Umsetzung der ISO-27001 mit dem Werkzeug Verinice · h au g sogar erforderlich, nach der ISO Norm...

Seminararbeit

Umsetzung der ISO-27001 mit demWerkzeug Verinice

Christian Drescher12. Juli 2014

Prof. Dr. Jan Jurjens Lehrstuhl 14 Software EngineeringFakultat InformatikTechnische Universitat DortmundOtto-Hahn-Straße 1444227 Dortmundhttp://www-jj.cs.uni-dortmund.de/secse

Christian [email protected]: 95983Studiengang: Master Informatik

Seminar Sicherheit und Compliance im Softwareengineering und der IndustrieThema: Umsetzung der ISO-27001 mit dem Werkzeug Verinice

Eingereicht: 12. Juli 2014

Betreuer: Dr. Sven Wenzel

Prof. Dr. Jan Jurjens Lehrstuhl 14 Software EngineeringFakultat InformatikTechnische Universitat DortmundOtto-Hahn-Straße 1444227 Dortmund

i

ii

Ehrenwortliche Erklarung

Ich erklare hiermit ehrenwortlich, dass ich die vorliegende Arbeit selbststandig ange-fertigt habe; die aus fremden Quellen direkt oder indirekt ubernommenen Gedankensind als solche kenntlich gemacht.

Die Arbeit wurde bisher keiner anderen Prufungsbehorde vorgelegt und auch nochnicht veroffentlicht.

Dortmund, den 12. Juli 2014

Christian Drescher

INHALTSVERZEICHNIS iii

Inhaltsverzeichnis

1 Einleitung 11.1 Motivation und Hintergrund . . . . . . . . . . . . . . . . . . . . . . . 11.2 Aufbau und Ziel dieser Arbeit . . . . . . . . . . . . . . . . . . . . . . 2

2 ISO Norm 27001 42.1 Einfuhrung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.2 Das PDCA-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.3 Maßnahmenziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3 Das Werkzeug verinice 73.1 Einfuhrung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73.2 Benutzeroberflache . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

4 Unterstutzung von verinice 94.1 Bewertungskriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94.2 Umsetzung der Anforderungen der Plan-Phase . . . . . . . . . . . . . 10

4.2.1 Plan-A: Anwendungsbereich und Grenzen des ISMS . . . . . . 104.2.2 Plan-B: Definition der ISMS- und Informationssicherheitsleit-

linie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114.2.3 Plan-C: Art und Weise der Risikoeinschatzung . . . . . . . . . 134.2.4 Plan-D: Identifizieren der Risiken . . . . . . . . . . . . . . . . 144.2.5 Plan-E: Risikoabschatzung . . . . . . . . . . . . . . . . . . . . 164.2.6 Plan-F: Risikobewertung . . . . . . . . . . . . . . . . . . . . . 164.2.7 Plan-G: Optionen fur die Risikobehandlung . . . . . . . . . . 174.2.8 Plan-H: Auswahlen von Maßnahmenzielen und Maßnahmen . 184.2.9 Plan-I: Akzeptanz des Restrisikos durch das Management . . . 18

4.3 Umsetzung der Anforderungen der Do-Phase . . . . . . . . . . . . . . 194.3.1 Do-A: Formulieren eines Risikobehandlungsplans . . . . . . . 194.3.2 Do-D: Abschatzung der Wirksamkeit . . . . . . . . . . . . . . 194.3.3 Do-E: Sensibilisieren und Schulen der Mitarbeiter . . . . . . . 204.3.4 Do-H: Erkennung und Management von Sicherheitsvorfallen . 20

4.4 Umsetzung der Anforderungen der Check-Phase . . . . . . . . . . . . 214.4.1 Check-B: Regelmaßige Uberprufung der Wirksamkeit des ISMS 214.4.2 Check-E: Durchfuhren regelmaßiger interner Audits . . . . . . 224.4.3 Check-G: Aktualisieren der Sicherheitsplane . . . . . . . . . . 224.4.4 Check-H: Aufzeichnung von Handlungen und Ereignissen . . . 23

4.5 Anforderungen an die Dokumentation . . . . . . . . . . . . . . . . . . 23

iv INHALTSVERZEICHNIS

4.6 Zusammenfassung der Bewertung . . . . . . . . . . . . . . . . . . . . 24

5 Fazit 25

Literaturverzeichnis 27

KAPITEL 1. EINLEITUNG 1

1 Einleitung

1.1 Motivation und Hintergrund

Informationen sind heutzutage, im digitalen Zeitalter, neben Arbeits- und Betriebs-mitteln, ein weiterer wichtiger Wert fur Unternehmen. Es gilt nutzliche Informatio-nen zu sammeln und gewinnbringend zu nutzen, um den entscheidenden Wettbe-werbsvorteil zu erzielen.

Informations-Werte bezeichnen hier sowohl das Wissen in den Kopfen der Mitar-beiter, physikalische Einrichtungen wie PCs, sowie Dokumente und Kundendatenin gedruckter oder digitaler Form. Diese Informationen gehoren zum Kapital einesjeden Unternehmens, die es zu schutzen gilt. Die potentiellen Bedrohungen sind sehrvielfaltig, sei es menschliches Versagen, hohere Gewalt, technisches Versagen odersogar vorsatzliches Handeln.

Die Studie Global Information Security 2012”Fighting to close the Gap“ [Gmb12] der

Beratungsgesellschaft Ernst & Young GmbH zeigt, dass 43 Prozent der Unternehmenihr IT-Security-Budget erhoht haben. Jedoch sehen sich die Unternehmen selbst nurunzureichend gegenuber den zunehmenden Bedrohungen gewappnet.

Dies verdeutlichte auch ein kurzlich entdecktes und schwerwiegendes Problem beieiner Standardsoftware, die im Gesundheitswesen eingesetzt wird [hei14]. Der Ex-perte, der diese Lucke gefunden hatte gab diese Lucke an die Hersteller weiter, dochnur wenige reagierten angemessen. ”Weniger als 10 Prozent der von dem Expertenkontaktierten Firmen verfugten uber gut funktionierende interne Routinen fur solcheFalle.”[hei14]

Der Stellenwert der Informationssicherheit hat sich laut der Studie [Gmb12] in vielenUnternehmen erhoht. Die meisten Firmen sind inzwischen davon uberzeugt, dass eineganzheitliche Strategie fur die Informationssicherheit unerlasslich ist.

Eine Beschadigung oder der Verlust von Werten kann schließlich hohe Kosten undImageverlust fur Unternehmen bedeuten, bis hin zur Existenzbedrohung. Beauftra-gen Unternehmen einen externen Dienstleister, so bestehen die Unternehmen haufigauf vertraglich festgelegte Konventionalstrafen fur den Verlust von Daten.

Diese Werte nachhaltig zu schutzen, ist das Ziel von Informationssicherheit. Diestetigen technologischen Veranderungen wie Cloud-Computing, Social Media undmobile Endgerate stellen dabei eine Herausforderung an die Informationssicherheitvon Unternehmen dar. Die hohe Komplexitat erfordert den Einsatz einer ganzheitli-chen Sicherheitsstrategie in Form eines Information Security Management Systems,kurz ISMS.

