Absicherung von Netzwerken
Normierung dient der Sicherheit
Die britische Norm BS 15.000 stellt einen Standard für die Spezifikation des Dienstleistungsmanagements von IT-Services dar. Damit beinhaltet BS 15.000 Anforderungen an Produkte, Prozesse und Dienstleistungen für die IT im weitesten Sinn. Die Norm liegt inzwischen auch als ISO/IEC-Standard 20.000 vor (siehe dazu den Beitrag "Referenzwert für Best Practices", Seite 50).
Eine Norm ist ein Standard zur vereinheitlichenden Gestaltung von Produkten, Prozessen oder
Dienstleistungen. Sie stellt Anforderungen, denen diese Objekte genügen müssen, um "normenkonform"
zu sein. Die Norm geht davon aus, dass ihre Realisierung ausschließlich qualifiziertem und
kompetentem Fachpersonal anvertraut wird. Ihre Befolgung gewährleistet aber nicht automatisch, dass
zum Beispiel Verträge bei normenkonformer Gestaltung einwandfrei sind. Normenkonformität bedeutet
daher eher ein dem Stand des Wissens und der Technik (State of the Art) entsprechendes System. Dies
bietet eine relative Sicherheit, nicht an den Aktualitätsforderungen vorbei zu agieren.
Es gibt eine Anzahl von IT-sicherheitsrelevanten Normen. Ohne Anspruch auf Vollständigkeit sind
auf diesem Sektor exemplarisch zu nennen:
die neu geschaffene Normenreihe ISO/IEC 27.001,
die Norm ISO 14.001,
der Standard BS 15.000, Teil 1 und Teil 2 sowie
verschiedene wirtschaftsprüfungsrelevante Standards wie IDW PS 330, 331 und
880.
Diese Standards verfolgen bei gleichem übergeordnetem Gestaltungsobjekt – der IT-Sicherheit –
durchaus unterschiedliche Zielsetzungen. So beabsichtigt die neu geschaffene Normenreihe ISO/IEC
27.001, das gesamte Gebiet der IT-Sicherheit in Form des Sicherheitsmanagements abzudecken. Sie
wird damit als internationale Normenreihe den alten Standard BS 7799 ebenso einschließen wie das
Grundschutzkonzept des BSI (Bundesamt für Sicherheit in der Informationstechnik).
BS 15.000 fördert einen integ-rierten Prozessansatz. Ziel ist es, effiziente Dienstleistungen
gemäß organisations- und kundenbezogenen Anforderungen zu liefern. Eine effiziente Organisation
soll in der Lage sein, ihre miteinander verknüpften Aktivitäten zu identifizieren und zu verwalten.
Eine Aktivität verwendet Ressourcen, um Inputs in Outputs zu transformieren; häufig stellt der
Output eines Prozesses den Input eines anderen Prozesses dar. Das Management einer solchen
Aktivität kann selbst einen Prozess darstellen.
Die Koordination, Integration und Implementierung von Service-Managementprozessen schafft eine
durchgehende Kontrolle, größere Effizienz und das Potenzial für kontinuierliche Verbesserungen. Die
Durchführung von Aktivitäten erfordert eine sehr gute Organisation und Koordination von
Mitarbeitern, die in der Leistungserbringung von Dienstleistungen, im Service Support, im Helpdesk
oder in Teams eingebunden und mit der Realisierung von Services betraut sind. Um die Effizienz und
die Effektivität der Prozesse zu sichern, ist der Einsatz geeigneter Werkzeuge notwendig, zumindest
sinnvoll.
Anwendbarkeit auf Netzfragestellungen
Die Norm BS 15.000 ist auf das IT-Service-Management ausgerichtet. Daraus ergeben sich einzelne
Gebiete, die von besonderer Bedeutung für Netzfragestellungen sind. Sie stehen im Zusammenhang mit
den im Kasten genannten Aspekten. Die aufgeführten Punkte erheben keinen Anspruch auf
Vollständigkeit; sie sollen zeigen, wie sich aus der Norm Aussagen über Netzmanagement und -dienste
ableiten lassen.
