicherheits-
maßnahmen sowie deren Übereinstimmung mit der IT-Sicherheitspolitik und dem IT-
Sicherheitskonzept vorgeben.
Dies umfasst folgende Themenbereiche:
1.  Aufrechterhaltung des erreichten Sicherheitsniveaus
Erstes Ziel aller Follow-Up-Aktivitäten muss es sein, das einmal erreichte Sicherheitsniveau
auch im laufenden Betrieb zu erhalten.

Page 29
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 28 von 86
Dazu ist es erforderlich, dass
ü Wartung und administrativer Support der Sicherheitseinrichtungen gewährleistet sind,
ü die realisierten Maßnahmen regelmäßig auf ihre Übereinstimmung mit der IT-
Sicherheitspolitik geprüft ( 
Security Compliance Checking
 ) und
ü die IT-Systeme fortlaufend überwacht werden ( 
Monitoring
 ).
2.   Change Management
Hier ist festzulegen, wie eine angemessene Reaktion auf alle sicherheitsrelevanten Hardware-
oder Software-Änderungen in einem IT-System sichergestellt werden soll.
3. Reaktion auf sicherheitsrelevante Ereignisse (Incident Handling)
Hier sind die Aufgaben und Verantwortlichkeiten aller Mitarbeiter bei Auftreten von
sicherheitsrelevanten Ereignissen festzulegen. Ziel ist die Erstellung von "Incident Handling
Plänen" sowohl für die einzelnen Bereiche als auch für die gesamte Organisation.
Die IT-Sicherheitspolitik soll wiederum nur die Leitlinien für die Aufrechterhaltung der Sicher-
heit im laufenden Betrieb festlegen. Details zum tatsächlichen Vorgehen sind in detaillierten
Plänen und Vorgaben festzuschreiben (s. dazu Kap. 6 dieses Handbuches).
2.3  Life Cycle der IT-Sicherheitspolitik
2.3.1  Erstellung
Die IT-Sicherheitspolitik soll von allen Mitarbeitern getragen werden. Es ist daher wichtig,
dass bei ihrer Erstellung alle wesentlichen Kräfte der Organisation beteiligt werden und das
Dokument mit Vertretern aller Beteiligten bzw. Betroffenen abgestimmt wird.
Zunächst ist ein Verantwortlicher für die Erstellung der IT-Sicherheitspolitik zu nominieren.
Im Allgemeinen wird dies, soweit bereits definiert, der Datenschutz-/IT-Sicherheitsbeauftragte
sein.
Weiters sollen Vertreter folgender Bereiche an der Erstellung der organisationsweiten IT-
Sicherheitspolitik mitarbeiten bzw. in den Abstimmungsprozess miteinbezogen werden:
ü IT-Abteilung
ü Anwender
ü Sicherheitsabteilung
ü Personalabteilung

Page 30
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 2: Entwicklung einer organisationsweiten IT-Sicherheitspolitik
Version 1.0, Stand Oktober 1998
Seite 29 von 86
ü Gebäudeverwaltung und Infrastruktur
ü Revision
ü Budgetabteilung
Die wesentlichen Inhalte der IT-Sicherheitspolitik müssen allen Betroffenen und Beteiligten,
also allen Mitarbeitern der Organisation, aber auch etwa externen Mitarbeitern und
Lieferanten, bekannt sein.
Dazu sollten in der Folge die für die einzelnen Personengruppen wichtigsten Richtlinien und
Vorgaben der IT-Sicherheitspolitik zusammengefasst und jedem Betroffenen in schriftlicher
Form zur Kenntnis gebracht werden. Wo nötig, sind das Einverständnis mit diesen Vorgaben
und die Kenntnis der daraus erwachsenden Verpflichtungen auch durch eine Unterschrift
bestätigen zu lassen (etwa Verpflichtung auf das Datengeheimnis, Ergänzungen zu
Dienstverträgen, Geheimhaltungsverpflichtungen von externen Personen,...)
2.3.2  Offizielle Inkraftsetzung
Die IT-Sicherheitspolitik wird von der Leitung der Organisation offiziell verabschiedet und in
Kraft gesetzt.
Wesentliche Voraussetzung für eine erfolgreiche Implementierung und Umsetzung der IT-
Sicherheitspolitik ist, dass sie die volle und für jeden Beteiligten sichtbare Unterstützung durch
das Management erhält.
2.3.3  Regelmäßige Überarbeitung
Zwar stellt die IT-Sicherheitspolitik ein langfristiges Dokument dar, dennoch ist auch sie
regelmäßig auf ihre Aktualität und Übereinstimmung mit den tatsächlichen Anforderungen zu
überprüfen und bei Bedarf entsprechend anzupassen. Die Verantwortung dafür ist dezidiert
festzulegen. Im Allgemeinen wird sie beim Datenschutz-/IT-Sicherheitsbeauftragten liegen.

