- IT-Grundschutz-Kataloge
-
Die IT-Grundschutz-Kataloge (vor 2005: IT-Grundschutzhandbuch) sind eine Sammlung von Dokumenten des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI), die der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in IT-Umgebungen (IT Verbund) dienen. Die Sammlung umfasst mit Einleitung und Katalogen über 4000 Seiten und dient als Grundlage zur Zertifizierung des IT-Grundschutzes eines Unternehmens.
Inhaltsverzeichnis
IT-Grundschutz
„IT-Grundschutz umfasst Standard-Sicherheitsmaßnahmen für typische IT-Systeme mit ‚normalem’ Schutzbedarf“.[1]
Die Erkennung und Bewertung von Schwachstellen in IT-Systemen erfolgt oftmals über eine Risikoanalyse, wobei für jedes System oder jede Gruppe gleichartiger Systeme einzeln ein Gefährdungspotential geschätzt und die Kosten eines Schadens an dem System ermittelt wird. Diese Herangehensweise ist sehr zeitaufwändig und dementsprechend teuer.
Der IT-Grundschutz geht von einer für das System üblichen Gefährdungslage aus, die in 80 % der Fälle zutreffend ist, und empfiehlt hierfür adäquate Gegenmaßnahmen. So kann ein Sicherheitsniveau erreicht werden, das in den meisten Fällen als ausreichend betrachtet werden kann und daher die wesentlich teurere Risikoanalyse ersetzt. In Fällen eines höheren Sicherheitsbedarfs kann der IT-Grundschutz als Grundlage für weitergehende Maßnahmen genutzt werden.
Grundwerte
Die IT-Sicherheit unterteilt sich in drei Grundwerte
- Vertraulichkeit
- Vertrauliche Informationen müssen vor unbefugter Preisgabe geschützt werden
- Integrität (Informationssicherheit)
- Korrektheit, Manipulationsfreiheit und Unversehrtheit von IT-Systemen, IT-Verfahren und Informationen. Hierbei ist auch die Authentizität (d.h. die Echtheit, Zurechenbarkeit und Glaubwürdigkeit von Informationen) zu berücksichtigen.
- Verfügbarkeit
- Dienstleistungen, Funktionen eines IT-Systems oder auch Informationen stehen zum geforderten Zeitpunkt zur Verfügung
Aufbau der IT-Grundschutz-Kataloge
Eine Einleitung mit Erklärungen, Herangehensweisen an den IT-Grundschutz, Begriffs- und Rollendefinitionen sowie ein Glossar machen den Leser zunächst mit dem Handbuch vertraut. Daraufhin folgen die Bausteinkataloge, die Gefährdungskataloge und abschließend die Maßnahmenkataloge. Ergänzt wird die Sammlung durch Formulare und Kreuzreferenztabellen auf der Internetplattform des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die IT-Grundschutz-Vorgehensweise selbst ist in den BSI-Standards 100-1 bis 100-3 beschrieben und ist die Basis für die Anwendung der IT-Grundschutz-Kataloge und die Etablierung eines Informationssicherheitsmanagementsystemes. Darüber hinaus gibt es auf der BSI-Webseite zahlreiche Hilfsmittel zur Implementierung des IT-Grundschutzes. Der Leitfaden Informationssicherheit ist dabei ein Einstiegsdokument in die ganze Thematik der Informationssicherheit und behandelt die wichtigsten Themen. Jedes Katalogelement ist durch ein individuelles Kürzel gekennzeichnet, das sich nach dem folgenden Schema aufbaut. Zunächst wird die Kataloggruppe genannt, B steht für Baustein, M für Maßnahme und G für Gefährdung. Danach folgt die Nummer der Schicht, die dieses Katalogelement in seinem Katalog betrifft, anschließend die fortlaufende Nummer innerhalb der Schicht.
Bausteinkatalog
Der Bausteinkatalog ist das zentrale Element und folgt, wie auch die weiteren Kataloge, einem Schichtenmodell. Es werden die folgenden fünf Schichten beschrieben: übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen.
Die erste Schicht beschäftigt sich mit organisatorischen Fragen das Management, Personal oder Outsourcing betreffend. In der Schicht Infrastruktur wird der Schwerpunkt auf bauliche Aspekte gelegt. Die Schicht IT-Systeme befasst sich mit den Eigenschaften von IT-Systemen zu denen neben den Clients und Servern auch Telefonanlagen oder Faxgeräte gezählt werden. In der Netze-Schicht werden Aspekte von Netzwerken beleuchtet. Die Anwendungsschicht befasst sich mit Fragen sicherheitsrelevanter Software wie Datenbankmanagementsystemen, E-Mail oder Webservern.
Durch die Einteilung in Schichten lassen sich auch die von der jeweiligen Schicht betroffenen Personengruppen klar eingrenzen. Die erste Schicht spricht das Management an. Haustechniker sind von der zweiten betroffen. Die dritte Schicht wird von Systemadministratoren abgedeckt. Die vierte Schicht fällt in den Aufgabenbereich der Netzwerkadministratoren und die fünfte in den der Anwendungsadministratoren und der IT-Nutzer.
Jeder einzelne Baustein folgt demselben Aufbau. Die Bausteinnummer setzt sich zusammen aus der Nummer der Schicht in dem sich der Baustein befindet und einer in dieser Schicht eindeutigen Nummer. Nach einer kurzen Beschreibung des vom Baustein betrachteten Sachverhalts wird die jeweilige Gefährdungslage geschildert. Anschließend folgt die Aufzählung der einzelnen Gefahrenquellen. Diese stellen eine weiterführende Information dar und sind für die Erstellung eines Grundschutzes nicht notwendigerweise durchzuarbeiten.
Die notwendigen Maßnahmen werden mit kurzen Erläuterungen in einem Text vorgestellt. Der Text folgt hierbei dem Lebenszyklus des jeweiligen Sachverhalts und umfasst Planung und Konzeption, Beschaffung (falls erforderlich), Umsetzung, Betrieb, Aussonderung (falls erforderlich) und Notfallvorsorge. Nach der ausführlichen Schilderung werden die einzelnen Maßnahmen nochmals in einer Liste zusammengefasst, die jedoch nun nach der Struktur der Maßnahmenkataloge und nicht mehr nach dem Lebenszyklus sortiert ist. Hierbei wird eine Klassifizierung der Maßnahmen in die Kategorien A, B, C, Z und W vorgenommen. Maßnahmen der Kategorie A bilden den Einstieg in die Thematik, B-Maßnahmen erweitern diese und die Kategorie C ist anschließend notwendig für eine Zertifizierung des Grundschutzes. Maßnahmen der Kategorie Z stellen zusätzliche Maßnahmen dar, die sich in der Praxis bewährt haben. Maßnahmen der Kategorie W sind Maßnahmen die Hintergrundwissen zum jeweiligen Thema liefern und für ein zusätzliches Grundverständnis der jeweiligen Thematik beitragen.
Um den jeweiligen Baustein so kompakt wie möglich zu halten werden oft globale Aspekte in einem Baustein zusammengefasst, während spezifischere Informationen in einem zweiten gesammelt werden. Als Beispiel sei hier der Apache-Webserver genannt. Für ihn gilt sowohl der generelle Baustein B 5.4 Webserver, in dem die Maßnahmen und Gefährdungen für jeden Webserver geschildert werden, als auch der Baustein B 5.11 der sich speziell mit dem Apache-Webserver auseinandersetzt. Um die Sicherheit des Systems zu gewährleisten, müssen beide Bausteine erfolgreich umgesetzt werden. Die jeweiligen Maßnahmen oder Gefährdungen, die in dem Baustein vorgestellt werden, können auch für andere, zum Teil komplett unterschiedliche Bausteine relevant sein. So entsteht eine Vernetzung der einzelnen Komponenten der IT-Grundschutz-Kataloge.
Gefährdungskataloge
Im Anschluss an die Bausteinkataloge gehen die Gefährdungskataloge näher auf die möglichen Gefährdungen für IT-Systeme ein. Diese Gefährdungskataloge folgen dem allgemeinen Aufbau nach Schichten. Es werden die Schichten „Höhere Gewalt“, „Organisatorische Mängel“, „Menschliche Fehlhandlungen“, „Technisches Versagen“ und „Vorsätzliche Handlungen“ unterschieden. Zur Erstellung des Grundschutzes ist nach Aussagen des BSI das in diesen Katalogen zusammengestellte Wissen nicht unbedingt notwendig, es fördert jedoch das Verständnis für die Maßnahme sowie die Wachsamkeit der Verantwortlichen. Die einzelne Gefahrenquelle ist in einem kurzen Text beschrieben und anschließend werden Beispiele für Schadensfälle, die durch diese Gefahrenquelle auslösen kann, gegeben.
Maßnahmenkataloge
Die zur Umsetzung des Grundschutzes notwendigen Maßnahmen sind in Maßnahmenkatalogen zusammengefasst. So werden Maßnahmen, die für mehrere System-Komponenten angemessen sind, nur einmal zentral beschrieben. Hierbei werden auch Schichten zur Strukturierung der einzelnen Maßnahmengruppen genutzt. Es werden folgende Schichten gebildet: „Infrastruktur“, „Organisation“, „Personal“, „Hardware/Software“, „Kommunikation“ und „Notfallvorsorge“.
In der jeweiligen Maßnahmenbeschreibung sind zunächst Verantwortliche für die Initiierung und die Umsetzung der Maßnahme genannt. Es folgt eine ausführliche Beschreibung der Maßnahme. Abschließend werden Kontrollfragen zur korrekten Umsetzung genannt. Bei der Umsetzung der Maßnahmen sollte zunächst überprüft werden, ob eine Anpassung dieser auf den jeweiligen Betrieb notwendig ist. Eine genaue Dokumentation solcher Anpassungen ist zur späteren Nachvollziehbarkeit sinnvoll. Am Ende der Maßnahmen gibt es seit der 10. Ergänzungslieferung sogenannte Prüffragen, die die wesentlichen Aspekte einer Maßnahme nochmal aufgreifen und somit eine Art Checkliste darstellen, ob diese auch umgesetzt sind.
Weiterführendes Material
Neben den in den IT-Grundschutz-Katalogen zusammengefassten Informationen stellt das Bundesamt für Informationssicherheit weiteres Material im Internet[2] zur Verfügung. Die hier bereitgestellten Formulare dienen der Erhebung des Schutzbedarfs für bestimmte Bausteine des IT-Systems. Eine Tabelle fasst hierbei die für den einzelnen Baustein umzusetzenden Maßnahmen zusammen. Jede Maßnahme wird genannt und der Umsetzungsgrad erfasst. Es werden die Umsetzungsgrade „Entbehrlich“, „Ja“, „Teilweise“ und „Nein“ unterschieden. Anschließend wird die Umsetzung terminiert und ein Verantwortlicher benannt. Sollte die Umsetzung der Maßnahme nicht möglich sein, so sollten die Gründe hierfür in das anschließende Feld eingetragen werden, um später nachvollziehbar zu sein. Den Abschluss bildet eine Kostenschätzung.
Neben den Formularen sind die Kreuzreferenztabellen eine weitere hilfreiche Ergänzung. Sie fassen für den einzelnen Baustein die Maßnahmen und die wichtigsten Gefährdungen zusammen. Sowohl Maßnahmen als auch Gefährdungen werden mit dem Kürzel genannt. Die Maßnahmen werden mit einer Priorität versehen und deren Klassifizierung genannt. Der Tabelle ist zu entnehmen, welche Maßnahme welchen Gefährdungen entgegenwirkt. Hierbei ist jedoch zu beachten, das die Kreuzreferenztabellen nur die wichtigsten Gefährdungen nennen. Sollten für das individuelle IT-System die genannten Gefährdungen einer Maßnahme nicht zutreffen, so wird diese dadurch nicht überflüssig. Der Grundschutz kann nur gewährleistet werden, wenn alle Maßnahmen umgesetzt wurden.
Software
Das BSI stellt mit dem GSTOOL (aktuelle Version Februar 2009: 4.6) seit 1998 eine regelmäßig aktualisierte, innovative und ergonomisch handhabbare Software bereit, die den Anwender bei Erstellung, Verwaltung und Fortschreibung von IT-Sicherheitskonzepten entsprechend dem IT-Grundschutz effizient unterstützen soll[3].
Einzelnachweise
- ↑ IT-Grundschutz-Kataloge, Kap. 1.1
- ↑ BSI Download
- ↑ GSTOOL
Literatur
- Leitfaden Informationssicherheit. Deutschland. Bundesamt für Sicherheit in der Informationstechnik. (Stand 2009)
- BSI-Standards zur Informationssicherheit Deutschland. Bundesamt für Sicherheit in der Informationstechnik. 2. Auflage. Bundesanzeiger, Köln 2008. ISBN 3-89817-692-4
- IT-Grundschutz-Kataloge. Standardwerk zur Informationssicherheit. 10. Ergänzungslieferung. Bundesamt für Sicherheit in der Informationstechnik. Bundesanzeiger, Köln 2005ff. ISBN 3-88784-915-9 (Oktober 2008, inkl. CD-ROM)
Weblinks
- Vertraulichkeit
Wikimedia Foundation.