IT-Grundschutz-Kataloge

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Die IT-Grundschutz-Kataloge (vor 2005: IT-Grundschutzhandbuch) sind eine Sammlung von Dokumenten des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI), die der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in IT-Umgebungen (IT-Verbund) dienen. Die Sammlung umfasst mit Einleitung und Katalogen über 4.400 Seiten (13. Ergänzungslieferung aus dem September 2013) und dient Unternehmen und Behörden als Grundlage zum Erlangen einer Zertifizierung nach IT-Grundschutz. Durch die Zertifizierung zeigt eine Unternehmung, dass es geeignete Maßnahmen zur Absicherung seiner IT-Systeme gegen IT-Sicherheitsbedrohungen unternommen hat.

IT-Grundschutz[Bearbeiten]

„IT-Grundschutz umfasst Standard-Sicherheitsmaßnahmen für typische IT-Systeme mit ‚normalem’ Schutzbedarf“.[1]

Die Erkennung und Bewertung von Schwachstellen in IT-Systemen erfolgt oftmals über eine Risikoanalyse, wobei für jedes System oder jede Gruppe gleichartiger Systeme einzeln ein Gefährdungspotential geschätzt und die Kosten eines Schadens an dem System ermittelt wird. Diese Herangehensweise ist sehr zeitaufwändig und dementsprechend teuer.

Der IT-Grundschutz geht von einer für das System üblichen Gefährdungslage aus, die in 80 % der Fälle zutreffend ist, und empfiehlt hierfür adäquate Gegenmaßnahmen. So kann ein Sicherheitsniveau erreicht werden, das in den meisten Fällen als ausreichend betrachtet werden kann und daher die wesentlich teurere Risikoanalyse ersetzt. In Fällen eines höheren Sicherheitsbedarfs kann der IT-Grundschutz als Grundlage für weitergehende Maßnahmen genutzt werden.

Die ursprüngliche Zertifizierung nach IT-Grundschutz wurde durch eine anerkannte ISO/IEC 27001-Zertifizierung auf der Basis von IT-Grundschutz vollständig abgelöst.

Grundwerte[Bearbeiten]

Die IT-Sicherheit unterteilt sich in drei Grundwerte

  • Vertraulichkeit
    Vertrauliche Informationen müssen vor unbefugter Preisgabe geschützt werden
  • Integrität (Informationssicherheit)
    Korrektheit, Manipulationsfreiheit und Unversehrtheit von IT-Systemen, IT-Verfahren und Informationen. Hierbei ist auch die Authentizität (d.h. die Echtheit, Zurechenbarkeit und Glaubwürdigkeit von Informationen) zu berücksichtigen.
  • Verfügbarkeit
    Dienstleistungen, Funktionen eines IT-Systems oder auch Informationen stehen zum geforderten Zeitpunkt zur Verfügung

Aufbau der IT-Grundschutz-Kataloge[Bearbeiten]

Aufbau der IT-Grundschutz-Kataloge

Eine Einleitung mit Erklärungen, Herangehensweisen an den IT-Grundschutz, Begriffs- und Rollendefinitionen sowie ein Glossar machen den Leser zunächst mit dem Handbuch vertraut. Daraufhin folgen die Bausteinkataloge, die Gefährdungskataloge und abschließend die Maßnahmenkataloge. Ergänzt wird die Sammlung durch Formulare und Kreuzreferenztabellen auf der Internetplattform des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die IT-Grundschutz-Vorgehensweise selbst ist in den BSI-Standards 100-1 bis 100-3 beschrieben und ist die Basis für die Anwendung der IT-Grundschutz-Kataloge und die Etablierung eines Informationssicherheitsmanagementsystemes. Darüber hinaus gibt es auf der BSI-Webseite zahlreiche Hilfsmittel zur Implementierung des IT-Grundschutzes. Der Leitfaden Informationssicherheit ist dabei ein Einstiegsdokument in die ganze Thematik der Informationssicherheit und behandelt die wichtigsten Themen. Jedes Katalogelement ist durch ein individuelles Kürzel gekennzeichnet, das sich nach dem folgenden Schema aufbaut. Zunächst wird die Kataloggruppe genannt, B steht für Baustein, M für Maßnahme und G für Gefährdung. Danach folgt die Nummer der Schicht, die dieses Katalogelement in seinem Katalog betrifft, anschließend die fortlaufende Nummer innerhalb der Schicht.

Bausteinkatalog[Bearbeiten]

Der Bausteinkatalog ist das zentrale Element und folgt, wie auch die weiteren Kataloge, einem Schichtenmodell. Es werden die folgenden fünf Schichten beschrieben: übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen.

