Österreichisches Informationssicherheitshandbuch – A-SIT

Das Österreichische Informationssicherheitshandbuch ist 2010 überarbeitet worden. Es ist ein merklicher Unterschied zur letzten Version des Handbuchs, alleine schon gemessen in Gramm Papier. Bei meinem Kunden nahm ich es Anfang des Jahres in die Hand, und schaute es mir an. “Wow”, dachte ich, “diese Österreicher”. Das BSI teilt solche Schinken aus Angst vor Volksflucht in viele kleine Scheibchen, so dass es nicht auffällt. Aber das hier sind 651 beachtliche Seiten. Ich schaute es mir später genauer an. Vom Aufbau her macht es Sinn. Vieles ist meines Erachtens redundant, und wiederholt sich in unterschiedlichen Abschnitten zu verschiedenen Themen. Es hat aber auch einen gewissen Vorteil. Man muss sich keine Gedanken darum machen etwas zu vergessen. Ich persönlich mag kein Beethoven, ich mag lieber Mozart, aber Beethoven war zweifelsfrei gut. So würde ich es am besten beschreiben, und ja, es ist gut, das Österreichische Informationssicherheitshandbuch. Es macht sehr großen Sinn sich das einmal näher anzuschauen.

von Manfred Holzbach und Alexander Tsolkas

Als Interviewpartner diente mir niemand anderes als Herr Manfred Holzbach persönlich, Geschäftsführender Vorstand, A-SIT (Zentrum für sichere Informationstechnologie). Herr Holzbach begann als Programmierer 1975 zuerst in Kleinbetrieb, ab 1979 bei Eastman Kodak, davon 1984-1985 Gruppenleiter im USA-Headquarter in Rochester, N.Y.. Ab 1986 System Engineer im Verkauf DV gestützter Archive. Ab 1990 Projektleiter für Großbetrags-Zahlungssysteme beim damaligen Bankomat-Betreiber GABE GmbH, 1992 als Prokurist entsandt zur Studiengesellschaft für Zusammenarbeit im Zahlungsverkehr. Leitete dort u.A. Projekte zur Bildverarbeitung im Zahlungsverkehr, Euro-Umstellung, Sicherheits-Evaluierung der elektronischen Geldbörse „Quick“ sowie Planungsstudie für elektronische Signaturen im Bankbereich.

 

Seit 1999 geschäftsführender Vorstand von A-SIT mit inhaltlichen Schwerpunkten Policies, Qualitätssicherung und kaufmännische Belange; inkl. Leitung einiger EU-cofinanzierter Projekte.

Kontakt:
Zentrum für sichere Informationstechnologien – Austria (A-SIT)
Weyringergasse 35
1040 Wien
Tel: +43 1 503 19 63 DW 10
Fax: +43 1 503 19 63 DW 66
Manfred.holzbach@a-sit.at
www.a-sit.at

Historie des Österreichischen Informationssicherheitshandbuch
Die Version 1.0 entstand im Oktober 1998 unter der Bezeichnung „IT-Sicherheitshandbuch für die öffentliche Verwaltung“.

Verantwortlich / Federführung
Die Version 1.0 war ein gedrucktes Buch und wurde von einer Arbeitsgruppe unter Vorsitz des Bundesministeriums (BM) für Inneres erarbeitet. Mitglieder waren damals IT-Verantwortliche bzw. Spezialisten aus dem Bundeskanzleramt, den BM für Inneres, Landesverteidigung, Finanzen sowie eine externe Konsulentin. In der Folge wurden die Rechte und die formale Zuständigkeit für die Weiterentwicklung vom damaligen BM für öffentliche Leistungen und Sport übernommen und das Zentrum für sichere Informationstechnologie – Austria (A-SIT) mit der praktischen Durchführung beauftragt. Später wurden die Agenden dieses Ministeriums vom Bundeskanzleramt (BKA) übernommen, so auch das Sicherheitshandbuch.

Fakten zur alten Version und Beliebtheit
Die Versionen vor 2010 bestanden aus 2 Hauptteilen: Teil 1 „Sicherheitsmanagement“ beschrieb den Aufbau eines Information Security Management Systems (ISMS), Teil 2 „Sicherheitsmaßnahmen“ dessen Betrieb und die Umsetzung. Struktur und Inhalt entstanden in enger Anlehnung an das Grundschutzhandbuch des BSI.
Zu festen Terminen überarbeitete Versionen herausgegeben:
–V 2.1, 2001 (erstmals durch A-SIT) – inhaltliche Aktualisierungen (z.B. die damals neue Signatur-Thematik)
–V 2.2, 2003 nach Abschluss eines Kooperationsabkommens mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Etablierung des österreichischen E-Government Konzeptes wurde der Inhalt und auch die Zielgruppe in Richtung größerer Unternehmungen verbreitert. Damit wurde auch der Name auf „Österreichisches IT-Sicherheitshandbuch“ geändert.
V 2.3, 2006, mit der Fertigstellung der wesentlichen E-Government Strukturen (z.B. völliger Verzicht auf Papierakten in der Bundesverwaltung) wurden dafür relevante rechtlichen, normativen und organisatorischen Aspekte (z.B. die Beschlüsse des sog. E-Government Board) eingebracht. Weiters wurde der Umfang des Handbuchs auch über die IT hinaus auf Informationsverarbeitung jeglicher Art ausgedehnt (z.B. wegen des Umgangs mit klassifizierten Informationen) und damit der Name auf „Österreichisches Informationssicherheitshandbuch“ geändert.