2 1.2. AUFBAU UND ZIEL DIESER ARBEIT

Ein Information Security Management System ist ein kontinuierlicher und systema-tischer Prozess, um die Risiken von Informationsverlust zu minimieren [KWS08].Ein ISMS baut dabei auf die Einschatzung der bestehenden Geschaftsrisiken auf.Das ISMS umfasst dabei die Organisationsstruktur, Verantwortlichkeiten, Leitlini-en und Regeln, sowie Prozesse und Ressourcen eines Unternehmens. Dabei hat dasISMS vielfaltige Aufgaben zu erfullen. Es definiert die Ziele der Informationssicher-heit und stellt Maßnahmen bereit um diese Ziele zu erfullen. Zudem kontrolliert esdie Einhaltung dieser Ziele fortlaufend und macht ggf. Schwachstellen sichtbar.Als Orientierungshilfe fur die Umsetzung eines ISMS gibt es diverse Standards zumThema Informationssicherheit. Die in Deutschland haufigsten sind der IT Grund-schutz [BSI13] vom Bundesamt fur Informationssicherheit (BSI) und die ISO Norm27001 [ISO13]. Sich bei dem Betrieb eines ISMS an vorhandene Standards zu halten,hat mehrere Vorteile. Ein Standard gibt mogliche Maßnahmen vor, an denen mansich zunachst orientieren kann. Die ISO Norm 27001 hat zudem den Vorteil, dasssie zwar die Anforderungen vorgibt, die konkrete Implementierung aber offen lasst.Dadurch kann jedes Unternehmen selbst die passenden Maßnahmen auswahlen. DieISO Norm hat ebenfalls eine hohe internationale Anerkennung, was fur internatio-nal tatige Unternehmen sehr wichtig ist. Unternehmen konnen sich nach der ISONorm 27001 zertifizieren lassen. Je nach Umfang betragen die Kosten dafur 10000Euro und mehr [KWS08]. Um an offentlichen Ausschreibungen teil zu nehmen ist eshaufig sogar erforderlich, nach der ISO Norm 27001 zertifiziert zu sein.Ein ISMS nach ISO 27001 zu betreiben, erfordert den Einsatz von geeigneten Werk-zeugen. Einen Marktuberblick uber verfugbare Werkzeuge zur Umsetzung eins ISMSnach 27001 zeigt eine Studie vom Fraunhofer Institut aus dem Jahr 2012 [WP12].Demnach gibt es eine Vielfalt an verfugbaren Werkzeugen im deutschen Raum, mitsehr unterschiedlichem Angebotsumfang. Einige Tools sind kostenlos, bieten aberzusatzliche kostenpflichtige Erweiterungen an, wie das Werkzeug verinice [Gmb14]von der Firma SerNet GmbH. Das kleine Unternehmen Secopan UG bietet mit ihremProdukt ChaRMe eine vollstandig quelloffene Losung und finanziert dieses Angebotvor allem durch erganzende Dienstleistungen. Die meisten anderen Anbieter, wie z.B.die WMC GmbH mit ihrem Produkt QSec, vertreiben ihre Produkte kostenpflichtigund bieten zusatzliche Dienstleistungen und Beratung an. Die meisten Werkzeugehaben eine eher geringe Nutzerzahl vom zweistelligen bis zum dreistelligen Bereich.Dies hat zum Vorteil, dass bei der Entwicklung sehr gezielt auf Verbesserungsvor-schlage der Nutzer eingegangen werden kann.

1.2 Aufbau und Ziel dieser Arbeit

Das Ziel dieser Arbeit ist es, die Unterstutzung des Werkzeugs verinice [Gmb14] beider Einfuhrung eines ISMS nach ISO 27001 zu analysieren und zu bewerten.Hierzu werden zunachst die Anforderungen an ISMS, die sich aus der die ISO Norm27001 ergeben, vorgestellt (Kapitel 2).Im Folgenden Kapitel wird das Werkzeug verinice vorgestellt und die grundlegendenElemente der Benutzeroberflache erlautert.In Kapitel 4 wird schließlich die Unterstutzung von verinice bei der Umsetzung einesISMS analysiert. Hierzu werden die notwendigen Schritte fur den Aufbau eines ISMS

KAPITEL 1. EINLEITUNG 3

nacheinander dargestellt und jeweils die Unterstutzung von verinice analysiert. DieErgebnisse werden abschließend zusammengefasst dargestellt. Im darauf folgendenFazit wird erortert, ob das Werkzeug fur die Umsetzung geeignet ist, wo seine Starkenund Schwachen liegen und es werden ggf. Verbesserungsvorschlage gegeben.

4

2 ISO Norm 27001

2.1 Einfuhrung

Die ISO Norm 27001 [ISO13] beschreibt den systematischen Aufbau und Betriebeines Information Security Management Systems. Die ISO Norm 27001 ist ein in-ternational anerkannter Standard. Sie beinhaltet alle Mindestanforderungen, die einISMS erfullen muss. Ziel des ISMS ist es, Risiken zu identifizieren und die Risikendurch geeignete Gegenmaßnahmen zu minimieren.Bedrohungen werden erst durch Schwachstellen ermoglicht. Diese Bedrohungen wer-den dann zum Risiko fur das Unternehmen. Beispielsweise kann durch eine Schwach-stelle in Form einer unverschlusselten Ubertragung eine Bedrohung in Form einesDatenverlustes entstehen.100 prozentige Sicherheit gibt es nicht. Das Top-Management muss entscheiden,welche Risiken es zu tragen bereit ist. Die Anforderungen an ein ISMS sind sehr all-gemein formuliert, sodass Unternehmen selbst die geeignete Implementierung wahlenkonnen. Der Standard liefert anhand eines Maßnahmenkatalogs Anhaltspunkte furdie Umsetzung von Maßnahmen.Der Standard definiert ein ISMS wie folgt:

”Der Teil des gesamten Managementsystems, der auf der Basis eines Geschaftsrisi-

koansatzes die Entwicklung, Implementierung, Durchfuhrung, Uberwachung, Uber-prufung, Instandhaltung und Verbesserung der Informationssicherheit abdeckt.

ANMERKUNG Das Managementsystem enthalt die Struktur, Grundsatze, Pla-nungsaktivitaten, Verantwortung, Praktiken, Verfahren, Prozesse und Ressourcender Organisation.“ [ISO13]

Diese Definition beschreibt einige wichtige Grundgedanken. Zum Einen wird dasISMS als Teil eines ubergeordneten Managementsystems der Organisation betrach-tet. Ziel des ISMS ist die Gewahrleistung der Informationssicherheit in der Orga-nisation. Des Weiteren baut das ISMS auf der Einschatzung des Geschaftsrisikosauf. Ohne eine geeignete Risikoeinschatzung kann ein ISMS nicht sinnvoll betriebenwerden. Das ISMS sollte als Prozess betrachtet werden, der eine kontinuierliche An-passung und Verbesserung des Systems sicherstellt. Dazu verwendet das ISMS nachISO 27001 das PDCA-Modell, dass im Folgenden erlautert wird.

