Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Webkurs IT-Grundschutz<br />
Beschreibung des<br />
<strong>Beispielunternehmen</strong>s<br />
<strong>RECPLAST</strong> GmbH<br />
Ausgabe Juni 2006
Dieses Dokument ergänzt den Webkurs IT-Grundschutz und enthält die Darstellungen, Tabellen und<br />
Erläuterungen zu dem (fiktiven) Unternehmen <strong>RECPLAST</strong>, das <strong>in</strong> dem Kurs als Beispiel zur<br />
Veranschaulichung der IT-Grundschutz-Vorgehensweise verwendet wird.<br />
Grundlage: IT-Grundschutz-Kataloge vom Dezember 2005.<br />
Der Webkurs IT-Grundschutz wurde im Auftrag des BSI vom Fraunhofer-Institut <strong>für</strong> Sichere<br />
Informationstechnologie SIT, Bereich Sichere Prozesse und Infrastrukturen SPI, Sankt August<strong>in</strong><br />
erstellt. Internet: www.sit.fraunhofer.de.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> der Informationstechnik<br />
Referat 114<br />
Postfach 20 03 63<br />
53133 Bonn<br />
Telefon: 0228 99 9582-5369<br />
E-Mail: gshb@bsi.bund.de<br />
Internet: www.bsi.bund.de<br />
© <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> der Informationstechnik 2006
Inhaltsverzeichnis<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
1 <strong>Das</strong> <strong>Beispielunternehmen</strong> Recplast GmbH ..................................................................................... 2<br />
1.1 Organisatorische Gliederung ................................................................................................. 2<br />
1.2 Informationstechnik ............................................................................................................... 3<br />
2 IT-<strong>Sicherheit</strong>smanagement.............................................................................................................. 4<br />
2.1 Vorschläge <strong>für</strong> die IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie.............................................................................. 5<br />
2.2 E<strong>in</strong>führung der IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie im Unternehmen ....................................................... 7<br />
3 IT-Strukturanalyse........................................................................................................................... 8<br />
3.1 Netzplan ................................................................................................................................. 8<br />
3.2 Erhebung IT-Systeme .......................................................................................................... 11<br />
3.3 Erhebung IT-Anwendungen................................................................................................. 13<br />
4 Schutzbedarfsfeststellung.............................................................................................................. 16<br />
4.1 Anpassung der Schutzbedarfskategorien ............................................................................. 16<br />
4.2 Schutzbedarfsfeststellung der IT-Anwendungen ................................................................. 17<br />
4.3 Schutzbedarfsfeststellung der IT-Systeme........................................................................... 21<br />
4.4 Schutzbedarf der Kommunikationsverb<strong>in</strong>dungen................................................................ 26<br />
4.5 Schutzbedarfsfeststellung der IT-genutzten Räume............................................................. 29<br />
5 Modellierung gemäß IT-Grundschutz ........................................................................................... 30<br />
5.1 Schicht 1: Übergreifende Aspekte ....................................................................................... 30<br />
5.2 Schicht 2: Infrastruktur ........................................................................................................31<br />
5.3 Schicht 3: IT-Systeme.......................................................................................................... 31<br />
5.4 Schicht 4: Netze ................................................................................................................... 34<br />
5.5 Schicht 5: Anwendungen ..................................................................................................... 35<br />
6 Basis-<strong>Sicherheit</strong>scheck.................................................................................................................. 36<br />
6.1 Beispiel aus Schicht 1: B 1.0 IT-<strong>Sicherheit</strong>smanagement ................................................... 37<br />
6.2 Beispiel aus Schicht 1: B 1.2 Personal................................................................................. 39<br />
6.3 Beispiel aus Schicht 2: B 2.4 Serverraum............................................................................ 41<br />
6.4 Beispiel II aus Schicht 3: B 3.101 Allgeme<strong>in</strong>er Server ....................................................... 43<br />
6.5 Beispiel II aus Schicht 3: B 3.106 Server unter W<strong>in</strong>dows 2000.......................................... 46<br />
6.6 Beispiel aus Schicht 4: B 4.1 Heterogene Netze.................................................................. 49<br />
6.7 Beispiel aus Schicht 5: B 5.7 Datenbanken ......................................................................... 51<br />
7 Ergänzende Risikoanalyse............................................................................................................. 54<br />
7.1 Erstellung der Gefährdungsübersicht................................................................................... 55<br />
7.2 Ermittlung zusätzlicher Gefährdungen ................................................................................ 57<br />
7.3 Bewertung der Gefährdungen .............................................................................................. 58<br />
7.4 Behandlung der Risiken und Maßnahmenauswahl.............................................................. 62<br />
8 Realisierungsplanung .................................................................................................................... 64<br />
8.1 Konsolidierter Realisierungsplan......................................................................................... 64<br />
8.2 Abgestimmter Realisierungsplan ......................................................................................... 68<br />
Seite 1
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
1 <strong>Das</strong> <strong>Beispielunternehmen</strong> Recplast GmbH<br />
Die Vorgehensweise bei der Anwendung der IT-Grundschutz-Kataloge soll e<strong>in</strong> Beispiel veranschaulichen<br />
und zwar e<strong>in</strong> Unternehmen mittlerer Größe, das selbstverständlich re<strong>in</strong> fiktiv ist. Es handelt sich<br />
dabei um die <strong>RECPLAST</strong> GmbH, die aus Recycl<strong>in</strong>gmaterialien etwa 400 unterschiedliche Kunststoffprodukte<br />
produziert und vertreibt, zum Beispiel Bauelemente wie Rund- und Brettprofile, Zäune,<br />
Blumenkübel oder Abfallbehälter – und zwar teils <strong>in</strong> größeren Serien <strong>für</strong> Endkunden, teils spezifisch<br />
<strong>für</strong> e<strong>in</strong>zelne Geschäftskunden. Auftragsvolumen, Häufigkeit der Aufträge und die Kunden variieren:<br />
Es gibt e<strong>in</strong>ige wenige Stamm- und Großkunden und zahlreiche E<strong>in</strong>malkunden. Der jährliche Gesamtumsatz<br />
des Unternehmens beläuft sich auf ca. 50 Millionen Euro bei e<strong>in</strong>em Gew<strong>in</strong>n von etwa<br />
1 Millionen Euro.<br />
Dem Beispiel liegt die Version vom Dezember 2005 der IT-Grundschutz-Kataloge zugrunde.<br />
1.1 Organisatorische Gliederung<br />
Die organisatorische Gliederung der <strong>RECPLAST</strong> GmbH gibt folgendes Organigramm wieder:<br />
Verwaltung<br />
Geschäftsführung<br />
E<strong>in</strong>kauf Produktion<br />
Personal Entwicklung<br />
Informationstechnik<br />
Buchhaltung<br />
Haus- und<br />
Gebäudetechnik<br />
Abbildung 1: Organigramm der <strong>RECPLAST</strong> GmbH<br />
Fertigung<br />
Market<strong>in</strong>g/<br />
Vertrieb<br />
Zentrale<br />
Bad Godesberg<br />
Vertriebsbüro<br />
Berl<strong>in</strong><br />
Vertriebsbüro<br />
Hamburg<br />
Vertriebsbüro<br />
München<br />
Lager/Logistik<br />
Verwaltung sowie Produktion und Lager bef<strong>in</strong>den sich <strong>in</strong> Bonn, allerd<strong>in</strong>gs an unterschiedlichen<br />
Standorten: Die Geschäftsführung hat zusammen mit den Verwaltungsabteilungen und den Abteilungen<br />
<strong>für</strong> E<strong>in</strong>kauf sowie Market<strong>in</strong>g und Vertrieb vor kurzem e<strong>in</strong> neues Gebäude <strong>in</strong> Bad Godesberg (BG)<br />
bezogen, während Produktion, Material- und Auslieferungslager am ursprünglichen Firmensitz im<br />
Stadtteil Beuel verblieben s<strong>in</strong>d. Zusätzlich gibt es Vertriebsbüros <strong>in</strong> Berl<strong>in</strong>, Hamburg und München.<br />
<strong>Das</strong> Unternehmen beschäftigt <strong>in</strong>sgesamt 180 Mitarbeiter, von denen 40 <strong>in</strong> der Verwaltung <strong>in</strong> Bad<br />