Der papierlosen Verwaltung wurde auch mit einer Online-Version des Informationssicherheitshandbuchs Rechnung getragen, diese benötigte allerdings einen Client.
Die ursprüngliche Zielgruppe waren größere öffentliche Verwaltungseinheiten wie Ministerien und Gebietskörperschaften (Bundesländer, Städte). Soweit mir bekannt, wurde es in den BM für Inneres und Finanzen als Grundlage für IT-Sicherheitspolicies herangezogen und es bildet eine der normativen Grundlagen für die Zahlungssystemaufsicht der Oesterreichischen Nationalbank (OeNB). Die späteren Versionen wurden von größeren Unternehmen, beginnend im staatsnahen Bereich aufgegriffen und verwendet.
In Zusammenarbeit mit der Wirtschaftskammer Österreich (WKÖ) entstand eine Broschüre für Klein- und Mittelbetriebe (KMUs ) sowie ein kompakter Self-Check.
Die Beliebtheit lag einerseits im Bezug auf österreichische Gegebenheiten (v.a. Rechtsnormen), aber auch in der für die tägliche Praxis günstigen Kompaktheit.

Geburt der neuen Version
Die neue Version 3.0 ging am 26.11.2010 mit einer Pressekonferenz des Bundeskanzleramts online.

Wesentliche Änderungen zur alten Version
Eine wesentliche Zielsetzung liegt darin, das Sicherheitshandbuch als Implementierungshilfe für ein ISMS bzw. Sicherheitsmaßnahmen nach ISO/IEC 27001 / 27002 zu verwenden. Daher wurde seine Abschnitts- und Kapitelstruktur an diese beiden Normen angepasst. An Stelle der bisher 2 Teile gibt es nun 15 jeweils konsistente Abschnitte plus Anhänge. Damit mussten allerdings gewisse Redundanzen in Kauf genommen werden.

Inhaltliche Aktualisierungen, auch in Bereichen welche nicht unmittelbar von den Normen abgedeckt sind wie z.B. Virtualisierung. Etwa 50% des Inhalts wurden überarbeitet bzw. adaptiert und neue Aspekte eingearbeitet. Damit erhöhte sich auch der Umfang von 340 auf über 600 Seiten, womit wohl bald die Grenze erreicht wird, um noch von Kompaktheit sprechen zu können. .
Neue elektronische Darstellung als reine Web-Applikation (PHP), da es sich gezeigt hat, dass viele Organisationen die Installation von Clients nicht oder nur bedingt zulassen. Der Nachteil liegt für den Entwickler allerdings in der Notwendigkeit, ständig auf Veränderungen der gängigen Browser reagieren zu müssen.

Die wesentlichen Funktionalitäten der Web-Applikation sind neben Blättern die gezielte Auswahl mittels Filtern (z.B. Funktion, für die bestimmte Inhalte relevant sind, etwa Management oder IT-Sicherheitsbeauftragte) und die Möglichkeit, eigene Zusammenstellungen von Kapiteln als Auswahl- bzw. Checklisten lokal abzuspeichern und mit eigenen Kommentaren zu versehen. Diese können dann als Hilfsmittel für Selbst-Audits oder Lernmaterial verwendet werden. Dazu wurde auch ein Versionsabgleich der Auswahllisten mit der Datenbasis realisiert, da sich diese ja über die Zeit verändern kann.Zusätzlich zur Web-Applikation gibt es auf der gleichen Startseite eine HTML- sowie eine PDF-Version.

Eine Neuerung sind auch die direkten Links zu österreichischen Gesetzen aus dem Text in das Rechtsinformationssystem (RIS).
Die Datenbasis (XML) wurde so erweitert, dass jeweils ein bestimmter Textbaustein in unterschiedlichen Versionen vorhanden sein und angesprochen werden kann. Damit können unterschiedliche (personalisierte) Handbuch-Versionen für unterschiedliche Zielgruppen aus derselben Datenbasis realisiert werden, ebenso wie verschiedene Sprachen. Zur Zeit hat sich eine Autorengruppe aus unterschiedlichen Ressorts und Unternehmen gebildet, um die entsprechenden Texte zu erarbeiten.

