Ausarbeitung - an der Universität Duisburg-Essen
Ausarbeitung - an der Universität Duisburg-Essen
Ausarbeitung - an der Universität Duisburg-Essen
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Das IT-Grundschutzh<strong>an</strong>dbuch<br />
des BSI<br />
Vortrag im Rahmen des Seminars<br />
‚Sicherheit in <strong>der</strong> IT’ im WS 04/05<br />
<strong>Universität</strong> <strong>Duisburg</strong>-<strong>Essen</strong> - Campus <strong>Duisburg</strong><br />
Thorsten Hinrichs<br />
thorsten.hinrichs@gmx.de<br />
Bri<strong>an</strong> Rosenberger<br />
bri<strong>an</strong>@brutex.de<br />
26. Februar 2005
Inhaltsverzeichnis<br />
1 Vorwort ........................................................................................................................................................ 1<br />
2 Konzept des IT-Grundschutz ................................................................................................................... 2<br />
2.1 Gefährdungslage/ Motivation ............................................................................................................ 2<br />
2.2 Zielsetzung ......................................................................................................................................... 4<br />
3 Aufbau des H<strong>an</strong>dbuches zum IT-Grundschutz ..................................................................................... 5<br />
3.1 Bausteine............................................................................................................................................ 5<br />
Gefährdungskatalog ..................................................................................................................................... 11<br />
3.2 Maßnahmenkatalog ......................................................................................................................... 12<br />
4 Anwendung............................................................................................................................................... 14<br />
4.1 Übersicht........................................................................................................................................... 14<br />
4.2 IT-Struktur<strong>an</strong>alyse............................................................................................................................ 15<br />
4.3 Schutzbedarfsfeststellung................................................................................................................ 16<br />
4.4 Modellierung nach IT-Grundschutz................................................................................................. 17<br />
4.5 Soll/ Ist Vergleich.............................................................................................................................. 19<br />
4.6 Realisierung von IT-Sicherheitsmaßnahmen ................................................................................. 20<br />
5 Zertifizierung............................................................................................................................................. 21<br />
6 Das Grundschutz-Tool ............................................................................................................................ 22<br />
7 Literaturverzeichnis................................................................................................................................. 23<br />
-
1 Vorwort<br />
Das Bundesamt für Sicherheit in <strong>der</strong> Informationstechnik (BSI) ist <strong>der</strong> IT-<br />
Sicherheitsdienstleister des Bundes. Eines <strong>der</strong> Ziele des BSI ist <strong>der</strong> sichere Einsatz von IT-<br />
Systemen in unserer Gesellschaft. Damit einhergehend möchte das BSI auch das<br />
Bewusstsein beim Bürger und bei den Behörden für das Thema „IT-Sicherheit“ wecken. Dies<br />
geschieht aktiv durch Information und Aufklärung seitens des BSI durch Projektarbeiten.<br />
Eines dieser gen<strong>an</strong>nten Projekte ist neben aktuellen Themen wie Biometrie und E-<br />
Government, das IT-Grundschutzh<strong>an</strong>dbuch (IT-GSHB), welches sich mit <strong>der</strong> Frage<br />
beschäftigt, wie auf Gefährdungen, die auf IT-Systeme wirken, mit <strong>an</strong>gemessenen<br />
Maßnahmen reagiert werden k<strong>an</strong>n.<br />
Entst<strong>an</strong>den ist ein H<strong>an</strong>dbuch, welches sowohl im inhaltlichen Umf<strong>an</strong>g, als auch in <strong>der</strong> Nähe<br />
zur Praxis beeindruckt. Die stetige Ergänzung und Präzisierung des GSHB unter Mitarbeit<br />
führen<strong>der</strong> IT-Unternehmen (z.B. Siemens, SAP und <strong>an</strong><strong>der</strong>e), sorgt für Aktualität und Bezug<br />
auf Themen, die für Unternehmen von wesentlicher Bedeutung sind.<br />
Die folgende <strong>Ausarbeitung</strong> im Rahmen des Seminars „Sicherheit in <strong>der</strong> IT“ <strong>an</strong> <strong>der</strong> <strong>Universität</strong><br />
<strong>Duisburg</strong>-<strong>Essen</strong>, Campus <strong>Duisburg</strong> im Wintersemester 2004/2005, soll einen inhaltlichen<br />
Überblick über das GSHB geben und die Arbeitsweise sowie die dahinter stehende Methodik<br />
des H<strong>an</strong>dbuches verdeutlichen.<br />
Thorsten Hinrichs<br />
Bri<strong>an</strong> Rosenberger<br />
-1-
2 Konzept des IT-Grundschutz<br />
2.1 Gefährdungslage/ Motivation<br />
Ein mo<strong>der</strong>nes Staatswesen und die Wirtschaft und damit auch jedes einzelne Individuum ist<br />
schon heute von funktionsfähiger IT abhängig.<br />
Nimmt m<strong>an</strong> die behördliche Verwaltung als integralen Best<strong>an</strong>dteil unseres Staatswesens, so<br />
k<strong>an</strong>n m<strong>an</strong> sich diese Abhängigkeit einfach vor Augen führen, in dem m<strong>an</strong> sich eine<br />
Stadtverwaltung ohne (funktionierende) IT vorstellt – eine einfache Adressauskunft beim<br />
Einwohnermeldeamt ist ohne zentrale Datenb<strong>an</strong>k in einer Stadt o<strong>der</strong> Kreisverwaltung nicht<br />
o<strong>der</strong> nur mit sehr großem Aufw<strong>an</strong>d durchführbar.<br />
Auch in <strong>der</strong> Wirtschaft ist diese Abhängigkeit im Gleichen – wenn nicht sogar im höheren<br />
Maße gegeben. Kaum jem<strong>an</strong>d wird bestreiten, dass die meisten wirtschaftlich orientierten<br />
Unternehmungen ohne IT nicht mehr denkbar währen. Das klassische Beispiel ist hier das<br />
B<strong>an</strong>kwesen – aber auch eine Buchhaltung wie sie je<strong>der</strong> Betrieb aufweisen muss, ist<br />