Dies sind sämtlich Gebiete der Norm, allerdings aus verschiedenen Ebenen ihrer Struktur
herausgelöst. Ein wesentlicher Aspekt: Die Erbringung von IT-Dienstleistungen im Rahmen der Norm
ist unabhängig davon, ob es sich um einen selbstständigen oder einen unternehmensabhängigen
Dienstleister handelt.
An Netzsysteme stellt die Norm folgende Mindestanforderungen: Ein Managementsystem sollte
möglichst effizient alle IT-Dienstleistungen realisieren. Es sollte dokumentiert sein und zum
Beispiel die entsprechenden Service-Level-Agreements (SLAs) sowie die geforderten Prozesse und
Verfahren des Standards enthalten, einschließlich klar umrissener Festlegungen und
Verantwortlichkeitszuordnung. Dies bedeutet, dass der Dienstleister die Netzstruktur und die
konkrete Auslegung der Netze an den Prozessen der Institution (des Unternehmens, der Behörde)
ausrichtet. Es liegt in der Verantwortung der Netzwerkadministratoren und ähnlicher Fachkräfte, sie
zu optimieren.
Die konkrete Erbringung der Dienstleistungen – gleich ob es sich um einen internen oder externen
Dienstleister handelt – sollte klar geplant sein, in den notwendigen Prozessen definiert und im
Bezug auf die Bewertung des Managements von Risiken und Vermögenswerten organisiert sein. Die
Netzdienste sind auf die betrieblichen Belange abzustellen. Sie sind insbesondere im Hinblick auf
das Management der mit dem Netzbetrieb verbundenen Risiken auch für die Vermögenswerte der
Institution zu bewerten und zu evaluieren. Dies soll die Risiken minimieren und das
Dienstleistungsniveau maximieren. Die Planung und Umsetzung der zu erbringenden Dienstleistung muss
auf dokumentierten Plänen, festgelegten Kompetenzen und zu erreichenden Zielen basieren. Das
Erreichen des Service-Managementziels ist zu überwachen. Die Ergebnisse des Überwachungsprozesses
gilt es mit einem Veränderungsmanagement rückzukoppeln.
Wie bei allen aktuellen Normensystemen kommt den planenden und administrativen Prozessen eine
hohe Bedeutung zu, verbunden mit einer exakten Dokumentation. Die Praxiserfahrung zeigt, dass diese
Bedingungen auf dem Netzmanagementsektor sehr häufig nicht gegeben sind: Vielmehr zeichnen "
gewachsene Netze" mit allen inhärenten Schwächen die Netzlandschaft aus. Solche Lösungen
widersprechen jedoch klar den Anforderungen der Norm. Die Kontinuität und Verfügbarkeit der zu
erbringenden Leistung ist so zu gestalten, dass alle eingegangenen Verpflichtungen gegenüber dem
Servicenehmer unter allen Umständen erfüllbar sind. Dies hat auf der Basis von
Dienstleistungsvereinbarungen zu geschehen, aus denen sich Risikobewertungen, die Anforderungen an
Zugriffsrechte und Antwortzeiten ableiten lassen. Der Dienstleister muss die Verfügbarkeit
aufzeichnen und messen. Er muss ungeplante Verfügbarkeitsausfälle untersuchen, um angemessene
Gegenmaßnahmen einzuleiten.
Netzwerkservices wichtig
Da betriebliche Prozesse in hohem Maße von funktionierenden Netzen abhängen und diese
normalerweise alle Arbeitsplätze abdecken, kommt der Kontinuität der Netzdienstleistung eine extrem
hohe Bedeutung zu. Der – interne oder externe – Netzbetreiber hat eine hohe Verfügbarkeit der Netze
sicherzustellen, Netzausfälle möglichst weitgehend durch entsprechende Maßnahmen zu kompensieren
und insbesondere vorbeugend zu handeln. Alle Aktivitäten des Systems sind unter
IT-Sicherheitsaspekten so zu gestalten, dass der Dienstleister Sicherheitsvorfälle durch ein
Vorfallsmanagementverfahren (Incident-Management) melden, untersuchen, in ihren Auswirkungen
möglichst gering halten und für die Zukunft durch adäquate Maßnahmen ausschalten kann. Hier gibt
die Norm die Empfehlung, speziell die IT-Sicherheitsaspekte in Zusammenhang mit dem Standard BS
7799 beziehungsweise ISO/IEC 27.001 zu berücksichtigen.
