IT-Grundschutz

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Als IT-Grundschutz bezeichnet man eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen Informationstechnik (IT). Das Ziel des Grundschutzes ist das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme. Zur Erreichung des Ziels empfiehlt der Grundschutz technische, infrastrukturelle, organisatorische und personelle Maßnahmen.

Unternehmen und Behörden können ihr systematisches Vorgehen bei der Absicherung ihrer IT-Systeme (Informationssicherheits-Managementsystem (ISMS)) gegen Gefährdungen der IT-Sicherheit mit Hilfe des ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz nachweisen.

BSI-Standards und IT-Grundschutz-Kataloge[Bearbeiten]

Durch die Umstrukturierung und Erweiterung des IT-Grundschutzhandbuchs im Jahr 2006 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden die Methodik und die IT-Grundschutz-Kataloge getrennt. Vier BSI-Standards enthalten Angaben zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) (100-1), der Vorgehensweise nach IT-Grundschutz (100-2) und der Erstellung einer Risikoanalyse für hohen und sehr hohen Schutzbedarf aufbauend auf einer durchgeführten IT-Grundschutzerhebung (100-3). 2008 wurde der BSI-Standard 100-4 „Notfallmanagement“ entwickelt. Er beinhaltet wesentliche Aspekte für ein angemessenes Business Continuity Management (BCM) und vereint Elemente aus dem BS 25999 sowie dem ITIL Service Continuity Management mit den relevanten Bausteinen der IT-Grundschutz-Kataloge. Mit Umsetzung dieses Standards ist eine Zertifizierung gemäß BS 25999-2 möglich.

Das BSI gleicht seit 2006 regelmäßig seine Standards an internationale Normen wie der ISO/IEC 27001 an.

Die IT-Grundschutz-Kataloge sind eine Sammlung von Dokumenten, welche die schrittweise Einführung und Umsetzung eines ISMS erläutern. Dazu sind beispielhaft Bausteine, Gefährdungen und Maßnahmen definiert.

Konzept[Bearbeiten]

Basis eines IT-Grundschutzkonzepts ist der initiale Verzicht auf eine detaillierte Risikoanalyse. Es wird von pauschalen Gefährdungen ausgegangen und dabei auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit verzichtet. Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den Schutzbedarf des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den IT-Grundschutz-Katalogen auswählt.

Basierend auf den IT-Grundschutz-Katalogen des deutschen BSI bietet der BSI-Standard 100-2 (vor 2006 IT-Grundschutzhandbuch) ein „Kochrezept“ für ein normales Schutzniveau. Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt. Durch die Verwendung der IT-Grundschutz-Kataloge entfällt eine aufwändige Sicherheitsanalyse, die Expertenwissen erfordert, da anfangs mit pauschalisierten Gefährdungen gearbeitet wird. Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.

Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben. In den Stufen 1 und 2 basiert es auf Selbsterklärungen, in der Stufe 3 erfolgt eine Überprüfung durch einen unabhängigen, vom BSI lizenzierten Auditor. Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards. Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht. Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet. Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen. Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI. Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien und das GSTOOL an.

Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde. Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung.

IT-Grundschutzvorgehensweise[Bearbeiten]

Gemäß IT-Grundschutzvorgehensweise werden die folgende Schritte durchlaufen:

  • Definition des Informationsverbundes
  • Durchführung einer IT-Strukturanalyse
  • Durchführung einer Schutzbedarfsfeststellung
  • Modellierung
  • Durchführung eines Basis Sicherheitschecks
  • Durchführung einer ergänzenden Sicherheitsanalyse (evtl. anschließende Risikoanalyse)
  • Konsolidierung der Maßnahmen
  • Umsetzung der IT-Grundschutzmaßnahmen

IT-Strukturanalyse[Bearbeiten]

Unter einem Informationsverbund ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein Informationsverbund kann dabei als Ausprägung die gesamte IT einer Institution oder auch einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame IT-Anwendungen (z. B. Personalinformationssystem) gegliedert sind, umfassen. Für die Erstellung eines IT-Sicherheitskonzepts und insbesondere für die Anwendung der IT-Grundschutz-Kataloge ist es erforderlich, die Struktur der vorliegenden Informationstechnik zu analysieren und zu dokumentieren. Aufgrund der heute üblichen starken Vernetzung von IT-Systemen bietet sich ein Netztopologieplan als Ausgangsbasis für die Analyse an. Die folgenden Aspekte müssen berücksichtigt werden:

  • die vorhandene Infrastruktur,
  • die organisatorischen und personellen Rahmenbedingungen für den Informationsverbund,
  • im Informationsverbund eingesetzte vernetzte und nicht-vernetzte IT-Systeme,
  • die Kommunikationsverbindungen zwischen den IT-Systemen und nach außen,
  • im Informationsverbund betriebene IT-Anwendungen.

