Unterabschnitte Organisation Kommunikation und Datenaustausch Besonders sicherheitskritische Bauprojekte Organisation Die Unterschiede zwischen Firmen interner IT-Nutzung und dem IT-Einsatz bei Bauprojekten muß berücksichtigt werden (vgl.: Abb.4.4). Soll deshalb bei einem Projekt die Kommunikation und der Datenaustausch auf elektronischem Weg erfolgen, empfiehlt es sich zu diesem Zweck eine Arbeitsgruppe zu benennen, in der jeder der Projektbeteiligten vertreten ist. Sie übernimmt die Schnittstellen, Vorgehensweisen und die Klärung der sicherheitsrelevanten Fragen und Probleme. Ein zentraler Verantwortlicher muß dabei die Planung und Umsetzung sowie die Einhaltung der getroffenen Vereinbarungen überprüfen und mit den entsprechenden Befugnissen ausgestattet sein. Um den Schutz der Sicherheitsinteressen aller zu gewährleisten, würde es sich anbieten einen externen Berater für diese Aufgabe heranzuziehen. Dieser sollte vom Projektleiter oder Bauherrn (bzw. Generalübernehmer oder Bauträger) bestellt sein. Abbildung 4.4: Unterschiede zwischen Firmen und Projektorganisation In einem Preassessment wird der Stand des IT-Einsatzes und der Sicherheitsmaßnahmen technisch wie organisatorisch, zwischen den Beteiligten abgeglichen. Es empfiehlt sich vor dem Assessment einen Fragebogen vorzubereiten, anhand dessen die Überprüfung stattfindet. Im Anschluß muß definiert werden, welche Prozesse über elektronische Kommunikation oder Datenaustausch bzw. IT-Prozessintegration unterstützt oder abgewickelt werden sollen. Kommunikation und Datenaustausch Der Datenaustausch bei Projekten kann auf drei verschiedenen Wegen erfolgen: Frei und ohne zentrale Datenbasis (z.B. via Diskette, Email oder ftp4.12 über das Internet). Ein Projektbeteiligter stellt eine zentrale Datenbasis auf einem seiner Systeme via Internet zur Verfügung. Ein externer Dienstleister (z.B. Internetportal) übernimmt die Speicherung der Daten auf seinen Systemen und gewährleistet die Verfügbarkeit. Obwohl die kommunikationstechnische Herangehensweise in allen drei Fällen unterschiedlich ist, sind die Ansätze für eine sichere Datenkommunikation immer die selben. Alle Daten die ausgetauscht werden, sollten in standardisierten, von allen lesbaren Formaten vorliegen. Um den Schutz gegen Viren zu gewährleisten kann, zusätzlich zur Prüfung mit einer Antivirensoftware vor dem Versand und nach dem Empfang, auf sicherere Datenformate zurückgegriffen werden. Da bei der Übertragung die Daten über ein unsicheres Medium wie das Internet transportiert werden, sollte auf die Möglichkeiten der Verschlüsselung zurückgegriffen werden, um vor ungewollten Mitlesern zu schützen. Besonders sicherheitskritische Bauprojekte Abbildung 4.5: Der erweiterte Sicherheitsprozess bei sicherheitskritischen Bauprojekten Die Anforderungen an die Integrität eines IT-Systems und seiner Daten steigt, wenn das Bauwerk, das mit diesen Systemen geplant bzw. prozessunterstützend gebaut werden soll, gesonderten Bedingungen an die Sicherheit genügen muß. So z.B. im Fall von Finanzinstituten, Regierungs- oder militärischen Einrichtungen. Da oftmals Dokumente, die normalerweise geringen Anforderungen an die Vertraulichkeit unterliegen, von ihrer Vetraulichkeit bzw. Sicherheitseinstufung wesentlich höher anzusetzen sind. Für solche Bauvorhaben sollte gesondert ein Spezialist für IT-Sicherheit hinzugezogen werden. Eine gesonderte Anforderungsanalyse für das IT-System muss stattfinden (vgl.: Abb.4.5), in der die veränderte Gefährdungssituation und die Sicherheitsanforderungen beurteilt werden. Hierbei müssen auch die Anforderungen des Auftraggebers miteinfließen. Um den Aufwand für die Planung einer neuen Sicherheitsarchitektur nicht unnötig hoch zu halten, sollte im Gegenzug eine sicherheitstechnische Evaluierung der vorhandenen Systeme und Konzepte durchgeführt werden. Anhand der Diskrepanzen zwischen Soll und Ist können Maßnahmen und Technologien geplant werden, die diese Lücken füllen. Für die Vorbereitung und Analyse des Status Quo empfiehlt sich die Durchführung eines Preassessment aller am Bau Beteiligten, in dem der aktuelle Stand der Sicherheitsarbeit überprüft wird und, in Zusammenarbeit mit dem Bauherrn, die Anforderungen an die Erhaltung der Vertraulichkeit, auch z.B. für Online-Dienste, wie virtuelle Projekträume, definiert werden. In einem zweiten Schritt kann durch die Systemverantwortlichen und evtl. einen Sicherheitsberater eine Sicherheitsarchitektur entworfen werden, die sowohl den Interessen der betroffenen Firmen, hinsichtlich Aufwand, als auch dem Bauherrn, in Bezug auf seine Forderungen, gerecht wird. Da es sich in den meisten Fällen um die Erhaltung der Geheimhaltung und der Vertraulichkeit handelt, werden hier hauptsächlich Methoden der Verschlüsselung von Dokumenten und Daten in Frage kommen. Fußnoten ... ftp4.12 File Transfer Protokoll zur Bereitstellung und Abruf von größeren Datenmengen über das Internet, im Volksmund auch als "Download" von Daten bekannt

Integration von Internetplattformen zurück

weiter Operative Sicherheitsarbeit