KAPITEL 2. ISO NORM 27001 5

2.2 Das PDCA-Modell

Das ISMS nach ISO 27001 ist ein kontinuierlicher Verbesserungsprozess (KVP), derdas PDCA-Modell(Plan, Do, Check, Act) verwendet, s. Abb. 2.1.

Abbildung 2.1: Das PDCA-Modell eines ISMS nach ISO 27001[KWS08]

Plan-Phase In der Plan-Phase werden zunachst die Grenzen des ISMS bestimmt.Grundsatzlich wird hier unterschieden, ob es sich um den Aufbau eines neuen ISMShandelt, oder ein bestehendes ISMS angepasst werden soll. Die Phase beinhaltet dieFestlegung der Sicherheitsziele durch das Top-Management und die Risikoeinschat-zung.

Do-Phase In der Do-Phase folgt die Umsetzung des ISMS gemaß den zuvor fest-gelegten Sicherheitszielen. Es werden geeignete Maßnahmen umgesetzt und Verant-wortlichkeiten der Mitarbeiter zugeteilt.

Check-Phase Die Check-Phase dient der Uberprufung der Sicherheitslage. Durchinterne Audits und Auswerten von Sicherheitsberichten wird das Restrisiko bzw.neue Risiken uberpruft und an das Management gemeldet.

Act-Phase Basierend auf den Ergebnissen der Check-Phase werden nun in derAct-Phase Korrekturen und Gegenmaßnehmen fur eine kontinuierliche Verbesserungdes ISMS festgelegt.

2.3 Maßnahmenziele

Im Anhang des Standards werden Maßnahmenziele und Maßnahmen fur den Betriebeines ISMS beschrieben [ISO13, KWS08]. Es werden 11 Regelungsbereiche beschrie-ben. Dazu zahlen u.a. die Sicherheitsleitlinie, Personalsicherheit und Zugangskontrol-le. Jeder dieser Regelungsbereiche verfugt uber eine Liste von Sicherheitskategorien.

6 2.3. MASSNAHMENZIELE

Jede Sicherheitskategorie hat wiederum ein bestimmtes Maßnahmenziel. Zum Errei-chen des Ziels verfugt jede Sicherheitskategorie uber eine Liste von Maßnahmen. Umdiese Maßnahmenziele zu erreichen muss eine Einzelmaßnahme oder eine Menge vonMaßnahmen ausgewahlt und implementiert werden. Die Auswahl muss dabei immerso erfolgen, dass das zuvor festgelegte Risikoziel erfullt wird.Beispielsweise verfugt der Regelungsbereich 11

”Kontrolle des Zugangs zu Infor-

mationen“ uber 7 Sicherheitskategorien. Die dazugehorige Sicherheitskategorie 11.5verfugt uber das Maßnahmenziel

”Verhinderung von unbefugtem Zugriff auf das Be-

triebssystem.“. Um dieses Ziel zu erreichen, gibt der Standard 6 Maßnahmen vor,als Beispiel

”Der Zugang zu Betriebssystemen muss durch ein sicheres Anmeldever-

fahren kontrolliert werden.“ Man erkennt, dass die Maßnahmen eher Anforderungenbeschreiben. Die konkrete Implementierung, ob nun Benutzername und Passwortoder Biometriedaten fur die Anmeldung verwendet werden, bleibt dem Anwenderuberlassen.

KAPITEL 3. DAS WERKZEUG VERINICE 7

3 Das Werkzeug verinice

3.1 Einfuhrung

Verinice [Gmb14] ist ein Werkzeug fur das Management von Informationssicherheitund den Betrieb eines ISMS. Es wird von dem Privaten Unternehmen SerNet GmbHmit Sitz in Gottingen seit 1996 entwickelt und liegt aktuell in Version 1.7.0 vor.Die Software ist unter der Lizenz GPLv3 als kostenloser Download verfugbar undunterstutzt die Betriebssysteme, Windows, Linux und Mac OS.Das Werkzeug ist fur verschiedene Sicherheitsstandards geeignet. Neben dem Betriebeines ISMS nach ISO 27001 ist es auch fur die Implementierung des IT-Grundschutz[BSI13] des BSI geeignet. Zu den weiteren Features zahlen u.a. die Durchfuhrungeiner Risikoanalyse nach ISO 27005, sowie der Nachweis von Compliance mit Stan-dards wie ISO 27002.Verinice bietet außerdem die Option, die im Anhang der ISO 27001 definierten Maß-nahmen und Maßnahmenziele zu importieren. Dieser Maßnahmenkatalog ist eben-falls kostenlos als Download auf der Webseite von verinice erhaltlich.Neben der kostenlosen Version von verinice gibt es noch eine kostenpflichtige Versionverinice.PRO mit einigen zusatzlichen Merkmalen. Hauptmerkmal der verinice.PROVersion ist eine Server-Version, die es mehreren Client-PCs ermoglicht, gleichzeitigauf das ISMS zuzugreifen.Im folgenden Abschnitt wird die Benutzeroberflache von verinice dargestellt und diewichtigsten Elemente werden erlautert.

3.2 Benutzeroberflache

Abb. 3.1 zeigt die Benutzeroberflache von verinice. Die Software basiert auf der,als OpenSource verfugbaren, Eclipse Rich Client Platform (RCP)1. Gemaß demInhalt dieser Arbeit beziehen sich die folgenden Ausfuhrungen ausschließlich auf dieModellierung eines ISMS nach ISO 27001. Fur die Modellierung eines ISMS nachISO 27001 muss zunachst die

”ISM Perspektive“ ausgewahlt werden. In Abb. 3.1 ist

diese bereits aktiviert.Abb. 3.1 zeigt die funf wichtigsten Bereiche der Benutzeroberflache.

Bereich 1 zeigt eine Auswahl an Katalogen mit vordefinierten Maßnahmenzielenund Maßnahmen. In dieser Abbildung ist der frei verfugbare Katalog fur Maßnahmennach ISO 27001 bereits importiert.

1http://www.eclipse.org

8 3.2. BENUTZEROBERFLACHE

Abbildung 3.1: verinice Benutzeroberflache

Bereich 2 zeigt die Haupt-Ubersicht uber das zu verwaltende ISMS. Alle Belangedes Information Security Model werden uber die dargestellten Kategorien konfigu-riert. Diese Kategorien sind in Abb. 3.1 in Bereich 2 detailliert dargestellt. Zu jederKategorie lassen sich neue Elemente hinzufugen. Diese Elemente lassen sich jeweilszu Gruppen zusammenfassen, sodass das ISMS durch eine ubersichtliche Baumstruk-tur dargestellt wird.