Page 31
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 3: Risikoanalyse
Version 1.0, Stand Oktober 1998
Seite 30 von 86
3  Risikoanalyse
Eine wesentliche Voraussetzung für erfolgreiches IT-Sicherheitsmanagement ist die
Einschätzung der bestehenden Sicherheitsrisiken. In einer Risikoanalyse wird versucht, diese
Risiken zu erkennen und zu bewerten und so das Gesamtrisiko zu ermitteln. Ziel ist es, in
weiterer Folge dieses Risiko so weit zu reduzieren, dass das verbleibende Restrisiko
quantifizierbar und akzeptierbar wird.
3.1  Risikoanalysestrategien
Es ist empfehlenswert, eine Strategie zur Risikoanalyse festzulegen. Diese sollte für die
gesamte Organisation gültig sein und festlegen, wie die Ziele der Risikoanalyse - Erkennen und
Bewerten von Einzelrisiken und Gesamtrisiko - erreicht werden sollen.
Die aktuelle Literatur kennt verschiedene Optionen für solch eine Strategie, von denen die
wichtigsten drei im Rahmen dieses Handbuches behandelt werden.
*
 Detaillierte Risikoanalyse:
Für alle IT-Systeme wird eine detaillierte Risikoanalyse durchgeführt. Diese Methode führt
zu effektiven und angemessenen Sicherheitsmaßnahmen, benötigt jedoch viel Zeit und
Aufwand, so dass neben hohen Kosten auch die Gefahr besteht, dass für kritische Systeme
nicht schnell genug Schutzmaßnahmen ergriffen werden können.
 
*
 Grundschutzansatz:
Unabhängig vom tatsächlichen Schutzbedarf wird für alle IT-Systeme von einer pauschali-
sierten Gefährdungslage ausgegangen. Als Sicherheitsmaßnahmen kommen sog. Grund-
schutzmaßnahmen ( 
Baseline Security Controls 
) zum Einsatz. Durch den Verzicht auf eine
detaillierte Risikoanalyse spart diese Vorgehensweise Ressourcen und führt schnell zu einem
relativ hohen Niveau an Sicherheit. Der Nachteil liegt darin, dass der Grundschutzlevel für
das betrachtete IT-System möglicherweise nicht angemessen sein könnte.
*
 Kombinierter Ansatz:
In einem ersten Schritt wird in einer Schutzbedarfsfeststellung ( 
High Level Risk Analysis 
)
der Schutzbedarf für die einzelnen IT-Systeme ermittelt. Für IT-Systeme der Schutzbedarfs-
kategorie "niedrig bis mittel" wird auf eine detaillierte Risikoanalyse verzichtet. Dies erlaubt
eine schnelle und effektive Auswahl von grundlegenden Sicherheitsmaßnahmen bei gleich-
zeitiger Gewährleistung eines angemessenen Schutzniveaus. IT-Systeme der Schutzbedarfs-
kategorie "hoch bis sehr hoch" sind einer detaillierten Risikoanalyse zu unterziehen, auf
deren Basis individuelle Sicherheitsmaßnahmen ausgewählt werden.

Page 32
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 3: Risikoanalyse
Version 1.0, Stand Oktober 1998
Seite 31 von 86
Diese Option kombiniert die Vorteile des Grundschutz- und des Risikoanalyseansatzes, da
alle IT-Systeme mit hohem Schutzbedarf wirksam und angemessen geschützt werden, und
Maßnahmen für die anderen Systeme mit Hilfe des Grundschutzes schnell und effektiv
ausgewählt werden können. Sie wird in den meisten Einsatzumgebungen die empfehlens-
werte Strategie zur Risikoanalyse darstellen.
Im Folgenden werden die drei angeführten Risikoanalysestrategien näher erläutert.
3.2  Detaillierte Risikoanalyse
Eine detaillierte Risikoanalyse für ein IT-System umfasst die Identifikation der bestehenden
Risiken sowie eine Abschätzung ihrer Größe.
Die erstmalige Durchführung einer detaillierten Risikoanalyse und die anschließende Erstellung
eines Sicherheitskonzeptes erfordert einen Aufwand, der zumindest im Bereich von Wochen,
ev. auch von Monaten liegt. Zur Reduktion des Aufwandes kann man für IT-Systeme, auf
denen lediglich Anwendungen mit niedrigem bis mittlerem Schutzbedarf laufen, auch auf eine
detaillierte Risikoanalyse verzichten und Grundschutzmaßnahmen zum Einsatz bringen (vgl.
dazu Kap. 3.3 und 3.4).
IT-Systeme, auf denen Anwendungen mit hohem oder sehr hohem Schutzbedarf installiert sind,
erfordern hingegen eine genaue Analyse der bestehenden Werte, Bedrohungen und Schwach-
stellen und damit die Durchführung einer detaillierten Risikoanalyse.
Eine detaillierte Risikoanalyse umfasst folgende Schritte:
Schritt 1:  Abgrenzung des Analysebereiches
Hier ist das zu analysierende IT-System zu spezifizieren und anzugeben, ob und in welchem
Maße auch andere Objekte (z.B. Gebäude und Infrastruktur) in die Analyse einbezogen werden
sollen.
Schritt 2:  Identifikation der bedrohten Objekte ("Assets")
Ziel dieses Schrittes ist die Erfassung aller bedrohten Objekte, die innerhalb des im vorange-
gangenen Schritt festgesetzten Analysebereiches liegen.