Zuordnung der einzelnen Bausteine zu Personengruppen in der jeweiligen Organisation

Die erste Schicht beschäftigt sich mit organisatorischen Fragen das Management, Personal oder Outsourcing betreffend. In der Schicht Infrastruktur wird der Schwerpunkt auf bauliche Aspekte gelegt. Die Schicht IT-Systeme befasst sich mit den Eigenschaften von IT-Systemen zu denen neben den Clients und Servern auch Telefonanlagen oder Faxgeräte gezählt werden. In der Netze-Schicht werden Aspekte von Netzwerken beleuchtet. Die Anwendungsschicht befasst sich mit Fragen sicherheitsrelevanter Software wie Datenbankmanagementsystemen, E-Mail oder Webservern.

Durch die Einteilung in Schichten lassen sich auch die von der jeweiligen Schicht betroffenen Personengruppen klar eingrenzen. Die erste Schicht spricht das Management an. Haustechniker sind von der zweiten betroffen. Die dritte Schicht wird von Systemadministratoren abgedeckt. Die vierte Schicht fällt in den Aufgabenbereich der Netzwerkadministratoren und die fünfte in den der Anwendungsadministratoren und der IT-Nutzer.

Jeder einzelne Baustein folgt demselben Aufbau. Die Bausteinnummer setzt sich zusammen aus der Nummer der Schicht in dem sich der Baustein befindet und einer in dieser Schicht eindeutigen Nummer. Nach einer kurzen Beschreibung des vom Baustein betrachteten Sachverhalts wird die jeweilige Gefährdungslage geschildert. Anschließend folgt die Aufzählung der einzelnen Gefahrenquellen. Diese stellen eine weiterführende Information dar und sind für die Erstellung eines Grundschutzes nicht notwendigerweise durchzuarbeiten.

Elemente des Lebenszyklus der Bausteine

Die notwendigen Maßnahmen werden mit kurzen Erläuterungen in einem Text vorgestellt. Der Text folgt hierbei dem Lebenszyklus des jeweiligen Sachverhalts und umfasst Planung und Konzeption, Beschaffung (falls erforderlich), Umsetzung, Betrieb, Aussonderung (falls erforderlich) und Notfallvorsorge. Nach der ausführlichen Schilderung werden die einzelnen Maßnahmen nochmals in einer Liste zusammengefasst, die jedoch nun nach der Struktur der Maßnahmenkataloge und nicht mehr nach dem Lebenszyklus sortiert ist. Hierbei wird eine Klassifizierung der Maßnahmen in die Kategorien A, B, C, Z und W vorgenommen. Maßnahmen der Kategorie A bilden den Einstieg in die Thematik, B-Maßnahmen erweitern diese und die Kategorie C ist anschließend notwendig für eine Zertifizierung des Grundschutzes. Maßnahmen der Kategorie Z stellen zusätzliche Maßnahmen dar, die sich in der Praxis bewährt haben. Maßnahmen der Kategorie W sind Maßnahmen die Hintergrundwissen zum jeweiligen Thema liefern und für ein zusätzliches Grundverständnis der jeweiligen Thematik beitragen.

Vernetzung der Kataloge

Um den jeweiligen Baustein so kompakt wie möglich zu halten werden oft globale Aspekte in einem Baustein zusammengefasst, während spezifischere Informationen in einem zweiten gesammelt werden. Als Beispiel sei hier der Apache-Webserver genannt. Für ihn gilt sowohl der generelle Baustein B 5.4 Webserver, in dem die Maßnahmen und Gefährdungen für jeden Webserver geschildert werden, als auch der Baustein B 5.11 der sich speziell mit dem Apache-Webserver auseinandersetzt. Um die Sicherheit des Systems zu gewährleisten, müssen beide Bausteine erfolgreich umgesetzt werden. Die jeweiligen Maßnahmen oder Gefährdungen, die in dem Baustein vorgestellt werden, können auch für andere, zum Teil komplett unterschiedliche Bausteine relevant sein. So entsteht eine Vernetzung der einzelnen Komponenten der IT-Grundschutz-Kataloge.

Gefährdungskataloge[Bearbeiten]

Im Anschluss an die Bausteinkataloge gehen die Gefährdungskataloge näher auf die möglichen Gefährdungen für IT-Systeme ein. Diese Gefährdungskataloge folgen dem allgemeinen Aufbau nach Schichten. Es werden die Schichten „Höhere Gewalt“, „Organisatorische Mängel“, „Menschliche Fehlhandlungen“, „Technisches Versagen“ und „Vorsätzliche Handlungen“ unterschieden. Zur Erstellung des Grundschutzes ist nach Aussagen des BSI das in diesen Katalogen zusammengestellte Wissen nicht unbedingt notwendig, es fördert jedoch das Verständnis für die Maßnahme sowie die Wachsamkeit der Verantwortlichen. Die einzelne Gefahrenquelle ist in einem kurzen Text beschrieben und anschließend werden Beispiele für Schadensfälle, die durch diese Gefahrenquelle auslösen kann, gegeben.