heutzutage fast nur noch mittels IT Unterstützung durchführbar.<br />
Letztendlich ist <strong>der</strong> Arbeitsplatz und auch unser Lebensst<strong>an</strong>dard beziehungsweise die<br />
Lebensart jedes Einzelnen schon heute wesentlich von einer funktionierenden IT abhängig.<br />
Diese Abhängigkeit schreitet mit <strong>der</strong> selbstverständlichen Integration von IT-Systemen in<br />
viele Gesellschaftsbereiche (H<strong>an</strong>dy, Online-B<strong>an</strong>king, E-Government), <strong>der</strong> Vernetzung von<br />
IT-Systemen unterein<strong>an</strong><strong>der</strong> (Internet, Konzernnetze, Integration von Zulieferern) und <strong>der</strong><br />
steigenden Leistungsfähigkeit <strong>der</strong> IT-Systeme (Chipkaten, RFID-Chips, Rechnercluster)<br />
immer weiter vor<strong>an</strong>.<br />
Mit fortschreiten<strong>der</strong> Entwicklung erhöht sich auch <strong>der</strong> potentielle (soziale) Schaden durch<br />
den Ausfall von IT. Dieses Gefährdungspotential steigt schneller <strong>an</strong> als <strong>der</strong> Grad <strong>der</strong><br />
Abhängigkeit denn:<br />
In immer kürzeren Innovationszyklen werden neue Produkte und Techniken entwickelt, für<br />
die die potentiellen Gefahren entwe<strong>der</strong> gar nicht bek<strong>an</strong>nt sind o<strong>der</strong> aufgrund des hohen<br />
Innovationsdrucks teilweise nicht beseitigt werden („Produkt reift beim Kunden“).<br />
Durch Öffnung und Vernetzung <strong>der</strong> IT-Systeme unterein<strong>an</strong><strong>der</strong> können Fehlfunktionen<br />
einzelner IT-Komponenten mitunter globale Auswirkungen haben. Zudem bietet ein<br />
vernetztes IT-System einem potentiellen Angreifer eine größere Angriffsfläche.<br />
Mit steigen<strong>der</strong> Komplexität steigt im Allgemeinen die Fehler<strong>an</strong>fälligkeit jedes technischen<br />
Systems.<br />
Die Komplexität von IT-Systemen ist inzwischen so hoch <strong>an</strong>zusehen, dass sie nur noch von<br />
Spezialisten verst<strong>an</strong>den und auftretende Fehler nur von ihnen beseitigt werden können.<br />
Damit ist ein IT-System nur für wenige tr<strong>an</strong>sparent.<br />
Betrachtet m<strong>an</strong> die möglichen Fehler von IT-Systemen im Allgemeinen (IT Fehlfunktionen),<br />
so zerfallen diese in vier Klassen (Beispiele aus dem B<strong>an</strong>kenbereich):<br />
Verlust <strong>der</strong> Verfügbarkeit: Das IT-System steht aufgrund einer Fehlfunktion nicht mehr<br />
(zuverlässig) zur Verfügung. Der Webserver ist durch einen Angriff ausgefallen – es können<br />
keine Funktionen wie z.B Online-B<strong>an</strong>king genutzt werden.<br />
-2-
Verlust <strong>der</strong> Vertraulichkeit (von Daten): Durch eine Fehlfunktion gelingt es einer nicht<br />
berechtigten Person Zugriff, auf für sie nicht freigegebene Information zu erl<strong>an</strong>gen. Nicht<br />
berechtigte Personen können Daten wie Kontost<strong>an</strong>d o<strong>der</strong> Umsätze einsehen.<br />
Verlust <strong>der</strong> Integrität (Korrektheit von Daten): Bei dieser Fehlerart kommt es zu einer<br />
Verfälschung o<strong>der</strong> Fälschung von Daten. Durch eine Fehlfunktion werden Überweisungen<br />
falsch gebucht.<br />
Verlust von Authentizität: Aufgrund einer Fehlfunktion gelingt es einer nicht berechtigten<br />
Person die digitale Identität eines An<strong>der</strong>en <strong>an</strong>zunehmen. Ein Angreifer gelingt es im Namen<br />
einer <strong>an</strong><strong>der</strong>en Person Überweisungen zu tätigen.<br />
Versucht m<strong>an</strong> diese Klassen noch weiter zu unterteilen, so führt das zu einer Unterteilung in<br />
‚zufällige Ereignisse’ und ‚mit Vorsatz herbeigeführte Ereignisse’.<br />
Zufällige Ereignisse umfassen Störungen durch höhere Gewallt (Blitzschlag), Nachlässigkeit<br />
bzw. Fahrlässigkeit (wechseln das Sicherungsb<strong>an</strong>des vergessen) und technisches Versagen<br />
(CPU Lüfter ausgefallen).<br />
Es bleiben die mit Vorsatz herbeigeführten Ereignisse <strong>der</strong>en Motivation von Spieltrieb bis hin<br />
zu Rachegefühlen, Neid o<strong>der</strong> persönliche Bereicherung reichen.<br />
Eine weitere Unterteilungsdimension erreicht m<strong>an</strong> in <strong>der</strong> Unterscheidung ob die Ursache für<br />
die Störung innerhalb o<strong>der</strong> außerhalb <strong>der</strong> zu betrachteten Institution liegt.<br />
Eine Möglichkeit sich diese Klassifizierung zu ver<strong>an</strong>schaulichen ist die folgende Abbildung:<br />
Durch drehen <strong>der</strong> Kreise sind 2 mal 4 mal 2 = 16 mögliche Ereignisse konfigurierbar was<br />
auch <strong>der</strong> Gesamtzahl <strong>der</strong> im gsbh Gefahrenklassen ausmacht. Zieht m<strong>an</strong> Statistiken 1 her<strong>an</strong><br />
wird klar das die meisten IT-Störungen fallen in den Bereich <strong>der</strong> zufälligen Ereignisse fallen.<br />
Das größte Schadenspotential liegt allerdings im Bereich interner, vorsätzlicher H<strong>an</strong>dlungen.<br />
Daher <strong>an</strong>twortet das gshb nicht nur auf klassische Szenario eines externen Hackers <strong>der</strong> mit<br />
Vorsatz H<strong>an</strong>dlungen ausführt son<strong>der</strong>n geht weiter und fasst den Sicherheitsbegriff sehr<br />
umfassend.<br />
1 Untersuchung <strong>der</strong> KES (http://www.kes.info/archiv/material/studie2004/ergebnis.htm)<br />
-3-
2.2 Zielsetzung<br />
Die Autoren des IT- Grundschutzh<strong>an</strong>dbuches zeigen die in 2.1 gen<strong>an</strong>nten Gefahren in<br />
ähnlicher Weise und Systematik auf - sie geben aber keine umfassende Antwort auf die von<br />
ihnen aufgezeigten Gefahren. So bietet das H<strong>an</strong>dbuch keine Besprechung von zum Beispiel<br />
brachenspezifischen Gefahren und <strong>der</strong>en Abwehr. Das IT-Grundschutzh<strong>an</strong>dbuch des BSI<br />
ist ein Katalog von modularen St<strong>an</strong>dard-IT-Komponenten, wie etwa Client-Server Netze o<strong>der</strong><br />
Anwendungen wie Windows NT (im Folgenden Bausteinen gen<strong>an</strong>nt). Zu jedem dieser<br />
Bausteine wird die zutreffende Gefährdungslage identifiziert und ein Maßnahmenbündel um<br />
dieser Gefährdungslage <strong>an</strong>gemessen entgegenzutreten, referenziert.<br />
Der Anwen<strong>der</strong> muss die für ihn notwendigen Bausteine identifizieren und so möglichst<br />
genaues Abbild seines IT-Verbundes modellieren (siehe 4.4 Modellierung nach IT-<br />
Grundschutz). Das Grundschutzh<strong>an</strong>dbuch stellt hierzu Verfahren und Hilfsmittel bereit (z.B.<br />