Page 33
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 3: Risikoanalyse
Version 1.0, Stand Oktober 1998
Seite 32 von 86
Schritt 3:  Wertanalyse
In diesem Schritt wird der Wert der bedrohten Objekte ermittelt. Die Wertanalyse umfasst im
Einzelnen:
ü die Festlegung der Bewertungsbasis für Sachwerte
ü die Festlegung der Bewertungsbasis für immaterielle Werte
ü Ermittlung der Abhängigkeiten zwischen den Objekten
ü Bewertung der bedrohten Objekte
Schritt 4:  Bedrohungsanalyse
Die Objekte sind vielfachen Bedrohungen ausgesetzt, die sowohl aus Nachlässigkeit und
Versehen als auch aus Absicht resultieren können. Die Bedrohungsanalyse umfasst:
ü die Identifikation möglicher Bedrohungen (Katastrophen, Fehlbedienung, bewusste
Angriffe) und möglicher Angreifer (Mitarbeiter, Leasingpersonal, Außenstehende,...)
ü die Ermittlung der Eintrittswahrscheinlichkeiten
Schritt 5:  Schwachstellenanalyse
Eine Bedrohung kann nur durch die Ausnutzung einer vorhandenen Schwachstelle wirksam
werden.  Es ist daher erforderlich, mögliche Schwachstellen des Systems in den Bereichen
ü Organisation
ü Hard- und Software
ü Personal
ü Infrastruktur
zu identifizieren und ihre Bedeutung zu klassifizieren.
Schritt 6:  Identifikation bestehender Sicherheitsmaßnahmen
Zur Vermeidung unnötiger Aufwände und Kosten sind die bereits existierenden Sicherheits-
maßnahmen zu erfassen und auf ihre Auswirkungen hinsichtlich der Gesamtsystemsicherheit
sowie auf korrekte Funktion zu prüfen. Geplante neue Sicherheitsmaßnahmen müssen mit den
existierenden kompatibel sein und eine wirtschaftlich und technisch sinnvolle Ergänzung
darstellen.
Schritt 7:  Risikobewertung
In diesem Schritt werden die Einzelrisiken und das Gesamtrisiko ermittelt und bewertet.

Page 34
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 3: Risikoanalyse
Version 1.0, Stand Oktober 1998
Seite 33 von 86
Schritt 8: Auswertung
Eine Auswertung und Aufbereitung des Ergebnisses schließt die Risikoanalyse ab.
Der Zusammenhang zwischen diesen Schritten sowie die Einbettung der Risikoanalyse in den
IT-Sicherheitsprozess ist in der folgenden Graphik dargestellt (vgl [ISO/IEC 13335-3]):
ja
nein
Risikoanalyse
Schwach
stellen-
analyse
Bedrohungs-
analyse
Risikobewertung
Abgrenzung des
Analysebereiches
Abgrenzung des
Analysebereiches
Identifikation
bestehender
Schutz-
maßnahmen
Identifikation/
Review von
Rahmenbedingungen
Auswahl von
Sicherheitsmaßnahmen
Risikoakzeptanz
IT-System-
sicherheitspolitik
IT-Sicherheitsplan
Identifikation der
bedrohten Objekte
Wert-
analyse
Abbildung 3.1: Risikomanagement mit detaillierter Risikoanalyse