Bereich 3 zeigt die jeweilige Eingabemaske des gerade zu editierenden Elementsan. In dieser Abb. zeigt es die Eingabemaske zur Festlegung der Organisation.

Bereich 4 zeigt Verknupfungen des gerade ausgewahlten Elements. Verknupfun-gen zwischen zwei Elementen lassen sich per Drag-and-Drop erstellen. Beispielsweisekann eine Verknupfung zwischen einem PC und einer Person hergestellt werden. DieVerknupfungsart kann dann mit

”verantwortlich fur“ spezifiziert werden.

Bereich 5 bietet die Moglichkeit wichtige Dokumente zu verwalten, wie z.B. Ver-trage oder Auswertungen von Audits.

KAPITEL 4. UNTERSTUTZUNG VON VERINICE 9

4 Unterstutzung von verinice

In diesem Abschnitt wird nun die Unterstutzung von verinice bei der Umsetzungeines ISMS untersucht. Dabei wird davon ausgegangen, dass noch kein ISMS in derOrganisation existiert und von Grund auf implementiert werden muss. Das Buch[KWS08] beschreibt eine Reihenfolge von notwendigen Schritten um ein ISMS nachISO 27001 aufzubauen und orientiert sich dabei an den Phasen gemaß dem PDCA-Modell: Plan, Do, Check und Act, welches in Kap. 2.2 bereits vorgestellt wurde.Bei der Bewertung der Unterstutzung von verinice werden diese definierten Schrit-te nacheinander bewertet. Einige Schritte, die nicht direkt das ISMS, sondern diekonkrete Umsetzung betreffen werden dabei ausgelassen und fließen nicht in dieBewertung mit ein. Dazu zahlen insbesondere die Punkte der Act-Phase, die Be-wertung durch das Management, Ressourcen-Bereitstellung oder die Aktualisierungvon Sicherheitsplanen.

4.1 Bewertungskriterien

Der Grad der Unterstutzung einer Anforderung wird anhand von vier Kriterienbewertet:

Bewertungskriterien Gewichtung

Vorteil gegenuber herkommlichen Werkzeugen 30%Konformitat & Umsetzung der ISO 27001 30%Benutzerfreundlichkeit & Bedienbarkeit 20%

Ubersichtlichkeit & Darstellung 20%

Fur jedes Kriterium werden Punkte zwischen 0 und 2 vergeben. 0 Punkte bedeuten

”keine oder schlechte Umsetzung“, 1 Punkt bedeutet

”Umsetzung nur teilweise“ und

2 Punkte bedeuten”gute Umsetzung“. Anhand der angegebenen Gewichtung wird

eine Gesamtpunktzahl fur jede Anforderung bestimmt. Kernpunkt dieser Arbeit istdie Unterstutzung von verinice bei der Umsetzung der ISO Norm 27001. Daher sinddie Kriterien

”Vorteil gegenuber herkommlichen Werkzeugen“ und

”Konformitat &

Umsetzung der ISO 27001“ hoher gewichtet als die Kriterien”Benutzerfreundlich-

keit“ und”Ubersichtlichkeit“.

Die Kriterien und deren Bewertung werden im Folgenden erlautert.

10 4.2. UMSETZUNG DER ANFORDERUNGEN DER PLAN-PHASE

Kriterium: Vorteil gegenuber herkommlichen Werkzeugen

Punkte Erlauterung

0 Es gibt nur eine Listendarstellung, keine vordefinierten Felder, nurDokumentenablage ohne Meta-Daten.

1 Es ist nur zum Teil besser als herkommliche Methoden.2 Dokumente sind leicht zu finden, es gibt Meta-Daten-Unterstutzung

und es ist zeitlich effizienter.

Kriterium: Konformitat & Umsetzung der ISO 27001

Punkte Erlauterung

0 Die Anforderungen wurden unzureichend oder nicht konform um-gesetzt.

1 Die Anforderungen wurden nur zum Teil umgesetzt. Es ist moglichdiese Funktion nachzubilden, aber es gibt keine explizite Unterstut-zung dafur.

2 Die Anforderungen wurden komplett umgesetzt.

Kriterium: Benutzerfreundlichkeit & Bedienbarkeit

Punkte Erlauterung

0 Umstandlich, der Benutzer findet sich schwer zurecht, mangelndeErklarungen, Grundfunktionen wie Sortierung und Filterung fehlenkomplett.

1 Einige Funktionen sind benutzerfreundlich, andere wiederum nicht.2 Die Funktionen sind leicht zu finden. Es gibt eine durchgehend gute

Erklarung und vorgefullte Auswahlfelder wenn moglich.

Kriterium: Ubersichtlichkeit & Darstellung

Punkte Erlauterung

0 Darstellung ist sehr unubersichtlich. Es gibt nur eine einfache Lis-tendarstellung oder sie ist sehr versteckt.

1 Einige Funktionen sind ubersichtlich, andere wiederum nicht.2 Sehr ubersichtliche Darstellung mit Icons, farblichen Markierungen

und grafischen Darstellungen, wenn moglich.

4.2 Umsetzung der Anforderungen der Plan-Phase

In diesem Abschnitt wird die Umsetzung der Anforderungen der Plan-Phase in ver-inice analysiert und bewertet.

4.2.1 Plan-A: Anwendungsbereich und Grenzen des ISMS

Zu Beginn muss der Anwendungsbereich und die Grenzen des ISMS genau definiertwerden. Der Anwendungsbereich kann z.B. eine ganze Organisation, oder Teile einerOrganisation, oder einzelne Geschaftsprozesse betreffen.


Abbildung 4.1: Eingabemaske Anwendungsbereich

Im Werkzeug verinice muss dazu zunachst ein neuer Anwendungsbereich mit einemzugehorigen IS Model angelegt werden. Anschließend offnet sich die Eingabemaskeum den Anwendungsbereich bzw. die Organisation zu beschreiben. Abb. 4.1 zeigtdie zugehorige Eingabemaske. Die Maske enthalt ausschließlich Texteingabefelder.Leider gibt es keine Erklarung, wie die Grenzen des ISMS zu definieren sind. Hierzueignet sich als einziges das Textfeld

”Beschreibung“. Es ist dabei moglich nur einen

Teil einer Organisation oder einen einzelnen Geschaftsprozess als Anwendungsbe-reich festzulegen. Verinice bietet zudem die Moglichkeit mehrere ISMS mit separatenAnwendungsbereichen anzulegen. Somit konnen bspw. auch mehrere Geschaftspro-zesse getrennt, aber in einer Oberflache, als ISMS behandelt werden.Verinice ermoglicht die Festlegung des Anwendungsbereichs, allerdings ware eine Er-lauterung der Textfelder, wie die Grenzen des ISMS zu definieren sind, wunschens-wert.

