agsdi-hamburger-menu
agsdi-hamburger-menu
M

Für Unternehmen und kommunale Einrichtungen existieren diverse Richtlinien für Datenschutz, Sicherheit und Notfallmanagement, allen voran die IT-Grundschutz-Kataloge vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Evangelische Kirche in Deutschland geht noch einen Schritt weiter: Sie hat bereits im Jahr 2015 mit der ITSVO-EKD eine Verordnung verabschiedet und schlägt damit einen verbindlichen Weg hin zu mehr Sicherheit ein. Alle zugehörigen Einrichtungen sollten binnen drei Jahren ein IT-Sicherheitskonzept erstellen und sind verpflichtet, es kontinuierlich an die aktuellen Gegebenheiten anzupassen. Die Einführung einer IT-Notfallplanung und eines Information Security Management System (ISMS) sind komplex und die Corona-Pandemie verdeutlicht einmal mehr, dass sie nie fertig sein können: Die wenigsten Sicherheitskonzepte sahen bis dato Notfallpläne für eine Pandemie vor. Das Landeskirchenamt und die Kreiskirchenämter der Evangelische Kirche in Mitteldeutschland (EKM) setzen zur Umsetzung und Fortschreibung ihres IT-Sicherheitskonzepts über alle Außenstellen hinweg auf eine Kombination aus softwarebasierten Lösungen.

Wozu benötigt die EKM ein IT-Sicherheitskonzept?

Die Evangelische Kirche in Mitteldeutschland wurde 2009 als Zusammenschluss der Evangelischen Kirche der Kirchenprovinz Sachsen und der Evangelisch-Lutherischen Kirche in Thüringen gegründet. Sie zählt fast 700.000 Gemeindemitglieder in mehr als 3.000 Kirchengemeinden und 37 Kirchenkreisen. Außerdem vereint die EKM unter ihrem Dach zahlreiche Einrichtungen der Diakonie, wie Krankenhäuser, Alten- und Pflegeheime, Kindertagesstätten sowie Schulen. Sie wird geleitet von der Landessynode mit 80 Mitgliedern und vom 22-köpfigen Landeskirchenrat, von dem Landesbischof mit Sitz in Magdeburg sowie dem Kollegium des Landeskirchenamtes in Erfurt. Als oberste kirchliche Verwaltungsbehörde übernimmt das Amt klassische Verwaltungsaufgaben, unterstützt im theologischen Dienst und kommuniziert mit Staat, Wirtschaft, Kultur und Gesellschaft.

Von hier aus steuert der Referent für IT-Sicherheit, Sven Wenzke, die Umsetzung und Einhaltung der ITSVO-EKD. „Der Einsatz von IT ist in der täglichen Arbeit unserer EKM-Mitarbeiter unverzichtbar. Dabei muss die Datenverarbeitung so effektiv und sicher wie möglich gestaltet werden“, erläutert dieser. Gemäß der ITSVO-EKD müssen kirchliche Einrichtungen, die personenbezogene Daten erheben, verarbeiten und nutzen, angemessene technische und organisatorische Maßnahmen zum Schutz dieser Daten durchführen. Grundlage des IT-Sicherheitskonzepts sollten die Empfehlungen des BSI zur Informationssicherheit und zum IT-Grundschutz sein. „Ziel war die Einhaltung von Vertraulichkeit, Integrität und Verfügbarkeit der erhobenen und verarbeiteten Daten: Sie sollten wann immer benötigt zur Verfügung stehen, Zugriff und Änderungsberechtigungen eindeutig regeln und vor unberechtigtem Zugriff und Verlust geschützt werden“, so der Referent.

Dabei stand er vor zwei zentralen Herausforderungen: „Die Vorgaben waren vage, so dass die erforderlichen technischen und organisatorischen Maßnahmen zunächst unklar blieben“. Außerdem gab es zu Beginn der Einführung kaum dokumentierte Prozesse, keine Software und kein manuelles Notfallhandbuch. „Wir haben deswegen nach einem Tool gesucht, das über unsere verteilten Außenstellen hinweg sowohl ein Sicherheitskonzept umsetzen als auch ein Notfallhandbuch abbilden kann“, erläutert Sven Wenzke die ersten Schritte nach Verabschiedung der Verordnung.

Modulares ISMS-Dokumentationstool führt durch Sicherheitsplanung

Zur Recherche im Vorfeld der geplanten Maßnahmen besuchte man unter anderem Fachveranstaltungen zur Informationssicherheit beim IT-Dienstleister Q-SOFT aus Erfurt. Schließlich entschied man sich nach einem Anbietervergleich dazu, auch die Einführung von ISMS und Notfallhandbuch durch die Experten begleiten zu lassen. „Die Erfahrungswerte und das Fachwissen der IT-Berater unterstützt durch Softwaretools, die unsere Anforderungen abdecken konnten, haben uns überzeugt“, begründet Sven Wenzke die Anbieterwahl. Das Vorgehen erfolgte dann nach der Plan-do-check-act-Methode: Zunächst wurde definiert, welche Sicherheitsniveaus erreicht werden sollten. Anschließend spielte man Szenarien durch, welche das Erreichen des angestrebten Sicherheitsniveaus verhindern könnten. Dann wurden Maßnahmen zusammengestellt, mit denen die Risiken vermieden werden können, um anschließend Maßstäbe zur Validierung der Methodenwirksamkeit festzulegen. Dabei traf man sich regelmäßig zu Workshops mit Q-SOFT, in denen Prozesse definiert und Verantwortlichkeiten festgelegt wurden. „Ganz am Ende all dieser Planungsaufgaben stehen erst die Maßnahmen und deren Umsetzung“, erläutert Marco Gräf, Teamleiter Vertrieb Kommunikationsinfrastruktur bei Q-SOFT. „Das A und O beim Thema Sicherheit ist der Mensch. Deswegen spielt das Thema Social Engineering, also die Berücksichtigung der Mitarbeiter als potenzielle Opfer von Betrugsvorgängen bei allen Sicherheitsvorkehrungen eine zentrale Rolle.“