In den IT-sicherheitspezifischen Normen findet sich eine Vielzahl von Lösungsansätzen und
Maßnahmen, um Netze nach dem Stand der Technik sicher zu gestalten. Hier sei zum Beispiel auf das
Kapitel 4 der ISO 27.001 sowie auf entsprechende Kapitel des BSI-Grundschutzhandbuchs verwiesen.
Speziell das Grundschutzhandbuch behandelt Netze stark auf Grund ihrer Typologie und Topologie. BS
15.000 weist ausdrücklich darauf hin, dass zu ihrer Ergänzung andere Normen mit umzusetzen
sind.
Unterbrechungsfreier Betrieb
Das Service-Continuity-Management (Vermeidung oder Minderung von Unterbrechungen) basiert auf
einem ausgefeilten Berichtssystem, das Analysen dienen soll. Auf Grund dieser Analysen sind dann
Verfahren zu ergreifen, um die Auswirkungen von Vorfällen und Problemen zu minimieren und zu
verhindern. Es sind präventive Maßnahmen zu ergreifen, um das Problempotenzial zu reduzieren. Die
notwendigen Veränderungen soll das Änderungsmanagement umsetzen. Vorgenommene Verbesserungen sind
ebenfalls zu dokumentieren.
Netzzusammenbrüche rufen beim aktuellen Durchdringungsgrad der Institutionen und Arbeitsplätze
mit IT möglicherweise schwerwiegende Folgen hervor. Zu den wichtigen Zielen der
Continuity-Maßnahmen auf dem Netzsektor zählt deshalb die Minimierung von Problemen vor allem durch
präventive Maßnahmen. Zur Präzisierung der Continuity-Maßnahmen sind die in den genannten Normen
enthaltenen Lösungsansätze zu nutzen.
Ein Konfigurations- und Änderungsmanagement soll die jeweils optimale Konfiguration für die
Erfüllung der Aufgaben oder geforderten Dienste sicherstellen. Ziel ist außerdem die ständige
Kontrolle des optimalen Zustands und die Bewertung, Umsetzung und Prüfung durch das
Änderungsmanagement. Hierbei sollte das Änderungsmanagement Bestandteil eines dynamischen
PDCA-Zyklus (Plan, Do, Check, Act, siehe Bild) sein. Der PDCA-Zyklus ist analog zur ISO 9001
aufgebaut. Der Dynamik der Entwicklung auf dem Netzsektor lässt sich nur durch ein systematisches
Änderungsmanagement hinreichend Rechnung tragen. Dies erfordert Planungsflexibilität, die in der
Einführung eines PDCA-Zyklus gegeben ist.
BS 15.000 ist sinnvoll mit anderen Normen kombinierbar. Normen sollten grundsätzlich nicht nur
für die Auditierung zum Einsatz kommen, sondern zudem Empfehlungen zur sinnvollen Gestaltung
bieten. Damit dient eine intensive Beschäftigung mit den Normen und die Anwendung der
Gestaltungsempfehlungen der generellen Verbesserung von IT-Systemen. Dies gilt insbesondere für
Netze, bedingt durch die ihnen eigene Dynamik und Notwendigkeit zur Flexibilität. Die betreffenden
Normen können meist auf Grund ihrer spezifischen Ausrichtung auch dann wesentliche Anregungen
geben, wenn keine Zertifizierung beabsichtigt ist. Dieser Aspekt findet häufig nicht hinreichend
Beachtung.
Lesen Sie mehr zum Thema