Bewertungskriterien Gewichtung Bewertung

Vorteil gegenuber herkommlichen Werkzeugen 30% 1Konformitat & Umsetzung der ISO 27001 30% 1Benutzerfreundlichkeit & Bedienbarkeit 20% 1

Ubersichtlichkeit & Darstellung 20% 2

Gesamtpunktzahl 1,2

4.2.2 Plan-B: Definition der ISMS- und Informationssicherheitsleitlinie

Der zweite Schritt bei der Umsetzung eines ISMS nach ISO 27001 ist die Definiti-on der zwei grundlegenden Dokumente Informationssicherheitsleitlinie und ISMS-Leitlinie. Diese Dokumente werden im Standard nicht explizit gefordert, jedoch


durch die Aufzahlung ihrer Inhalte charakterisiert. Die Informationssicherheitsleitli-nie umfasst u.a. gesetzliche oder vertragliche Anforderungen, sowie die Verpflichtungaller Mitarbeiter zur Einhaltung dieser Anforderungen. Die ISMS-Leitlinie beinhal-tet die Informationssicherheitsleitlinie und gibt zusatzlich Prinzipien fur die Umset-zung vor. Hierzu zahlt insbesondere die anzuwendende Methode fur die Risikobe-wertung. Beide Leitlinien mussen vom Management freigegeben und in Kraft gesetztwerden.

In verinice konnen diese beiden Leitlinien unter der Kategorie”Dokumente“ hin-

zugefugt werden. Neben der Angabe des Titels sollte der Dokumententyp und dieVertraulichkeits-Einstufung festgelegt werden. Zusatzlich kann dem Dokument nuneine beliebige Datei hinzugefugt werden. Es empfiehlt sich, die Leitlinien beispiels-weise als PDF-Dokument hinzuzufugen. Die beiden Dokumente konnen nun perDrag-and-Drop mit dem obersten Menupunkt Organisation verknupft werden.

Bei der Verwaltung der Dateien ist keine Versionierung erkennbar, die bspw. altereVersionen einer Leitlinie automatisch aufbewahrt und kennzeichnet. Das Freigebenund in Kraft setzen der Dokumente ist in verinice in der Dateiverwaltung und nicht inder Dokumentenverwaltung zu finden. D. h. einem Dokument in verinice konnen einoder mehrere Dateien mit jeweils einem separaten Status hinzugefugt werden. Abb.4.2 zeigt die Auswahlbox fur den Dokumentenstatus. Um nun den Status eines Do-kumentes einsehen zu konnen, muss die angehangte Datei explizit durch Doppelklickgeoffnet werden. Eine Moglichkeit den Status bereits in der Dokumentenubersichteinzusehen, gibt es nicht.

Abbildung 4.2: Dateiverwaltung in verinice





Gesamtpunktzahl 0,8

4.2.3 Plan-C: Art und Weise der Risikoeinschatzung

Die Festlegung der Risikoabschatzung ist ein notwendiger und wichtiger Schritt beider Planung des ISMS. Der Standard 27001 [ISO13] fordert die Festlegung einerMethode zur Risikoeinschatzung. Außerdem sollen Risikoklassen festgelegt werdenund es muss definiert werden, welche Risiken das Unternehmen zu tragen bereit ist.

Abbildung 4.3: Eingabemaske Risikoakzeptanz

Fur die Festlegung der Methode zur Risikoabschatzung bietet verinice keine ex-plizite Unterstutzung. Es besteht wieder die Moglichkeit die Methode zur Risiko-abschatzung als Dokument zum ISMS hinzuzufugen und mit der Organisation zuverknupfen. Fur die Festlegung der Risikoakzeptanz bietet verinice eine vorgege-bene Eingabemaske, die zur Eingabe der Organisation gehort. Abb. 4.3 zeigt die-se Eingabemaske. Anhand der drei Auswahlboxen im oberen Bereich werden dieRisikoakzeptanz-Werte fur Vertraulichkeit, Integritat und Verfugbarkeit festgelegt.Die Erlauterungen im unteren Bereich helfen dem Benutzer bei der Festlegung desRisiko Levels. Die Platzhalter in Form von

”???“ beschreiben den moglichen finan-

ziellen Verlust und sind individuell von jedem Unternehmen außerhalb von verinicefestzulegen.





Gesamtpunktzahl 1,4

4.2.4 Plan-D: Identifizieren der Risiken

Nach dem Standard erfolgt die Identifizierung der Risiken in vier Schritten:

1. Bestimmung der Werte

2. Bestimmung der Bedrohungen

3. Bestimmung der Schwachstellen

4. Bestimmung der Auswirkungen bei Verletzung fur jeden einzelnen Wert

Um die Risiken zu identifizieren mussen zunachst die Informationswerte erfasst wer-den. In verinice werden diese Werte unter

”Assets“ verwaltet. Dazu zahlen sowohl

materielle als auch immaterielle Werte. Fur jeden Wert muss ein verantwortlicherEigentumer, bzw. eine Rolle angegeben werden.Verinice bietet hier nur die Moglichkeit Personen zu verwalten und diese mit demjeweiligen Asset zu verknupfen. Eine Verknupfung von Benutzerrollen ware hier vonVorteil, wird aber nicht direkt unterstutzt.Fur die Verwaltung von Bedrohungen gibt es in verinice die Kategorie

”Bedrohun-

gen“. Bedrohungen werden uber ein Freitext-Feld beschrieben. Zudem kann die er-wartete Haufigkeit einer Bedrohung angegeben werden.Genau wie die Verwaltung von Bedrohungen konnen die Schwachstellen in veriniceuber die Kategorie

”Schwachstellen“ verwaltet werden. Neben einem Freitext-Feld

gibt es eine Auswahlbox fur den Schweregrad einer Schwachstelle.In der Eingabemaske eines jeden Assets (s. Abb. 4.4) konnen die Auswirkungen unddie Wiederherstellungskosten bei Verletzung des Sicherheitsziels festgelegt werden.In verinice lassen sich nun Verknupfungen, zwischen Assets, Personen und Schwach-stellen erzeugen, die den kausalen Zusammenhang verdeutlichen. Schwachstellen undBedrohungen lassen sich nicht direkt verknupfen. Verinice verbindet diese Elemente,indem es ein neues Element

”Szenario“ in der gleichnamigen Kategorie anlegt (s.

Abb. 4.5). Ein Szenario in verinice entspricht einem identifizierten Risiko nach demISO Standard 27001. In der zugehorigen Eingabemaske (s. Abb. 4.5) kann die er-wartete Haufigkeit und das Ausmaß eingestuft werden. Anhand von Auswahlboxenkann festgelegt werden, ob das Risiko die Vetraulichkeit, Integritat und Verfugbar-keit betrifft.Im unteren Bereich werden die Verknupfungen zu Bedrohungen, Schwachstellen,Assets und Controls angezeigt. Das Beispiel in Abb. 4.5 zeigt ein Szenario, dassdie Webseite als Unternehmenswert beeintrachtigt. Durch die Schwachstelle einer


Abbildung 4.4: Auswirkungen bei Verletzung der Sicherheitsziele

Abbildung 4.5: Eingabemaske eines Szenarios in verinice


fehlenden Firewall sind Bedrohungen in Form von DDoS-Attacken moglich. DasRisiko wird aber bereits durch hinzugefugte Maßnahmen (Controls) herabgesetzt.Verinice bietet bei der Risikoidentifizierung eine gute Ubersichtlichkeit und eine gu-te Nachvollziehbarkeit durch das Anlegen von Verknupfungen. Die Bezeichnung derVerknupfungen ist leicht verstandlich und zusatzliche Icons kennzeichnen den Typder Verknupfung. Das verinice keine grafische Darstellung der Verknupfungen anbie-tet ist daher kein Schwachpunkt. Es fehlt allerdings eine Moglichkeit zur Filterung,um sich z. B. nur Verknupfungen des Typs Bedrohungen anzeigen zu lassen.




