DRV BW: Hybrider Ansatz zur IT-Grundschutz-Umsetzung: das Beste aus zwei Welten

Zusammenfassung

Als öffentliche Institution stand die Deutsche Rentenversicherung Baden-Württemberg vor der Herausforderung, umfangreiche Maßnahmen zum IT-Grundschutz einzuführen. Diese Mammutaufgabe gelang, weil die Deutsche Rentenversicherung Baden-Württemberg mit Sopra Steria Consulting ein Risikoanalyse-Konzept erarbeitet hat, das den Standard des Bundesamtes für Sicherheit in der Informationstechnik 100-3 und ISO 27005 kombiniert.

Die Lösung

Zunächst wurde für zwei zentrale IT-Verfahren der DRV BW eine typische Vorgehensweise mit folgenden Schritten gewählt:

  • IT-Struktur-Analyse
  • Schutzbedarfsanalyse
  • Modellierung des Informationsverbunds
  • Basis-Sicherheitscheck

Dabei wurde festgestellt, welche Schutzmaßnahmen bereits umgesetzt waren und wo Nachholbedarf bestand. Da sich die DRV BW das Ziel gesetzt hat, das BSI-Testat „IT-Grundschutz – Einstiegsstufe“ zu erhalten, konnte sie sich hierbei auf die mit A gekennzeichneten Maßnahmen konzentrieren. Die Analyse, ob die vorgegebenen Maßnahmen ausreichen, wurde auf Basis des BSI-Standards 100-3 durchgeführt. Diese Norm beinhaltet jedoch keine Vorgaben für den Fall, dass einzelne Maßnahmen nicht oder nur teilweise umgesetzt werden – ein Vorgehen, das der DRV BW mehr Spielraum bei der Umsetzung verschaffen sollte.

Daher wurde der übergeordneten Risikoanalyse der ISO-Standard 27005 zugrunde gelegt, der einen höheren Freiheitsgrad bietet. Denn die Norm bietet den Vorteil, dass Risiken entsprechend ihres bewerteten Schadensszenarios und ihrer geschätzten Eintrittswahrscheinlichkeit in die Klassen „niedrig“, „mittel“ und „hoch“ eingeteilt werden können. Je nach Risikoklasse stehen vier Handlungsoptionen zur Wahl:

  • Risiko durch Sicherheitsvorkehrungen reduzieren
  • Risiko übernehmen
  • Risiko vermeiden
  • Risiko transferieren, beispielsweise an eine Versicherung

Der am häufigsten gewählte Weg war die Umsetzung einer Gegenmaßnahme. Für einige wenige Risiken wurde eine Übernahme definiert, die allerdings nur 24 Monate lang möglich ist und vom Management unterzeichnet werden muss. Dann müssen diese Gefährdungen neu bewertet werden. Für hohe Risiken sieht das Modell eine Umsetzungsfrist von längstens drei Monaten vor – solche Risiken wurden bei der DRV BW jedoch nicht verzeichnet. Doch der ISO-Standard 27005 bietet einen weiteren Vorteil: Die Risiken können auch für nicht IT-ler verständlich aufbereitet werden. So wurde ein Risikobehandlungsbericht erstellt, der dem Management als Informationsquelle und Entscheidungsgrundlage dient.

Die vollständige Success Story finden Sie rechts zum Download.