An Stelle der bisher starren Releases mit relativ langen Zeiträumen dazwischen wurde nun dank eines Wartungsvertrages zwischen A-SIT und dem BKA eine kontinuierliche Verbesserung und Weiterentwicklung, vor allem inhaltlich, ermöglicht. Die nächsten Überarbeitungen werden etwa Cloud Computing und wohl nicht zuletzt wegen der jüngsten Ereignisse in Japan die Risikoanalysen betreffen.

Aufbau, Gliederung, Themen, Checklisten, etc.
Die Grundstruktur der Anschnitte ist nach ISO / IEC 27001 / 27002 aufgebaut:
Vorworte, Management Summary,
1 Einführung
4 – 6 Management-orientierte Abschnitte (nach ISO/IEC 27001)
5 – 15 Maßnahmen-orientierte Anschnitte (nach ISO/IEC 27002)
Anhang A.1 – speziell österreichische Szenarien
Anhang A.2 – Erörterung von Technologien
Anhänge B-F – Service, Referenzen, Adressen

Thematisch wird abgedeckt:

• Grundschutz – normaler u mittlerer Schutzbedarf
• ISMS- Planung, Umsetzung, Betrieb, Verbesserung
• Praktische Planung, Umsetzung und Betrieb konkreter Sicherheitsmaßnahmen
• Informationsbedarf über Technologien und Sicherheitsszenarien
• Muster für Verträge, Vereinbarungen
• Liste relevanter Gesetze und Normen

Auswahl- und Checklisten sind eine Funktionalität der Web-Applikation, welche helfen sollen, eigene Sicherheitspolicies zusammenzustellen und zu überprüfen.
Parallel zur gezielten Ansprache von Themen über Filter und Auswahlfenster kann das Handbuch nach wie vor am Stück gelesen bzw. die PDF-Version auch ausgedruckt oder auf Datenträgern gespeichert werden.

Maßgebliche Standards, die eingeflossen sind und in welchem Ausmaß ?
Eingeflossen sind die ISO 2700 Serie, insb. ISO 27001, 27002, 27004 sowie ÖNORMEN zu Brandschutz etc. Detailliert siehe Anhang des Sicherheishandbuchs.

Eignung des Handbuch? Kleinunternehmen, Mittelstand, Konzerne, Behörden?Viele Behörden und größere Unternehmen in Österreich. Geplant sind spezielle Textierungen für KMUs bzw- zur automatisierten Nutzung durch E-Learning Module bzw. Derivate die jeweils aktuellen Text benutzen. Darüber gibt es zur Zeit Diskussion mit interessierten Stellen wie WKÖ oder Gemeinden.

Redundanzen und Wiederholungen
Ziel war es, in der neuen ISO 27 Struktur jeweils umfassende Kapitel darzustellen. Das A-SIT räumt ein, dass noch da und dort etwas abzuschleifen und zu glätten sein wird.

Verhältnis deutsches BSI – österreichisches Bundeskanzleramt
Es gibt internationale Vereinbarungen zur Kooperation mit dem BSI, vor allem zum Informations- und Know How Austausch. Darüber hinaus gibt es eine sehr gute informelle Zusammenarbeit. Darauf basiert die Möglichkeit, Passagen der Grundschutzbausteine unmittelbar zu verwenden.

Zusammenarbeit mit der Schweiz
Es gibt ebensolche Vereinbarungen mit dem Informatikstrategieorgan des Bundes (ISB; die betreiben auch “MELANI”) wie das BSI. Das ISB-Schweiz hat die aktuelle Version mitfinanziert, um das eigene Schweizer Handbuch weiterzuentwickeln. Daher auch die Notwendigkeit zur Mehrsprachigkeit.

Schwierigkeiten bei der Einführung
In Summe war es schwieriger und komplexer als urspr. geplant, sowohl inhaltlich wie technisch. Gegen Projektende wurde entschieden, in der ersten Release der PHP-Anwendung nur MS Internet Explorer (auf Grund der bisherigen Zielgruppe „österreichische Behörden“) zu unterstützen und parallel HTML- und PDF „Leseversionen“ herauszugeben. Das führte zu Kritik in der Internet-Community (zwar quantitativ wenige negative Blogs und Artikel, aber dennoch berechtigt aber unangenehm). Inzwischen gibt es eine neue PHP-Version, die auch Mozilla Firefox und Google Chrome (getestet) unterstützt.

Als Lehre daraus werden wir künftig in vergleichbaren Situationen eher Rollout-Termine verschieben als nur einen Teil der Community unterstützen. Inzwischen testen wir Internet Explorer 9.

Siehe auch die Präsentation vom A-SIT: 101123 SiHdB Update – ADV VWI_A-SIT_2