Schutzbedarfsfeststellung[Bearbeiten]

Zweck der Schutzbedarfsfeststellung ist es zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden. Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“[1]. Bei der Vertraulichkeit wird häufig auch „öffentlich“, „intern“ und „geheim“ verwendet.

Der Schutzbedarf für einen Server richtet sich nach den Anwendungen, die auf ihm laufen. Hierbei ist zu beachten, dass auf einem IT-System mehrere IT-Anwendungen laufen können, wobei die Anwendung mit dem höchsten Schutzbedarf die Schutzbedarfskategorie des IT-Systems bestimmt (sogenanntes Maximumprinzip).

Es kann sein, dass mehrere Anwendungen auf einem Server laufen, die einen niedrigen Schutzbedarf haben - mehr oder weniger unwichtige Anwendungen. In ihrer Summe sind diese Anwendungen jedoch mit einem höheren Schutz zu versehen (Kumulationseffekt).

Umgekehrt ist es denkbar, dass eine IT-Anwendung mit hohem Schutzbedarf diesen nicht automatisch auf das IT-System überträgt, da dieses redundant ausgelegt ist oder da auf diesem nur unwesentliche Teile laufen (Verteilungseffekt). Dies ist z. B. bei Clustern der Fall.

Modellierung[Bearbeiten]

Die Informationstechnik in Behörden und Unternehmen ist heute üblicherweise durch stark vernetzte IT-Systeme geprägt. In der Regel ist es daher zweckmäßig, im Rahmen einer IT-Sicherheitsanalyse bzw. IT-Sicherheitskonzeption die gesamte IT und nicht einzelne IT-Systeme zu betrachten. Um diese Aufgabe bewältigen zu können, ist es sinnvoll, die gesamte IT in logisch getrennte Teile zu zerlegen und jeweils einen Teil, eben einen Informationsverbund, getrennt zu betrachten. Voraussetzung für die Anwendung der IT-Grundschutz-Kataloge auf einen Informationsverbund sind detaillierte Unterlagen über seine Struktur. Diese können beispielsweise über die oben beschriebene IT-Strukturanalyse gewonnen werden. Anschließend müssen die Bausteine der IT-Grundschutz-Kataloge in einem Modellierungsschritt auf die Komponenten des vorliegenden Informationsverbunds abgebildet werden.

Basis-Sicherheitscheck[Bearbeiten]

Der Basis-Sicherheitscheck ist ein Organisationsinstrument, welches einen schnellen Überblick über das vorhandene IT-Sicherheitsniveau bietet. Mit Hilfe von Interviews wird der Status Quo eines bestehenden (nach IT-Grundschutz modellierten) Informationsverbunds in Bezug auf den Umsetzungsgrad von Sicherheitsmaßnahmen der IT-Grundschutz-Kataloge ermittelt. Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Maßnahme der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist. Durch die Identifizierung von noch nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt.

Der Basis-Sicherheitscheck gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich). Daraus folgt, was noch zu tun ist, um einen Grundschutz an Sicherheit zu erlangen.

Durch den Basis-Sicherheitscheck werden die Grundschutz-Maßnahmen abgebildet. Dieses Niveau genügt nur bei niedrigem bis mittlerem Schutzbedarf. Nach BSI-Schätzungen sind dies ~ 80 % der IT-Systeme. Für Systeme mit hohem/sehr hohem Schutzbedarf werden üblicherweise auf einer Risikoanalyse basierende Informationssicherheits-Konzepte, wie zum Beispiel nach ISO/IEC 27001 angewandt.

Ergänzende Sicherheitsanalyse[Bearbeiten]

In der ergänzenden Sicherheitsanalyse wird entschieden, ob für IT-Systeme mit hohem/sehr hohem Schutzbedarf eine Risikoanalyse mit Hilfe der Kreuzreferenztabelle des BSI durchzuführen ist. Die Risikoanalyse kann mit Hilfe des BSI-Standard 100-3 durchgeführt werden.

Konsolidierung der Maßnahmen[Bearbeiten]

Identifikation von eventuell doppelt modellierten Maßnahmen.

Einzelnachweise[Bearbeiten]

  1. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/standard_1003_pdf.pdf?__blob=publicationFile

Literatur[Bearbeiten]

  • Norbert Pohlmann, Hartmut F. Blumberg: Der IT-Sicherheitsleitfaden. (Das Pflichtenheft zur Implementierung von IT-Sicherheitsstandards im Unternehmen. Planung und Umsetzung von IT-Sicherheitslösungen. IT-Sicherheit als kontinuierlichen Geschäftsprozess gestalten. Abbildung und Adaptierung der Normen ISO 13335 und BS 7799). mitp, Bonn 2004, ISBN 3-8266-0940-9.

Weblinks[Bearbeiten]