GSTOOL

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
GSTOOL
Entwickler Bundesamt für Sicherheit in der Informationstechnik
Erscheinungsjahr 1998
Aktuelle Version 4.8
(06/2013[1])
Betriebssystem Windows[2]
Kategorie IT-Sicherheit
Lizenz proprietär
Deutschsprachig ja
http://www.bsi.bund.de/DE/Themen/weitereThemen/GSTOOL/gstool_node.html

Das GSTOOL des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist eine Datenbankanwendung zur Erstellung von Sicherheitskonzepten nach der Vorgehensweise des IT-Grundschutzes. Das GSTOOL erschien 1998, vier Jahre nach der Veröffentlichung des IT-Grundschutzhandbuches. Der Bezug ist für öffentliche Einrichtungen (unmittelbare Bundes-, Landes- und Kommunalverwaltung) kostenlos.

Historie[Bearbeiten]

Die Version 2.0 wurde von CSC Ploenzke erstellt. Die Versionen 1.0 und 2.0 waren Java-Anwendungen. Als Datenbanksystem kam das relationale Datenbanksystem Interbase von Borland zum Einsatz.

Die Versionen 3.0-4.7 des GSTOOLs wurden von Steria Mummert Consulting im Auftrag und Namen des BSI entwickelt. Diese Versionen wurden mit den Programmiersprachen Visual Basic 6.0 und Visual C++ entwickelt. Das GSTOOL wird seit der Version 3.0 mit der MSDE ausgeliefert.

Die Entwicklung der Version 4.1 (erschienen Mai 2007) wurde durch Bayer Business Services und das Zentrum für Informationsverarbeitung und Informationstechnik (ZIVIT) unterstützt. Die im Februar 2008 veröffentlichte Version 4.5 beinhaltet als wesentliche Erweiterung den BSI-Standard 100-3 (Risikoanalyse auf der Basis des IT-Grundschutzes). Durch die Hochschule Niederrhein wurde die Entwicklung der Version 4.6 unterstützt. Die Version 4.7 wurde erneut durch das ZIVIT unterstützt.

Die bis zur Version 4.7 enthaltene Verschlüsselungsfunktion auf Basis von Chiasmus wurde in Version 4.8 entfernt, da sie gebrochen wurde. Das BSI rät von der Verwendung ab.[3] Trotzdem wurde Sicherheitsforschern mit juristischen Konsequenzen gedroht, wenn sie Details zu der Sicherheitslücke veröffentlichen, da diese laut BSI nur mittels Reverse Engineering entdeckt werden konnten und damit eine Urheberrechtsverletzung darstellt.[4][5]

Aufgrund mangelnder Wirtschaftlichkeit wurde die Weiterentwicklung des GSTOOLs eingestellt.[6] Die Version 4.x wird weiterhin vertrieben, eine Support-Unterstützung soll bis Ende 2016 möglich sein.

Leistungsmerkmale[Bearbeiten]

fachlich[Bearbeiten]

  • Unterstützung folgender BSI-Standards:
    • BSI-Standard 100-1: Managementsysteme für Informationssicherheit
    • BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
    • BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
  • Erfassung von Zielobjekten (IT-Systemen, Anwendungen, Netzen u.s.w.) für Strukturanalyse
  • Erfassen zusätzlicher Informationen zu Zielobjekten
  • Modellierung und Schichtenmodell nach IT-Grundschutz
  • ISO/IEC 27001-Zertifikat auf der Basis von IT-Grundschutz
  • Schutzbedarfsfeststellung
  • Berichterstellung
  • Auswertung der Kostenschätzungen in Berichten
  • Revisionsunterstützung
  • Versionierung benutzerdefinierter Metadaten (Bausteine, Maßnahmen und Gefährdungen)
  • Verwaltung mehrerer voneinander unabhängiger Arbeitsbereiche

technisch[Bearbeiten]

  • Verwaltung mehrerer Sicherheitskonzepte in einem Tool
  • Netzwerkfähigkeit
  • Mehrbenutzerfähigkeit durch Rechte- und Rollenkonzept
  • Zweisprachigkeit: deutsch/englisch (mit der Möglichkeit auch andere Sprachversionen einzubinden)
  • Historienführung auf Feldebene
  • Einfaches Update der Metadatenbasis über das Internet
  • Importfunktion für Datenbestände aus der Vorversion
  • Export von Teilarbeitsbereichen bei nicht vorhandener Netzwerkverbindung
  • Berichtsfunktion durch ca. 50 vordefinierte Berichte
  • Verschlüsselung von benutzerspezifischen Daten für Exporte (Dateiverschlüsselung)

Literatur[Bearbeiten]

  • Benutzerhandbuch [1] (ca. 400 Seiten, PDF)
  • IT-Grundschutz umsetzen mit GSTOOL von Frederick Humpert (2005, 445 Seiten, ISBN 9783446229846)

Weitere Tools zur Erstellung von Sicherheitskonzepten auf Basis IT-Grundschutz[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. BSI: GSTOOL – Servicepacks
  2. BSI: GSTOOL 4.8 – Systemvoraussetzungen
  3. Jan Schejbal: Advisory: Unsichere Verschlüsselung bei GSTOOL, 11. September 2013
  4. Jan Schejbal: Wie das BSI unsere Daten “schützt”. Ein Rant über die Schwachstelle im GSTOOL., 11. September 2013
  5. Hanno Böck: GSTool: BSI bedroht Sicherheitsforscher, Golem.de, 11. September 2013
  6. BSI stellt Entwicklung des GSTOOL 5.0 ein. Abgerufen am 25. September 2013.

Weblinks[Bearbeiten]