GS-Tool). Ist <strong>der</strong> IT-Verbund vollständig modelliert, d<strong>an</strong>n können die vorgeschlagenen<br />
Maßnahmenbündel realisiert werden und m<strong>an</strong> erhält eine St<strong>an</strong>dardsicherheit nach IT-<br />
Grundschutz.<br />
Ein solcher Baustein besteht aus drei Komponenten:<br />
Beschreibung <strong>der</strong> Komponente – eine detaillierte Beschreibung des Bausteines zur<br />
korrekten Modellbildung.<br />
Erwartete Gefährdungslage - eine Betrachtung <strong>der</strong> typischen Gefährdungen die auf<br />
diesen Baustein wirkt, inklusive pauschalierter Eintrittswahrscheinlichkeiten.<br />
Gegenmaßnahmen - um <strong>der</strong> typischen Gefährdungslage zu begegnen wird ein<br />
Maßnahmenbündel vorgeschlagen.<br />
Vergleicht m<strong>an</strong> die Verfahren des IT-H<strong>an</strong>dbuches mit <strong>der</strong> klassischen Arbeitsweise zur<br />
Herstellung von IT – Sicherheit, so erkennt m<strong>an</strong>, dass mit dem IT-Grundschutzh<strong>an</strong>dbuch und<br />
seinen Werkzeugen im Allgemeinen eine kostengünstigere Methode zur Herstellung von IT-<br />
Sicherheit zur Verfügung steht. Allerdings<br />
erhält m<strong>an</strong> keine individuelle Lösung.<br />
Abbildung 1: Klassische Sicherheits<strong>an</strong>alyse Abbildung 2: Arbeitsweise nach IT-GS<br />
-4-
3 Aufbau des H<strong>an</strong>dbuches zum IT-Grundschutz<br />
3.1 Bausteine<br />
Hier nun folgend ist eine kurze Übersicht über die im IT-Grundschutzh<strong>an</strong>dbuch zurzeit<br />
vorh<strong>an</strong>denen Bausteine. Diese Übersicht ist keinesfalls als abgeschlossen <strong>an</strong>zusehen –<br />
son<strong>der</strong>n wird vom BSI ständig überarbeitet und durch neue zusätzliche Komponenten<br />
erweitert. [http://www.bsi.de/ausschr/einkauf/ausschr26457.htm]<br />
Als Beispiel ist in <strong>der</strong> folgenden Grafik <strong>der</strong> Baustein „5.1 DOS-PC (ein Benutzer)“ dargestellt.<br />
Ein Baustein beginnt mit einer Ordnungsnummer und einem Bezeichner. Es folgt eine<br />
Beschreibung <strong>der</strong> Komponente, die in diesem Baustein erfasst ist. Die Beschreibung wird<br />
begleitet von einem Piktogramm des Bausteines. Der nächste Abschnitt beschreibt die<br />
erwartete Gefährdungslage und referenziert in den Gefährdungskatalog. Analog wird im<br />
Folgenden in den Maßnahmenkatalog referenziert. Diese Maßnahmen begegnen den<br />
Gefährdungen entsprechend. Zusätzlich wird eine Prioisierung <strong>der</strong> Maßnahmen (Priorität in<br />
Klammern hinter <strong>der</strong> Ordnungsnummer <strong>der</strong> Maßnahme) durchgeführt. Hierbei bezeichnet „3“<br />
die höchste Wichtigkeit.<br />
-5-
Aufgrund <strong>der</strong> Ausgiebigkeit <strong>der</strong> Quelle k<strong>an</strong>n <strong>an</strong> dieser Stelle nur eine sehr rudimentäre<br />
Übersicht über den Inhalt <strong>der</strong> einzelnen Bausteine gegeben werden.<br />
A: Übergeordnete Komponenten<br />
A.0 IT-Sicherheitsm<strong>an</strong>agement prinzipielle Einrichtung und<br />
Weiterentwicklung eines IT-<br />
Sicherheitsm<strong>an</strong>agements<br />
A.1 Org<strong>an</strong>isation grundsätzliche org<strong>an</strong>isatorische<br />
Regelungen wie z.B. Passwortgebrauch<br />
A.2 Personal Maßnahmen das Personal betreffend<br />
zum Beispiel Vertretungsregelungen o<strong>der</strong><br />
beim Ausscheiden von Mitarbeitern<br />
A.3 Notfallvorsorge-Konzept Vorgehensweise zur Erstellung eines<br />
Notfallvorsorge-Konzept (Erstellung<br />
Notfallh<strong>an</strong>dbuch – HowTos)<br />
-6-
A.4 Datensicherungskonzept Anleitung zur Erstellung eines fundierten<br />
Datensicherungskonzeptes<br />
A.5 Datenschutz Vorstellung <strong>der</strong> Rahmenbedingungen für<br />
einen praxisgerechten Datenschutz<br />
A.6 Computer-Virenschutzkonzept Anleitung um ein effektives<br />
Maßnahmenbündel zu erstellen mit dem<br />
<strong>der</strong> Bedrohung durch Computer Viren<br />
begegnet werden k<strong>an</strong>n.<br />
A.7 Kryptokonzept Vorstellung <strong>der</strong> Vorgehensweise um<br />
Daten wirkungsvoll durch<br />
kryptographische Verfahren und<br />
Techniken zu schützen.<br />
A.8 Beh<strong>an</strong>dlung von Sicherheitsvorfällen Vorgehensweise beim Aufbau eines<br />
Sicherheitsm<strong>an</strong>agements (Institution)<br />
A.9 Hard- und Software-M<strong>an</strong>agement Empfehlungen zu Regelungen und<br />
Abläufen, die sich spezifisch auf<br />
informationstechnische Hardware- o<strong>der</strong><br />
Software-Komponenten beziehen.<br />
A.10 Outsourcing Sicherheitsmaßnahmen in<br />
Zusammenarbeit mit externen<br />
Dienstleistungen und Dienstleistern<br />
B: Infrastruktur<br />
B.1 Gebäude Bauliche und org<strong>an</strong>isatorische<br />
Maßnahmen wie Blitz/Br<strong>an</strong>dschutz o<strong>der</strong><br />
Schlüsselverwaltung<br />
B.2 Verkabelung Maßnahmen betreffend <strong>der</strong><br />
Gebäudeverkabelung (Versorgung &<br />
Kommunikation)<br />
B.3.1 Büroraum Maßnahmen die im Zusammenh<strong>an</strong>g mit<br />
IT-Einsatz im Büro stehen<br />
B.3.2 Serverraum Maßnahmen die bei Nutzung eines<br />
Raumes in dem ein Server aufgestellt ist,<br />
beachtet werden müssen (Vermeidung<br />
Wasserleitungen, USV etc.)<br />
B.3.3 Datenträgerarchiv Bedingungen <strong>an</strong> einem Raum <strong>der</strong> als<br />
Datenträgerarchiv genutzt wird<br />
B.3.4 Raum für technische Infrastruktur Maßnahmen für Verteilerräume (Strom /<br />
LAN / Kommunikation)<br />
B.4 Schutzschränke Maßnahmen für die Aufstellung und<br />
-7-
-8-<br />
Benutzung eines Schutzschr<strong>an</strong>kes<br />
B.5 Häuslicher Arbeitsplatz Maßnamen um am häuslichen<br />
Arbeitsplatz einen adäquaten<br />
Sicherheitsst<strong>an</strong>dard zu erreichen (z.B.<br />
Telearbeitsplatz)<br />
B.6 Rechenzentrum Maßnahmenempfehlungen für<br />
Rechenzentren (nicht einzelner<br />
Serverraum)<br />
C: Nicht vernetzte Systeme und Clients<br />
C.1 DOS-PC (ein Benutzer) Maßnahmen für einfachen PC mit einem<br />
Benutzer<br />
C.2 Unix-System Maßnamen (produktspezifisch) für Linux /<br />
Unix Systeme im Desktop /<br />
Terminaleinsatz<br />
C.3 Tragbarer PC Maßnahmen speziell für mobile PCs (sind<br />
beson<strong>der</strong>s gefährdet)<br />
C.4 PCs mit wechselnden Benutzern Maßnahmen für einfachen PC mit<br />
mehreren Benutzern<br />
C.5 PC unter Windows NT Maßnahmen (produktspezifisch) für<br />
Windows NT 3.X / 4.0 Systeme<br />
C.6 PC mit Windows 95 Maßnahmen (produktspezifisch) für<br />
Windows 9X und ME Systeme<br />
C.7 Windows 2000 Client Maßnahmen (produktspezifisch) für<br />