Godesberg, 134 <strong>in</strong> Produktion und Lager <strong>in</strong> Beuel und jeweils 2 Mitarbeiter <strong>in</strong> den Vertriebsbüros <strong>in</strong><br />
Berl<strong>in</strong>, Hamburg und München tätig s<strong>in</strong>d.<br />
Seite 2
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
1.2 Informationstechnik<br />
Am Standort Bad Godesberg ist im Zuge des Umzugs e<strong>in</strong> zentral adm<strong>in</strong>istriertes W<strong>in</strong>dows 2000-Netz<br />
mit <strong>in</strong>sgesamt 30 angeschlossenen Arbeitsplätzen e<strong>in</strong>gerichtet worden. Die Arbeitsplatzrechner s<strong>in</strong>d<br />
e<strong>in</strong>heitlich mit dem Betriebssystem W<strong>in</strong>dows 2000, üblichen Büro-Anwendungen (Standardsoftware<br />
<strong>für</strong> Textverarbeitung, Tabellenkalkulation und Präsentationen) und Client-Software zur E-Mail-<br />
Nutzung ausgestattet. Zusätzlich gibt es je nach Aufgabengebiet auf verschiedenen Rechnern Spezialsoftware.<br />
Im Netz des Standorts Bad Godesberg werden <strong>in</strong>sgesamt 5 Server <strong>für</strong> folgende Zwecke e<strong>in</strong>gesetzt:<br />
• E<strong>in</strong> Server dient als Domänen-Controller,<br />
• e<strong>in</strong> weiterer Server dient der Dateiablage- und als Druck-Server,<br />
• e<strong>in</strong> Server dient als Datenbankserver <strong>für</strong> die Personal- und F<strong>in</strong>anzdaten,<br />
• e<strong>in</strong> weiterer Datenbank-Server dient der Kunden- und Auftragsbearbeitung und<br />
• der fünfte Server dient als <strong>in</strong>terner Kommunikations-Server (<strong>in</strong>terner Mail-Server, Term<strong>in</strong>- und<br />
Adressverwaltung).<br />
Der Standort Bonn-Beuel ist mit e<strong>in</strong>em weiteren Server und 12 Arbeitsplatzrechnern über e<strong>in</strong>e angemietete<br />
Standleitung <strong>in</strong> das Firmennetz e<strong>in</strong>gebunden. Der Server dient als zusätzlicher Domänen-<br />
Controller sowie als Datei- und Druckserver <strong>für</strong> diesen Standort. Die Grundausstattung der Arbeitsplatzrechner<br />
<strong>in</strong> Beuel stimmt mit der der Rechner <strong>in</strong> der Verwaltung übere<strong>in</strong>. Zusätzlich ist auf 4<br />
Rechnern CAD/CAM-Software <strong>in</strong>stalliert.<br />
Die Vertriebsbüros s<strong>in</strong>d jeweils mit e<strong>in</strong>em W<strong>in</strong>dows-2000 E<strong>in</strong>zelplatzrechner ausgestattet und haben<br />
e<strong>in</strong>e Internet-Anb<strong>in</strong>dung über ISDN, die mit Hilfe e<strong>in</strong>es VPN-Clients bei Bedarf auch genutzt werden<br />
kann, um unter Ausnutzung der VPN-Funktionalität der Firewall Zugang zum Firmennetz zu erhalten.<br />
<strong>Das</strong> Firmennetz ist über DSL an das Internet angebunden. Der Internet-Zugang ist über e<strong>in</strong>e Firewall<br />
und e<strong>in</strong>en Router mit Paketfilter abgesichert. Alle Client-Rechner haben Zugang zum Internet (<strong>für</strong><br />
WWW und E-Mail). Die WWW-Seiten des Unternehmens e<strong>in</strong>schließlich e<strong>in</strong>es Produktkatalogs und<br />
der Möglichkeit, Bestellungen per E-Mail abzugeben, werden auf e<strong>in</strong>em Web-Server des Providers<br />
vorgehalten.<br />
An zusätzlicher Informationstechnik s<strong>in</strong>d zu berücksichtigen:<br />
• Telekommunikationsanlagen <strong>in</strong> Bad Godesberg und Beuel,<br />
• <strong>in</strong>sgesamt 8 Faxgeräte (davon 4 <strong>in</strong> Bad Godesberg, je 1 <strong>in</strong> den Vertriebsbüros und 1 <strong>in</strong> Beuel) und<br />
• 8 Laptops (4 <strong>in</strong> Bad Godesberg, je 1 <strong>in</strong> den Vertriebsbüros und 1 <strong>in</strong> Beuel), die bei Bedarf <strong>in</strong> das<br />
Netz e<strong>in</strong>gebunden werden können; von entfernten Standorten aus über VPN.<br />
Für das reibungslose Funktionieren der Informationstechnik an allen Standorten ist die zentrale DV-<br />
Abteilung <strong>in</strong> Bad Godesberg zuständig.<br />
Zum Umgang mit der betrieblichen Informationstechnik gibt es e<strong>in</strong>e Anweisung, der zufolge diese<br />
ausschließlich <strong>für</strong> Firmenzwecke genutzt werden darf und das E<strong>in</strong>br<strong>in</strong>gen von privater Hard- und<br />
Software untersagt ist.<br />
Seite 3
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
2 IT-<strong>Sicherheit</strong>smanagement<br />
Die Geschäftsführung beabsichtigt, e<strong>in</strong> IT-<strong>Sicherheit</strong>skonzept <strong>für</strong> das Unternehmen ausarbeiten zu<br />
lassen, das <strong>in</strong> allen Unternehmensbereichen umgesetzt werden soll. Dazu müssen die<br />
Unternehmenspolitik zur IT-<strong>Sicherheit</strong> und die vorhandenen <strong>Sicherheit</strong>srichtl<strong>in</strong>ien präzisiert werden.<br />
Zuerst wird <strong>für</strong> die Analysen, Konzepte und Folgearbeiten des IT-<strong>Sicherheit</strong>sprozesses e<strong>in</strong> IT-<strong>Sicherheit</strong>sbeauftragter<br />
ernannt.<br />
Da diese Aufgabe umfangreiche IT-Kenntnisse erfordert, wird hier<strong>für</strong> e<strong>in</strong> Mitarbeiter der Abteilung<br />
„Informationstechnik“ bestimmt. Danach wird e<strong>in</strong> zeitlich befristetes Projekt „IT-<strong>Sicherheit</strong>skonzept“<br />
e<strong>in</strong>gerichtet, <strong>in</strong> dem neben dem IT-<strong>Sicherheit</strong>sbeauftragten der Datenschutzbeauftragte und Zuständige<br />
<strong>für</strong> IT-Anwendungen und IT-Systeme zu folgenden Ergebnissen zusammenarbeiten sollen:<br />
1. Vorschläge und Entscheidungsvorlage <strong>für</strong> e<strong>in</strong>e IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie,<br />
2. Erstellung e<strong>in</strong>er Übersicht vorhandener IT-Systeme,<br />
3. Ausarbeitung und Entscheidungsvorlage des IT-<strong>Sicherheit</strong>skonzepts und e<strong>in</strong>es Realisierungsplans<br />
<strong>in</strong>klusive Maßnahmen zur Notfallvorsorge und Benutzer<strong>in</strong>formation,<br />
4. Vorschläge <strong>für</strong> Maßnahmen zur Aufrechterhaltung der IT-<strong>Sicherheit</strong>,<br />
5. Dokumentation aller Entscheidungsvorlagen, Entscheidungen und der umgesetzten Maßnahmen<br />
des IT-<strong>Sicherheit</strong>sprozesses.<br />
Mehrere Bereichsleiter<br />
wollen, dass auch e<strong>in</strong> Mitarbeiter<br />
aus ihrem Bereich <strong>in</strong><br />
dem Projektteam vertreten<br />
se<strong>in</strong> soll. Aus drei Bereichen<br />
können wegen dr<strong>in</strong>gender<br />
Term<strong>in</strong>arbeiten ke<strong>in</strong>e Mitarbeiter<br />
am Projekt teilnehmen.<br />
Die Geschäftsführung<br />
schließt diese Diskussion<br />
damit ab, dass maximal<br />
drei Mitarbeiter im Projekt<br />
arbeiten sollen:<br />
1. der IT-<strong>Sicherheit</strong>sbeauftragte<br />
sowie<br />
2. e<strong>in</strong> Mitarbeiter, der im<br />
Vertrieb <strong>für</strong> die IT-<br />
Anwendungen zuständig und gleichzeitig Datenschutzbeauftragter ist, und<br />
3. die kaufmännische Geschäftsleitung.<br />
Alle Bereiche sollen den Projektmitarbeitern die erforderlichen Auskünfte über den Stand der IT-<br />
<strong>Sicherheit</strong> angesichts der gegenwärtigen und geplanten Informationstechnik geben.<br />
Zwischen- und Endergebnisse sollen <strong>in</strong> der Managementsitzung und mit dem Betriebsrat beraten und<br />
dann von der Geschäftsführung entschieden werden. Die Ergebnisse will sie selbst den Beschäftigten<br />
mitteilen.<br />
Nach Vorarbeiten des IT-<strong>Sicherheit</strong>sbeauftragten und Beratungen des Projektteams „IT-<strong>Sicherheit</strong>skonzept“<br />
werden folgende Vorschläge <strong>für</strong> die IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie mit der Geschäftsführung beraten:<br />
Seite 4
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
2.1 Vorschläge <strong>für</strong> die IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie<br />
Stellenwert der IT und Bedeutung der IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie<br />
Der Geschäftserfolg des Unternehmens ist abhängig von aktuellen und korrekten Geschäfts<strong>in</strong>formationen,<br />
die das Unternehmen mit Kunden, Zulieferern, Kooperationspartnern, Geld<strong>in</strong>stituten und anderen<br />
Institutionen zunehmend elektronisch austauscht. Die Informationstechnik ist e<strong>in</strong> wichtiger, unterstützender<br />
Teil unseres Geschäfts und unserer Arbeiten <strong>in</strong> allen Abteilungen.<br />
E<strong>in</strong>e funktionsfähige Informationstechnik und e<strong>in</strong> sicherheitsbewusster Umgang mit ihr s<strong>in</strong>d wesentliche<br />
Voraussetzungen <strong>für</strong> die E<strong>in</strong>haltung der IT-<strong>Sicherheit</strong>sziele Verfügbarkeit, Integrität und Vertraulichkeit<br />
von Informationen.<br />
Die Unternehmensleitung hat aufgrund ihrer Verantwortung <strong>für</strong> die Informationssicherheit e<strong>in</strong>en IT-<br />
<strong>Sicherheit</strong>sprozess <strong>in</strong> Gang gesetzt. Dazu gehören die Entwicklung und Umsetzung dieser Leitl<strong>in</strong>ie<br />