Page 35
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 3: Risikoanalyse
Version 1.0, Stand Oktober 1998
Seite 34 von 86
Bei der Durchführung einer Risikoanalyse sind folgende Prinzipien zu beachten:
ü Das gesamte Verfahren muss transparent gemacht werden.
ü Es dürfen keine versteckten Annahmen gemacht werden, die z.B. dazu führen, dass
Bedrohungen unbetrachtet bleiben.
ü Alle Bewertungen müssen begründet werden, um subjektive Einflüsse zu erkennen und so
weit wie möglich zu vermeiden.
ü Alle Schritte müssen so dokumentiert werden, dass sie später auch für andere
nachvollziehbar sind. Ein derartiges Vorgehen erleichtert auch eine spätere Überarbeitung
des IT-Sicherheitskonzeptes.
ü Der Aufwand für die Durchführung des Verfahrens sollte dem Wert der IT-Anwendungen
und den Werten der Institution im Allgemeinen angemessen sein.
In den nachfolgenden Kapiteln werden die einzelnen Schritte einer Risikoanalyse detailliert
behandelt. Das vorliegende Handbuch gibt Hinweise und Unterstützung zur Durchführung
dieser Schritte. Die Wahl einer konkreten Risikoanalysemethode sowie ein etwaiger Einsatz
von Tools zur Unterstützung dieser Analyse bleiben der durchführenden Institution überlassen.
Wichtig ist, dass alle der im Folgenden angeführten Schritte durchgeführt werden und die
geforderten Ergebnisse liefern.
3.2.1  Abgrenzung des Analysebereiches
Vor Beginn einer Risikoanalyse ist es erforderlich, den zu analysierenden Bereich genau
abzugrenzen. Dabei ist anzugeben, ob sich die Analyse auf Hardware, Software und Daten des
betrachteten IT-Systems beschränkt oder ob und in welchem Ausmaß andere Werte wie
Gebäude und Infrastruktur, Personen, immaterielle Güter, Fähigkeiten und Leistungen
einbezogen werden sollen.
3.2.2  Identifikation der bedrohten Objekte (Werte, assets)
In diesem Schritt sind alle bedrohten Objekte ( 
assets 
), die innerhalb des festgestellten
Analysebereiches liegen, zu erfassen.
Unter den bedrohten Objekten einer Organisation ist alles zu verstehen, was für diese
schutzbedürftig ist, also alle Objekte, von denen der Betrieb des IT-Systems und seine
Anwendungen und damit die Funktionsfähigkeit der Organisation abhängen. Dazu zählen etwa:
ü physische Objekte:
Gebäude, Infrastruktur, Hardware, Datenträger, Paperware,...

Page 36
IT-Sicherheitshandbuch für die öffentliche Verwaltung
Kapitel 3: Risikoanalyse
Version 1.0, Stand Oktober 1998
Seite 35 von 86
ü logische Objekte:
Software, Daten, Information,...
ü Personen
ü Fähigkeiten:
Herstellen eines Produktes, Erbringen einer Dienstleistung,...
ü immaterielle Güter:
Image, Vertrauen in die Institution, gute Beziehungen zu anderen Organisationen,...
Zwischen den bedrohten Objekten bestehen grundsätzlich komplexe Abhängigkeiten; die
Vertraulichkeit, Integrität oder Verfügbarkeit eines Objektes setzt vielfach die Vertraulichkeit,
Integrität oder Verfügbarkeit eines anderen Objektes voraus. Beispiele dafür sind etwa
ü die Erfordernis einer funktionsfähigen Infrastruktur (Stromversorgung, Klimaanlage,...) für
den Betrieb eines IT-Systems,
ü die Abhängigkeit der Software von unversehrter und verfügbarer Hardware oder
ü die Voraussetzung korrekter Applikations- und Betriebssystemsoftware für die Integrität
der Anwendungsdaten.
Die Identifizierung der bedrohten Objekte sowie ihre nachfolgende Bewertung stellen
wesentliche Voraussetzungen für ein erfolgreiches IT-Sicherheitsmanagement dar. Dabei ist es
den Erfordernissen im Einzelfall anzupassen, in welcher Tiefe und in welchem Detaillierungs-
grad die einzelnen Objekte analysiert werden sollen; in vielen Fällen wird eine Zusammen-
fassung in Gruppen sinnvoll sein und beitragen, den Analyseaufwand zu begrenzen.
3.2.3  Wertanalyse
In diesem Schritt wird der Wert der im vorangegangenen Schritt identifizierten Objekte
ermittelt. Die Wertanalyse umfasst im Einzelnen:
Aktion 1: Festlegung der Bewertungsbasis für Sachwerte
Aktion 2: Festlegung der Bewertungsbasis für immaterielle Werte
Aktion 3: Ermittlung der Abhängigkeiten zwischen den Objekten
Aktion 4: Bewertung der bedrohten Objekte
3.2.3.1  Festlegung der Bewertungsbasi s für Sachwerte
Zunächst ist zu entscheiden, ob die Bewertung quantitativ oder qualitativ erfolgen soll.
Eine quantitative Bewertung kann etwa beruhen auf
ü dem Zeitwert eines Objektes,

Page 37