Windows 2000 (Client) Systeme<br />
C.8 Internet-PC Maßnahmen für PCs mit<br />
Internetverbindung<br />
C.9 Allgemeines nicht vernetztes IT-<br />
System<br />
D: Vernetzte Systeme und Server<br />
Maßnahmen für noch nicht im IT-<br />
H<strong>an</strong>dbuch aufgenommene nicht vernetzte<br />
PC Systeme (z.B. OS/2)<br />
D.1 Servergestütztes Netz Maßnahmen die beim Betrieb eines<br />
servergestützten Netzes beachtet werden<br />
müssen (Allgemeine,<br />
betriebssystemunabhängig- notwendige<br />
Maßnahmen).<br />
D.2 Unix-Server Maßnahmen (produktspezifisch) zur<br />
Konzeption und Betrieb von Unix / Linux
-9-<br />
Servern<br />
D.3 Peer-to-Peer-Dienste Maßnahmen zur Konzeption eines sichern<br />
P2P Netzwerkes (W3.11;W9X;WNT)<br />
D.4 Windows NT Netz Maßnahmen (produktspezifisch) zur<br />
Konzeption und Betrieb von NT 3.X und<br />
4.0 Servern<br />
D.5 Novell Netware 3.x Maßnahmen (produktspezifisch) zur<br />
Konzeption und Betrieb von Netware 3.X<br />
Servern<br />
D.6 Novell Netware Version 4.x Maßnahmen (produktspezifisch) zur<br />
Konzeption und Betrieb von Netware 4.X<br />
Servern. (auch NDS)<br />
D.7 Heterogene Netze Leitfaden zur Analyse, Weiterentwicklung<br />
und Pl<strong>an</strong>ung eines heterogenen Netzes<br />
unter Beachtung diverser<br />
Sicherheitsaspekte.<br />
D.8 Netz- und Systemm<strong>an</strong>agement Beschreibt den Aufbau eines Netz- und<br />
Systemm<strong>an</strong>agements Systems<br />
D.9 Windows 2000 Server<br />
E: Datenübertragungseinrichtungen<br />
Maßnahmen (produktspezifisch) zur<br />
Konzeption und zum Betrieb von Windows<br />
2000 Servern (auch Active Directory &<br />
Kerberos-Verfahren)<br />
E.1 Datenträgeraustausch Maßnahmen, die bei einem<br />
Datenträgeraustausch beachtet werden<br />
sollten.<br />
E.2 Modem Maßnahmen, die im Zusammenh<strong>an</strong>g mit<br />
dem Einsatz eines Modems zu beachten<br />
sind<br />
E.3 Firewall Maßnahmen die zum effektiven Aufbau,<br />
Konfiguration und Wartung einer Firewall<br />
E.4 E-Mail Maßnahmen rund um Email-<br />
Kommunikation (server- und clientseitig)<br />
E.5 Webserver Maßnahmen zur sicheren Verwendung<br />
des WWW (server- und clientseitig)<br />
E.6 Remote Access Anleitung zur Erstellung eines RAS<br />
Sicherheitskonzeptes<br />
E.7 Lotus Notes Sicherheitsmaßnahmen<br />
(produktspezifisch) für den Aufbau und
-10-<br />
Betrieb (server- und clientseitig) von Lotus<br />
Notes (vgl. E.4).<br />
E.8 Internet Information Server Sicherheitsmaßnahmen<br />
(produktspezifisch) für IIS (vgl. E.5)<br />
E.9 Apache-Webserver Sicherheitsmaßnahmen<br />
(produktspezifisch) für den Apache<br />
Webserver (vgl. E.5) (Schwerpunkt 2.X)<br />
E.10 Exch<strong>an</strong>ge 2000 / Outlook 2000 Sicherheitsmaßnahmen<br />
(produktspezifisch) für Exch<strong>an</strong>ge 2000<br />
und Outlook 2000 (vgl. E.4).<br />
F: Telekommunikation<br />
F.1 TK-Anlage Sicherheitsmaßnahmen im Kontext einer<br />
auf ISDN basierenden TK-Anlage<br />
F.2 Faxgerät Sicherheitsmaßnahmen bezüglich<br />
Faxnutzung<br />
F.3 Anrufbe<strong>an</strong>tworter Sicherheitsüberlegungen rund um den<br />
Anrufbe<strong>an</strong>tworter (z.B. Fernabfrage)<br />
F.4 LAN-Anbindung eines IT-Systems<br />
über ISDN<br />
RAS Anbindung via ISDN<br />
F.5 Faxserver Sicherheitsmaßnahmen für Faxserver (vgl.<br />
F.2)<br />
F.6 Mobiltelefon Sicherheitsmaßnahmen für GSM-<br />
St<strong>an</strong>dard (Zusammenspiel von<br />
Mobiltelefon, Basisstation und Festnetz).<br />
G: Sonstige IT-Komponenten<br />
G.1 St<strong>an</strong>dardsoftware Beschreibung <strong>der</strong> Vorgehensweise bei <strong>der</strong><br />
Gestaltung eines Lebenszyklus von<br />
St<strong>an</strong>dardsoftware (Anfor<strong>der</strong>ungskatalog,<br />
Auswahl, Testen, Freigabe, Installation<br />
und Deinstallation)<br />
(Lifecycle-M<strong>an</strong>agement).<br />
Insbeson<strong>der</strong>e: Tests <strong>der</strong> Funktionalität<br />
und Sicherheitseigenschaften,<br />
Installations<strong>an</strong>weisungen und<br />
Freigabeerklärung.<br />
G.2 Datenb<strong>an</strong>ken Sicherheitsempfehlungen (Aufbau und<br />
Betrieb) für Datenb<strong>an</strong>ken (Benutzerrechte<br />
/ Query-Design).
G.3 Telearbeit Regelungen (org<strong>an</strong>isatorisch und<br />
personell) und sicherheitstechnische<br />
Anfor<strong>der</strong>ungen für Telearbeitsplätze.<br />
G.4 Novell eDirectory St<strong>an</strong>dard-Sicherheitsmaßnahmen für das<br />
Novell eDirectory (produktspezifisch)<br />
G.5 Archivierung Sicherheitsempfehlungen (Aufbau und<br />
Betrieb) von Archivsystemen.<br />
Gefährdungskatalog<br />
Der Gefährdungskatalog enthält die genauen Beschreibungen <strong>der</strong> Gefährdungen, die in den<br />
einzelnen Bausteinen als Gefährdungslage gen<strong>an</strong>nt wurden. Die Autoren unterteilen dabei<br />
die Gefährdungen in fünf Kataloge Gruppen – die Zahl in Klammern gibt die Gesamtzahl <strong>der</strong><br />
Gefährdungen in jeweiligen Teilkatalog <strong>an</strong>:<br />
G1: Höhere Gewalt (14)<br />
G2: Org<strong>an</strong>isatorische Mängel (97)<br />
G3: Menschliche Fehlh<strong>an</strong>dlungen (63)<br />
G4: Technisches Versagen (48)<br />
G5: Vorsätzliche H<strong>an</strong>dlungen (111)<br />
Aufgrund des Umf<strong>an</strong>gs k<strong>an</strong>n eine genaue Betrachtung aller einzelnen Gefährdungen nicht<br />
erfolgen. Um den prinzipiellen Aufbau einer Gefährdung aufzuzeigen, ist im Folgenden nun<br />
die Gefährdung G2.79 (G = Gefährdung / 2 = „Teilkatalog Org<strong>an</strong>isatorische Mängel“ / . / 79 =<br />
Fortlaufende Nummer im Teilkatalog) als Beispiel aufgeführt. Ein solcher Baustein besteht<br />
aus mehreren Bereichen. Einleitend stehen <strong>der</strong> Bezeichner und die Ordnungsnummer. Im<br />
zweiten Abschnitt sind Beispiele für auftretende Sicherheitsprobleme aufgeführt.<br />
-11-
Abbildung 3 Beispielhafter Baustein aus dem Gefahrenkatalog<br />
3.2 Maßnahmenkatalog<br />
Dieser Teil beschreibt die in den Bausteinen des H<strong>an</strong>dbuchs referenzierten IT-<br />
Sicherheitsmaßnahmen genauer. In dem Katalog werden die Maßnahmen 6 Überbegriffen<br />
zugeordnet -<br />
M 1: Infrastrukturelle Maßnahmen (60)<br />
M 2: Org<strong>an</strong>isatorische Maßnahmen (275)<br />
M 3: Personelle Maßnahmen (37)<br />
M 4: Maßnahmen im Bereich Hard- und Software (200)<br />
M 5: Maßnahmen im Kommunikationsbereich (110)<br />
M 6: Notfallvorsorge-Maßnahmen (90)<br />
-12-
Aufgrund des Umf<strong>an</strong>gs k<strong>an</strong>n auch hier eine genaue Betrachtung aller einzelnen Maßnahmen<br />