Maßnahmenkataloge[Bearbeiten]

Die zur Umsetzung des Grundschutzes notwendigen Maßnahmen sind in Maßnahmenkatalogen zusammengefasst. So werden Maßnahmen, die für mehrere System-Komponenten angemessen sind, nur einmal zentral beschrieben. Hierbei werden auch Schichten zur Strukturierung der einzelnen Maßnahmengruppen genutzt. Es werden folgende Schichten gebildet: „Infrastruktur“, „Organisation“, „Personal“, „Hardware/Software“, „Kommunikation“ und „Notfallvorsorge“.

In der jeweiligen Maßnahmenbeschreibung sind zunächst Verantwortliche für die Initiierung und die Umsetzung der Maßnahme genannt. Es folgt eine ausführliche Beschreibung der Maßnahme. Abschließend werden Kontrollfragen zur korrekten Umsetzung genannt. Bei der Umsetzung der Maßnahmen sollte zunächst überprüft werden, ob eine Anpassung dieser auf den jeweiligen Betrieb notwendig ist. Eine genaue Dokumentation solcher Anpassungen ist zur späteren Nachvollziehbarkeit sinnvoll. Am Ende der Maßnahmen gibt es seit der 10. Ergänzungslieferung sogenannte Prüffragen, die die wesentlichen Aspekte einer Maßnahme nochmal aufgreifen und somit eine Art Checkliste darstellen, ob diese auch umgesetzt sind.

Weiterführendes Material[Bearbeiten]

Neben den in den IT-Grundschutz-Katalogen zusammengefassten Informationen stellt das Bundesamt für Informationssicherheit weiteres Material im Internet[2] zur Verfügung. Die hier bereitgestellten Formulare dienen der Erhebung des Schutzbedarfs für bestimmte Bausteine des IT-Systems. Eine Tabelle fasst hierbei die für den einzelnen Baustein umzusetzenden Maßnahmen zusammen. Jede Maßnahme wird genannt und der Umsetzungsgrad erfasst. Es werden die Umsetzungsgrade „Entbehrlich“, „Ja“, „Teilweise“ und „Nein“ unterschieden. Anschließend wird die Umsetzung terminiert und ein Verantwortlicher benannt. Sollte die Umsetzung der Maßnahme nicht möglich sein, so sollten die Gründe hierfür in das anschließende Feld eingetragen werden, um später nachvollziehbar zu sein. Den Abschluss bildet eine Kostenschätzung.

Neben den Formularen sind die Kreuzreferenztabellen eine weitere hilfreiche Ergänzung. Sie fassen für den einzelnen Baustein die Maßnahmen und die wichtigsten Gefährdungen zusammen. Sowohl Maßnahmen als auch Gefährdungen werden mit dem Kürzel genannt. Die Maßnahmen werden mit einer Priorität versehen und deren Klassifizierung genannt. Der Tabelle ist zu entnehmen, welche Maßnahme welchen Gefährdungen entgegenwirkt. Hierbei ist jedoch zu beachten, das die Kreuzreferenztabellen nur die wichtigsten Gefährdungen nennen. Sollten für das individuelle IT-System die genannten Gefährdungen einer Maßnahme nicht zutreffen, so wird diese dadurch nicht überflüssig. Der Grundschutz kann nur gewährleistet werden, wenn alle Maßnahmen umgesetzt wurden.

Software[Bearbeiten]

Mit dem GSTOOL [(November 2011: aktuelle Version 4.5, mit installiertem Servicepack 2 erhält Software Versionsnummer 4.7)] stellte das BSI selber auch "seit 1998 eine regelmäßig aktualisierte, innovative und ergonomisch handhabbare Software bereit, die den Anwender bei Erstellung, Verwaltung und Fortschreibung von Sicherheitskonzepten entsprechend dem IT-Grundschutz effizient unterstütz[en soll]."[3]

Nach eigenen Angaben hat das BSI die Weiterentwicklung im September 2013 eingestellt. Als Grund wurde u.a. genannt, dass es bereits entsprechende Produkte auf dem Markt gibt.[4]

Das BSI will sich laut Pressemitteilung entsprechend darauf beschränken, diese Produkte zu prüfen und nur noch Empfehlungen abgeben, letztendlich kann das BSI aber nur ein Liste von Software ohne weitere Bewertung liefern (Stand November 2014). [4]

Weitere Tools zur Erstellung von Sicherheitskonzepten auf Basis IT-Grundschutz[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. IT-Grundschutz-Kataloge, Kap. 1.1
  2. BSI Publikationen
  3. GSTOOL
  4. a b Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatBSI: BSI stellt Entwicklung des GSTOOL 5.0 ein. Abgerufen am 13.11.2014.

Literatur[Bearbeiten]

Weblinks[Bearbeiten]