IS-Strategie: Unterschied zwischen den Versionen

Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.

---

Mustervorlage: "Name der Richtlinie"

Einleitung

Definition der Informationssicherheit

Informationssicherheit umfasst die Vertraulichkeit (Zugriff nur durch Berechtigte), Integrität (Vollständigkeit und Wahrhaftigkeit), Verfügbarkeit (zuverlässiger Zugriff wenn benötigt), Authentizität (Zuverlässigkeit der Datenherkunft), Zurechenbarkeit (Nachweis der Zuordnung zu Handelnden) sowie Nichtabstreitbarkeit (Nachweis der Handlung gegen Abstreitversuche). Diese Eigenschaften bilden die erweiterte CIA-Trias gemäß BSI IT-Grundschutz und ISO/IEC 27001 Anhang A.​

Geltungsbereich

Die Strategie gilt für alle Organisationseinheiten, Standorte, IT-Systeme, Cloud-Dienste, mobile Endgeräte und Drittanbieter. Abgedeckt sind personenbezogene Daten (DSGVO), Geschäftsdaten und Infrastruktur. Ausgrenzungen (z.B. legacy-Systeme) erfordern CISO-Genehmigung.

Bezug zur Orgaisationssstrategie und Risikobereitschaft

Informationssicherheit unterstützt die Organisationssziele durch Risikominimierung und DSGVO-Konformität (Art. 5, 32 BDSG). Die Risikobereitschaft wird durch die Organisationsleitung festgelegt (z.B. maximaler finanzieller Schaden pro Vorfall: 50.000 €) und jährlich revidiert.

Verantwortlichkeiten

• Organisationsleitung: Strategische Steuerung, Budgetfreigabe, Akzeptanz von Restrisiken.
• CISO: Umsetzung, Reporting, Incident-Management.
• Abteilungen: Lokale Maßnahmen, Schulungspflicht, Vorfallmeldung innerhalb 24 h.

Schutzziele und Prinzipien

Detaillierte Schutzziele

Schutzziele erweitern die CIA-Trias: Vertraulichkeit (Verschlüsselung sensibler Daten), Integrität (Integritätsprüfungen, Hash-Werte), Verfügbarkeit (Redundanz, Backup mit RTO), Authentizität (Digitale Signaturen), Zurechenbarkeit (Logging), Nichtabstreitbarkeit (Audit-Trails).​

Leitprinzipien

• Least Privilege: Zugriff nur auf benötigte Ressourcen (RBAC/ABAC).
• Defense-in-Depth: Mehrschichtiger Schutz (Netzwerk, Anwendung, Daten).
• Zero Trust: Kontinuierliche Verifizierung, keine impliziten Vertrauensbeziehungen (z.B. MFA überall).

Risikotragfähigkeit und Priorisierung von Asset

Assets (Daten, Systeme, Personen) werden klassifiziert (kritisch, hoch, mittel, niedrig) nach Wert und Auswirkung. Risikotragfähigkeit: Z.B. keine kritischen Risiken > 25% Wahrscheinlichkeit. Priorisierung via Risikomatrix (Auswirkung x Eintrittswahrscheinlichkeit).​

Ist-Analyse und Risikobewertung

Ergebnisse der Ist-Analyse

Die Ist-Analyse identifiziert Lücken durch Vergleich mit BSI IT-Grundschutz-Kompendium und ISO/IEC 27001 Anhang A. Typische Schwachstellen umfassen fehlende Verschlüsselung (z. B. bei E-Mails), unvollständige Patches (> 30 Tage alt) und mangelnde MFA-Nutzung (> 20% Endgeräte). Ergebnisse stammen aus Scannings, Audits und Mitarbeitendenbefragungen.

Risikobewertungsmethode

Angewendet wird BSI-Standard 200-3: Risikowert = Eintrittswahrscheinlichkeit (niedrig/mittel/hoch) × Auswirkung (finanziell, reputativ, rechtlich). Skala: 1–5 pro Dimension, Gesamtrisiko grün/gelb/rot. Tools: Risikomatrix, qualitative/quantitative Bewertung (z. B. ALE = SLE × ARO).

Identifizierte Risiken, Bedrohungen und Vulnerabilitäten

• Risiken: Phishing (Wahrsch. hoch, Auswirkung kritisch), DDoS (Verfügbarkeit), Insider-Threats.
• Bedrohungen: Externe (Cyberkriminalität, Supply-Chain), interne (menschliches Versagen).
• Vulnerabilitäten: Veraltete Software (CVSS > 7), schwache Passwörter, ungesicherte APIs. Dokumentiert in Risikoregister mit Maßnahmenvorschlägen.

Strategische Ziele

SMART-Ziele

• Spezifisch: 100% MFA für Admins bis Q2/2027.
• Messbar: Reduktion kritischer Vorfälle um 25% (Baseline 2026) bis Ende 2027.
• Attraktiv: Erhöhung Compliance-Rate auf 95% (ISO 27001 Audit).
• Realistisch: Budget 50.000 €/Jahr, 2 FTE für ISMS.
• Terminiert: Vollständige Ist-Analyse bis 31.12.2026.