und e<strong>in</strong>es IT-<strong>Sicherheit</strong>skonzepts. Die E<strong>in</strong>haltung der Leitl<strong>in</strong>ie sowie Aktualität und Angemessenheit<br />
des <strong>Sicherheit</strong>skonzepts werden regelmäßig überprüft.<br />
IT-<strong>Sicherheit</strong>sniveau und Ziele<br />
Die Unternehmensleitung schätzt die strategische und operative Bedeutung der Informationstechnik<br />
folgendermaßen e<strong>in</strong>:<br />
Die Informationstechnik dient unserem Unternehmen wesentlich zur Erfüllung des Massengeschäfts<br />
im Vertrieb und E<strong>in</strong>kauf, <strong>für</strong> die Aufgaben der F<strong>in</strong>anz- und Lohnbuchhaltung und <strong>für</strong><br />
qualitative Aufgaben <strong>in</strong> der Entwicklung, Auftragsabwicklung und im Management. Insbesondere<br />
<strong>für</strong> auftragsbezogene Entscheidungen und Investitionen s<strong>in</strong>d aktuelle und korrekte Unternehmensdaten<br />
erforderlich. E<strong>in</strong> Ausfall von IT-Systemen ist bis zu e<strong>in</strong>em Tag überbrückbar, darüber h<strong>in</strong>aus<br />
wären Bee<strong>in</strong>trächtigungen der Managementdispositionen, der Auftragsabwicklung und der Unternehmenskommunikation<br />
zwischen Verwaltung, Produktion und Lager riskant.<br />
In Abwägung der Gefährdungen, der Werte der zu schützenden Güter sowie des vertretbaren Aufwands<br />
an Personal und F<strong>in</strong>anzmitteln <strong>für</strong> IT-<strong>Sicherheit</strong>, hat die Unternehmensleitung bestimmt, dass<br />
e<strong>in</strong> mittleres IT-<strong>Sicherheit</strong>sniveau angestrebt werden soll.<br />
Dieses <strong>Sicherheit</strong>sniveau bed<strong>in</strong>gt folgende <strong>Sicherheit</strong>sziele und Strategie:<br />
1. Informationssicherheit soll mit <strong>Sicherheit</strong>sbewusstse<strong>in</strong> der Beschäftigten bezüglich möglicher<br />
Gefährdungen und mit ihrem persönlich-verantwortlichen Verhalten praktiziert und mit<br />
organisatorischen und technischen Maßnahmen unterstützt werden. Da<strong>für</strong> sollen regelmäßige<br />
Fortbildungsmaßnahmen zur IT-<strong>Sicherheit</strong> durchgeführt werden.<br />
2. Die <strong>für</strong> das Unternehmen wichtigen Informationen sollen gemäß ihrer Vertraulichkeit und<br />
bezüglich ihrer Integrität geschützt werden. <strong>Das</strong> bedeutet, dass auch im Umgang mit<br />
elektronischen Dokumenten und Daten Geheimhaltungsanweisungen strikt Folge zu leisten ist.<br />
3. Die <strong>für</strong> das Unternehmen relevanten Gesetze und Vorschriften sowie vertragliche und aufsichtsrechtliche<br />
Verpflichtungen müssen e<strong>in</strong>gehalten werden.<br />
4. Ziel ist, die <strong>Sicherheit</strong> der IT (gleichwertig neben Leistungsfähigkeit und Funktionalität) im<br />
Unternehmen aufrechtzuerhalten, so dass die Geschäfts<strong>in</strong>formationen bei Bedarf verfügbar s<strong>in</strong>d.<br />
Ausfälle der IT haben Bee<strong>in</strong>trächtigungen des Unternehmens zur Folge. Lang andauernde<br />
Ausfälle, die zu Term<strong>in</strong>überschreitungen von mehr als e<strong>in</strong>em Tag führen, s<strong>in</strong>d nicht tolerierbar.<br />
5. Durch <strong>Sicherheit</strong>smängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierungen<br />
und Image-Schäden müssen verh<strong>in</strong>dert werden. [Kle<strong>in</strong>ere Fehler können toleriert werden.]<br />
Seite 5
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
6. Im Unternehmen sollen <strong>für</strong> die Zugangskontrolle sowohl physikalische als auch logische<br />
<strong>Sicherheit</strong>smaßnahmen angewandt werden.<br />
7. Bereits betriebene und geplante Informationstechnik soll nach der Vorgehensweise des IT-<br />
Grundschutzes des BSI <strong>in</strong> e<strong>in</strong>em IT-<strong>Sicherheit</strong>skonzept erfasst, im Schutzbedarf e<strong>in</strong>geschätzt,<br />
modelliert und auf <strong>Sicherheit</strong>smaßnahmen überprüft werden. <strong>Sicherheit</strong> der IT soll u. a. auch<br />
durch Anwenden von Normen und Standards und durch den E<strong>in</strong>satz zertifizierter Systeme<br />
erreicht werden.<br />
Verantwortungen<br />
• Für Daten, Informationen, Geschäftsverfahren, unterstützende Systeme, Netze und Infrastruktur<br />
werden so genannte „Informationseigentümer“ benannt. Sie sollen verantwortlich <strong>für</strong> die E<strong>in</strong>schätzung<br />
der geschäftlichen Bedeutung (der Information, Technik), <strong>für</strong> die sichere Nutzung und<br />
Kontrolle, <strong>in</strong>klusive der E<strong>in</strong>haltung von <strong>Sicherheit</strong>sgrundsätzen, Standards und Richtl<strong>in</strong>ien se<strong>in</strong>.<br />
Die „Eigentümer“ def<strong>in</strong>ieren die erforderliche Zugänglichkeit (der Information, Technik) sowie<br />
Art und Umfang der Autorisierung. Sie s<strong>in</strong>d <strong>für</strong> die Verwaltung der zustehenden Zugriffsrechte<br />
der Benutzer verantwortlich und gegenüber der Leitung <strong>in</strong> Rechenschaftspflicht.<br />
• E<strong>in</strong> „Informationstreuhänder“, der z. B. aufgrund e<strong>in</strong>es Serviceauftrags <strong>für</strong> das Unternehmen<br />
Leistungen erbr<strong>in</strong>gt, hat Vorgaben des „Informationseigentümers“ und diese IT<br />
<strong>Sicherheit</strong>sleitl<strong>in</strong>ie e<strong>in</strong>zuhalten. Damit ist er verantwortlich <strong>für</strong> die E<strong>in</strong>haltung der IT<br />
<strong>Sicherheit</strong>sziele (Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität,<br />
Rechenschaftspflicht und Verb<strong>in</strong>dlichkeit der Informationen). Bei erkennbaren Mängeln oder<br />
Risiken e<strong>in</strong>gesetzter <strong>Sicherheit</strong>smaßnahmen hat er den „Informationseigentümer“ zu <strong>in</strong>formieren.<br />
• Jeder Mitarbeiter soll im Rahmen se<strong>in</strong>es Umgangs mit IT (als Benutzer, Berater,<br />
Geschäftspartner) die erforderliche Integrität und Vertraulichkeit von Informationen sowie<br />
Verb<strong>in</strong>dlichkeit und Beweisbarkeit von Geschäftskommunikation gewährleisten und die<br />
Richtl<strong>in</strong>ien des Unternehmens e<strong>in</strong>halten. Unterstützt durch sensibilisierende Schulung und<br />
Benutzerbetreuung am Arbeitsplatz soll jeder im Rahmen se<strong>in</strong>er Möglichkeiten,<br />
<strong>Sicherheit</strong>svorfälle von <strong>in</strong>nen und außen vermeiden. Erkannte Fehler s<strong>in</strong>d den Zuständigen<br />
umgehend zu melden, damit schnellstmöglich Abhilfemaßnahmen e<strong>in</strong>geleitet werden können.<br />
• <strong>Das</strong> <strong>Sicherheit</strong>smanagement, bestehend aus IT-<strong>Sicherheit</strong>sbeauftragtem, Mitarbeitern des Projekts<br />
„IT-<strong>Sicherheit</strong>skonzept“, Zuständigen <strong>für</strong> die IT-Anwendungen, Datenschutz und IT-Service, ist<br />
gemäß den <strong>Sicherheit</strong>svorgaben verantwortlich <strong>für</strong> die <strong>Sicherheit</strong> im Umgang mit der IT und den<br />
Schutz der Geschäfts<strong>in</strong>formationen, e<strong>in</strong>schließlich der Kunden-, Entwicklungs- und Managementdaten.<br />
Ebenso ist es zuständig <strong>für</strong> die Weiterentwicklung des IT-<strong>Sicherheit</strong>sniveaus, des IT-<br />
<strong>Sicherheit</strong>skonzepts und <strong>für</strong> se<strong>in</strong>e Umsetzung und Aufrechterhaltung von <strong>Sicherheit</strong> im Betrieb.<br />
• Für die Überprüfung der IT-<strong>Sicherheit</strong> bei der Bearbeitung, Nutzung und Kontrolle von Informationen<br />
werden jeweils unabhängige Verantwortliche e<strong>in</strong>gesetzt, die z. B. Zugriffsmöglichkeiten<br />
auf F<strong>in</strong>anzdaten und den Umgang mit F<strong>in</strong>anztransaktionen und zugehörige <strong>Sicherheit</strong>smaßnahmen<br />
kontrollieren.<br />
Verstöße und Folgen<br />
• Beabsichtigte oder grob fahrlässige Handlungen, die die <strong>Sicherheit</strong> von Daten, Informationen,<br />
Anwendungen, IT-Systemen oder des Netzes gefährden, werden als Verstöße verfolgt. Dazu<br />
gehören beispielsweise:<br />
– der Missbrauch von Daten, der f<strong>in</strong>anziellen Verlust verursachen kann,<br />
Seite 6
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
– der unberechtigte Zugriff auf Informationen bzw. ihre Änderung und unbefugte<br />
Übermittlung,<br />
– die illegale Nutzung von Informationen aus dem Unternehmen,<br />
– die Gefährdung der IT-<strong>Sicherheit</strong> der Mitarbeiter, Geschäftspartner und des Unternehmens<br />
und<br />
– die Schädigung des Rufes des Unternehmens.<br />
• Bewusste Zuwiderhandlungen gegen die IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie werden bestraft – gegebenenfalls<br />
diszipl<strong>in</strong>arisch, arbeitsrechtlich oder mit zivil- und strafrechtlichen Verfahren, <strong>in</strong> denen auch<br />
Haftungsansprüche und Regressforderungen erhoben werden können.<br />
Geltung und Detaillierung<br />
• Diese IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie gilt <strong>für</strong> das gesamte Unternehmen. Jeder Beschäftigte ist daher verpflichtet,<br />
die IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie im Rahmen se<strong>in</strong>er Zuständigkeiten und Arbeiten e<strong>in</strong>zuhalten<br />
und die Informationen und die Technik angemessen zu schützen.<br />
• Unter den Vorgaben dieser IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie und der IT-Grundschutz-Kataloge des<br />
<strong>Bundesamt</strong>es <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> der Informationstechnik, werden Ziele, Anforderungen,<br />
organisatorische und technische <strong>Sicherheit</strong>smaßnahmen <strong>in</strong> dem IT-<strong>Sicherheit</strong>skonzept detailliert,<br />
geplant, dokumentiert und dann umgesetzt.<br />
2.2 E<strong>in</strong>führung der IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie im Unternehmen<br />
Die Unternehmensleitung lässt sich zu den Inhalten der IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie von dem IT-<strong>Sicherheit</strong>sbeauftragten,<br />
der Projektgruppe „IT-<strong>Sicherheit</strong>skonzept“ und dem IT-<strong>Sicherheit</strong>smanagement-<br />
Team ausgiebig beraten. Dann stellt sie die IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie <strong>in</strong> der Managementsitzung der<br />
Bereichsleiter vor, an der auch der Betriebsrat teilnimmt. Nach Diskussion der Aussagen zur Bedeutung<br />
der IT und zum <strong>Sicherheit</strong>sniveau, der <strong>Sicherheit</strong>sziele, Strategieaussagen, organisatorischen<br />
Regelungen und Konsequenzen werden Vorschläge <strong>für</strong> Änderungen e<strong>in</strong>gebracht. Nach e<strong>in</strong>er Überarbeitung<br />
durch den IT-<strong>Sicherheit</strong>sbeauftragten lädt die Unternehmensleitung alle Beschäftigten zu e<strong>in</strong>er<br />
Versammlung e<strong>in</strong> (ggf. im E<strong>in</strong>vernehmen mit dem Betriebsrat im Rahmen e<strong>in</strong>er Betriebsversammlung).<br />
Sie erläutert im Vortrag die Wichtigkeit der Leitl<strong>in</strong>ie <strong>für</strong> das Unternehmen und erklärt Ziele,<br />
Maßnahmen und Konsequenzen. Jeder Mitarbeiter bekommt e<strong>in</strong>e schriftliche Ausfertigung der Leitl<strong>in</strong>ie.<br />
Die Unternehmensleitung kündigt e<strong>in</strong>e Reihe von Fortbildungsveranstaltungen zur IT-<strong>Sicherheit</strong><br />
an, damit die Mitarbeiter <strong>für</strong> mögliche Gefährdungen sensibilisiert und auf e<strong>in</strong>zuhaltende IT-<strong>Sicherheit</strong>smaßnahmen<br />
vorbereitet werden. Die Unternehmensleitung gibt den Term<strong>in</strong> bekannt, ab dem die<br />
Leitl<strong>in</strong>ie <strong>in</strong> Kraft gesetzt ist und verlangt ihre E<strong>in</strong>haltung.<br />
Weitere Informationen zum IT-<strong>Sicherheit</strong>smanagement f<strong>in</strong>den Sie <strong>in</strong> folgenden Dokumenten:<br />
• <strong>in</strong> dem BSI-Standard 100-1: Managementsysteme <strong>für</strong> Informationssicherheit (ISMS),<br />
• <strong>in</strong> den Kapiteln 2 und 3 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard<br />
100-2) sowie<br />
• im Bauste<strong>in</strong> B 1.0 IT-<strong>Sicherheit</strong>smanagement der IT-Grundschutz-Kataloge.<br />
Seite 7
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
3 IT-Strukturanalyse<br />
Grundlage e<strong>in</strong>es jeden IT-<strong>Sicherheit</strong>skonzepts ist e<strong>in</strong>e genaue Kenntnis der im festgelegten IT-<br />
Verbund vorhandenen Informationstechnik, ihrer organisatorischen und personellen<br />
Rahmenbed<strong>in</strong>gungen sowie ihrer Nutzung. Bei der IT-Strukturanalyse geht es darum, die dazu erforderlichen<br />
Informationen zusammenzustellen und so aufzubereiten, dass sie die weiteren Schritte bei<br />
der Anwendung der IT-Grundschutz-Kataloge unterstützen.<br />
Dazu gehören die folgenden Teilschritte:<br />
1. Netzplanerhebung und Komplexitätsreduktion durch Gruppenbildung,<br />
2. Erfassung der IT-Systeme sowie<br />
3. Erfassung der IT-Anwendungen und der zugehörigen Informationen.<br />
Weitere Informationen zur IT-Strukturanalyse f<strong>in</strong>den Sie <strong>in</strong> Kapitel 4.1 der Beschreibung der IT-<br />
Grundschutz-Vorgehensweise (BSI-Standard 100-2).<br />
3.1 Netzplan<br />
3.1.1 Erhebung<br />
Ausgangspunkt <strong>für</strong> die IT-Strukturanalyse bei <strong>RECPLAST</strong> ist der Netzplan <strong>in</strong> Abbildung 2. Um die<br />
Übersichtlichkeit zu bewahren, wurde darauf verzichtet, Geräte und Informationen <strong>in</strong> den Netzplan<br />
e<strong>in</strong>zutragen, die bei den nachfolgenden Beschreibungen nicht weiter benötigt werden (zum Beispiel<br />
Netzdrucker, Sicherungslaufwerke, Netzadressen).<br />
3.1.2 Bere<strong>in</strong>igung<br />
Nicht alle Informationen des vorliegenden Netzplans s<strong>in</strong>d <strong>für</strong> die nachfolgenden Schritte beim<br />
Vorgehen gemäß IT-Grundschutz tatsächlich erforderlich. So können Komponenten zu e<strong>in</strong>er Gruppe<br />
zusammengefasst werden, die<br />
• vom gleichen Typ s<strong>in</strong>d,<br />
• gleich oder nahezu gleich konfiguriert s<strong>in</strong>d,<br />
• gleich oder nahezu gleich <strong>in</strong> das Netz e<strong>in</strong>gebunden s<strong>in</strong>d,<br />
• den gleichen adm<strong>in</strong>istrativen und <strong>in</strong>frastrukturellen Rahmenbed<strong>in</strong>gungen unterliegen und<br />
• die gleichen Anwendungen bedienen.<br />
Im Netzplan ist dieser Schritt noch nicht vollzogen worden. Daneben weist dieser Netzplan noch<br />
weitere Mängel auf. So fehlen <strong>für</strong> e<strong>in</strong>e Reihe von Komponenten e<strong>in</strong>deutige Bezeichnungen, zum<br />
Beispiel <strong>für</strong> die Netzkopplungselemente.<br />
Seite 8
Vertriebsbüro Berl<strong>in</strong><br />
Laptop<br />
Client<br />
Faxgerät<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Internet<br />
Vertriebsbüro Hamburg<br />
Laptop<br />
Client<br />
Faxgerät<br />
Vertriebsbüro München<br />
Laptop<br />
Client<br />
Faxgerät<br />
VPN<br />
Verwaltung Bad Godesberg<br />
Router<br />
DB-Server<br />
Fibu<br />
Clients Lohn/Fibu<br />
Clients<br />
Geschäftsführung<br />
Clients Personal<br />
Faxgeräte<br />
Firewall<br />
Switch<br />
Clients E<strong>in</strong>kauf<br />
TK-Anlage<br />
Router<br />
Domänen-<br />
Controller<br />
Komm.-Server<br />
(Exchange)<br />
Datei- und<br />
Druckserver<br />
DB-Server<br />
Kunden- und<br />
Auftragsbearb:<br />
Standleitung<br />
Server und Clients werden e<strong>in</strong>heitlich mit dem Betriebssystem W<strong>in</strong>dows 2000 betrieben<br />
Abbildung 2: Netzplan der <strong>RECPLAST</strong> GmbH<br />
Clients IT<br />
Clients<br />
Market./Vertrieb<br />
Switch<br />
Laptops<br />
Betrieb Bonn-Beuel<br />
Router<br />
Switch<br />
Dom.-Controller<br />
Datei- und<br />
Druckserver<br />
Clients Produktion<br />
Clients Entwicklung<br />
Clients Lager<br />
Laptop<br />
Faxgerät TK-Anlage<br />
Im bere<strong>in</strong>igten Netzplan (siehe Abbildung 3) s<strong>in</strong>d sowohl diese Mängel behoben als auch Gruppen<br />
gebildet worden:<br />
• Die Clients der Abteilungen „Produktion“ und „Lager“ wurden zusammengefasst, da sie grundsätzlich<br />
gleich ausgestattet s<strong>in</strong>d und mit ihnen auf weitgehend identische Datenbestände zugegriffen<br />
werden kann.<br />
• Die drei Vertriebsbüros zeichnen sich durch e<strong>in</strong>e e<strong>in</strong>heitliche IT-Ausstattung, übere<strong>in</strong>stimmende<br />
Aufgaben und Regelungen sowie e<strong>in</strong>er identischen Zugangsmöglichkeit zum Firmennetz aus. Sie<br />
lassen sich <strong>in</strong> gewisser Weise mit häuslichen Telearbeitsplätzen vergleichen. Sie wurden<br />
deswegen zu e<strong>in</strong>er Gruppe zusammengefasst.<br />
• Die nicht vernetzten Komponenten Laptops und Faxgeräte wurden Standort übergreifend zu jeweils<br />
e<strong>in</strong>er Gruppe zusammengefasst, da <strong>für</strong> den Umgang mit diesen Geräten übere<strong>in</strong>stimmende<br />
organisatorische Regelungen gelten.<br />
Seite 9
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Folgende Clients sollten nicht zusammengefasst werden:<br />
• Bei den Rechnern der Geschäftsführung kann man von e<strong>in</strong>em höheren Schutzbedarf ausgehen<br />
(z. B. könnte auf ihnen besonders vertrauliche Korrespondenz gespeichert se<strong>in</strong>).<br />
• Die größere Sensibilität der Daten ist auch e<strong>in</strong> Grund da<strong>für</strong>, die Rechner der Entwicklungsabteilung<br />
gesondert zu erfassen. Auf ihnen bef<strong>in</strong>den sich Konstruktionspläne und unter<br />
Umständen kundenspezifische Entwicklungen und Verfahrensbeschreibungen, die z. B. vor<br />
Wirtschaftsspionage und damit möglichen gravierenden wirtschaftlichen Folgen <strong>für</strong> die Firma zu<br />
schützen s<strong>in</strong>d.<br />
• E<strong>in</strong>e hohe Vertraulichkeit besitzen ferner auch die Daten, die <strong>in</strong> der Personalabteilung bearbeitet<br />
werden, sowie die Daten der F<strong>in</strong>anz- und Lohnbuchhaltung.<br />
• Auf Rechnern der IT-Adm<strong>in</strong>istratoren laufen Anwendungen, die <strong>für</strong> die Verwaltung des Netzes<br />
erforderlich s<strong>in</strong>d. Von daher verlangen auch diese Rechner e<strong>in</strong>e besondere Aufmerksamkeit.<br />
Vertriebsbüros<br />
C8: 3 Clients<br />
Vertriebsbüros<br />
T3: 8 Faxgeräte<br />
C9: 8 Laptops<br />
Internet<br />
VPN<br />
Verwaltung Bad Godesberg<br />
N1: Router<br />
S5: DB-Server<br />
Fibu<br />
C1: 5 Clients<br />
Lohn/Fibu<br />
C2: 3 Clients<br />
Geschäftsführung<br />
C3: 4 Clients<br />
Personal<br />
N2: Firewall<br />
N4: Switch<br />
C4: 4Clients<br />
IT<br />
C5: 14 Clients<br />
E<strong>in</strong>kauf/Market<strong>in</strong>g/<br />
Vertrieb<br />
T1: TK-Anlage<br />
N3: Switch<br />
N5: Router<br />
S1: Domänen-<br />
Controller<br />
S2: Komm.-Server<br />
(Exchange)<br />
S3: Datei- und<br />
Druckserver<br />
S4: DB-Server<br />
Kunden- und<br />
Auftragsbearb.<br />
Standleitung<br />
Server und Clients werden e<strong>in</strong>heitlich mit dem Betriebssystem W<strong>in</strong>dows 2000 betrieben<br />
Abbildung 3: Bere<strong>in</strong>igter Netzplan der <strong>RECPLAST</strong> GmbH<br />
Seite 10<br />
Betrieb Bonn-Beuel<br />
N6: Router<br />
N7: Switch<br />
S6: Domänen-<br />
Controller, Dateiu.<br />
Druckserver<br />
C6: 12 Clients<br />
Fertigung/Lager<br />
C7: 6 Clients<br />
Entwicklung<br />
T2: TK-Anlage
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
3.2 Erhebung IT-Systeme<br />
Bei der Erhebung der IT-Systeme geht es darum, die vorhandenen und geplanten IT-Systeme und die<br />
sie jeweils charakterisierenden Angaben zusammenzustellen. Dazu zählen<br />
• alle im Netz vorhandenen Computer (Clients und Server), Gruppen von Computern und aktiven<br />
Netzkomponenten, Netzdrucker, aber auch<br />
• nicht vernetzte Computer wie Internet PCs und Laptops,<br />
• Telekommunikationskomponenten wie TK-Anlagen, Faxgeräte, Mobiltelefone und Anrufbeantworter.<br />
Aufgrund der damit verbundenen besseren Übersichtlichkeit empfiehlt sich e<strong>in</strong>e tabellarische<br />
Darstellung, die folgende Angaben enthalten sollte:<br />
• e<strong>in</strong>deutige Bezeichnung,<br />
• Beschreibung (<strong>in</strong>sbesondere der E<strong>in</strong>satzzweck und der Typ, z. B. Server <strong>für</strong> Personalverwaltung,<br />
Router zum Internet),<br />
• Plattform (Welcher Hardwaretyp, welches Betriebssystem?),<br />
• Standort (Gebäude und Raumnummer),<br />
• bei Gruppen: Anzahl der zusammengefassten IT-Systeme,<br />
• Status (<strong>in</strong> Betrieb, im Test, <strong>in</strong> Planung) und<br />
• Benutzer und Adm<strong>in</strong>istrator.<br />
Die Erhebung der IT-Systeme bei der <strong>RECPLAST</strong> GmbH ergab die nachfolgend abgebildeten Übersichten.<br />
Die IT-Systeme s<strong>in</strong>d jeweils durchnummeriert. E<strong>in</strong> vorangestellter Buchstabe kennzeichnet dessen<br />
Typ (S = Server, C = Client, N = Netzkomponente, T = Telekommunikationskomponente).<br />
3.2.1 Übersicht Server<br />
Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Adm<strong>in</strong>istrator<br />
S1 Domänen-Controller W<strong>in</strong>dows 2000<br />
Server<br />
S2 Interner Kommunikationsserver<br />
W<strong>in</strong>dows 2000<br />
Server<br />
S3 Datei- und Druckserver W<strong>in</strong>dows 2000<br />
Server<br />
S4 DB-Server Kunden- und<br />
Auftragsbearbeitung<br />
S5 DB-Server<br />
F<strong>in</strong>anzbuchhaltung<br />
W<strong>in</strong>dows 2000<br />
Server<br />
W<strong>in</strong>dows 2000<br />
Server<br />
S6 Server Beuel W<strong>in</strong>dows 2000<br />
Server<br />
BG, R. 1.02<br />
(Serverraum)<br />
BG, R. 1.02<br />
(Serverraum)<br />
BG, R. 1.02<br />
(Serverraum)<br />
BG, R. 1.02<br />
(Serverraum)<br />
BG, R. 1.02<br />
(Serverraum)<br />
Beuel, R. 2.01<br />
(Serverraum)<br />
Seite 11<br />
1 In Betrieb Alle IT-Benutzer/<br />
IT-Adm<strong>in</strong>istration<br />
1 In Betrieb Alle IT-Benutzer/<br />
IT-Adm<strong>in</strong>istration<br />
1 In Betrieb Alle IT-Benutzer/<br />
IT-Adm<strong>in</strong>istration<br />
1 In Betrieb Market<strong>in</strong>g und Vertrieb,<br />
Fertigung, Lager/<br />
IT-Adm<strong>in</strong>istration<br />
1 In Betrieb Mitarbeiter Lohn/Fibu<br />
1 In Betrieb Alle Mitarbeiter <strong>in</strong> Beuel
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
3.2.2 Übersicht Clients<br />
Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Adm<strong>in</strong>istrator<br />
C1 Clients <strong>in</strong> der<br />
F<strong>in</strong>anzbuchhaltung<br />
C2 Clients der<br />
Geschäftsführung<br />
C3 Clients der<br />
Personalabteilung<br />
C4 Clients der<br />
Informationstechnik<br />
C5 Clients Kunden- und<br />
Auftragsbearbeitung<br />
W<strong>in</strong>dows 2000<br />
Client<br />
W<strong>in</strong>dows 2000<br />
Client<br />
W<strong>in</strong>dows 2000<br />
Client<br />
W<strong>in</strong>dows 2000<br />
Client<br />
W<strong>in</strong>dows 2000<br />
Client<br />
C6 Clients Fertigung und Lager W<strong>in</strong>dows 2000<br />
Client<br />
C7 Clients <strong>in</strong> Entwicklungsabteilung<br />
W<strong>in</strong>dows 2000<br />
Client<br />
C8 Clients <strong>in</strong> Vertriebsbüros W<strong>in</strong>dows 2000<br />
Client<br />
C9 Laptops W<strong>in</strong>dows 2000<br />
Client<br />
3.2.3 Übersicht Netzkomponenten<br />
BG,<br />
R. 2.10 – 2.12<br />
BG,<br />
R. 1.10 – 1.13<br />
BG,<br />
R. 1.07 – 1.09<br />
BG,<br />
R. 1.03 – 1.06<br />
BG,<br />
R. 2.03 – 2.09<br />
Beuel,<br />
R. 2.10 – 2.13<br />
Beuel,<br />
R. 2.14 – 2.20<br />
Vertriebsbüros<br />
(Berl<strong>in</strong>, Hamburg,<br />
München)<br />
4 <strong>in</strong> BG, je 1 <strong>in</strong><br />
Beuel und <strong>in</strong> den<br />
Vertriebsbüros<br />
4 In Betrieb Mitarbeiter <strong>in</strong> der<br />
F<strong>in</strong>anzbuchhaltung<br />
3 In Betrieb Geschäftsführung<br />
In Betrieb Mitarbeiter der<br />
Personalabteilung<br />
4 In Betrieb Mitarbeiter IT /<br />
IT-Adm<strong>in</strong>istration<br />
14 In Betrieb E<strong>in</strong>kauf, Market<strong>in</strong>g und<br />
Vertrieb<br />
12 In Betrieb Mitarbeiter Fertigung und<br />
Lager<br />
6 In Betrieb Entwicklung/<br />
IT-Adm<strong>in</strong>istration<br />
3 In Betrieb Mitarbeiter <strong>in</strong><br />
Vertriebsbüros/<br />
IT-Adm<strong>in</strong>istration<br />
8 In Betrieb Mitarbeiter Vertrieb/<br />
IT-Adm<strong>in</strong>istration<br />
Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Adm<strong>in</strong>istrator<br />
N1 Router zum Internet DSL-Router BG, R. 1.02<br />
(Serverraum)<br />
N2 Firewall W<strong>in</strong>dows 2000 BG, R. 1.02<br />
(Serverraum)<br />
N3 Zentraler Switch <strong>in</strong> Bad<br />
Godesberg<br />
N4 Switch <strong>für</strong><br />
Personalabteilung<br />
N5 Router zur Anb<strong>in</strong>dung des<br />
Standorts Beuel<br />
N6 Router zur Anb<strong>in</strong>dung nach<br />
Bad Godesberg<br />
BG, R. 1.02<br />
(Serverraum)<br />
BG, R. 1.02<br />
(Serverraum)<br />
Router BG, R. 1.02<br />
(Serverraum)<br />
Router Beuel, R. 2.02<br />
(Technikraum)<br />
N7 Switch <strong>in</strong> Beuel Beuel, R. 2.02<br />
(Technikraum)<br />
Seite 12<br />
1 In Betrieb Alle IT-Benutzer/<br />
IT-Adm<strong>in</strong>istration<br />
1 In Betrieb Alle IT-Benutzer/<br />
IT-Adm<strong>in</strong>istration<br />
1 In Betrieb Alle IT-Benutzer/<br />
IT-Adm<strong>in</strong>istration<br />
1 In Betrieb Personalabteilung, GF,<br />
Lohn, Fibu/<br />
IT-Adm<strong>in</strong>istration<br />
1 In Betrieb Alle IT-Benutzer/<br />
IT-Adm<strong>in</strong>istration<br />
1 In Betrieb Alle IT-Benutzer/<br />
IT-Adm<strong>in</strong>istration<br />
1 In Betrieb Alle IT-Benutzer/<br />
IT-Adm<strong>in</strong>istration
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
3.2.4 Übersicht Telekommunikationskomponenten<br />
Nr. Beschreibung Plattform Standort Anzahl Status Benutzer/Adm<strong>in</strong>istrator<br />
T1 Telefonanlage BG ISDN-TK-<br />
Anlage<br />
T2 Telefonanlage Beuel ISDN-TK-<br />
Anlage<br />
T3 Faxgeräte 4 <strong>in</strong> BG, je 1 <strong>in</strong><br />
Beuel und <strong>in</strong> den<br />
Vertriebsbüros<br />
3.3 Erhebung IT-Anwendungen<br />
BG, R. 1.01 1 In Betrieb Alle Mitarbeiter <strong>in</strong> BG/<br />
IT-Adm<strong>in</strong>istration<br />
Beuel, R. 2.02 1 In Betrieb Alle Mitarbeiter <strong>in</strong> Beuel/<br />
IT-Adm<strong>in</strong>istration<br />
8 In Betrieb Alle Mitarbeiter<br />
Bei der Erhebung der IT-Anwendungen werden die wichtigsten Anwendungen e<strong>in</strong>er Organisation<br />
erfasst, also diejenigen<br />
• deren Daten, Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit)<br />
haben,<br />
• deren Daten, Informationen und Programme den höchsten Bedarf an Korrektheit und<br />
Unverfälschtheit (Integrität) haben oder<br />
• die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben.<br />
Unter Berücksichtigung der Auskünfte der Benutzer und fachlich Verantwortlichen wurden bei<br />
<strong>RECPLAST</strong> die folgenden Anwendungen <strong>in</strong> diesem S<strong>in</strong>ne als wesentlich identifiziert:<br />
Nr. Beschreibung Nr. Beschreibung<br />
A1 Personaldatenverarbeitung A9 Druckservice BG<br />
A2 Reisekostenabrechnung A10 Druckservice Beuel<br />
A3 F<strong>in</strong>anzbuchhaltung A11 Office-Anwendungen (Textverarbeitung,<br />
Tabellenkalkulation, Präsentation)<br />
A4 Auftrags- und Kundenverwaltung A12 Internet-Zugang<br />
A5 Benutzerauthentisierung A13 Application Gateway<br />
A6 Systemmanagement A14 Filterfunktionalität<br />
A7 E-Mail, Term<strong>in</strong>kalender A15 TK-Vermittlung<br />
A8 Zentrale Dokumentenverwaltung A16 Faxen<br />
In den folgenden Tabellen s<strong>in</strong>d die Anwendungen den Servern, Clients, Netz- und Telekommunikationskomponenten<br />
zugeordnet, die <strong>für</strong> deren Ausführung erforderlich s<strong>in</strong>d. Zusätzlich ist<br />
<strong>für</strong> jede IT-Anwendung vermerkt, ob sie personenbezogene Daten verarbeitet oder nicht.<br />
Seite 13
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
3.3.1 Zuordnung der Anwendungen zu den Servern<br />
Nr. Beschreibung Pers.-bez.<br />
Daten<br />
S1 S2 S3 S4 S5 S6<br />
A1 Personaldatenverarbeitung X X<br />
A2 Reisekostenabrechnung X X<br />
A3 F<strong>in</strong>anzbuchhaltung X X<br />
A4 Auftrags- und Kundenverwaltung X X<br />
A5 Benutzerauthentisierung X X X<br />
A6 Systemmanagement X X<br />
A7 E-Mail, Term<strong>in</strong>kalender X X<br />
A8 Zentrale Dokumentenverwaltung X X<br />
A9 Druckservice BG X<br />
A10 Druckservice Beuel X<br />
A11 Office-Anwendungen<br />
(Textverarbeitung, Tabellenkalkulation, Präsentation)<br />
A12 Internet-Zugang<br />
A13 Application Gateway<br />
A14 Filterfunktionalität<br />
A15 TK-Vermittlung<br />
A16 Faxen<br />
3.3.2 Zuordnung der Anwendungen zu den Clients<br />
Nr. Beschreibung Pers.-bez.<br />
Daten<br />
A1 Personaldatenverarbeitung X X X<br />
A2 Reisekostenabrechnung X X<br />
A3 F<strong>in</strong>anzbuchhaltung X X<br />
A4 Auftrags- und<br />
Kundenverwaltung<br />
A5 Benutzerauthentisierung X<br />
A6 Systemmanagement X<br />
C1 C2 C3 C4 C5 C6 C7 C8 C9<br />
X X X X X X<br />
A7 E-Mail, Term<strong>in</strong>kalender X X X X X X X X X X<br />
A8 Zentrale<br />
Dokumentenverwaltung<br />
X X<br />
Seite 14
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Nr. Beschreibung Pers.-bez. C1 C2 C3 C4 C5 C6 C7 C8 C9<br />
Daten<br />
A9 Druckservice BG X X X X X<br />
A10 Druckservice Beuel X<br />
A11 Office-Anwendungen<br />
(Textverarbeitung, Tabellenkalkulation,<br />
Präsentation)<br />
X X X X X X X X<br />
A12 Internet-Zugang X X X X X X X X X<br />
A13 Application Gateway<br />
A14 Filterfunktionalität<br />
A15 TK-Vermittlung<br />
A16 Faxen X<br />
3.3.3 Zuordnung der Anwendungen zu den Netz- und<br />
Telekommunikationskomponenten<br />
Nr. Beschreibung Pers.-bez.<br />
Daten<br />
A1 Personaldatenverarbeitung X X<br />
A2 Reisekostenabrechnung X X<br />
A3 F<strong>in</strong>anzbuchhaltung X X<br />
A4 Auftrags- und<br />
Kundenverwaltung<br />
N1 N2 N3 N4 N5 N6 N7 T1 T2 T3<br />
X X X X X<br />
A5 Benutzerauthentisierung X X X X X X<br />
A6 Systemmanagement X X X X X<br />
A7 E-Mail, Term<strong>in</strong>kalender X X X X X X X X<br />
A8 Zentrale Dokumentenverwaltung X X X X<br />
A9 Druckservice BG X<br />
A10 Druckservice Beuel X<br />
A11 Office-Anwendungen<br />
(Textverarbeitung, Tabellenkalkulation,<br />
Präsentation)<br />
A12 Internet-Zugang X X X X X X X<br />
A13 Application Gateway X<br />
A14 Filterfunktionalität X<br />
A15 TK-Vermittlung X X<br />
A16 Faxen X<br />
Seite 15
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
4 Schutzbedarfsfeststellung<br />
Wie viel Schutz benötigen die Informationstechnik und die durch diese unterstützten Anwendungen?<br />
Wie kommt man zu begründeten und nachvollziehbaren E<strong>in</strong>schätzungen des Schutzbedarfs? Welche<br />
Komponenten der Informationstechnik benötigen mehr <strong>Sicherheit</strong>, bei welchen genügen elementare<br />
Schutzmaßnahmen?<br />
Ziel der Schutzbedarfsfeststellung ist es, diese Fragen zu klären und damit die Auswahl angemessener<br />
<strong>Sicherheit</strong>smaßnahmen <strong>für</strong> die verschiedenen Komponenten der Informationstechnik (Systeme,<br />
Anwendungen, Räume, Kommunikationsverb<strong>in</strong>dungen) zu unterstützen.<br />
Zur Schutzbedarfsfeststellung gehören die folgenden Aktivitäten:<br />
1. die auf Ihre Organisation zugeschnittene Def<strong>in</strong>ition von Schutzbedarfskategorien (z. B. „normal“,<br />
„hoch“, „sehr hoch“),<br />
2. die Schutzbedarfsfeststellung der <strong>in</strong> der IT-Strukturanalyse erfassten Anwendungen mit Hilfe der<br />
festgelegten Kategorien,<br />
3. die Ableitung des Schutzbedarfs der IT-Systeme aus dem Schutzbedarf der Anwendungen,<br />
4. daraus abgeleitet die Feststellung des Schutzbedarfs der Kommunikationsverb<strong>in</strong>dungen und ITgenutzten<br />
Räume sowie<br />
5. die Dokumentation und Auswertung der vorgenommenen E<strong>in</strong>schätzungen.<br />
Weitere Informationen zur Schutzbedarfsfeststellung f<strong>in</strong>den Sie <strong>in</strong> Kapitel 4.2 der Beschreibung der<br />
IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2).<br />
4.1 Anpassung der Schutzbedarfskategorien<br />
Bei der <strong>RECPLAST</strong> GmbH wurden die Schutzbedarfskategorien vom zuständigen <strong>Sicherheit</strong>smanagementteam<br />
folgendermaßen def<strong>in</strong>iert und mit der Geschäftsführung abgestimmt:<br />
Schutzbedarfskategorie normal:<br />
E<strong>in</strong> möglicher Schaden hätte begrenzte, überschaubare Auswirkungen auf die <strong>RECPLAST</strong> GmbH:<br />
• Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen allenfalls ger<strong>in</strong>gfügige<br />
juristische Konsequenzen oder Konventionalstrafen.<br />
• Bee<strong>in</strong>trächtigungen des <strong>in</strong>formationellen Selbstbestimmungsrechts und der Missbrauch<br />
personenbezogener Daten hätten nur ger<strong>in</strong>gfügige Auswirkungen auf die davon Betroffenen und<br />
würden von diesen toleriert.<br />
• Die persönliche Unversehrtheit wird nicht bee<strong>in</strong>trächtigt.<br />
• Die Abläufe bei <strong>RECPLAST</strong> werden allenfalls unerheblich bee<strong>in</strong>trächtigt. Ausfallzeiten von<br />
mehr als 24 Stunden können h<strong>in</strong>genommen werden.<br />
• Es droht ke<strong>in</strong> Ansehensverlust bei Kunden und Geschäftspartnern.<br />
• Der mögliche f<strong>in</strong>anzielle Schaden ist kle<strong>in</strong>er als 50.000 Euro.<br />
Schutzbedarfskategorie hoch:<br />
E<strong>in</strong> möglicher Schaden hätte beträchtliche Auswirkungen auf die <strong>RECPLAST</strong> GmbH:<br />
Seite 16
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
• Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen schwerwiegende juristische<br />
Konsequenzen oder hohe Konventionalstrafen.<br />
• Bee<strong>in</strong>trächtigungen des <strong>in</strong>formationellen Selbstbestimmungsrechts und der Missbrauch personenbezogener<br />
Daten hätten beträchtliche Auswirkungen auf die davon Betroffenen und würden<br />
von diesen nicht toleriert.<br />
• Die persönliche Unversehrtheit wird nicht bee<strong>in</strong>trächtigt.<br />
• Die Abläufe bei <strong>RECPLAST</strong> werden erheblich bee<strong>in</strong>trächtigt. Ausfallzeiten dürfen maximal<br />
24 Stunden betragen.<br />
• <strong>Das</strong> Ansehen des Unternehmens bei Kunden und Geschäftspartnern wird erheblich bee<strong>in</strong>trächtigt.<br />
• Der mögliche f<strong>in</strong>anzielle Schaden liegt zwischen 50.000 und 500.000 Euro.<br />
Schutzbedarfskategorie sehr hoch:<br />
E<strong>in</strong> möglicher Schaden hätte katastrophale Auswirkungen:<br />
• Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen juristische Konsequenzen oder<br />
Konventionalstrafen, die die Existenz des Unternehmens gefährden.<br />
• Bee<strong>in</strong>trächtigungen des <strong>in</strong>formationellen Selbstbestimmungsrechts und der Missbrauch personenbezogener<br />
Daten hätten ru<strong>in</strong>öse Auswirkungen auf die gesellschaftliche oder wirtschaftliche<br />
Stellung der davon Betroffenen.<br />
• Die persönliche Unversehrtheit wird nicht bee<strong>in</strong>trächtigt.<br />
• Die Abläufe bei <strong>RECPLAST</strong> werden so stark bee<strong>in</strong>trächtigt, dass Ausfallzeiten, die über<br />
2 Stunden h<strong>in</strong>ausgehen, nicht toleriert werden können.<br />
• <strong>Das</strong> Ansehen des Unternehmens bei Kunden und Geschäftspartnern wird grundlegend und<br />
nachhaltig beschädigt.<br />
• Der mögliche f<strong>in</strong>anzielle Schaden liegt über 500.000 Euro.<br />
4.2 Schutzbedarfsfeststellung der IT-Anwendungen<br />
Bei der Schutzbedarfsfeststellung der IT-Anwendungen ist <strong>für</strong> alle <strong>in</strong> der IT-Strukturanalyse erfassten<br />
Anwendungen und differenziert nach den drei Grundwerten Vertraulichkeit, Integrität und<br />
Verfügbarkeit e<strong>in</strong>e Zuordnung zu den zuvor festgelegten Schutzbedarfskategorien vorzunehmen.<br />
Die folgende Tabelle zeigt, welche Zuordnungen bei der <strong>RECPLAST</strong> GmbH vorgenommen wurden:<br />
Seite 17
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
IT-Anwendung Schutzbedarfsfeststellung<br />
Nr. Bezeichnung Pers.-bez.<br />
Daten<br />
A1 Personaldatenverarbeitung<br />
A2 Reisekostenabrechnung<br />
A3 F<strong>in</strong>anzbuchhaltung<br />
A4 Auftrags- und<br />
Kundenverwaltung<br />
A5 Benutzerauthentisierung<br />
X<br />
X<br />
Grundwert Schutzbedarf<br />
Begründung<br />
Vertraulichkeit hoch Personaldaten s<strong>in</strong>d besonders schutzbedürftige Daten,<br />
deren Bekanntwerden die Betroffenen erheblich<br />
bee<strong>in</strong>trächtigen kann.<br />
Integrität normal Fehler werden rasch erkannt und können entweder aus<br />
der Datensicherung e<strong>in</strong>gespielt oder durch E<strong>in</strong>gabe<br />
korrigiert werden.<br />
Verfügbarkeit normal Ausfälle bis zu e<strong>in</strong>er Woche können mit manuellen<br />
Verfahren überbrückt werden.<br />
Vertraulichkeit hoch Auch Reisekostendaten s<strong>in</strong>d personenbezogene Daten<br />
und damit schützenswert.<br />
Integrität normal Fehler werden rasch erkannt und können nachträglich<br />
korrigiert werden.<br />
Verfügbarkeit normal Ausfälle können mittels manueller Verfahren überbrückt<br />
werden.<br />
X Vertraulichkeit hoch Es werden vertrauliche F<strong>in</strong>anzdaten des Unternehmens<br />
verarbeitet, deren Bekanntwerden dem Unternehmen<br />
u. U. hohen f<strong>in</strong>anziellen Schaden und Ansehensverlust<br />
zufügen kann.<br />
X<br />
Integrität hoch Alle F<strong>in</strong>anzdispositionen setzen korrekte Daten voraus.<br />
Bei falschen Daten s<strong>in</strong>d f<strong>in</strong>anzielle Schäden über<br />
50.000 EURO möglich.<br />
Verfügbarkeit normal E<strong>in</strong> Ausfall bis zu drei Tagen kann (mit zumutbarem<br />
Mehraufwand) manuell überbrückt werden.<br />
Vertraulichkeit hoch Es werden personenbezogene Daten verarbeitet, deren<br />
Bekanntwerden dem Unternehmen großen Schaden<br />
zufügen kann (z. B. besondere Kundenkonditionen).<br />
Integrität hoch Falls Mengen- oder Preisangaben verändert werden, kann<br />
dem Unternehmen großer Schaden entstehen, der leicht<br />
100.000 Euro überschreiten kann und zu großem<br />
Ansehensverlust führen kann.<br />
Verfügbarkeit hoch Da mit dieser Anwendung alle Funktionen vom E<strong>in</strong>kauf<br />
über die Bestellabwicklung und das Schreiben der<br />
Liefersche<strong>in</strong>e, bis h<strong>in</strong> zum Lagerbestand abgedeckt<br />
werden, kann e<strong>in</strong> Ausfall höchstens bis zu 24 Stunden<br />
manuell überbrückt werden.<br />
Vertraulichkeit normal Die Passwörter s<strong>in</strong>d verschlüsselt gespeichert und damit<br />
praktisch nicht zugänglich.<br />
Integrität hoch Der hohe Schutzbedarf ergibt sich daraus, dass sich alle<br />
Mitarbeiter hierüber identifizieren.<br />
Verfügbarkeit hoch Bei Ausfall dieser Anwendung s<strong>in</strong>d ke<strong>in</strong>e Identifizierung<br />
und damit ke<strong>in</strong>e Ausführung von IT-Verfahren möglich.<br />
E<strong>in</strong> Ausfall ist allenfalls bis zu 24 Stunden tolerabel.<br />
Seite 18
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
IT-Anwendung Schutzbedarfsfeststellung<br />
Nr. Bezeichnung Pers.-bez. Grundwert Schutz- Begründung<br />
Daten bedarf<br />
A6 Systemmanagement<br />
A7 E-Mail,<br />
Term<strong>in</strong>kalender<br />
A8 Zentrale<br />
Dokumentenverwaltung<br />
A9 Druckservice<br />
<strong>für</strong> den Standort<br />
Bad Godesberg<br />
Vertraulichkeit normal Es werden ke<strong>in</strong>e vertraulichen Daten erzeugt oder<br />
gespeichert.<br />
Integrität hoch Fehler <strong>in</strong> den Konfigurationsdateien können alle Rechner<br />
und <strong>in</strong>sbesondere auch die <strong>Sicherheit</strong>se<strong>in</strong>stellungen<br />
betreffen.<br />
Verfügbarkeit normal Bei Ausfall der Anwendung können Adm<strong>in</strong>istration und<br />
Konfiguration an den e<strong>in</strong>zelnen Rechnern durchgeführt<br />
werden. E<strong>in</strong> Ausfall ist daher kurzzeitig vertretbar.<br />
Vertraulichkeit hoch Es existiert e<strong>in</strong>e Organisationsvere<strong>in</strong>barung, die es<br />
verbietet, vertrauliche Daten (z. B. Personaldaten zu<br />
versenden. Da aber immer häufiger Kunden per E-Mail<br />
bestellen oder Konditionen erfragen, ist der Schutzbedarf<br />
hoch.<br />
Integrität hoch Kundenanfragen oder Bestellungen müssen gegen<br />
fehlerhafte Daten geschützt werden.<br />
Verfügbarkeit hoch Sowohl die <strong>in</strong>terne Kommunikation als auch e<strong>in</strong> großer<br />
Teil der Kommunikation mit Kunden erfolgt über E-<br />
Mail. E<strong>in</strong> Ausfall führt zu hohem Ansehensverlust und<br />
evtl. zum Verlust von Bestellungen. E<strong>in</strong> Ausfall ist daher<br />
höchstens <strong>für</strong> 24 Stunden akzeptabel.<br />
Vertraulichkeit normal Die Dokumentenvorlage und auch die hier gespeicherten<br />
Dokumente s<strong>in</strong>d nicht vertraulich. Sie werden zum Teil<br />
sogar öffentlich gemacht.<br />
Integrität normal Fehler werden <strong>in</strong> der Regel schnell erkannt und können<br />
nachträglich bere<strong>in</strong>igt werden.<br />
Verfügbarkeit normal Bei Ausfall der Anwendung können die Vorlagen<br />
manuell erstellt werden. Dokumente werden auf den<br />
Arbeitsplatzrechnern gespeichert und können bei<br />
Verfügbarkeit gespeichert werden.<br />
Vertraulichkeit normal Es werden ke<strong>in</strong>e vertraulichen Daten verarbeitet. Abteilungen,<br />
die vertrauliche oder personenbezogene Daten<br />
ausdrucken, s<strong>in</strong>d mit Arbeitsplatzdruckern ausgestattet.<br />
Integrität normal Wenn Daten fehlerhaft ausgedruckt werden, kann dies<br />
leicht festgestellt werden.<br />
Verfügbarkeit normal Da an wichtigen Arbeitsplätzen lokale Drucker<br />
vorhanden s<strong>in</strong>d, kann e<strong>in</strong> Ausfall bis zu drei Tagen<br />
h<strong>in</strong>genommen werden.<br />
Seite 19
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
IT-Anwendung Schutzbedarfsfeststellung<br />
Nr. Bezeichnung Pers.-bez. Grundwert Schutz- Begründung<br />
Daten bedarf<br />
A10 Druckservice<br />
<strong>für</strong> den Beueler<br />
Standort<br />
A11 Office-<br />
Anwendungen<br />
A12 Internet-Zugang<br />
A13 Application<br />
Gateway<br />
A14 Filterfunktionalität<br />
Vertraulichkeit normal Es werden <strong>in</strong> der Hauptsache Liefersche<strong>in</strong>e und<br />
Lagerbestände gedruckt, die ke<strong>in</strong>e vertraulichen<br />
Angaben enthalten.<br />
Integrität normal Falsch ausgedruckte Daten werden leicht erkannt und<br />
können korrigiert werden.<br />
Verfügbarkeit normal Da noch e<strong>in</strong> weiterer Arbeitsplatzdrucker vorhanden ist,<br />
können Daten bei Ausfall der Anwendung darüber<br />
ausgedruckt werden.<br />
Vertraulichkeit normal Es werden ke<strong>in</strong>e vertraulichen Daten verarbeitet.<br />
Integrität normal Fehlerhafte Daten können leicht erkannt und korrigiert<br />
werden. es s<strong>in</strong>d ke<strong>in</strong>e f<strong>in</strong>anzielle Schäden zu erwarten.<br />
Verfügbarkeit normal Der Ausfall auf e<strong>in</strong>em Client ist bis zu e<strong>in</strong>er Woche<br />
h<strong>in</strong>nehmbar. Ersatzweise kann auf e<strong>in</strong>em Laptop<br />
weitergearbeitet werden.<br />
Vertraulichkeit normal Es werden ke<strong>in</strong>e vertraulichen Daten verarbeitet.<br />
Integrität normal Fehlerhafte Daten können <strong>in</strong> der Regel leicht erkannt<br />
werden.<br />
Verfügbarkeit hoch Die Recherche im Internet ist <strong>für</strong> e<strong>in</strong>ige Abteilungen<br />
wichtig (<strong>in</strong>sbesondere die E<strong>in</strong>kaufsabteilung). E<strong>in</strong><br />
Ausfall ist höchstens 24 Stunden h<strong>in</strong>nehmbar.<br />
Vertraulichkeit normal Über das System werden ke<strong>in</strong>e vertraulichen Daten<br />
geleitet.<br />
Integrität hoch An die Integrität der Konfigurations- und<br />
Betriebssystemdateien s<strong>in</strong>d hohe Anforderungen zu<br />
stellen, um Netze<strong>in</strong>brüche auszuschließen. Bei<br />
Netze<strong>in</strong>brüchen können vertrauliche Daten<br />
kompromittiert werden.<br />
Verfügbarkeit hoch E-Mail und Internet-Recherche s<strong>in</strong>d wesentliche<br />
Bestandteile der Tätigkeit der Fachabteilungen. E<strong>in</strong><br />
Ausfall der Anwendung ist allenfalls <strong>für</strong> 24 Stunden<br />
tolerabel.<br />
Vertraulichkeit normal Über diese Anwendungen werden ke<strong>in</strong>e vertraulichen<br />
Daten geleitet.<br />
Integrität hoch An die Integrität der Konfigurations- und Rout<strong>in</strong>g-<br />
Tabellen s<strong>in</strong>d hohe Anforderungen zu stellen, da ansonsten<br />
Netze<strong>in</strong>brüche möglich werden, die dazu führen<br />
können, dass vertrauliche Daten kompromittiert werden.<br />
Verfügbarkeit hoch E-Mail und Recherche im Internet s<strong>in</strong>d wesentliche<br />
Bestandteile der Arbeit der Fachabteilung. E<strong>in</strong> Ausfall ist<br />
höchstens <strong>für</strong> 24 Stunden h<strong>in</strong>nehmbar.<br />
Seite 20
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
IT-Anwendung Schutzbedarfsfeststellung<br />
Nr. Bezeichnung Pers.-bez. Grundwert Schutz- Begründung<br />
Daten bedarf<br />
A15 TK-Vermittlung<br />
A16 Faxen<br />
Vertraulichkeit normal Die Betroffenen werden nur unerheblich bee<strong>in</strong>trächtigt,<br />