Gesamtpunktzahl 1,2

4.2.5 Plan-E: Risikoabschatzung

Dieser Schritt erfordert die Risikoabschatzung fur jedes unter Plan-D identifizier-te Risiko. Dies beinhaltet die Festlegung der erwarteten Haufigkeit des Eintretens,sowie die Festlegung des erwarteten Schadens. Die Haufigkeit leitet verinice stan-dardmaßig aus der zuvor festgelegten Haufigkeit der Bedrohung ab. Die Haufigkeitkann jedoch auch vom Benutzer manuell korrigiert werden. Der erwartete Schadenwird in verinice fur jedes Asset eingetragen. Er bestimmt sich aus dem BusinessImpact und den Wiederherstellungskosten.




Gesamtpunktzahl 1,6

4.2.6 Plan-F: Risikobewertung

Um die bestehenden Risiken zu bewerten empfiehlt sich das Festlegen von Risiko-klassen. Damit lassen sich Risiken z. B. nach tolerabel, betrachtlich, hoch, kata-strophal klassifizieren. Verinice unterscheidet bei der Risikoeinstufung grundsatzlichnach den drei Kategorien Integritat, Vertraulichkeit und Verfugbarkeit. Fur Vertrau-lichkeit und Verfugbarkeit hat verinice 4 Stufen von 0

”kein Risiko“, bis 4

”hohes

Risiko“, vorgesehen. Fur Integritat verwendet verinice 3 Stufen.Die identifizierten Risiken sollten nun in zwei Kategorien aufgeteilt werden: Risi-ken, die ohne Gegenmaßnahme getragen werden und Risiken die eine Behandlungerfordern. Verinice kann dazu eine automatische Risikobewertung durchfuhren. DenButton fur den Start der Berechnung zeigt Abb. 4.6.


Abbildung 4.6: Button zum Start der Risikoberechnung

Abbildung 4.7: Von verinice berechnete Risikowerte

Verinice tragt dabei die Risikowerte fur jedes Asset ein, s. Abb. 4.7.Allerdings gibt es keine Moglichkeit in verinice die Risiken, nach der Risikoklassifi-zierung zu ordnen.




Gesamtpunktzahl 1,5

4.2.7 Plan-G: Optionen fur die Risikobehandlung

Fur die identifizierten Restrisiken muss nun festgelegt werden, wie und in welcherReihenfolge diese weiterzubehandeln sind. Dazu gibt es im Allgemeinen die Moglich-keiten der Risikovermeidung und Risikoubertragung, sowie die Auswahl geeigneterGegenmaßnahmen. In verinice kann die Risikobehandlungs-Methode fur jedes Assetaus einer vorgegebenen Liste ausgewahlt und zusatzlich in einem Texteingabefeldbegrundet werden. Allerdings gibt es weder eine Ubersicht uber die bestehendenRisiken noch gibt es eine Moglichkeit die Risiken nach ihrer Bedrohungsstarke zusortieren.





Gesamtpunktzahl 1,4

4.2.8 Plan-H: Auswahlen von Maßnahmenzielen und Maßnahmen

Fur die weiterzubehandelnden Restrisiken mussen nun geeignete Maßnahmen zurReduzierung des Risikos ausgewahlt werden. Dazu konnen Maßnahmen aus demAnhang des Standards ISO 27001 verwendet werden. Dieser Maßnahmen-Kataloglasst sich leicht in verinice importieren.

Man kann aus dem Katalog geeignete Maßnahmen auswahlen und per Drag-and-Drop der Kategorie

”Controls“ (Maßnahmen) hinzufugen. Zu jeder Maßnahme muss

die konkrete Implementierung beschrieben werden. Icons verdeutlichen in verinice,ob die Maßnahme bereits in Kraft getreten ist.

Naturlich lassen sich in verinice auch benutzerdefinierte Maßnahmen hinterlegen.Die einzelnen Maßnahmen lassen sich wiederum mit den betroffenen Assets und Ri-siken verknupfen. Ggf. kann nun die Risikobewertung der betroffenen Risiken durchdie Maßnahme herabgesetzt werden. Dies lasst sich durch eine erneute Risikoberech-nung, wie sie verinice bereitstellt, herausfinden.

Durch den vorgegebenen Maßnahmenkatalog bietet verinice hier gute Unterstutzung.




Gesamtpunktzahl 2

4.2.9 Plan-I: Akzeptanz des Restrisikos durch das Management

Auch nach der Implementierung von Maßnahmen gibt es in der Regel noch einbestehendes Restrisiko. Die betroffenen Risiken mussen dem Management vorgelegtwerden. Das Management entscheidet, ob dieses Restrisiko getragen werden soll.Verinice bietet die komfortable Moglichkeit einen Risiko-Report in Form einer PDF-Datei zu erzeugen. Dieser Bericht ist sehr ubersichtlich und kennzeichnet in farblicherDarstellung die Hohe der Risiken. Auch die bestehenden Restrisiken werden dortaufgelistet.





Gesamtpunktzahl 2

4.3 Umsetzung der Anforderungen der Do-Phase

In der zweiten Phase des PDCA-Modells wird das ISMS aufgebaut und in Betriebgehalten. Die Schritte Do-B, Do-C, Do-F und Do-G werden bei der Bewertung aus-gelassen, da sie nur Maßnahmen außerhalb des ISMS erfordern.

4.3.1 Do-A: Formulieren eines Risikobehandlungsplans

Der Risikobehandlungsplan beschreibt den Umgang mit den bestehenden Risiken.Dazu zahlen geeignete Maßnahmen des Managements, wie das Durchfuhren vonregelmaßigen Audits und das Festlegen von Verantwortlichkeiten. Außerdem mussendie benotigten Ressourcen festgelegt werden.In verinice empfiehlt es sich, den Risikobehandlungsplan als Dokument in das ISMShinzuzufugen. Verinice bietet Unterstutzung zur Dokumentation von Audits. Dazuexistiert der Menupunkt

”Audits“.

Fur die Planung von Ressourcen, wie Personalbedarf, Umbaumaßnahmen oder Ma-terialbedarf, bietet verinice keine Unterstutzung. Lediglich die Personal- und Mate-rialkosten konnen fur jede Maßnahme hinterlegt werden.Die Verantwortlichkeiten fur einzelne Maßnahmen konnen in verinice, wie schonbekannt, uber Verknupfungen zwischen Personen bzw. Rollen und den Maßnahmenfestgelegt werden.Fur die Priorisierung von Maßnahmen bietet verinice allerdings keine Moglichkeit.