nicht erfolgen. Um den prinzipiellen Aufbau einer Maßnahme aufzuzeigen, ist im Folgenden<br />
nun die Maßnahme M2.16 als Beispiel dargestellt.<br />
Eine Maßnahme wird mit <strong>der</strong> Ordnungsnummer und einem Bezeichner referenziert.<br />
Aufgeführt sind weiterhin <strong>der</strong> Personenkreis <strong>der</strong> für die Initiierung <strong>der</strong> Maßnahme<br />
ver<strong>an</strong>twortlich ist und <strong>der</strong> Personenkreis <strong>der</strong> die Umsetzung <strong>der</strong> Maßnahme vorzunehmen<br />
hat. Es folgt eine Beschreibung <strong>der</strong> durchzuführenden Maßnahme mit Vorschlägen o<strong>der</strong><br />
Empfehlungen zur Umsetzung. Ein weiterer Abschnitt gibt hinweise zur Aufklärung und<br />
Schulung <strong>der</strong> betroffenen Personen. Abschließend werden Kontrollfragen aufgeführt, die<br />
dazu dienen die Umsetzung <strong>der</strong> Maßnahmen verifizieren zu können.<br />
Abbildung 4 Beispielhafter Baustein aus dem Maßnahmenkatalog<br />
-13-
4 Anwendung<br />
4.1 Übersicht<br />
Durch eine klare Struktur und Anwendungsweise unterstützt das IT-Grundschutzh<strong>an</strong>dbuch<br />
den Anwen<strong>der</strong> bei <strong>der</strong> Erstellung eines Sicherheitskonzepts für seine IT-Umgebung. Anh<strong>an</strong>d<br />
von im Wesentlichen vier Vorgängen wird <strong>der</strong> Sicherheits<strong>an</strong>spruch in eine Konzeption<br />
umgesetzt. Die Schritte glie<strong>der</strong>n sich in die Erfassung <strong>der</strong> vorh<strong>an</strong>denen IT-L<strong>an</strong>dschaft, <strong>der</strong><br />
Definition des Schutzbedarfes, <strong>der</strong> Analyse/ Modellierung nach IT-Grundschutz und <strong>der</strong><br />
Pl<strong>an</strong>ung von Realisierungsmaßnahmen. Abbildung 5 zeigt eine schematische Darstellung<br />
<strong>der</strong> Vorgehensweise.<br />
Abbildung 5: Erstellung eines IT-Sicherheitskonzepts<br />
Eine ergänzende Sicherheits<strong>an</strong>alyse ist, wie die Grafik zeigt, nur noch optional notwendig.<br />
Die Anwendung des IT-Grundschutzh<strong>an</strong>dbuches trägt somit <strong>der</strong> Idee Rechnung, eine<br />
pauschalierte IT-Sicherheit zu definieren.<br />
-14-
4.2 IT-Struktur<strong>an</strong>alyse<br />
Die IT-Struktur<strong>an</strong>alyse ist <strong>der</strong> erste Schritt in <strong>der</strong> Anwendung des IT-<br />
Grundschutzh<strong>an</strong>dbuches. Die Struktur<strong>an</strong>alyse dient <strong>der</strong> Erhebung <strong>der</strong> vorh<strong>an</strong>denen IT-<br />
L<strong>an</strong>dschaft und glie<strong>der</strong>t sich wie folgt in<br />
Netzpl<strong>an</strong>erhebung<br />
Komplexitätsreduktion durch Gruppenbildung<br />
Erhebung <strong>der</strong> IT-Systeme<br />
Erhebung <strong>der</strong> IT-Anwendung<br />
Der Netzpl<strong>an</strong> ist eine geeignete grafische Darstellung über die betrachteten IT-Komponenten<br />
und <strong>der</strong>en Vernetzung. Aus ihm sollen die Abhängigkeiten und Eigenschaften <strong>der</strong> IT-<br />
Systeme hervorgehen. Der Netzpl<strong>an</strong> enthält daher nicht nur Client- und Server-Computer<br />
und aktive Netzkomponenten son<strong>der</strong>n auch passive Komponenten, interne<br />
Netzverbindungen und externe Netz<strong>an</strong>bindungen.<br />
Zur Eigenschaftsbeschreibung <strong>der</strong> Komponenten ist jeweils ein geeigneter Datensatz<br />
erfor<strong>der</strong>lich, <strong>der</strong> die Komponente minimal, aber ausreichend qualifiziert. Beispiele für<br />
Datenfel<strong>der</strong> sind eine eindeutige Bezeichnung, Typ und Funktion, St<strong>an</strong>dort, zuständige<br />
Person etc. Je nach Art <strong>der</strong> IT-Komponente sind die notwendigen Datenfel<strong>der</strong> entsprechend<br />
<strong>an</strong>zupassen.<br />
Als Ergebnis dieser Bemühungen erhält m<strong>an</strong> einen Netzpl<strong>an</strong>, <strong>der</strong> nun als Grundlage für die<br />
Modellierung <strong>der</strong> IT-Systeme nach IT-Grundschutz dienen k<strong>an</strong>n. Die Komplexität des<br />
Netzpl<strong>an</strong>es hängt unmittelbar von <strong>der</strong> Größe <strong>der</strong> dargestellten IT-Systeme ab. Zudem<br />
unterliegen viele IT-Systeme stetiger Verän<strong>der</strong>ungen, welche immer wie<strong>der</strong> im Netzpl<strong>an</strong> neu<br />
erfasst und aktualisiert werden müssen.<br />
Durch Hilfsmittel zur Erfassung von Netzplänen k<strong>an</strong>n hier eine wesentliche<br />
Arbeitserleichterung erfolgen.<br />
Für die später durchzuführende Schutzbedarfsfeststellung ist es nicht notwendig, jede IT-<br />
Komponente im Einzelnen zu betrachten. Auch hier wird die Idee <strong>der</strong> pauschalierten<br />
Sicherheit konsequent umgesetzt. Die folgende Schutzbedarfsfeststellung betrachtet<br />
zunächst gleichartige Komponenten als Gruppe gleicher Komponenten, d.h. jedes Element<br />
<strong>der</strong> Gruppe repräsentiert alle Elemente <strong>der</strong> Gruppe vollständig. Beispiel für eine sinnvolle<br />
Clusterung ist die Zusammenfassung von Client-Computern mit gleichen o<strong>der</strong> ähnlichen IT-<br />
Anwendungen o<strong>der</strong> die Gruppierung von redund<strong>an</strong>ten Serversystemen.<br />
Die Erhebung <strong>der</strong> IT-Systeme umfasst zum einen die Umsetzung des Netzpl<strong>an</strong>es in<br />
tabellarische Form und zum <strong>an</strong><strong>der</strong>en die Ergänzung nicht vernetzter Komponente, die im<br />
Netzpl<strong>an</strong> nicht vorh<strong>an</strong>den sind. Erhoben werden nur aktive Komponenten, diese müssen<br />
erneut mit einem sinnvollen Datensatz beschrieben werden.<br />
Ebenfalls sind die IT-Anwendungen tabellarisch zu erfassen und gegebenenfalls geeignet zu<br />
Gruppieren. Auch zu den IT-Anwendungen sind beschreibende Daten hinzuzufügen. Bei <strong>der</strong><br />
Erfassung <strong>der</strong> IT-Anwendungen ist eine Beschränkung auf sensible Anwendungen möglich.<br />
Die Klassifizierung in „wichtige“ und „weniger wichtige“ Anwendung k<strong>an</strong>n zum Beispiel durch<br />
eine Benutzerbefragung generiert werden.<br />
-15-
4.3 Schutzbedarfsfeststellung<br />
Die Schutzbedarfsfeststellung <strong>der</strong> erfassten IT-Struktur glie<strong>der</strong>t sich in vier Schritte. Nach <strong>der</strong><br />
Definition von Schutzbedarfskategorien wird <strong>an</strong>h<strong>an</strong>d von typischen Schadensszenarien<br />
zunächst <strong>der</strong> Schutzbedarf <strong>der</strong> IT-Anwendungen bestimmt. Anschließend k<strong>an</strong>n daraus <strong>der</strong><br />