Kurz-, Mittel- und Langfristziele

• Kurzfristig (< 12 Monate): Schulungen (100% Abdeckung), Patch-Management.
• Mittelfristig (1–3 Jahre): Zero-Trust-Architektur, SIEM-Einführung.
• Langfristig (> 3 Jahre): ISO 27001-Zertifizierung, kontinuierliches Monitoring.

KPIs und Erfolgsmessgrößen

• MTTR < 4 Stunden (Mean Time to Respond/Resolve).
• Compliance-Rate > 90% (Audits).
• Phish-Test-Erfolgsrate < 5% Klicks. Monatliches Dashboard-Reporting an Geschäftsleitung.

Maßnahmenkatalog

Organisatorische Maßnahmen

Richtlinien (z. B. Passwortpolitik, Clean-Desk-Regel) verankern Verhaltensstandards. Schulungen (jährlich, 100% Abdeckung) fördern Awareness zu Phishing und Social Engineering. Incident Response Plan (IRP) definiert Eskalationspfade (Triage < 1 h, Containment < 4 h) gemäß ISO 27001 Kl. 16.

Personelle Maßnahmen

Hintergrundprüfungen (Schufa, Zeugniskontrolle) für sensible Rollen. Sensibilisierung durch simulierte Angriffe (Phishing-Tests, vierteljährlich). Least-Privilege-Rollen (RBAC) minimieren Insider-Risiken; Offboarding < 24 h (Konto-Sperrung).

Technische Maßnahmen

Verschlüsselung (TLS 1.3, AES-256 für Daten at Rest/Transit). Firewalls (Next-Gen mit IPS), IAM (MFA, JIT-Zugriff), EDR/Monitoring (SIEM mit 90-Tage-Retention). Patch-Management (kritisch < 7 Tage) nach CVSS-Score.

Physische Maßnahmen

Zugangskontrollen (Chipkarten, Biometrie für Serverräume). Datensicherung (3-2-1-Regel: 3 Kopien, 2 Medien, 1 Offline). CCTV und Alarmanlagen schützen Infrastruktur vor unbefugtem Zugriff.

Umsetzungsplan

Roadmap mit Meilensteinen

Q2/2026: Ist-Analyse abschließen. Q4/2026: Schulungen/MFA umsetzen. Q2/2027: SIEM live. Q4/2027: ISO 27001 Gap-Assessement. Meilensteine mit RAG-Status (Rot/Gelb/Grün) im Projekttool tracken.

Ressourcenbedarf

Personal: 1 FTE CISO, 1 FTE Analyst. Tools: SIEM (50.000 €), EDR (30.000 €). Finanzen: 150.000 €/Jahr (CAPEX/OPEX). Budgetfreigabe durch Geschäftsleitung.

Integration in ISMS

PDCA-Zyklus: Plan (Risiken), Do (Maßnahmen), Check (Audits), Act (Anpassungen). ISO 27001 Anhang A Controls priorisiert nach Risiko.

Governance und Steuerung

Organisationsstruktur

CISO leitet ISMS, Steuerungsgremium (monatlich: Leitung, Abteilungsleiter). Incident Response Team (IRT) mit klaren Rollen (Forensik, Kommunikation).

Reporting und Eskalationspfade

Wöchentliches Dashboard (Vorfallzahlen, KPIs). Eskalation: Level 1 (Support, < 4 h), Level 2 (CISO, < 24 h), Level 3 (Geschäftsleitung, kritisch). DSGVO-Meldung < 72 h an Aufsicht.

Compliance

Konformität mit DSGVO (Art. 32), BDSG (§ 22), BSI-Standards 200-1/2/3/4. Jährliche Selbstaudits, 3-jährige externe Zertifizierung.

Überprüfung und Weiterentwicklung

Review-Zyklus

Jährliche Management Review (ISO 27001 Kl. 9.3) prüft Wirksamkeit: KPIs (MTTR, Compliance-Rate), Audit-Ergebnisse, Vorfallstatistiken. Ad-hoc-Reviews nach Incidents (Major Incident > 50.000 € Schaden) oder wesentlichen Änderungen (z. B. neue Cloud-Dienste) innerhalb 30 Tagen.

Lessons Learned und Anpassungen

Post-Incident-Reviews (Root-Cause-Analyse mit 5-Why-Methode) füttern kontinuierliche Verbesserung. Lessons Learned in zentralem Register dokumentieren, Maßnahmen priorisieren (Quick Wins < 30 Tage). Anpassung der Risikobewertung jährlich.

Audit-Planung und Zertifizierungsvorbereitung

Interna-Audits (vierteljährlich, Stichproben 20% Controls). Externe Gap-Audits (jährlich vor Zertifizierung). Vorbereitung ISO 27001 Zertifizierung: Stage 1 (Q3/2027), Stage 2 (Q4/2027), Recertification alle 3 Jahre.

Schlussbemerkung

Revision

Diese Strategie wird regelmäßig, jedoch mindestens alle 2 Jahr, durch die Organisationsleitung auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung