Ausarbeitung - an der Universität Duisburg-Essen

Das IT-Grundschutzhandbuch
des BSI
Vortrag im Rahmen des Seminars
‚Sicherheit in der IT’ im WS 04/05
Universität Duisburg-Essen - Campus Duisburg
Thorsten Hinrichs
thorsten.hinrichs@gmx.de
Brian Rosenberger
brian@brutex.de
26. Februar 2005

Inhaltsverzeichnis
1 Vorwort ........................................................................................................................................................ 1
2 Konzept des IT-Grundschutz ................................................................................................................... 2
2.1 Gefährdungslage/ Motivation ............................................................................................................ 2
2.2 Zielsetzung ......................................................................................................................................... 4
3 Aufbau des Handbuches zum IT-Grundschutz ..................................................................................... 5
3.1 Bausteine............................................................................................................................................ 5
Gefährdungskatalog ..................................................................................................................................... 11
3.2 Maßnahmenkatalog ......................................................................................................................... 12
4 Anwendung............................................................................................................................................... 14
4.1 Übersicht........................................................................................................................................... 14
4.2 IT-Strukturanalyse............................................................................................................................ 15
4.3 Schutzbedarfsfeststellung................................................................................................................ 16
4.4 Modellierung nach IT-Grundschutz................................................................................................. 17
4.5 Soll/ Ist Vergleich.............................................................................................................................. 19
4.6 Realisierung von IT-Sicherheitsmaßnahmen ................................................................................. 20
5 Zertifizierung............................................................................................................................................. 21
6 Das Grundschutz-Tool ............................................................................................................................ 22
7 Literaturverzeichnis................................................................................................................................. 23
-

1 Vorwort
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist der IT-
Sicherheitsdienstleister des Bundes. Eines der Ziele des BSI ist der sichere Einsatz von IT-
Systemen in unserer Gesellschaft. Damit einhergehend möchte das BSI auch das
Bewusstsein beim Bürger und bei den Behörden für das Thema „IT-Sicherheit“ wecken. Dies
geschieht aktiv durch Information und Aufklärung seitens des BSI durch Projektarbeiten.
Eines dieser genannten Projekte ist neben aktuellen Themen wie Biometrie und E-
Government, das IT-Grundschutzhandbuch (IT-GSHB), welches sich mit der Frage
beschäftigt, wie auf Gefährdungen, die auf IT-Systeme wirken, mit angemessenen
Maßnahmen reagiert werden kann.
Entstanden ist ein Handbuch, welches sowohl im inhaltlichen Umfang, als auch in der Nähe
zur Praxis beeindruckt. Die stetige Ergänzung und Präzisierung des GSHB unter Mitarbeit
führender IT-Unternehmen (z.B. Siemens, SAP und andere), sorgt für Aktualität und Bezug
auf Themen, die für Unternehmen von wesentlicher Bedeutung sind.
Die folgende Ausarbeitung im Rahmen des Seminars „Sicherheit in der IT“ an der Universität
Duisburg-Essen, Campus Duisburg im Wintersemester 2004/2005, soll einen inhaltlichen
Überblick über das GSHB geben und die Arbeitsweise sowie die dahinter stehende Methodik
des Handbuches verdeutlichen.
Thorsten Hinrichs
Brian Rosenberger
-1-

2 Konzept des IT-Grundschutz
2.1 Gefährdungslage/ Motivation
Ein modernes Staatswesen und die Wirtschaft und damit auch jedes einzelne Individuum ist
schon heute von funktionsfähiger IT abhängig.
Nimmt man die behördliche Verwaltung als integralen Bestandteil unseres Staatswesens, so
kann man sich diese Abhängigkeit einfach vor Augen führen, in dem man sich eine
Stadtverwaltung ohne (funktionierende) IT vorstellt – eine einfache Adressauskunft beim
Einwohnermeldeamt ist ohne zentrale Datenbank in einer Stadt oder Kreisverwaltung nicht
oder nur mit sehr großem Aufwand durchführbar.
Auch in der Wirtschaft ist diese Abhängigkeit im Gleichen – wenn nicht sogar im höheren
Maße gegeben. Kaum jemand wird bestreiten, dass die meisten wirtschaftlich orientierten
Unternehmungen ohne IT nicht mehr denkbar währen. Das klassische Beispiel ist hier das
Bankwesen – aber auch eine Buchhaltung wie sie jeder Betrieb aufweisen muss, ist
heutzutage fast nur noch mittels IT Unterstützung durchführbar.
Letztendlich ist der Arbeitsplatz und auch unser Lebensstandard beziehungsweise die
Lebensart jedes Einzelnen schon heute wesentlich von einer funktionierenden IT abhängig.
Diese Abhängigkeit schreitet mit der selbstverständlichen Integration von IT-Systemen in
viele Gesellschaftsbereiche (Handy, Online-Banking, E-Government), der Vernetzung von
IT-Systemen untereinander (Internet, Konzernnetze, Integration von Zulieferern) und der
steigenden Leistungsfähigkeit der IT-Systeme (Chipkaten, RFID-Chips, Rechnercluster)
immer weiter voran.
Mit fortschreitender Entwicklung erhöht sich auch der potentielle (soziale) Schaden durch
den Ausfall von IT. Dieses Gefährdungspotential steigt schneller an als der Grad der
Abhängigkeit denn:
In immer kürzeren Innovationszyklen werden neue Produkte und Techniken entwickelt, für
die die potentiellen Gefahren entweder gar nicht bekannt sind oder aufgrund des hohen
Innovationsdrucks teilweise nicht beseitigt werden („Produkt reift beim Kunden“).
Durch Öffnung und Vernetzung der IT-Systeme untereinander können Fehlfunktionen
einzelner IT-Komponenten mitunter globale Auswirkungen haben. Zudem bietet ein
vernetztes IT-System einem potentiellen Angreifer eine größere Angriffsfläche.
Mit steigender Komplexität steigt im Allgemeinen die Fehleranfälligkeit jedes technischen
Systems.
Die Komplexität von IT-Systemen ist inzwischen so hoch anzusehen, dass sie nur noch von
Spezialisten verstanden und auftretende Fehler nur von ihnen beseitigt werden können.
Damit ist ein IT-System nur für wenige transparent.
Betrachtet man die möglichen Fehler von IT-Systemen im Allgemeinen (IT Fehlfunktionen),
so zerfallen diese in vier Klassen (Beispiele aus dem Bankenbereich):
Verlust der Verfügbarkeit: Das IT-System steht aufgrund einer Fehlfunktion nicht mehr
(zuverlässig) zur Verfügung. Der Webserver ist durch einen Angriff ausgefallen – es können
keine Funktionen wie z.B Online-Banking genutzt werden.
-2-

Verlust der Vertraulichkeit (von Daten): Durch eine Fehlfunktion gelingt es einer nicht
berechtigten Person Zugriff, auf für sie nicht freigegebene Information zu erlangen. Nicht
berechtigte Personen können Daten wie Kontostand oder Umsätze einsehen.
Verlust der Integrität (Korrektheit von Daten): Bei dieser Fehlerart kommt es zu einer
Verfälschung oder Fälschung von Daten. Durch eine Fehlfunktion werden Überweisungen
falsch gebucht.
Verlust von Authentizität: Aufgrund einer Fehlfunktion gelingt es einer nicht berechtigten
Person die digitale Identität eines Anderen anzunehmen. Ein Angreifer gelingt es im Namen
einer anderen Person Überweisungen zu tätigen.
Versucht man diese Klassen noch weiter zu unterteilen, so führt das zu einer Unterteilung in
‚zufällige Ereignisse’ und ‚mit Vorsatz herbeigeführte Ereignisse’.
Zufällige Ereignisse umfassen Störungen durch höhere Gewallt (Blitzschlag), Nachlässigkeit
bzw. Fahrlässigkeit (wechseln das Sicherungsbandes vergessen) und technisches Versagen
(CPU Lüfter ausgefallen).
Es bleiben die mit Vorsatz herbeigeführten Ereignisse deren Motivation von Spieltrieb bis hin
zu Rachegefühlen, Neid oder persönliche Bereicherung reichen.
Eine weitere Unterteilungsdimension erreicht man in der Unterscheidung ob die Ursache für
die Störung innerhalb oder außerhalb der zu betrachteten Institution liegt.
Eine Möglichkeit sich diese Klassifizierung zu veranschaulichen ist die folgende Abbildung:
Durch drehen der Kreise sind 2 mal 4 mal 2 = 16 mögliche Ereignisse konfigurierbar was
auch der Gesamtzahl der im gsbh Gefahrenklassen ausmacht. Zieht man Statistiken 1 heran
wird klar das die meisten IT-Störungen fallen in den Bereich der zufälligen Ereignisse fallen.
Das größte Schadenspotential liegt allerdings im Bereich interner, vorsätzlicher Handlungen.
Daher antwortet das gshb nicht nur auf klassische Szenario eines externen Hackers der mit
Vorsatz Handlungen ausführt sondern geht weiter und fasst den Sicherheitsbegriff sehr
umfassend.
1 Untersuchung der KES (http://www.kes.info/archiv/material/studie2004/ergebnis.htm)
-3-

2.2 Zielsetzung
Die Autoren des IT- Grundschutzhandbuches zeigen die in 2.1 genannten Gefahren in
ähnlicher Weise und Systematik auf - sie geben aber keine umfassende Antwort auf die von
ihnen aufgezeigten Gefahren. So bietet das Handbuch keine Besprechung von zum Beispiel
brachenspezifischen Gefahren und deren Abwehr. Das IT-Grundschutzhandbuch des BSI
ist ein Katalog von modularen Standard-IT-Komponenten, wie etwa Client-Server Netze oder
Anwendungen wie Windows NT (im Folgenden Bausteinen genannt). Zu jedem dieser
Bausteine wird die zutreffende Gefährdungslage identifiziert und ein Maßnahmenbündel um
dieser Gefährdungslage angemessen entgegenzutreten, referenziert.
Der Anwender muss die für ihn notwendigen Bausteine identifizieren und so möglichst
genaues Abbild seines IT-Verbundes modellieren (siehe 4.4 Modellierung nach IT-
Grundschutz). Das Grundschutzhandbuch stellt hierzu Verfahren und Hilfsmittel bereit (z.B.
GS-Tool). Ist der IT-Verbund vollständig modelliert, dann können die vorgeschlagenen
Maßnahmenbündel realisiert werden und man erhält eine Standardsicherheit nach IT-
Grundschutz.
Ein solcher Baustein besteht aus drei Komponenten:
Beschreibung der Komponente – eine detaillierte Beschreibung des Bausteines zur
korrekten Modellbildung.
Erwartete Gefährdungslage - eine Betrachtung der typischen Gefährdungen die auf
diesen Baustein wirkt, inklusive pauschalierter Eintrittswahrscheinlichkeiten.
Gegenmaßnahmen - um der typischen Gefährdungslage zu begegnen wird ein
Maßnahmenbündel vorgeschlagen.
Vergleicht man die Verfahren des IT-Handbuches mit der klassischen Arbeitsweise zur
Herstellung von IT – Sicherheit, so erkennt man, dass mit dem IT-Grundschutzhandbuch und
seinen Werkzeugen im Allgemeinen eine kostengünstigere Methode zur Herstellung von IT-
Sicherheit zur Verfügung steht. Allerdings
erhält man keine individuelle Lösung.
Abbildung 1: Klassische Sicherheitsanalyse Abbildung 2: Arbeitsweise nach IT-GS
-4-

3 Aufbau des Handbuches zum IT-Grundschutz
3.1 Bausteine
Hier nun folgend ist eine kurze Übersicht über die im IT-Grundschutzhandbuch zurzeit
vorhandenen Bausteine. Diese Übersicht ist keinesfalls als abgeschlossen anzusehen –
sondern wird vom BSI ständig überarbeitet und durch neue zusätzliche Komponenten
erweitert. [http://www.bsi.de/ausschr/einkauf/ausschr26457.htm]
Als Beispiel ist in der folgenden Grafik der Baustein „5.1 DOS-PC (ein Benutzer)“ dargestellt.
Ein Baustein beginnt mit einer Ordnungsnummer und einem Bezeichner. Es folgt eine
Beschreibung der Komponente, die in diesem Baustein erfasst ist. Die Beschreibung wird
begleitet von einem Piktogramm des Bausteines. Der nächste Abschnitt beschreibt die
erwartete Gefährdungslage und referenziert in den Gefährdungskatalog. Analog wird im
Folgenden in den Maßnahmenkatalog referenziert. Diese Maßnahmen begegnen den
Gefährdungen entsprechend. Zusätzlich wird eine Prioisierung der Maßnahmen (Priorität in
Klammern hinter der Ordnungsnummer der Maßnahme) durchgeführt. Hierbei bezeichnet „3“
die höchste Wichtigkeit.
-5-

Aufgrund der Ausgiebigkeit der Quelle kann an dieser Stelle nur eine sehr rudimentäre
Übersicht über den Inhalt der einzelnen Bausteine gegeben werden.
A: Übergeordnete Komponenten
A.0 IT-Sicherheitsmanagement prinzipielle Einrichtung und
Weiterentwicklung eines IT-
Sicherheitsmanagements
A.1 Organisation grundsätzliche organisatorische
Regelungen wie z.B. Passwortgebrauch
A.2 Personal Maßnahmen das Personal betreffend
zum Beispiel Vertretungsregelungen oder
beim Ausscheiden von Mitarbeitern
A.3 Notfallvorsorge-Konzept Vorgehensweise zur Erstellung eines
Notfallvorsorge-Konzept (Erstellung
Notfallhandbuch – HowTos)
-6-

A.4 Datensicherungskonzept Anleitung zur Erstellung eines fundierten
Datensicherungskonzeptes
A.5 Datenschutz Vorstellung der Rahmenbedingungen für
einen praxisgerechten Datenschutz
A.6 Computer-Virenschutzkonzept Anleitung um ein effektives
Maßnahmenbündel zu erstellen mit dem
der Bedrohung durch Computer Viren
begegnet werden kann.
A.7 Kryptokonzept Vorstellung der Vorgehensweise um
Daten wirkungsvoll durch
kryptographische Verfahren und
Techniken zu schützen.
A.8 Behandlung von Sicherheitsvorfällen Vorgehensweise beim Aufbau eines
Sicherheitsmanagements (Institution)
A.9 Hard- und Software-Management Empfehlungen zu Regelungen und
Abläufen, die sich spezifisch auf
informationstechnische Hardware- oder
Software-Komponenten beziehen.
A.10 Outsourcing Sicherheitsmaßnahmen in
Zusammenarbeit mit externen
Dienstleistungen und Dienstleistern
B: Infrastruktur
B.1 Gebäude Bauliche und organisatorische
Maßnahmen wie Blitz/Brandschutz oder
Schlüsselverwaltung
B.2 Verkabelung Maßnahmen betreffend der
Gebäudeverkabelung (Versorgung &
Kommunikation)
B.3.1 Büroraum Maßnahmen die im Zusammenhang mit
IT-Einsatz im Büro stehen
B.3.2 Serverraum Maßnahmen die bei Nutzung eines
Raumes in dem ein Server aufgestellt ist,
beachtet werden müssen (Vermeidung
Wasserleitungen, USV etc.)
B.3.3 Datenträgerarchiv Bedingungen an einem Raum der als
Datenträgerarchiv genutzt wird
B.3.4 Raum für technische Infrastruktur Maßnahmen für Verteilerräume (Strom /
LAN / Kommunikation)
B.4 Schutzschränke Maßnahmen für die Aufstellung und
-7-

-8-
Benutzung eines Schutzschrankes
B.5 Häuslicher Arbeitsplatz Maßnamen um am häuslichen
Arbeitsplatz einen adäquaten
Sicherheitsstandard zu erreichen (z.B.
Telearbeitsplatz)
B.6 Rechenzentrum Maßnahmenempfehlungen für
Rechenzentren (nicht einzelner
Serverraum)
C: Nicht vernetzte Systeme und Clients
C.1 DOS-PC (ein Benutzer) Maßnahmen für einfachen PC mit einem
Benutzer
C.2 Unix-System Maßnamen (produktspezifisch) für Linux /
Unix Systeme im Desktop /
Terminaleinsatz
C.3 Tragbarer PC Maßnahmen speziell für mobile PCs (sind
besonders gefährdet)
C.4 PCs mit wechselnden Benutzern Maßnahmen für einfachen PC mit
mehreren Benutzern
C.5 PC unter Windows NT Maßnahmen (produktspezifisch) für
Windows NT 3.X / 4.0 Systeme
C.6 PC mit Windows 95 Maßnahmen (produktspezifisch) für
Windows 9X und ME Systeme
C.7 Windows 2000 Client Maßnahmen (produktspezifisch) für
Windows 2000 (Client) Systeme
C.8 Internet-PC Maßnahmen für PCs mit
Internetverbindung
C.9 Allgemeines nicht vernetztes IT-
System
D: Vernetzte Systeme und Server
Maßnahmen für noch nicht im IT-
Handbuch aufgenommene nicht vernetzte
PC Systeme (z.B. OS/2)
D.1 Servergestütztes Netz Maßnahmen die beim Betrieb eines
servergestützten Netzes beachtet werden
müssen (Allgemeine,
betriebssystemunabhängig- notwendige
Maßnahmen).
D.2 Unix-Server Maßnahmen (produktspezifisch) zur
Konzeption und Betrieb von Unix / Linux

-9-
Servern
D.3 Peer-to-Peer-Dienste Maßnahmen zur Konzeption eines sichern
P2P Netzwerkes (W3.11;W9X;WNT)
D.4 Windows NT Netz Maßnahmen (produktspezifisch) zur
Konzeption und Betrieb von NT 3.X und
4.0 Servern
D.5 Novell Netware 3.x Maßnahmen (produktspezifisch) zur
Konzeption und Betrieb von Netware 3.X
Servern
D.6 Novell Netware Version 4.x Maßnahmen (produktspezifisch) zur
Konzeption und Betrieb von Netware 4.X
Servern. (auch NDS)
D.7 Heterogene Netze Leitfaden zur Analyse, Weiterentwicklung
und Planung eines heterogenen Netzes
unter Beachtung diverser
Sicherheitsaspekte.
D.8 Netz- und Systemmanagement Beschreibt den Aufbau eines Netz- und
Systemmanagements Systems
D.9 Windows 2000 Server
E: Datenübertragungseinrichtungen
Maßnahmen (produktspezifisch) zur
Konzeption und zum Betrieb von Windows
2000 Servern (auch Active Directory &
Kerberos-Verfahren)
E.1 Datenträgeraustausch Maßnahmen, die bei einem
Datenträgeraustausch beachtet werden
sollten.
E.2 Modem Maßnahmen, die im Zusammenhang mit
dem Einsatz eines Modems zu beachten
sind
E.3 Firewall Maßnahmen die zum effektiven Aufbau,
Konfiguration und Wartung einer Firewall
E.4 E-Mail Maßnahmen rund um Email-
Kommunikation (server- und clientseitig)
E.5 Webserver Maßnahmen zur sicheren Verwendung
des WWW (server- und clientseitig)
E.6 Remote Access Anleitung zur Erstellung eines RAS
Sicherheitskonzeptes
E.7 Lotus Notes Sicherheitsmaßnahmen
(produktspezifisch) für den Aufbau und

-10-
Betrieb (server- und clientseitig) von Lotus
Notes (vgl. E.4).
E.8 Internet Information Server Sicherheitsmaßnahmen
(produktspezifisch) für IIS (vgl. E.5)
E.9 Apache-Webserver Sicherheitsmaßnahmen
(produktspezifisch) für den Apache
Webserver (vgl. E.5) (Schwerpunkt 2.X)
E.10 Exchange 2000 / Outlook 2000 Sicherheitsmaßnahmen
(produktspezifisch) für Exchange 2000
und Outlook 2000 (vgl. E.4).
F: Telekommunikation
F.1 TK-Anlage Sicherheitsmaßnahmen im Kontext einer
auf ISDN basierenden TK-Anlage
F.2 Faxgerät Sicherheitsmaßnahmen bezüglich
Faxnutzung
F.3 Anrufbeantworter Sicherheitsüberlegungen rund um den
Anrufbeantworter (z.B. Fernabfrage)
F.4 LAN-Anbindung eines IT-Systems
über ISDN
RAS Anbindung via ISDN
F.5 Faxserver Sicherheitsmaßnahmen für Faxserver (vgl.
F.2)
F.6 Mobiltelefon Sicherheitsmaßnahmen für GSM-
Standard (Zusammenspiel von
Mobiltelefon, Basisstation und Festnetz).
G: Sonstige IT-Komponenten
G.1 Standardsoftware Beschreibung der Vorgehensweise bei der
Gestaltung eines Lebenszyklus von
Standardsoftware (Anforderungskatalog,
Auswahl, Testen, Freigabe, Installation
und Deinstallation)
(Lifecycle-Management).
Insbesondere: Tests der Funktionalität
und Sicherheitseigenschaften,
Installationsanweisungen und
Freigabeerklärung.
G.2 Datenbanken Sicherheitsempfehlungen (Aufbau und
Betrieb) für Datenbanken (Benutzerrechte
/ Query-Design).

G.3 Telearbeit Regelungen (organisatorisch und
personell) und sicherheitstechnische
Anforderungen für Telearbeitsplätze.
G.4 Novell eDirectory Standard-Sicherheitsmaßnahmen für das
Novell eDirectory (produktspezifisch)
G.5 Archivierung Sicherheitsempfehlungen (Aufbau und
Betrieb) von Archivsystemen.
Gefährdungskatalog
Der Gefährdungskatalog enthält die genauen Beschreibungen der Gefährdungen, die in den
einzelnen Bausteinen als Gefährdungslage genannt wurden. Die Autoren unterteilen dabei
die Gefährdungen in fünf Kataloge Gruppen – die Zahl in Klammern gibt die Gesamtzahl der
Gefährdungen in jeweiligen Teilkatalog an:
G1: Höhere Gewalt (14)
G2: Organisatorische Mängel (97)
G3: Menschliche Fehlhandlungen (63)
G4: Technisches Versagen (48)
G5: Vorsätzliche Handlungen (111)
Aufgrund des Umfangs kann eine genaue Betrachtung aller einzelnen Gefährdungen nicht
erfolgen. Um den prinzipiellen Aufbau einer Gefährdung aufzuzeigen, ist im Folgenden nun
die Gefährdung G2.79 (G = Gefährdung / 2 = „Teilkatalog Organisatorische Mängel“ / . / 79 =
Fortlaufende Nummer im Teilkatalog) als Beispiel aufgeführt. Ein solcher Baustein besteht
aus mehreren Bereichen. Einleitend stehen der Bezeichner und die Ordnungsnummer. Im
zweiten Abschnitt sind Beispiele für auftretende Sicherheitsprobleme aufgeführt.
-11-

Abbildung 3 Beispielhafter Baustein aus dem Gefahrenkatalog
3.2 Maßnahmenkatalog
Dieser Teil beschreibt die in den Bausteinen des Handbuchs referenzierten IT-
Sicherheitsmaßnahmen genauer. In dem Katalog werden die Maßnahmen 6 Überbegriffen
zugeordnet -
M 1: Infrastrukturelle Maßnahmen (60)
M 2: Organisatorische Maßnahmen (275)
M 3: Personelle Maßnahmen (37)
M 4: Maßnahmen im Bereich Hard- und Software (200)
M 5: Maßnahmen im Kommunikationsbereich (110)
M 6: Notfallvorsorge-Maßnahmen (90)
-12-

Aufgrund des Umfangs kann auch hier eine genaue Betrachtung aller einzelnen Maßnahmen
nicht erfolgen. Um den prinzipiellen Aufbau einer Maßnahme aufzuzeigen, ist im Folgenden
nun die Maßnahme M2.16 als Beispiel dargestellt.
Eine Maßnahme wird mit der Ordnungsnummer und einem Bezeichner referenziert.
Aufgeführt sind weiterhin der Personenkreis der für die Initiierung der Maßnahme
verantwortlich ist und der Personenkreis der die Umsetzung der Maßnahme vorzunehmen
hat. Es folgt eine Beschreibung der durchzuführenden Maßnahme mit Vorschlägen oder
Empfehlungen zur Umsetzung. Ein weiterer Abschnitt gibt hinweise zur Aufklärung und
Schulung der betroffenen Personen. Abschließend werden Kontrollfragen aufgeführt, die
dazu dienen die Umsetzung der Maßnahmen verifizieren zu können.
Abbildung 4 Beispielhafter Baustein aus dem Maßnahmenkatalog
-13-

4 Anwendung
4.1 Übersicht
Durch eine klare Struktur und Anwendungsweise unterstützt das IT-Grundschutzhandbuch
den Anwender bei der Erstellung eines Sicherheitskonzepts für seine IT-Umgebung. Anhand
von im Wesentlichen vier Vorgängen wird der Sicherheitsanspruch in eine Konzeption
umgesetzt. Die Schritte gliedern sich in die Erfassung der vorhandenen IT-Landschaft, der
Definition des Schutzbedarfes, der Analyse/ Modellierung nach IT-Grundschutz und der
Planung von Realisierungsmaßnahmen. Abbildung 5 zeigt eine schematische Darstellung
der Vorgehensweise.
Abbildung 5: Erstellung eines IT-Sicherheitskonzepts
Eine ergänzende Sicherheitsanalyse ist, wie die Grafik zeigt, nur noch optional notwendig.
Die Anwendung des IT-Grundschutzhandbuches trägt somit der Idee Rechnung, eine
pauschalierte IT-Sicherheit zu definieren.
-14-

4.2 IT-Strukturanalyse
Die IT-Strukturanalyse ist der erste Schritt in der Anwendung des IT-
Grundschutzhandbuches. Die Strukturanalyse dient der Erhebung der vorhandenen IT-
Landschaft und gliedert sich wie folgt in
Netzplanerhebung
Komplexitätsreduktion durch Gruppenbildung
Erhebung der IT-Systeme
Erhebung der IT-Anwendung
Der Netzplan ist eine geeignete grafische Darstellung über die betrachteten IT-Komponenten
und deren Vernetzung. Aus ihm sollen die Abhängigkeiten und Eigenschaften der IT-
Systeme hervorgehen. Der Netzplan enthält daher nicht nur Client- und Server-Computer
und aktive Netzkomponenten sondern auch passive Komponenten, interne
Netzverbindungen und externe Netzanbindungen.
Zur Eigenschaftsbeschreibung der Komponenten ist jeweils ein geeigneter Datensatz
erforderlich, der die Komponente minimal, aber ausreichend qualifiziert. Beispiele für
Datenfelder sind eine eindeutige Bezeichnung, Typ und Funktion, Standort, zuständige
Person etc. Je nach Art der IT-Komponente sind die notwendigen Datenfelder entsprechend
anzupassen.
Als Ergebnis dieser Bemühungen erhält man einen Netzplan, der nun als Grundlage für die
Modellierung der IT-Systeme nach IT-Grundschutz dienen kann. Die Komplexität des
Netzplanes hängt unmittelbar von der Größe der dargestellten IT-Systeme ab. Zudem
unterliegen viele IT-Systeme stetiger Veränderungen, welche immer wieder im Netzplan neu
erfasst und aktualisiert werden müssen.
Durch Hilfsmittel zur Erfassung von Netzplänen kann hier eine wesentliche
Arbeitserleichterung erfolgen.
Für die später durchzuführende Schutzbedarfsfeststellung ist es nicht notwendig, jede IT-
Komponente im Einzelnen zu betrachten. Auch hier wird die Idee der pauschalierten
Sicherheit konsequent umgesetzt. Die folgende Schutzbedarfsfeststellung betrachtet
zunächst gleichartige Komponenten als Gruppe gleicher Komponenten, d.h. jedes Element
der Gruppe repräsentiert alle Elemente der Gruppe vollständig. Beispiel für eine sinnvolle
Clusterung ist die Zusammenfassung von Client-Computern mit gleichen oder ähnlichen IT-
Anwendungen oder die Gruppierung von redundanten Serversystemen.
Die Erhebung der IT-Systeme umfasst zum einen die Umsetzung des Netzplanes in
tabellarische Form und zum anderen die Ergänzung nicht vernetzter Komponente, die im
Netzplan nicht vorhanden sind. Erhoben werden nur aktive Komponenten, diese müssen
erneut mit einem sinnvollen Datensatz beschrieben werden.
Ebenfalls sind die IT-Anwendungen tabellarisch zu erfassen und gegebenenfalls geeignet zu
Gruppieren. Auch zu den IT-Anwendungen sind beschreibende Daten hinzuzufügen. Bei der
Erfassung der IT-Anwendungen ist eine Beschränkung auf sensible Anwendungen möglich.
Die Klassifizierung in „wichtige“ und „weniger wichtige“ Anwendung kann zum Beispiel durch
eine Benutzerbefragung generiert werden.
-15-

4.3 Schutzbedarfsfeststellung
Die Schutzbedarfsfeststellung der erfassten IT-Struktur gliedert sich in vier Schritte. Nach der
Definition von Schutzbedarfskategorien wird anhand von typischen Schadensszenarien
zunächst der Schutzbedarf der IT-Anwendungen bestimmt. Anschließend kann daraus der
Schutzbedarf der einzelnen IT-Systeme abgeleitet werden. Aus dem Schutzbedarf der IT-
Systeme ergibt sich dann der Schutzbedarf der Umgebung der IT-Systeme, wie zum Beispiel
die Verkabelung, Räumlichkeiten und Ähnliches.
Nach IT-Grundschutz haben IT-Anwendungen einen Schutzbedarf bezüglich Integrität,
Verfügbarkeit und Vertraulichkeit. Die Einteilung in Schutzbedarfskategorien erfolgt anhand
der möglichen Schäden, die durch mangelnden Schutz der IT-Anwendung entstehen
können. Abbildung 5 zeigt die drei Schutzbedarfsstufen „niedrig bis mittel“, „hoch“ und „sehr
hoch“.
Abbildung 6: Definition der Schutzbedarfskategorien
Die Feststellung des Schutzbedarfes der IT-Systeme erfolgt nach dem Maximum-Prinzip.
Hierbei bestimmt die Summe der möglichen Schäden, der für das IT-System relevanten IT-
Anwendungen, den Schutzbedarf des IT-Systems. Handelt es sich dabei um IT-
Anwendungen verschiedener IT-Systeme, dann müssen Schutzbedarfsanforderungen des
einen IT-Systems auch auf das andere übertragen werden, d.h. mögliche Abhängigkeiten
sind zu beachten. Ebenfalls gesteigert sein, kann der Schutzbedarf des IT-Systems, durch
einen Kumulationseffekt von vielen kleinen möglichen Schäden. Weiterhin kann der
Schutzbedarf durch einen Verteilungseffekt relativiert werden, wenn zum Beispiel nur
unwesentliche Teile einer IT-Anwendung mit hohem Schutzbedarf für ein IT-System relevant
sind.
Die Erfassung von kritischen Kommunikationsverbindungen gestaltet sich wie folgt: Zunächst
werden sämtliche Verbindungen mit Übergang in externe Netze als kritische Verbindungen
identifiziert und erfasst. Anschließend untersucht man sämtliche Verbindungen, die von
einem IT-System mit hohem oder sehr hohem Schutzbedarf ausgehen. Dabei werden
diejenigen Verbindungen identifiziert, über die hochschutzbedürftige Informationen
übertragen werden. Danach untersucht man die Verbindungen, über die diese
hochschutzbedürftigen Daten weitergeleitet werden, falls es solche gibt. Abschließend sind
die Kommunikationsverbindungen zu identifizieren, über die derlei Informationen in keinem
Falle übertragen werden dürfen. Alle oben genannten Verbindungen, die zu untersuchen
sind, sind als kritische Verbindungen einzustufen.
Bei der Erfassung der IT-Systeme in der IT-Strukturanalyse sind bereits die Standorte der
Systeme erfasst und vermerkt worden. Der Schutzbedarf der Räumlichkeiten in denen die IT-
Systeme eingesetzt werden, leitet sich aus deren Schutzbedarf nach dem Maximum-Prinzip
ab. Der Schutzbedarf der Räume resultiert also aus der Summe der
Schutzbedarfsanforderungen der dort eingesetzten IT-Systeme unter Berücksichtigung des
Kumulationseffektes.
-16-

Die Ergebnisse der Schutzbedarfsfeststellung der IT-Anwendungen, IT-Systeme,
Netzverbindungen und Räume wird in Tabellen festgehalten. Darin ist zu verzeichnet,
welchen Schutzbedarf jede Komponente bezüglich Vertraulichkeit, Integrität und
Verfügbarkeit hat. Die Klassifizierung muss für Außenstehende nachvollziehbar sein, dies
kann durch jeweilige Begründung der Klassifizierung erfolgen.
Der letzte Schritt der Schutzbedarfsfeststellung ist die Interpretation der Ergebnisse und die
Abbildung der ermittelten Schutzbedürftigkeiten auf Schutzbedarfskategorien nach IT-
Grundschutz. Die Tabelle in Abbildung 7 hilft bei der Zuordnung.
Abbildung 7: Zuordnung Schutzwirkung/ Schutzbedarf
4.4 Modellierung nach IT-Grundschutz
Die zentrale Aufgabe nach der Strukturanalyse und Schutzbedarfsfeststellung liegt in der
Modellierung des erfassten IT-Verbundes nach IT-Grundschutz. Hierzu werden die
Komponenten des IT-Verbundes auf die Bausteine des IT-Grundschutzhandbuches
abgebildet und so der IT-Verbund bestmöglich nachgebildet.
Das IT-Grundschutzmodell eines IT-Verbundes identifiziert die relevanten Sicherheitsaspekte
unmittelbar über die verwendeten Bausteine.
Ein IT-Grundschutzmodell kann sowohl zur Planung eines neuen IT-Verbundes, als auch als
Hilfsmittel beim Soll/ Ist Vergleich verwendet werden. Die Modellierung nach IT-Grundschutz
ist somit unabhängig von tatsächlich vorhandenen Systemen.
Um die Abbildung eines komplexen IT-Verbundes nach IT-Grundschutz zu erleichtern, wird
eine Gruppierung der IT-Sicherheitsaspekte in fünf Schichten vorgenommen. Abbildung 8
zeigt das Schichtenmodell des IT-Grundschutzes.
-17-

Abbildung 8: IT-Grundschutz Schichtenmodell
Die einzelnen Schichten sind wie folgt charakterisiert:
Schicht 1 umfasst sämtliche übergreifenden IT-Sicherheitsaspekte, die für sämtliche oder
große Teile des IT-Verbunds gleichermaßen gelten. Dies betrifft insbesondere übergreifende
Konzepte und die daraus abgeleiteten Regelungen. Typische Bausteine der Schicht 1 sind
unter anderem IT-Sicherheitsmanagement, Organisation, Datensicherungskonzept und
Computer-Virenschutzkonzept.
Schicht 2 befasst sich mit den baulich-technischen Gegebenheiten, in der Aspekte der
infrastrukturellen Sicherheit zusammengeführt werden. Dies betrifft insbesondere die
Bausteine Gebäude, Räume, Schutzschränke und häuslicher Arbeitsplatz.
Schicht 3 betrifft die einzelnen IT-Systeme des IT-Verbunds, die ggf. in Gruppen
zusammengefasst wurden. Hier werden die IT-Sicherheitsaspekte sowohl von Clients als
auch von Servern, aber auch von Stand-alone-Systemen behandelt. In die Schicht 3 fallen
damit beispielsweise die Bausteine Unix-System, Tragbarer PC, Windows NT Netz und TK-
Anlage.
Schicht 4 betrachtet die Vernetzungsaspekte der IT-Systeme, die sich nicht auf bestimmte
IT-Systeme, sondern auf die Netzverbindungen und die Kommunikation beziehen. Dazu
gehören zum Beispiel die Bausteine Heterogene Netze, Netz- und Systemmanagement und
Firewall.
Schicht 5 schließlich beschäftigt sich mit den eigentlichen IT-Anwendungen, die im IT-
Verbund genutzt werden. In dieser Schicht können unter anderem die Bausteine E-Mail,
WWW-Server, Faxserver und Datenbanken zur Modellierung verwendet werden.
Die Einteilung der Sicherheitsaspekte in Schichten fördert nicht nur die Übersichtlichkeit,
sondern dient auch der Komplexitätsreduktion. Durch die Abkopplung von IT-Verbundübergreifenden
Aspekten vom einzelnen IT-System werden Anpassungen in unteren
Schichten erleichtert. Umgekehrt wirken sich Änderungen in höheren Schichten auf darunter
liegende Schichten aus, ohne, dass eine Neumodellierung notwendig wird.
Die einzelnen Schichten sind so gewählt, dass auch die Zuständigkeiten für die betrachteten
Aspekte gebündelt sind. Schicht 1 betrifft Grundsatzfragen des IT-Einsatzes, Schicht 2 den
Bereich Haustechnik, Schicht 3 die Ebene der Administratoren und IT-Nutzer, Schicht 4 die
-18-

Netz- und Systemadministratoren und Schicht 5 schließlich die IT-
Anwendungsverantwortlichen und -betreiber.
Die Modellierung nach IT-Grundschutz besteht nun daraus, für die Bausteine einer jeden
Schicht zu entscheiden, ob und wie sie zur Abbildung des IT-Verbunds herangezogen
werden können. Je nach betrachtetem Baustein können die Zielobjekte dieser Abbildung von
unterschiedlicher Art sein: einzelne Komponenten, Gruppen von Komponenten, Gebäude,
Liegenschaften, Organisationseinheiten, usw.
Die Zuordnung erfolgt tabellarisch. Vermerkt werden die Nummer und der Titel des
angewendeten Bausteines, die Identifikationskennung der modellierten IT-Komponente
sowie eine Begründung der Zuordnung.
Das Grundschutzhandbuch stellt dem Anwender detaillierte Modellierungsbeschreibungen
der einzelnen Bausteine zur Verfügung.
4.5 Soll/ Ist Vergleich
Bisher ist nun mittels der IT-Strukturanalyse eine Übersicht über die vorhandene IT, deren
Einsatzorte und die verwendeten IT-Anwendungen erstellt worden. Diese Informationen
wurden dann nach IT-Grundschutz modelliert, das heißt, der zu betrachtende IT-Verbund
wurde auf die Grundschutz-Bausteine abgebildet.
Dieses Modell des IT-Verbundes dient nun als Grundlage für den Soll/ Ist Vergleich. Für jede
relevante Standardsicherheitsmaßnahme muss nun entschieden werden, ob ausreichende
Maßnahmen bereits ergriffen wurden, oder ob Mängel bestehen.
Um den Grad der Umsetzung von Maßnahmen bestimmen zu können, müssen zuvor in
einer organisatorischen Vorarbeit, diejenigen Personen identifiziert werden, die sowohl
kompetent als auch verantwortlich für die IT-Systeme sind, die von den
Grundschutzbausteinen abgebildet werden.
Diese Personen schätzen nun die zu den Bausteinen gehörenden Maßnahmen in Bezug auf
die bereits erfolgte Umsetzung ein. Es gibt 4 Stufen:
"entbehrlich"
Die Umsetzung der Maßnahmenempfehlungen ist in der vorgeschlagenen Art nicht
notwendig, da den entsprechenden Gefährdungen mit anderen adäquaten Maßnahmen
entgegengewirkt wird (z. B. durch Maßnahmen, die nicht im IT-Grundschutzhandbuch
aufgeführt sind, aber dieselbe Wirkung erzielen), oder die Maßnahmenempfehlungen nicht
relevant sind (z. B. weil Dienste nicht aktiviert wurden).
"ja"
Alle Empfehlungen in der Maßnahme sind bereits vollständig und wirksam umgesetzt.
"teilweise"
Einige der Empfehlungen sind umgesetzt, andere noch nicht oder nur teilweise.
"nein"
Die Empfehlungen der Maßnahme sind größtenteils noch nicht umgesetzt.
Das BSI stellt entsprechende Formulare für jeden Grundschutzbaustein zur Verfügung, in
dem die Ergebnisse dokumentiert werden können. Aus diesen Ergebnissen leitet sich dann
ein Realisierungsplan von noch zu ergreifenden Maßnahmen ab.
-19-

4.6 Realisierung von IT-Sicherheitsmaßnahmen
Für die Realisierung von Sicherheitsmaßnahmen müssen die „Mängel“ im IT-Verbund mit
oben beschriebenen Methoden erfasst worden sein. Eine gut geplante Realisierung ist vor
allem dann notwendig, wenn eine Vielzahl von umzusetzenden Maßnahmen einer
Begrenzen Anzahl von Ressourcen (Arbeitszeit und Geldmittel) gegenüber steht.
Zunächst ist es notwendig eine Prioisierung der Maßnahmen vorzunehmen. Weiterhin kann
es notwendig sein, Maßnahmen aus anderen Quellen (z.B. einer Risikoanalyse) mit den
Maßnahmen des GSHB zu konsolidieren. Hierbei ist insbesondere darauf zu achten, dass
sich Maßnahmen nicht gegenseitig aushebeln und der laufende Betrieb des Unternehmens
während der Umsetzungsphase nicht gestört wird.
In einer Kostenaufwandsschätzung sind die benötigten Ressourcen für jede einzelne
Maßnahme zu erfassen. Hierbei sollte zwischen einmaligen und wiederkehrenden
Investitionskosten bzw. Personalaufwänden unterschieden werden. An dieser Stelle zeigt
sich häufig, dass Einsparungen bei der Technik einen hohen fortlaufenden Personaleinsatz
verursachen. Hier ist das Optimum abzuwägen. Unter Umständen kommt es vor, dass
einzelne Maßnahmen wirtschaftlich nicht umsetzbar sind. In einem solchen Fall müssen
entweder Ersatzmaßnahmen getroffen werden oder das Restrisiko durch die
Nichtumsetzung der Maßnahme ist für das Unternehmen vertretbar. Hierüber sollte eine
Dokumentation angelegt werden.
Für den Fall, dass nicht alle Maßnahmen zugleich umgesetzt werden können (z.B. durch
limitiertes Budget oder organisatorischen Gründen), muss eine Umsetzungsreihenfolge
festgelegt werden. Folgende Aspekte sollten berücksichtigt werden:
Die Priorität einer Maßnahme spiegelt wider, in welcher zeitlichen Reihenfolge die
Maßnahme vorrangig umzusetzen ist. Bei einigen Maßnahmen ergibt sich durch logische
Zusammenhänge eine zwingende zeitliche Reihenfolge. Manche Maßnahmen erzielen eine
große Breitenwirkung, manche jedoch nur eine eingeschränkte lokale Wirkung. Oft ist es
sinnvoll, zuerst auf die Breitenwirkung zu achten.
Es gibt Bausteine, die auf das angestrebte Sicherheitsniveau einen größeren Einfluss haben
als andere. Maßnahmen eines solchen Bausteins sollten bevorzugt behandelt werden.
Bausteine mit auffallend vielen fehlenden Maßnahmen lassen auf Bereiche mit vielen
Schwachstellen schließen. Diese sollten ebenfalls bevorzugt behandelt werden.
Unausweichlich ist die Bestimmung von Verantwortlichen für die Realisierungsmaßnahmen.
Diese sind am Besten namentlich zu erfassen.
Der nach dem obigen Schema erstellte Realisierungsplan sollte nun folgendes umfassen:
- Beschreibung des Zielobjektes als Einsatzumfeld,
- Nummer des betrachteten Bausteins,
- Maßnahmentitel bzw. Maßnahmenbeschreibung,
- Terminplanung für die Umsetzung,
- Budgetrahmen,
- Verantwortliche für die Umsetzung und
- Verantwortliche für die Überwachung der Realisierung.
-20-

5 Zertifizierung
Um die „Sicherheit“ von IT-Systemen messbar zu machen ist ein
Zertifizierungsmechanismus notwendig. Ein solches Zertifikat kann dann von Unternehmen
eingesetzt werden um einen vertrauenswürdigen Nachweis über die Umsetzung IT-
Sicherheitsmaßnahmen führen zu können. Zwischen kooperierenden Unternehmen dient ein
solches Zertifikat zur Gradmessung der Vertrauensstufe der IT-Systeme. Neue Systeme
können in ihrer Sicherheit durch ein solches Zertifikat in punkto Sicherheit gemessen werden.
Auch große Systeme bestehend aus kleinen Systemen mit jeweils solchen Zertifikaten
erlauben somit eine Aussage über die garantierte Sicherheit. Unternehmen und Behörden
können gegenüber dem Kunden, beziehungsweise dem Bürger ihre Sicherheitsmaßnahmen
ausweisen und mit einem solchen Zertifikat auch werben.
Ein Zertifikat über die Sicherheit eines IT-Verbundes nach IT-Grundschutz wird vom BSI
ausschließlich nach Prüfung durch eine unabhängige, akkreditierte Prüfstelle (lizenzierter
Auditor) ausgestellt. Ausgestellte Zertifikate werden auf dem BSI ausgestellt und somit der
Allgemeinheit verfügbar gemacht.
Das BSI definiert weiterhin zwei Vorstufen zum Grundschutz-Zertifikat und zwar
die Selbsterklärung „IT-Grundschutz Einstiegsstufe“
die Selbsterklärung „IT-Grundschutz Aufbaustufe“
Die Selbsterklärungen können von einem Zeichnungsbeauftragten des Unternehmens oder
der Behörde ausgestellt werden. Das BSI veröffentlicht auch diese auf einem öffentlichen
Server. Die Selbsterklärungen sollen ausdrücken, dass sich das Unternehmen oder die
Behörde im Zertifizierungsprozess befindet.
Im Jahr 2004 sind folgende Unternehmen zertifiziert worden (Auszug):
SAP System Integration AG, GSZ-BSI-0006-2004
-Deutsche Post Direkt GmbH, GSZ-BSI-0008-2004
IT-Verbund der Toll Collect GmbH, GsZ-BSI-0011-2004
Ein Zertifikat enthält neben Firmenbezeichnung und Gültigkeit den Namen des Auditors,
Stand des GSHB auf dessen Basis geprüft wurde, und eine Beschreibung des
Untersuchungsgegenstandes sowie eventuell weitere Normen die erfüllt wurden.
Exemplarisch findet sich zum Beispiel hier (http://www.bsi.bund.de/gshb/zert/gs0011.pdf).
-21-

6 Das Grundschutz-Tool
Mit der Entwicklung des BSI Tool IT-Grundschutz (GSTOOL) stellt das BSI eine innovative
und ergonomisch handhabbare Software bereit, die den Anwender bei Erstellung,
Verwaltung und Fortschreibung von IT-Sicherheitskonzepten entsprechend dem IT-
Grundschutz effizient unterstützt.
Nach Erfassung benötigter Informationen steht dem Anwender ein umfangreiches
Berichtssystem zur Verfügung, mittels dessen er strukturierte Auswertungen über alle
relevanten Daten durchführen und diese auch auf Papier oder elektronisch ausgeben kann.
Das GSTOOL leistet folgendes:
Modellierung und Schichtenmodell nach IT-Grundschutz
IT-Systemerfassung / Strukturanalyse
Maßnahmenumsetzung
Schutzbedarfsfeststellung
Berichterstellung
Kostenauswertung
Revisionsunterstützung
Berichte zur Zertifizierung
Eine 30-Tage Testversion der Software kann vom BSI bezogen werden
(http://www.bsi.de/gstool/down.htm).
-22-

7 Literaturverzeichnis
IT-Grundschutzhandbuch, Aufl. 2004, Bundesamt für Sicherheit in der Informationstechnik
(www.bsi.de)
Newsticker des Heise Verlag
– Die Zeitschrift für Informations-Sicherheit
-23-