 Im Fokus der Maßnahmen bei der EKM standen unter anderem die E-Mail-Verschlüsselung, interne Netzwerkzugriffskontrollen (NAC) zur Abwehr von Viren, Würmern und unautorisierten Zugriffen sowie die Einführung eines ISMS-Dokumentationstools sowie einer IT-Notfallplanung. Dazu kommt eine komplette Suite an verschiedenen Modulen zum Einsatz. Sie verfügt über eine zentrale Datenbasis, so dass weitere Lösungen nach Bedarf schrittweise integriert und Daten übernommen werden können. „Wir haben das Tool innerhalb von drei Wochen technisch implementiert, Datenbanken abgeglichen und Backups erstellt“, so Marco Gräf. Daten zu Infrastruktur, Personal und weiteren sicherheitsrelevanten Bereichen wurden teilweise automatisiert über Schnittstellen verknüpft und in die Lösungen importiert. Im Basissicherheitscheck wurden dann die vorhandenen Sicherheitsmaßnahmen anhand eines weiteren Moduls mit den Empfehlungen der IT-Grundschutzkataloge abgeglichen, um das Sicherheitsniveau zu identifizieren und Optimierungspotenziale aufzuzeigen. „Durch das intuitive Handling waren wir schnell mit der Software vertraut. Wir können unsere IT-Systeme, Prozesse und Daten Schritt für Schritt pflegen und anpassen, miteinander verknüpfen und Verantwortlichkeiten für Notfallszenarien festlegen“, so der Referent.

Schneller Return-on-Invest im Notfall

Teil des Sicherheitskonzepts bei der EKM ist eine Notfallplanung. Sie definiert kritische Ereignisse und Prozesse und legt fest, welche Maßnahmen wann und in welcher Reihenfolge durch wen ergriffen werden müssen. Notfälle können unter anderem ausgelöst werden durch den Ausfall von IT-Systemen, Hacker-Angriffe, Personalausfall, Ausfall von Gebäuden und Dienstleistern oder höhere Gewalt und Naturkatastrophen. Als konkretes Ausfallszenario wurde im Notfallplan der EKM beispielsweise ein Stromausfall definiert, der einen kritischen Serverausfall nach sich zieht. Bei der Definition der nun einzuleitenden Maßnahmen stellen sich verschiedene Fragen: Ist ein Notstromaggregat vorhanden?

Soll der Server in einem externen Rechenzentrum wieder hochgefahren werden? Gibt es Server an unterschiedlichen Standorten, die bei Ausfall einspringen können? Welche Ausfallzeit können unsere Prozesse verkraften? Was hat den Stromausfall hervorgerufen? Wer ist zuständig für welchen Prozess? Bei der EKM stehen mehrere Server über zwei Standorte verteilt. „Die Kosten bei der Einführung eines ISMS und einer Notfallplanung amortisieren sich schnell, bedenkt man die Schäden, die durch etwaige Ausfälle entstehen können“, so Marco Gräf.

Corona-Pandemie zeigt: IT-Sicherheitskonzept stetig fortschreiben

Ein Notfallszenario, das wie bei der EKM in den meisten Notfallhandbüchern bisher fehlte, ist der Ausbruch einer Pandemie. „Die aktuellen Entwicklungen zeigen die Notwendigkeit, das Sicherheitskonzept samt Notfallplanung stetig zu aktualisieren“, so Marco Gräf. Es gebe schlicht keine einhundertprozentige Sicherheit und ein ISMS mit Notfallplanung sei nie fertig. „So hat die Pandemie zum Beispiel in vielen Firmen und Organisationen gezeigt, dass die Arbeit im Homeoffice, möglicherweise mit einem privaten Laptop, zahlreiche Sicherheitsrisiken birgt“, erläutert Marco Gräf. Viele Firmen und Organisationen erweitern aktuell deswegen ihre Notfallpläne. Die ITSVO-EKD hatte bereits 2015 geregelt, dass private IT-Geräte nur genutzt werden dürfen, wenn alle datenschutzrechtlichen und sicherheitstechnischen Anforderungen erfüllt sind. Bei der EKM hält man mit Einführung des ISMS und der IT-Notfallplanung nun alle geforderten Sicherheits-Maßnahmen ein. „Die Software-Tools unterstützen mit ihrer gemeinsamen Datenbasis bei der Weiterentwicklung unseres Sicherheitskonzepts. Dank des modularen Aufbaus konnten wir uns Schritt für Schritt der komplexen Einführung des ISMS stellen, es bedarf aber einer ständigen Aktualisierung und ist als Prozess definiert“, resümiert Sven Wenzke.

Autorin:
Silvia Funke, freie Fachjournalistin aus Leipzig

Scroll Up