Schutzbedarf <strong>der</strong> einzelnen IT-Systeme abgeleitet werden. Aus dem Schutzbedarf <strong>der</strong> IT-<br />
Systeme ergibt sich d<strong>an</strong>n <strong>der</strong> Schutzbedarf <strong>der</strong> Umgebung <strong>der</strong> IT-Systeme, wie zum Beispiel<br />
die Verkabelung, Räumlichkeiten und Ähnliches.<br />
Nach IT-Grundschutz haben IT-Anwendungen einen Schutzbedarf bezüglich Integrität,<br />
Verfügbarkeit und Vertraulichkeit. Die Einteilung in Schutzbedarfskategorien erfolgt <strong>an</strong>h<strong>an</strong>d<br />
<strong>der</strong> möglichen Schäden, die durch m<strong>an</strong>gelnden Schutz <strong>der</strong> IT-Anwendung entstehen<br />
können. Abbildung 5 zeigt die drei Schutzbedarfsstufen „niedrig bis mittel“, „hoch“ und „sehr<br />
hoch“.<br />
Abbildung 6: Definition <strong>der</strong> Schutzbedarfskategorien<br />
Die Feststellung des Schutzbedarfes <strong>der</strong> IT-Systeme erfolgt nach dem Maximum-Prinzip.<br />
Hierbei bestimmt die Summe <strong>der</strong> möglichen Schäden, <strong>der</strong> für das IT-System relev<strong>an</strong>ten IT-<br />
Anwendungen, den Schutzbedarf des IT-Systems. H<strong>an</strong>delt es sich dabei um IT-<br />
Anwendungen verschiedener IT-Systeme, d<strong>an</strong>n müssen Schutzbedarfs<strong>an</strong>for<strong>der</strong>ungen des<br />
einen IT-Systems auch auf das <strong>an</strong><strong>der</strong>e übertragen werden, d.h. mögliche Abhängigkeiten<br />
sind zu beachten. Ebenfalls gesteigert sein, k<strong>an</strong>n <strong>der</strong> Schutzbedarf des IT-Systems, durch<br />
einen Kumulationseffekt von vielen kleinen möglichen Schäden. Weiterhin k<strong>an</strong>n <strong>der</strong><br />
Schutzbedarf durch einen Verteilungseffekt relativiert werden, wenn zum Beispiel nur<br />
unwesentliche Teile einer IT-Anwendung mit hohem Schutzbedarf für ein IT-System relev<strong>an</strong>t<br />
sind.<br />
Die Erfassung von kritischen Kommunikationsverbindungen gestaltet sich wie folgt: Zunächst<br />
werden sämtliche Verbindungen mit Überg<strong>an</strong>g in externe Netze als kritische Verbindungen<br />
identifiziert und erfasst. Anschließend untersucht m<strong>an</strong> sämtliche Verbindungen, die von<br />
einem IT-System mit hohem o<strong>der</strong> sehr hohem Schutzbedarf ausgehen. Dabei werden<br />
diejenigen Verbindungen identifiziert, über die hochschutzbedürftige Informationen<br />
übertragen werden. D<strong>an</strong>ach untersucht m<strong>an</strong> die Verbindungen, über die diese<br />
hochschutzbedürftigen Daten weitergeleitet werden, falls es solche gibt. Abschließend sind<br />
die Kommunikationsverbindungen zu identifizieren, über die <strong>der</strong>lei Informationen in keinem<br />
Falle übertragen werden dürfen. Alle oben gen<strong>an</strong>nten Verbindungen, die zu untersuchen<br />
sind, sind als kritische Verbindungen einzustufen.<br />
Bei <strong>der</strong> Erfassung <strong>der</strong> IT-Systeme in <strong>der</strong> IT-Struktur<strong>an</strong>alyse sind bereits die St<strong>an</strong>dorte <strong>der</strong><br />
Systeme erfasst und vermerkt worden. Der Schutzbedarf <strong>der</strong> Räumlichkeiten in denen die IT-<br />
Systeme eingesetzt werden, leitet sich aus <strong>der</strong>en Schutzbedarf nach dem Maximum-Prinzip<br />
ab. Der Schutzbedarf <strong>der</strong> Räume resultiert also aus <strong>der</strong> Summe <strong>der</strong><br />
Schutzbedarfs<strong>an</strong>for<strong>der</strong>ungen <strong>der</strong> dort eingesetzten IT-Systeme unter Berücksichtigung des<br />
Kumulationseffektes.<br />
-16-
Die Ergebnisse <strong>der</strong> Schutzbedarfsfeststellung <strong>der</strong> IT-Anwendungen, IT-Systeme,<br />
Netzverbindungen und Räume wird in Tabellen festgehalten. Darin ist zu verzeichnet,<br />
welchen Schutzbedarf jede Komponente bezüglich Vertraulichkeit, Integrität und<br />
Verfügbarkeit hat. Die Klassifizierung muss für Außenstehende nachvollziehbar sein, dies<br />
k<strong>an</strong>n durch jeweilige Begründung <strong>der</strong> Klassifizierung erfolgen.<br />
Der letzte Schritt <strong>der</strong> Schutzbedarfsfeststellung ist die Interpretation <strong>der</strong> Ergebnisse und die<br />
Abbildung <strong>der</strong> ermittelten Schutzbedürftigkeiten auf Schutzbedarfskategorien nach IT-<br />
Grundschutz. Die Tabelle in Abbildung 7 hilft bei <strong>der</strong> Zuordnung.<br />
Abbildung 7: Zuordnung Schutzwirkung/ Schutzbedarf<br />
4.4 Modellierung nach IT-Grundschutz<br />
Die zentrale Aufgabe nach <strong>der</strong> Struktur<strong>an</strong>alyse und Schutzbedarfsfeststellung liegt in <strong>der</strong><br />
Modellierung des erfassten IT-Verbundes nach IT-Grundschutz. Hierzu werden die<br />
Komponenten des IT-Verbundes auf die Bausteine des IT-Grundschutzh<strong>an</strong>dbuches<br />
abgebildet und so <strong>der</strong> IT-Verbund bestmöglich nachgebildet.<br />
Das IT-Grundschutzmodell eines IT-Verbundes identifiziert die relev<strong>an</strong>ten Sicherheitsaspekte<br />
unmittelbar über die verwendeten Bausteine.<br />
Ein IT-Grundschutzmodell k<strong>an</strong>n sowohl zur Pl<strong>an</strong>ung eines neuen IT-Verbundes, als auch als<br />
Hilfsmittel beim Soll/ Ist Vergleich verwendet werden. Die Modellierung nach IT-Grundschutz<br />
ist somit unabhängig von tatsächlich vorh<strong>an</strong>denen Systemen.<br />
Um die Abbildung eines komplexen IT-Verbundes nach IT-Grundschutz zu erleichtern, wird<br />
eine Gruppierung <strong>der</strong> IT-Sicherheitsaspekte in fünf Schichten vorgenommen. Abbildung 8<br />
zeigt das Schichtenmodell des IT-Grundschutzes.<br />
-17-
Abbildung 8: IT-Grundschutz Schichtenmodell<br />
Die einzelnen Schichten sind wie folgt charakterisiert:<br />
Schicht 1 umfasst sämtliche übergreifenden IT-Sicherheitsaspekte, die für sämtliche o<strong>der</strong><br />
große Teile des IT-Verbunds gleichermaßen gelten. Dies betrifft insbeson<strong>der</strong>e übergreifende<br />
Konzepte und die daraus abgeleiteten Regelungen. Typische Bausteine <strong>der</strong> Schicht 1 sind<br />
unter <strong>an</strong><strong>der</strong>em IT-Sicherheitsm<strong>an</strong>agement, Org<strong>an</strong>isation, Datensicherungskonzept und<br />
Computer-Virenschutzkonzept.<br />
Schicht 2 befasst sich mit den baulich-technischen Gegebenheiten, in <strong>der</strong> Aspekte <strong>der</strong><br />
infrastrukturellen Sicherheit zusammengeführt werden. Dies betrifft insbeson<strong>der</strong>e die<br />
