GSTOOL

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
GSTOOL
Basisdaten

Entwickler Bundesamt für Sicherheit in der Informationstechnik
Erscheinungsjahr 1998
Aktuelle Version 4.8
(Juni 2013)
Betriebssystem Windows
Kategorie IT-Sicherheit
Lizenz proprietär
deutschsprachig ja
Sonstiges Das Werkzeug und dessen Entwicklung sind eingestellt und durch andere, freigegebene ISMS Tools ersetzt wordenVorlage:Infobox Software/Wartung/Sonstiges

Das GSTOOL des Bundesamtes für Sicherheit in der Informationstechnik (BSI) war eine datenbankbasierte Softwareanwendung zur Erstellung von Sicherheitskonzepten nach der Vorgehensweise des IT-Grundschutzes. Das GSTOOL erschien 1998, vier Jahre nach der Veröffentlichung des IT-Grundschutzhandbuches. Der Bezug war für öffentliche Einrichtungen (unmittelbare Bundes-, Landes- und Kommunalverwaltung) kostenlos.

Historie[Bearbeiten | Quelltext bearbeiten]

Die Version 2.0 wurde von CSC Ploenzke erstellt. Die Versionen 1.0 und 2.0 waren Java-Anwendungen. Als Datenbanksystem kam das relationale Datenbanksystem InterBase von Borland zum Einsatz.

Die Versionen 3.0 bis 4.7 des GSTOOLs wurden von Sopra Steria Consulting im Auftrag und Namen des BSI entwickelt. Diese Versionen wurden mit den Programmiersprachen Visual Basic Classic 6.0 und Visual C++ entwickelt. Das GSTOOL wurde ab der Version 3.0 mit dem Microsoft SQL Server ausgeliefert.

Die Entwicklung der Version 4.1 (erschienen Mai 2007) wurde durch Bayer Business Services und das Zentrum für Informationsverarbeitung und Informationstechnik (ZIVIT) unterstützt. Die im Februar 2008 veröffentlichte Version 4.5 beinhaltete als wesentliche Erweiterung den BSI-Standard 100-3 (Risikoanalyse auf der Basis des IT-Grundschutzes). Durch die Hochschule Niederrhein wurde die Entwicklung der Version 4.6 unterstützt. Die Version 4.7 wurde erneut durch das ZIVIT unterstützt.

Mit der Neuentwicklung des GSTOOL 5.0 wurde im Dezember 2008 das Unternehmen Persicon labs GmbH beauftragt. Die neue Version sollte als Webclient vor allem plattformunabhängig eingesetzt werden können. Das ursprünglich geplante Erscheinungsjahr war 2010. Das BSI nannte auf dem IT-Grundschutztag im Oktober 2011 den 1. April 2012 als Erscheinungsdatum der finalen Version. Nachdem das BSI auf dem 4. IT-Grundschutztag 2012 auf der it-sa in Nürnberg verkündete, dass das GSTOOL 5.0 wegen schwerwiegender Mängel an den Hersteller zur Nachbesserung zurückgegeben wurde, konnten die Qualitätsanforderungen des BSI zum 1. IT-Grundschutztag 2013 nicht erfüllt werden. Daher wurde die Veröffentlichung der Version 5.0 auf unbestimmte Zeit verschoben.[1]

Aufgrund mangelnder Wirtschaftlichkeit wurde die Weiterentwicklung des GSTOOLs eingestellt.[2] Die Version 4.x wurde bis zum 31. Dezember 2014 vertrieben, eine Support-Unterstützung wurde bis Ende 2016 gegeben.[3]

Leistungsmerkmale[Bearbeiten | Quelltext bearbeiten]

Fachlich[Bearbeiten | Quelltext bearbeiten]

  • Unterstützung folgender BSI-Standards:
    • BSI-Standard 100-1: Managementsysteme für Informationssicherheit
    • BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
    • BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
  • Erfassung von Zielobjekten (IT-Systemen, Anwendungen, Netzen usw.) für Strukturanalyse
  • Erfassen zusätzlicher Informationen zu Zielobjekten
  • Modellierung und Schichtenmodell nach IT-Grundschutz
  • ISO/IEC-27001-Zertifikat auf der Basis von IT-Grundschutz
  • Schutzbedarfsfeststellung
  • Berichterstellung
  • Auswertung der Kostenschätzungen in Berichten
  • Revisionsunterstützung
  • Versionierung benutzerdefinierter Metadaten (Bausteine, Maßnahmen und Gefährdungen)
  • Verwaltung mehrerer voneinander unabhängiger Arbeitsbereiche

Technisch[Bearbeiten | Quelltext bearbeiten]