Gesamtpunktzahl 1

4.3.2 Do-D: Abschatzung der Wirksamkeit

An dieser Stelle soll die Wirksamkeit der einzelnen Maßnahmen mit einem geeignetenVerfahren uberpruft werden. Das Verfahren muss selbst gewahlt und durchgefuhrtwerden. Verinice bietet dazu keine Unterstutzung. Das Ergebnis lasst sich in verinicefur jede einzelne Maßnahme dokumentieren. Hierzu gibt es die Eigenschaft

”Reife-

grad“, die die Wirksamkeit einer Maßnahme angibt. Die Bewertung ist vorgegeben,von 0

”niedrig“ bis 9

”hoch“.

20 4.3. UMSETZUNG DER ANFORDERUNGEN DER DO-PHASE




Gesamtpunktzahl 0,9

4.3.3 Do-E: Sensibilisieren und Schulen der Mitarbeiter

Das Schulen der Mitarbeiter ist eine permanente Aufgabe. In der Organisation solltees einen jahrlichen Plan dazu geben und die Umsetzung sollte im ISMS dokumen-tiert werden. Fur die Planung von Schulungen bietet verinice keine Unterstutzung.Es existiert nur die obligatorische Moglichkeit, die Planung und Aufzeichnung alsDokument in das ISMS abzulegen.




Gesamtpunktzahl 0,5

4.3.4 Do-H: Erkennung und Management von Sicherheitsvorfallen

Sicherheitsvorfalle (Incidents) lassen sich nicht vollstandig vermeiden. Ziel einesISMS ist es, solche Falle zu dokumentieren und angemessen mit ihnen umzuge-hen. Ein Incident sollte hinsichtlich seines Schweregrads, von Notfall bis tolerierbar,fur die Weiterbehandlung klassifiziert werden.

In verinice gibt es keine Moglichkeit einen Incident hinsichtlich seines Schweregradszu klassifizieren. Lediglich der Typ eines Incidents lasst sich erfassen. Zu diesemZweck gibt es zwanzig vordefinierte Klassifizierungen, s. Abb. 4.8.

In verinice lassen sich Reaktionen definieren und mit Incidents verknupfen. So istdokumentiert, wie auf einen Vorfall reagiert wurde und das Verfahren kann beimerneuten Eintreten des Vorfalls als Referenz wiederverwendet werden.




Gesamtpunktzahl 1,3


Abbildung 4.8: Klassifizierung von Incidents in verinice

4.4 Umsetzung der Anforderungen der Check-Phase

Die Check Phase dient der Beobachtung des bestehenden ISMS. Die Wirksamkeitder einzelnen Maßnahmen soll uberpruft und Risiken neu bewertet werden. Dazuzahlen das regelmaßige Durchfuhren von internen Audits und die Bewertung desISMS durch das Management.

4.4.1 Check-B: Regelmaßige Uberprufung der Wirksamkeit des ISMS

Es ist Aufgabe des Management die Wirksamkeit des ISMS und der Einzelmaß-nahmen regelmaßig zu uberprufen. In die Managementbewertung fließen auch dieErgebnisse aus den internen Audits und die Incidents mit ein. In verinice konnen zudiesem Zweck aussagekraftige und ubersichtliche Reports erzeugt werden, die demManagement fur seine Beurteilung vorgelegt werden konnen.




Gesamtpunktzahl 2

4.4.2 Check-E: Durchfuhren regelmaßiger interner Audits

22 4.4. UMSETZUNG DER ANFORDERUNGEN DER CHECK-PHASE

Der Standard ISO 27001 erfordert das Durchfuhren von regelmaßigen internen Au-dits. Ziel eines Audits ist es, den Stand des ISMS zu erfassen. Der Standard erfordert,dass zu jedem Audit ein Auditbericht angefertigt wird. Dieser Bericht sollte sowohlden Gegenstand des Audits, als auch die Beteiligten, sowie positive und negativeFeststellungen enthalten. Bei Anlegen eines neuen Audits in verinice wird automa-tisch eine Unterstruktur, wie in Abb. 4.9 zu sehen, erzeugt. Dort konnen sowohl derGegenstand des Audits, als auch positive und negative Feststellungen dokumentiertwerden. Auch die Beteiligten eines Audits konnen in dem Unterpunkt

”Personen“

dokumentiert werden. Leider kann hier keine Verknupfung zu bereits angelegtenPersonen im ISMS erzeugt werden. Statt dessen mussen alle beteiligten Personenmanuell angelegt werden.

Abbildung 4.9: Verwaltung von Audits in verinice




Gesamtpunktzahl 1,5

4.4.3 Check-G: Aktualisieren der Sicherheitsplane

Fur Notfalle oder Katastrophen sollte es nach dem Standard einen Incident Ma-nagement Plan geben, der geeignete Reaktionen auf Sicherheitsvorfalle beschreibt.Die Pflege solcher Notfallplane ist eine standige Aufgabe. In verinice existiert dazuder Menupunkt

”Reaktionen“. Hier konnen die Reaktionen auf bestimmte Notfalle

dokumentiert werden. Allerdings fehlt hier eine Suchfunktion, die es ermoglicht imNotfall schnell die passende Reaktion zu finden.




Gesamtpunktzahl 1,3


4.4.4 Check-H: Aufzeichnung von Handlungen und Ereignissen

Alle Handlungen und Ereignisse, die einen Einfluss auf die Wirksamkeit einer Maß-nahme haben sollten aufgezeichnet werden. Neben den bereits vorgestellten Auf-zeichnungen uber Audits und Incidents sollten z.B. auch Ressourcenplanungen, Schu-lungsnachweise und sonstige Protokolle dokumentiert werden. In verinice existiert zudiesem Zweck die Kategorie

”Aufzeichnungen“. Hier lassen sich alle sonstigen Auf-

zeichnungen verwalten. Verinice bietet dabei jedoch keine Moglichkeit eine textuelleBeschreibung der Aufzeichnung zu geben. Es konnen lediglich eine oder mehrere Da-teien zu einer Aufzeichnung hochgeladen werden. So muss die Aufzeichnung immerin einem separaten Programm betrachtet werden. Ebenso fehlt hier die Moglichkeiteiner Suchfunktion, um bestimmte Aufzeichnungen wiederzufinden.