Bausteine Gebäude, Räume, Schutzschränke und häuslicher Arbeitsplatz.<br />
Schicht 3 betrifft die einzelnen IT-Systeme des IT-Verbunds, die ggf. in Gruppen<br />
zusammengefasst wurden. Hier werden die IT-Sicherheitsaspekte sowohl von Clients als<br />
auch von Servern, aber auch von St<strong>an</strong>d-alone-Systemen beh<strong>an</strong>delt. In die Schicht 3 fallen<br />
damit beispielsweise die Bausteine Unix-System, Tragbarer PC, Windows NT Netz und TK-<br />
Anlage.<br />
Schicht 4 betrachtet die Vernetzungsaspekte <strong>der</strong> IT-Systeme, die sich nicht auf bestimmte<br />
IT-Systeme, son<strong>der</strong>n auf die Netzverbindungen und die Kommunikation beziehen. Dazu<br />
gehören zum Beispiel die Bausteine Heterogene Netze, Netz- und Systemm<strong>an</strong>agement und<br />
Firewall.<br />
Schicht 5 schließlich beschäftigt sich mit den eigentlichen IT-Anwendungen, die im IT-<br />
Verbund genutzt werden. In dieser Schicht können unter <strong>an</strong><strong>der</strong>em die Bausteine E-Mail,<br />
WWW-Server, Faxserver und Datenb<strong>an</strong>ken zur Modellierung verwendet werden.<br />
Die Einteilung <strong>der</strong> Sicherheitsaspekte in Schichten för<strong>der</strong>t nicht nur die Übersichtlichkeit,<br />
son<strong>der</strong>n dient auch <strong>der</strong> Komplexitätsreduktion. Durch die Abkopplung von IT-Verbundübergreifenden<br />
Aspekten vom einzelnen IT-System werden Anpassungen in unteren<br />
Schichten erleichtert. Umgekehrt wirken sich Än<strong>der</strong>ungen in höheren Schichten auf darunter<br />
liegende Schichten aus, ohne, dass eine Neumodellierung notwendig wird.<br />
Die einzelnen Schichten sind so gewählt, dass auch die Zuständigkeiten für die betrachteten<br />
Aspekte gebündelt sind. Schicht 1 betrifft Grundsatzfragen des IT-Einsatzes, Schicht 2 den<br />
Bereich Haustechnik, Schicht 3 die Ebene <strong>der</strong> Administratoren und IT-Nutzer, Schicht 4 die<br />
-18-
Netz- und Systemadministratoren und Schicht 5 schließlich die IT-<br />
Anwendungsver<strong>an</strong>twortlichen und -betreiber.<br />
Die Modellierung nach IT-Grundschutz besteht nun daraus, für die Bausteine einer jeden<br />
Schicht zu entscheiden, ob und wie sie zur Abbildung des IT-Verbunds her<strong>an</strong>gezogen<br />
werden können. Je nach betrachtetem Baustein können die Zielobjekte dieser Abbildung von<br />
unterschiedlicher Art sein: einzelne Komponenten, Gruppen von Komponenten, Gebäude,<br />
Liegenschaften, Org<strong>an</strong>isationseinheiten, usw.<br />
Die Zuordnung erfolgt tabellarisch. Vermerkt werden die Nummer und <strong>der</strong> Titel des<br />
<strong>an</strong>gewendeten Bausteines, die Identifikationskennung <strong>der</strong> modellierten IT-Komponente<br />
sowie eine Begründung <strong>der</strong> Zuordnung.<br />
Das Grundschutzh<strong>an</strong>dbuch stellt dem Anwen<strong>der</strong> detaillierte Modellierungsbeschreibungen<br />
<strong>der</strong> einzelnen Bausteine zur Verfügung.<br />
4.5 Soll/ Ist Vergleich<br />
Bisher ist nun mittels <strong>der</strong> IT-Struktur<strong>an</strong>alyse eine Übersicht über die vorh<strong>an</strong>dene IT, <strong>der</strong>en<br />
Einsatzorte und die verwendeten IT-Anwendungen erstellt worden. Diese Informationen<br />
wurden d<strong>an</strong>n nach IT-Grundschutz modelliert, das heißt, <strong>der</strong> zu betrachtende IT-Verbund<br />
wurde auf die Grundschutz-Bausteine abgebildet.<br />
Dieses Modell des IT-Verbundes dient nun als Grundlage für den Soll/ Ist Vergleich. Für jede<br />
relev<strong>an</strong>te St<strong>an</strong>dardsicherheitsmaßnahme muss nun entschieden werden, ob ausreichende<br />
Maßnahmen bereits ergriffen wurden, o<strong>der</strong> ob Mängel bestehen.<br />
Um den Grad <strong>der</strong> Umsetzung von Maßnahmen bestimmen zu können, müssen zuvor in<br />
einer org<strong>an</strong>isatorischen Vorarbeit, diejenigen Personen identifiziert werden, die sowohl<br />
kompetent als auch ver<strong>an</strong>twortlich für die IT-Systeme sind, die von den<br />
Grundschutzbausteinen abgebildet werden.<br />
Diese Personen schätzen nun die zu den Bausteinen gehörenden Maßnahmen in Bezug auf<br />
die bereits erfolgte Umsetzung ein. Es gibt 4 Stufen:<br />
"entbehrlich"<br />
Die Umsetzung <strong>der</strong> Maßnahmenempfehlungen ist in <strong>der</strong> vorgeschlagenen Art nicht<br />
notwendig, da den entsprechenden Gefährdungen mit <strong>an</strong><strong>der</strong>en adäquaten Maßnahmen<br />
entgegengewirkt wird (z. B. durch Maßnahmen, die nicht im IT-Grundschutzh<strong>an</strong>dbuch<br />
aufgeführt sind, aber dieselbe Wirkung erzielen), o<strong>der</strong> die Maßnahmenempfehlungen nicht<br />
relev<strong>an</strong>t sind (z. B. weil Dienste nicht aktiviert wurden).<br />
"ja"<br />
Alle Empfehlungen in <strong>der</strong> Maßnahme sind bereits vollständig und wirksam umgesetzt.<br />
"teilweise"<br />
Einige <strong>der</strong> Empfehlungen sind umgesetzt, <strong>an</strong><strong>der</strong>e noch nicht o<strong>der</strong> nur teilweise.<br />
"nein"<br />
Die Empfehlungen <strong>der</strong> Maßnahme sind größtenteils noch nicht umgesetzt.<br />
Das BSI stellt entsprechende Formulare für jeden Grundschutzbaustein zur Verfügung, in<br />
dem die Ergebnisse dokumentiert werden können. Aus diesen Ergebnissen leitet sich d<strong>an</strong>n<br />
ein Realisierungspl<strong>an</strong> von noch zu ergreifenden Maßnahmen ab.<br />
-19-
4.6 Realisierung von IT-Sicherheitsmaßnahmen<br />
Für die Realisierung von Sicherheitsmaßnahmen müssen die „Mängel“ im IT-Verbund mit<br />
oben beschriebenen Methoden erfasst worden sein. Eine gut gepl<strong>an</strong>te Realisierung ist vor<br />
allem d<strong>an</strong>n notwendig, wenn eine Vielzahl von umzusetzenden Maßnahmen einer<br />
Begrenzen Anzahl von Ressourcen (Arbeitszeit und Geldmittel) gegenüber steht.<br />
Zunächst ist es notwendig eine Prioisierung <strong>der</strong> Maßnahmen vorzunehmen. Weiterhin k<strong>an</strong>n<br />
es notwendig sein, Maßnahmen aus <strong>an</strong><strong>der</strong>en Quellen (z.B. einer Risiko<strong>an</strong>alyse) mit den<br />
Maßnahmen des GSHB zu konsolidieren. Hierbei ist insbeson<strong>der</strong>e darauf zu achten, dass<br />
sich Maßnahmen nicht gegenseitig aushebeln und <strong>der</strong> laufende Betrieb des Unternehmens<br />
während <strong>der</strong> Umsetzungsphase nicht gestört wird.<br />
In einer Kostenaufw<strong>an</strong>dsschätzung sind die benötigten Ressourcen für jede einzelne<br />