  • Verwaltung mehrerer Sicherheitskonzepte in einem Tool
  • Netzwerkfähigkeit
  • Mehrbenutzerfähigkeit durch Rechte- und Rollenkonzept
  • Zweisprachigkeit: deutsch/englisch (mit der Möglichkeit, auch andere Sprachversionen einzubinden)
  • Historienführung auf Feldebene
  • Einfaches Update der Metadatenbasis über das Internet
  • Importfunktion für Datenbestände aus der Vorversion
  • Export von Teilarbeitsbereichen bei nicht vorhandener Netzwerkverbindung
  • Berichtsfunktion durch ca. 50 vordefinierte Berichte
  • Verschlüsselung von benutzerspezifischen Daten für Exporte (Dateiverschlüsselung)

Wegfall der Verschlüsselung[Bearbeiten | Quelltext bearbeiten]

Die bis zur Version 4.7 enthaltene Verschlüsselungsfunktion auf Basis von Chiasmus wurde in Version 4.8 entfernt, da sie gebrochen wurde. Das BSI rät von der Verwendung ab.[4] Trotzdem wurde Sicherheitsforschern mit juristischen Konsequenzen gedroht, falls sie Details zu der Sicherheitslücke veröffentlichen würden, da diese laut BSI nur mittels Reverse Engineering entdeckt werden konnte und dies damit eine Urheberrechtsverletzung darstelle.[5][6]

Alternative IT-Grundschutz-Tools[Bearbeiten | Quelltext bearbeiten]

Liste Anbieter Stand 2022 (alphabetisch)[Bearbeiten | Quelltext bearbeiten]

Die folgenden Anbieter sind eine Empfehlung des BSI verschiedener Anbieter, welche vom BSI festgelegte Leistungsmerkmale erfüllen müssen:[7]

  • 2net Carsten Lang – Sidoc ® -Sicherheitsmanagement
  • Allgeier CORE GmbH – DocSetMinder
  • avedos GRC GmbH – risk2value ISMS
  • CALPANA business consulting GmbH – CRISAM® – Die Risikomanagement Methode
  • CareNavigator GmbH – CareNavigator
  • CISS – Comprehensive Information Security Switzerland GmbH – 360inControl®
  • Concat AG – EasyISMS
  • CONTECHNET – INDART® Professional
  • DHC Business Solutions GmbH & Co. KG – DHC VISION Information Security Manager
  • Digitalich GmbH – Athereon GRC
  • ETES GmbH – EDIRA
  • Fireloft – Standard Fusion
  • FORUM Gesellschaft für Informationssicherheit mbH – ForumISM und ForumNSR
  • fuentis AG – fuentis ISMS
  • GAIMS GmbH- GAIMS Information Security
  • Goriscon GmbH – embeddedGRC
  • HiScout GmbH – HiScout Grundschutz
  • ibi systems GmbH – ibi systems iris
  • INFODAS GmbH – SAVe
  • Infopulse GmbH – Standards Compliance Manager Grundschutz Edition
  • Keppler IT-Systems GmbH – vnoc42
  • Kronsoft e.K. – opus i – Informationssicherheit
  • preeco GmbH – Datenschutzmanagement-Software
  • QE LaB Business Services GmbH, adamant – Efficient IT security and compliance
  • qmBase GmbH – qmBase
  • ReviSEC – ReviSEC GS-Tool
  • S&L IT-Compliance GmbH – S&L Compliance Suite
  • SAVISCON GmbH – GRC-COCKPIT
  • Schleupen AG – R2C_SECURITY
  • Secure IT Consult – Audit Tool 2006
  • SerNet GmbH – Verinice Open Source ISMS Tool
  • synetics – i-doit
  • TCC GmbH – ATRADIS<Review
  • Temino GmbH – ISiMap
  • TogetherSecure – HITGuard
  • WAITS GmbH – quidit
  • WMC GmbH – QSEC ISMS & GRC

Literatur[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Volker Briegleb: BSI verweigert Abnahme des GSTOOL 5.0. iX, 16. März 2013, abgerufen am 18. März 2013.
  2. BSI stellt Entwicklung des GSTOOL 5.0 ein. BSI, 19. September 2013, archiviert vom Original am 13. November 2013; abgerufen am 23. Mai 2021.
  3. BSI – IT-Grundschutz Tools – Startseite. BSI, archiviert vom Original am 9. März 2016; abgerufen am 23. Mai 2021.
  4. Jan Schejbal: Advisory: Unsichere Verschlüsselung bei GSTOOL, 11. September 2013
  5. Jan Schejbal: Wie das BSI unsere Daten “schützt”. Ein Rant über die Schwachstelle im GSTOOL., 11. September 2013
  6. Hanno Böck: GSTool: BSI bedroht Sicherheitsforscher, Golem.de, 11. September 2013
  7. Leistungsmerkmale für Software-Tools. Abgerufen am 6. Januar 2022.