Gesamtpunktzahl 0,8

4.5 Anforderungen an die Dokumentation

Der Standard ISO 27001 [ISO13] stellt einige Mindestanforderungen an die Do-kumentation. Die Begrundung fur jede Maßnahme soll sich immer auf einen Ma-nagementbeschluss zuruckfuhren lassen. Es soll also eine luckenlose Kette von einerkonkreten Maßnahme, uber das definierte Maßnahmenziel bis hin zur ISMS-Leitlinieexistieren. Alle Managemententscheidungen sollten daher dokumentiert werden. Da-zu zahlen in der Regel Sitzungsprotokolle oder unterzeichnete Beschlusse. Der Stan-dard schreibt nicht vor, ob diese Dokumente in ausgedruckter oder digitaler Form zuarchivieren sind. Es empfiehlt sich daher diese Dokumente in verinice zentral zu ver-walten. Als Mindestumfang verlangt der Standard die Dokumentation der folgendenDokumente:

• Anwendungsbereich und Grenzen des ISMS

• ISMS-Leitlinie

• Beschreibung der Methode zur Risikoeinschatzung

• Ergebnisse der Risikoeinschatzung

• Risikobehandlungsplan

Diese Dokumente lassen sich zwar alle in verinice ablegen, jedoch fehlt dazu einegeeignete Struktur. Ohne eine Suchfunktion ist es schwer die Dokumente wiederzu-finden. Man kann sich hier nur durch Anlegen von Verknupfungen Abhilfe schaffen.

24 4.6. ZUSAMMENFASSUNG DER BEWERTUNG

Leider gibt es meist keine Moglichkeit, die Beschreibung der Dokumente direkt inder Benutzeroberflache, mit einem Texteditor, zu erfassen. Statt dessen ist man aufexterne Betrachtungsprogramme angewiesen. Da es sich um Pflichtdokumente han-delt, ware es wunschenswert, es gabe dazu in verinice eine vorgegebene Struktur, diedem Benutzer das Fehlen dieser Dokumente anzeigt. Ebenso fehlt die grundlegendeMoglichkeit, das Datum und den Autor eines Dokuments in verinice zu hinterlegen.




Gesamtpunktzahl 0,5

4.6 Zusammenfassung der Bewertung

Folgende tabellarische Darstellung fasst die Ergebnisse aus der vorangegangen Be-wertung zusammen.

Unterstutzung Schlechte Unterstutzung Teilweise Unterstutzung Gute UnterstutzungPunkte [0 − 0, 5] (0, 5 − 1, 5] (1, 5 − 2]Anzahl 2 12 4

Gesamtpunktzahl: 1,27 (Teilweise Unterstutzung)

Bei der Bedienbarkeit mangelt es an wichtigen Grundfunktionen wie der Moglich-keit zum Filtern und Sortieren von Elementen, sowie eine Suchfunktion. Die Be-nutzerfreundlichkeit lasst sich verbessern, indem die haufigen Freitext-Felder bessererlautert werden. Außerdem ließe sich die Konformitat zur ISO 27001 verbessern, indem eine Struktur im ISMS fur Pflichtdokumente, wie die ISMS-Leitlinie oder dieMethode zur Risikoabschatzung, geschaffen wird.

KAPITEL 5. FAZIT 25

5 Fazit

Alles in allem lasst sich sagen, dass verinice den Benutzer teilweise bei der Umset-zung eines ISMS nach der ISO 27001 unterstutzt. Das Programm hat einige Starken,aber auch viele Schwachen im Bereich der Darstellung und Benutzerfreundlichkeit.Verinice bietet gute Unterstutzung bei dem Erzeugen von Reports. Allerdings fehlensolche Ubersichten, wie die Ubersicht zur Risikobewertung, in der Benutzeroberfla-che.Es fehlen zum Teil grundlegende Funktionen, wie eine Suche oder die MoglichkeitElemente zu priorisieren und zu sortieren.Positiv hervorzuheben ist die Tatsache, dass der ISO 27001 Maßnahmenkatalog kos-tenlos importiert werden kann. Dieser positive Aspekt wird durch die Tatsache relati-viert, dass das Benutzerhandbuch kostenpflichtig ist. Eine solche komplexe Softwarekostenlos anzubieten, jedoch ohne das Benutzerhandbuch ist nicht nachvollziehbar.In der Bewertung wurden die einzelnen Schritte durchgegangen, um ein ISMS nachISO 27001 aufzubauen. Dies erfordert jedoch Expertenwissen in der Umsetzung derISO 27001. Viele Anwender, die ein ISMS aufsetzen wollen, kennen zwar die ISO-Norm, aber evtl. nicht so genau, dass sie sich in verinice direkt zurechtfinden. Ohnedas Benutzerhandbuch zur Hand zu haben, gestaltet sich der Einstieg in veriniceschwierig.Hier ware ein Wizard, in Form eines Interviews die ideale Hilfe zum Aufbau ei-nes ISMS. Er konnte den Benutzer Schritt fur Schritt mit Hilfestellungen zu einemfunktionierendem System fuhren.Als zusatzliche Funktion ware ein integrierter Kalender zur Planung von regelmaßi-gen Aktionen wie Audits oder Managementbewertungen sinnvoll.Es gibt haufig Textfelder, bei denen einem unerfahrenen Benutzer nicht sofort er-sichtlich ist, was dort einzutragen ist. Hier waren bessere Erlauterungen hilfreich,evtl. in Form von Hilfe-Buttons zu jedem Textfeld.Verinice ist zwar fur den Betrieb eines ISMS nach ISO 27001 geeignet, jedoch bestehtbei der Benutzerfreundlichkeit und dem Unterstutzungsgrad Verbesserungspotential.

26

LITERATURVERZEICHNIS 27

Literaturverzeichnis

[BSI13] BSI: IT-Grundschutz. Bonn, Germany : Bundesamt fur Sicherheit in derInformationstechnik, 2013 (100-1:100-4). – Forschungsbericht

[Gmb12] GmbH, Ernst & Y.: Fighting to close the gap. Ernst & Young’s 2012 Glo-bal Information Security Survey. http://www.ey.com/giss2012, 2012. –Online; accessed 27-May-2014

[Gmb14] GmbH, SerNet: verinice. http://www.verinice.org/, 2014. – Online; ac-cessed 27-May-2014

[hei14] Experte: Gesundheits-IT ist unsicher. http://www.heise.de/

newsticker/meldung/Experte-Gesundheits-IT-ist-unsicher-2183161.

html, 2014. – Online; accessed 27-May-2014

[ISO13] ISO: Information technology - Security techniques - Information securi-ty management systems - Requirements / International Organization forStandardization. Geneva, Switzerland, 2013 (27001:2013(E)). – ISO

[KWS08] Klaus-Werner Schroder, Heinrich K. u.: IT-Sicherheitsmanagementnach ISO 27001 und Grundschutz. Vieweg Verlag, 2008

[WP12] Windhorst, Iryna ; Pirzer, Benedikt: Managementsysteme fur Infor-mationssicherheit: Marktubersicht. Vorgehensmodell. Handlungsempfeh-lungen. 2012

http://www.ey.com/giss2012

http://www.heise.de/newsticker/meldung/Experte-Gesundheits-IT-ist-unsicher-2183161.html



Date post:	29-Oct-2019
Category:	Documents
Upload:	others
View:	4 times
Download:	0 times

Umsetzung der ISO-27001 mit dem Werkzeug Verinice · h au g sogar erforderlich, nach der ISO Norm...

Documents