Maßnahme zu erfassen. Hierbei sollte zwischen einmaligen und wie<strong>der</strong>kehrenden<br />
Investitionskosten bzw. Personalaufwänden unterschieden werden. An dieser Stelle zeigt<br />
sich häufig, dass Einsparungen bei <strong>der</strong> Technik einen hohen fortlaufenden Personaleinsatz<br />
verursachen. Hier ist das Optimum abzuwägen. Unter Umständen kommt es vor, dass<br />
einzelne Maßnahmen wirtschaftlich nicht umsetzbar sind. In einem solchen Fall müssen<br />
entwe<strong>der</strong> Ersatzmaßnahmen getroffen werden o<strong>der</strong> das Restrisiko durch die<br />
Nichtumsetzung <strong>der</strong> Maßnahme ist für das Unternehmen vertretbar. Hierüber sollte eine<br />
Dokumentation <strong>an</strong>gelegt werden.<br />
Für den Fall, dass nicht alle Maßnahmen zugleich umgesetzt werden können (z.B. durch<br />
limitiertes Budget o<strong>der</strong> org<strong>an</strong>isatorischen Gründen), muss eine Umsetzungsreihenfolge<br />
festgelegt werden. Folgende Aspekte sollten berücksichtigt werden:<br />
Die Priorität einer Maßnahme spiegelt wi<strong>der</strong>, in welcher zeitlichen Reihenfolge die<br />
Maßnahme vorr<strong>an</strong>gig umzusetzen ist. Bei einigen Maßnahmen ergibt sich durch logische<br />
Zusammenhänge eine zwingende zeitliche Reihenfolge. M<strong>an</strong>che Maßnahmen erzielen eine<br />
große Breitenwirkung, m<strong>an</strong>che jedoch nur eine eingeschränkte lokale Wirkung. Oft ist es<br />
sinnvoll, zuerst auf die Breitenwirkung zu achten.<br />
Es gibt Bausteine, die auf das <strong>an</strong>gestrebte Sicherheitsniveau einen größeren Einfluss haben<br />
als <strong>an</strong><strong>der</strong>e. Maßnahmen eines solchen Bausteins sollten bevorzugt beh<strong>an</strong>delt werden.<br />
Bausteine mit auffallend vielen fehlenden Maßnahmen lassen auf Bereiche mit vielen<br />
Schwachstellen schließen. Diese sollten ebenfalls bevorzugt beh<strong>an</strong>delt werden.<br />
Unausweichlich ist die Bestimmung von Ver<strong>an</strong>twortlichen für die Realisierungsmaßnahmen.<br />
Diese sind am Besten namentlich zu erfassen.<br />
Der nach dem obigen Schema erstellte Realisierungspl<strong>an</strong> sollte nun folgendes umfassen:<br />
- Beschreibung des Zielobjektes als Einsatzumfeld,<br />
- Nummer des betrachteten Bausteins,<br />
- Maßnahmentitel bzw. Maßnahmenbeschreibung,<br />
- Terminpl<strong>an</strong>ung für die Umsetzung,<br />
- Budgetrahmen,<br />
- Ver<strong>an</strong>twortliche für die Umsetzung und<br />
- Ver<strong>an</strong>twortliche für die Überwachung <strong>der</strong> Realisierung.<br />
-20-
5 Zertifizierung<br />
Um die „Sicherheit“ von IT-Systemen messbar zu machen ist ein<br />
Zertifizierungsmech<strong>an</strong>ismus notwendig. Ein solches Zertifikat k<strong>an</strong>n d<strong>an</strong>n von Unternehmen<br />
eingesetzt werden um einen vertrauenswürdigen Nachweis über die Umsetzung IT-<br />
Sicherheitsmaßnahmen führen zu können. Zwischen kooperierenden Unternehmen dient ein<br />
solches Zertifikat zur Gradmessung <strong>der</strong> Vertrauensstufe <strong>der</strong> IT-Systeme. Neue Systeme<br />
können in ihrer Sicherheit durch ein solches Zertifikat in punkto Sicherheit gemessen werden.<br />
Auch große Systeme bestehend aus kleinen Systemen mit jeweils solchen Zertifikaten<br />
erlauben somit eine Aussage über die gar<strong>an</strong>tierte Sicherheit. Unternehmen und Behörden<br />
können gegenüber dem Kunden, beziehungsweise dem Bürger ihre Sicherheitsmaßnahmen<br />
ausweisen und mit einem solchen Zertifikat auch werben.<br />
Ein Zertifikat über die Sicherheit eines IT-Verbundes nach IT-Grundschutz wird vom BSI<br />
ausschließlich nach Prüfung durch eine unabhängige, akkreditierte Prüfstelle (lizenzierter<br />
Auditor) ausgestellt. Ausgestellte Zertifikate werden auf dem BSI ausgestellt und somit <strong>der</strong><br />
Allgemeinheit verfügbar gemacht.<br />
Das BSI definiert weiterhin zwei Vorstufen zum Grundschutz-Zertifikat und zwar<br />
die Selbsterklärung „IT-Grundschutz Einstiegsstufe“<br />
die Selbsterklärung „IT-Grundschutz Aufbaustufe“<br />
Die Selbsterklärungen können von einem Zeichnungsbeauftragten des Unternehmens o<strong>der</strong><br />
<strong>der</strong> Behörde ausgestellt werden. Das BSI veröffentlicht auch diese auf einem öffentlichen<br />
Server. Die Selbsterklärungen sollen ausdrücken, dass sich das Unternehmen o<strong>der</strong> die<br />
Behörde im Zertifizierungsprozess befindet.<br />
Im Jahr 2004 sind folgende Unternehmen zertifiziert worden (Auszug):<br />
SAP System Integration AG, GSZ-BSI-0006-2004<br />
-Deutsche Post Direkt GmbH, GSZ-BSI-0008-2004<br />
IT-Verbund <strong>der</strong> Toll Collect GmbH, GsZ-BSI-0011-2004<br />
Ein Zertifikat enthält neben Firmenbezeichnung und Gültigkeit den Namen des Auditors,<br />
St<strong>an</strong>d des GSHB auf dessen Basis geprüft wurde, und eine Beschreibung des<br />
Untersuchungsgegenst<strong>an</strong>des sowie eventuell weitere Normen die erfüllt wurden.<br />
Exemplarisch findet sich zum Beispiel hier (http://www.bsi.bund.de/gshb/zert/gs0011.pdf).<br />
-21-
6 Das Grundschutz-Tool<br />
Mit <strong>der</strong> Entwicklung des BSI Tool IT-Grundschutz (GSTOOL) stellt das BSI eine innovative<br />
und ergonomisch h<strong>an</strong>dhabbare Software bereit, die den Anwen<strong>der</strong> bei Erstellung,<br />
Verwaltung und Fortschreibung von IT-Sicherheitskonzepten entsprechend dem IT-<br />
Grundschutz effizient unterstützt.<br />
Nach Erfassung benötigter Informationen steht dem Anwen<strong>der</strong> ein umf<strong>an</strong>greiches<br />
Berichtssystem zur Verfügung, mittels dessen er strukturierte Auswertungen über alle<br />
relev<strong>an</strong>ten Daten durchführen und diese auch auf Papier o<strong>der</strong> elektronisch ausgeben k<strong>an</strong>n.<br />
Das GSTOOL leistet folgendes:<br />
Modellierung und Schichtenmodell nach IT-Grundschutz<br />
IT-Systemerfassung / Struktur<strong>an</strong>alyse<br />
Maßnahmenumsetzung<br />
Schutzbedarfsfeststellung<br />
Berichterstellung<br />
Kostenauswertung<br />
Revisionsunterstützung<br />
Berichte zur Zertifizierung<br />
Eine 30-Tage Testversion <strong>der</strong> Software k<strong>an</strong>n vom BSI bezogen werden<br />
(http://www.bsi.de/gstool/down.htm).<br />
-22-
7 Literaturverzeichnis<br />
IT-Grundschutzh<strong>an</strong>dbuch, Aufl. 2004, Bundesamt für Sicherheit in <strong>der</strong> Informationstechnik<br />
(www.bsi.de)<br />
Newsticker des Heise Verlag<br />
– Die Zeitschrift für Informations-Sicherheit<br />
-23-