Zertifizierungen dienen dazu, die Wirksamkeit von Maßnahmen zur Informationssicherheit für IT-Dienste nachzuweisen. Die offiziell anerkannten Zertifikate und Testate des Bundesamtes für Informationssicherheit (BSI) entlasten die hessische Landesverwaltung dabei, ihre IT-Dienste selbst in regelmäßigen Abständen aufwändig zu überprüfen. Im Fokus der Überprüfungen stehen vor allem IT-Services für die Kunden der HZD, aber auch Basisdienste in IT-Querschnittsverfahren, die in der gesamten hessischen Landesverwaltung zum Einsatz kommen. Wenn IT-Dienste erfolgreich zertifiziert sind und sich nach den gesetzlichen und regulatorischen Grundlagen richten, ist dafür gesorgt, die Schutzziele der IT-Sicherheit – Verfügbarkeit, Vertraulichkeit und Integrität unter Berücksichtigung spezifischer Schutzbedarfsfeststellungen – zu garantieren. Damit trägt das Zentrale Zertifizierungsmanagement nachweislich zu einem gleichmäßigen Schutzniveau in der HZD und der von ihr betreuten IT-Infrastruktur bei.
Informationssicherheit
Zertifizierung als Risikovorsorge
Erwiesene Wirksamkeit von Schutzmaßnahmen
Aktuell zertifiziert die HZD auf der Grundlage des BSI-Gesetzes und der Hessischen Informationssicherheitsrichtlinie von 2021 Systeme, Prozesse, Anwendungen und dazugehörige Geschäftsprozesse für IT-Dienste. Dabei werden BSI-Standards umgesetzt. Eine Zertifizierung ist grundsätzlich erfolgreich, wenn nachgewiesen werden kann, dass die ergriffenen Schutzmaßnahmen für einen spezifischen IT-Dienst (Basisdienst oder Service mit dazugehörigem Geschäftsprozess) auch tatsächlich wirksam sind. Jede BSI-orientierte Zertifizierung ist drei Jahre gültig. Innerhalb dieses Zeitraums finden üblicherweise die Erstzertifizierung, zwei Überwachungsaudits und anschließend eine Re-Zertifizierung statt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist verantwortlich für Zertifizierungen von informationstechnischen Systemen. Dafür betreibt es Zertifizierungsprogramme, in denen jeweils die Regeln, das Verfahren sowie das Management zur Durchführung der Zertifizierung festgelegt und beschrieben sind.
Regelmäßige Anpassung
Eine der wichtigsten Zertifizierungen ist der BSI-Standard ISO 27001f auf Basis des IT-Grundschutz-Kompendiums. Er zertifiziert das Informationssicherheits- Managementsystem (ISMS) einer Organisation und ist damit ein starkes Zeichen für die Sicherheit von Informationen, Daten und Systemen. Die HZD betreibt bereits solch ein ISMS, das nach BSI-Standard zertifiziert ist. Mit jeder weiteren Zertifizierung baut die HZD dieses weiter aus. Denn jeweils zum 1. Februar jedes Jahres, wenn das BSI wieder eine neue Edition seines Grundschutz-Kompendiums veröffentlicht, aktualisiert die HZD ihr ISMS und passt es organisatorisch sowie technisch an. Auch bereits erteilte Zertifizierungen hebt die HZD parallel dazu auf ein neues Niveau. Durch diesen verzahnten Verbesserungsprozess stellt die HZD sicher, dass IT-Dienste und -Verfahren für die hessische Landesverwaltung fortwährend sicher, vertraulich und integer implementiert sind.
Restrisiken eingeschlossen
Jeder Zertifizierung beinhaltet eine Risikobetrachtung in Bezug auf Systeme, Prozesse, Anwendungen und IT-Dienste samt ihren Geschäftsprozessen. Sie ermöglicht es, Informationssicherheitsrisiken zu reduzieren und bestenfalls zu vermeiden. Durch mögliche Angriffe auf IT-Dienste oder andere Vorfälle bedingte Schäden sind niemals vollständig auszuschließen. Daher geht eine solche Risikobetrachtung auch immer mit der Übernahme potenzieller Restrisiken einher. Aber nur mit der Kenntnis über mögliche Restrisiken kann die HZD auch entsprechende Strategien zur Risikokompensation, zur Risikodiversifizierung oder zum Risikotransfer entwickeln und implementieren. Ein zertifiziertes Informationssicherheitsmanagement ist somit ein integraler Bestandteil der Risikovorsorge der HZD.
Aktuelle Zertifizierungsmaßnahmen
2022 erhielt die HZD eine Zertifizierung für die Verbindung zum Bundesnetz. Im Februar 2023 wurde das erste Überwachungsaudit für diese Zertifizierung durchgeführt. Im Laufe des Jahres 2023 sind weitere Zertifizierungen in Planung. Zusätzlich strebt die HZD bis Ende 2025 Zertifizierungen für essenzielle Teile des Rechenzentrums an. Sie hat sich damit auf den Weg begeben, um nicht nur situationsbezogen die Kompetenz und Funktionstüchtigkeit ihrer Informationssicherheit nachzuweisen, sondern Anforderungen und Prozesse zur Aufrechterhaltung einer zeitgemäßen Informationssicherheit fest in ihre Abläufe zu integrieren.
Autorin des Beitrags
Julia Stoll
Leitung Zentrales Zertifizierungsmanagement