wenn die Daten bekannt werden.<br />
Integrität normal Fehler <strong>in</strong> der Konfigurationsdatei können leicht erkannt<br />
und korrigiert werden. Evtl. Schäden aufgrund<br />
fehlerhafter Gebührenerfassung liegen unter 500 Euro.<br />
Verfügbarkeit hoch Die TK-Anlage ist e<strong>in</strong> wesentliches Kommunikationsmittel<br />
mit den Kunden. E<strong>in</strong> Ausfall würde die<br />
Arbeit erheblich bee<strong>in</strong>trächtigen und zu e<strong>in</strong>em<br />
wesentlichen Ansehensverlust führen.<br />
Vertraulichkeit hoch Über die Faxgeräte werden Kunden Angebote und<br />
Konditionen unterbreitet. Diese sollten nur den<br />
Betroffenen bekannt werden.<br />
Integrität normal Veränderungen an den übermittelten Daten können <strong>in</strong> der<br />
Regel leicht erkannt werden oder führen zu Rückfragen.<br />
Verfügbarkeit normal Da mehrere Faxgeräte <strong>in</strong> der Verwaltung vorhanden s<strong>in</strong>d,<br />
führt der Ausfall e<strong>in</strong>es Faxgeräts nur zu e<strong>in</strong>er m<strong>in</strong>imalen<br />
E<strong>in</strong>schränkung. Bei Ausfall <strong>in</strong> den Vertriebsbüros oder<br />
der Produktionsstätte kann per Telefon oder E-Mail<br />
kommuniziert werden.<br />
4.3 Schutzbedarfsfeststellung der IT-Systeme<br />
Der Schutzbedarf e<strong>in</strong>es IT-Systems hängt im Wesentlichen von dem Schutzbedarf derjenigen Anwendungen<br />
ab, <strong>für</strong> deren Ausführung es benötigt wird. Der Schutzbedarf der Anwendung vererbt sich auf<br />
den Schutzbedarf des IT-Systems. Bei der Vererbung lassen sich folgende Fälle unterscheiden:<br />
• In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das IT-System<br />
benötigen, übernehmen (Maximumpr<strong>in</strong>zip).<br />
• Der Schutzbedarf des IT-Systems kann höher se<strong>in</strong> als der Schutzbedarf der e<strong>in</strong>zelnen<br />
Anwendungen (Kumulationseffekt). Dies ist z. B. dann der Fall, wenn auf e<strong>in</strong>em Server mehrere<br />
Anwendungen mit mittlerem Schutzbedarf <strong>in</strong> Betrieb s<strong>in</strong>d. Der Ausfall e<strong>in</strong>er dieser<br />
Anwendungen könnte überbrückt werden. Wenn aber alle Anwendungen gleichzeitig ausfallen<br />
würden, dann kann e<strong>in</strong> hoher Schaden entstehen.<br />
• Der Schutzbedarf kann niedriger se<strong>in</strong> als der Schutzbedarf der zugeordneten Anwendungen, wenn<br />
e<strong>in</strong>e Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist, und auf dem<br />
betreffenden IT-System nur weniger wichtige Teile dieser Anwendung ausgeführt werden<br />
(Verteilungseffekt). Bei Anwendungen, die personenbezogene Daten verarbeiten, s<strong>in</strong>d z. B.<br />
Komponenten weniger kritisch, <strong>in</strong> denen die Daten nur <strong>in</strong> pseudonymisierter oder aggregierter<br />
Form verwendet werden.<br />
Auch der Schutzbedarf <strong>für</strong> die IT-Systeme sollte <strong>für</strong> jeden der drei Grundwerte (Vertraulichkeit,<br />
Integrität und Verfügbarkeit) festgelegt und anschließend z. B. tabellarisch dokumentiert werden.<br />
Die folgenden Tabellen enthalten die Schutzbedarfsfeststellung <strong>für</strong> die Server, Clients, Netz- und<br />
Telekommunikationskomponenten der <strong>RECPLAST</strong> GmbH.<br />
Seite 21
Schutzbedarf Server<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
IT-System Schutzbedarfsfeststellung<br />
Nr. Beschreibung Grundwert Schutzbedarf<br />
S1 Domänen-<br />
Controller BG<br />
S2 Interner<br />
Kommunikationsserver<br />
S3 Datei- und<br />
Druckserver BG<br />
S4 Server <strong>für</strong><br />
Kunden- und<br />
Auftragsbearbeitung<br />
S5 DB-Server<br />
F<strong>in</strong>anzbuchhaltung<br />
S6 Server Beuel<br />
Begründung<br />
Vertraulichkeit normal Maximumpr<strong>in</strong>zip gemäß Anwendung A5 (Benutzerauthentisierung)<br />
Integrität hoch Maximumpr<strong>in</strong>zip gemäß Anwendung A5 (Benutzerauthentisierung)<br />
Verfügbarkeit normal Gemäß Anwendung A5 (Benutzerauthentisierung) ist der Schutzbedarf<br />
hoch. Da jedoch <strong>in</strong> Beuel e<strong>in</strong> zweiter Domänencontroller (S6)<br />
steht, ist e<strong>in</strong>e Anmeldung auch <strong>für</strong> Benutzer aus Godesberg über<br />
diesen Rechner möglich. E<strong>in</strong> Ausfall bis zu drei Tagen ist<br />
h<strong>in</strong>nehmbar (Verteilungseffekt).<br />
Vertraulichkeit hoch Maximumpr<strong>in</strong>zip gemäß Anwendung A7 (E-Mail)<br />
Integrität hoch Maximumpr<strong>in</strong>zip gemäß Anwendung A7 (E-Mail)<br />
Verfügbarkeit hoch Maximumpr<strong>in</strong>zip gemäß Anwendung A7 (E-Mail)<br />
Vertraulichkeit normal Maximumpr<strong>in</strong>zip gemäß Anwendung A9<br />
Integrität normal Maximumpr<strong>in</strong>zip gemäß Anwendung A9<br />
Verfügbarkeit normal Maximumpr<strong>in</strong>zip gemäß Anwendung A9<br />
Vertraulichkeit hoch Maximumpr<strong>in</strong>zip. Die Standardanwendung „Auftrags- und<br />
Kundenverwaltung“ (A4) hat hohen Schutzbedarf.<br />
Integrität hoch Maximumpr<strong>in</strong>zip. Die Standardanwendung „Auftrags- und<br />
Kundenverwaltung“ (A4) hat hohen Schutzbedarf.<br />
Verfügbarkeit hoch Maximumpr<strong>in</strong>zip. Die Standardanwendung „Auftrags- und<br />
Kundenverwaltung“ (A4) hat hohen Schutzbedarf.<br />
Vertraulichkeit hoch Maximumpr<strong>in</strong>zip, da hohe Vertraulichkeit bei Anwendungen A1<br />
(Personaldatenverarbeitung) und A3 (F<strong>in</strong>anzbuchhaltung)<br />
Integrität normal Maximumpr<strong>in</strong>zip von Anwendung A3 (F<strong>in</strong>anzbuchhaltung)<br />
Verfügbarkeit normal Ausfälle können mittels manueller Verfahren überbrückt werden.<br />
Vertraulichkeit normal Maximumpr<strong>in</strong>zip von A5 und A10<br />
Integrität normal Maximumpr<strong>in</strong>zip von A5 und A10<br />
Verfügbarkeit normal Gemäß Anwendung A5 ist der Schutzbedarf hoch.<br />
Da die Mitarbeiter <strong>in</strong> Beuel sich aber auch über den zweiten<br />
Domänencontroller (S1) <strong>in</strong> Bad Godesberg identifizieren und<br />
anmelden können, ist e<strong>in</strong> Ausfall bis zu drei Tagen tolerierbar.<br />
Seite 22
Schutzbedarf Clients<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
IT-System Schutzbedarfsfeststellung<br />
Nr. Beschreibung Grundwert Schutzbedarf<br />
C1 Clients <strong>in</strong> der<br />
F<strong>in</strong>anzbuchhaltung<br />
C2 Clients der<br />
Geschäftsführung<br />
C3 Clients <strong>in</strong> der<br />
Personalabteilung<br />
C4 Clients <strong>in</strong> der<br />
Informationstechnik<br />
C5 Clients <strong>für</strong> die<br />
Kunden- und<br />
Auftragsbearbei<br />
tung im E<strong>in</strong>kauf,<br />
Market<strong>in</strong>g<br />
und Vertrieb<br />
C6 Clients <strong>in</strong> Beuel<br />
<strong>für</strong> Fertigung<br />
und Lager<br />
Begründung<br />
Vertraulichkeit hoch Maximumpr<strong>in</strong>zip von Anwendung A3<br />
Integrität normal Maximumpr<strong>in</strong>zip von Anwendung A3<br />
Verfügbarkeit normal Bei Ausfall e<strong>in</strong>es Clients kann die Aufgabe an e<strong>in</strong>em anderen Client<br />
wahrgenommen werden oder kurzfristig e<strong>in</strong> Laptop zur Verfügung<br />
gestellt werden.<br />
Vertraulichkeit hoch Es werden personenbezogene Daten verarbeitet. Maximumpr<strong>in</strong>zip<br />
von Anwendung A1<br />
Integrität normal Auf den PCs werden ke<strong>in</strong>e wichtigen Daten gespeichert.<br />
Verfügbarkeit normal Der Ausfall e<strong>in</strong>es Rechners kann bis zu drei Tagen toleriert werden.<br />
E<strong>in</strong> Laptop steht als Reserve bereit.<br />
Vertraulichkeit hoch Es werden personenbezogene Daten verarbeitet.<br />
Integrität normal Auf dem PC werden ke<strong>in</strong>e wichtigen Daten gespeichert.<br />
Verfügbarkeit normal E<strong>in</strong> Ausfall bis zu drei Tagen kann toleriert werden. E<strong>in</strong> Laptop steht<br />
als Ersatz zur Verfügung.<br />
Vertraulichkeit normal Es werden ke<strong>in</strong>e personenbezogenen Daten verarbeitet. Auf den<br />
System- und Netzmanagement-Server kann nur mit Passwort<br />
zugegriffen werden.<br />
Integrität normal Es werden ke<strong>in</strong>e wichtigen Daten auf dem PC gespeichert.<br />
Verfügbarkeit normal Bei Ausfall e<strong>in</strong>es PCs kann kurzfristig e<strong>in</strong> Laptop zur Verfügung<br />
gestellt werden.<br />
Vertraulichkeit hoch Maximumpr<strong>in</strong>zip von Anwendung A4<br />
Integrität hoch Maximumpr<strong>in</strong>zip von Anwendung A4<br />
Verfügbarkeit normal Bei Ausfall e<strong>in</strong>es Clients kann die Aufgabe an e<strong>in</strong>em anderen Client<br />
wahrgenommen oder kurzfristig e<strong>in</strong> Laptop zur Verfügung gestellt<br />
werden.<br />
Vertraulichkeit hoch Da auch auf Kundendaten zugegriffen wird, ist die Vertraulichkeit als<br />
hoch zu bewerten.<br />
Integrität normal Auf den PCs werden ke<strong>in</strong>e wichtigen Daten gespeichert.<br />
Verfügbarkeit normal Bei Ausfall e<strong>in</strong>es Clients kann die Aufgabe an e<strong>in</strong>em anderen Client<br />
wahrgenommen werden oder kurzfristig e<strong>in</strong> Laptop zur Verfügung<br />
gestellt werden.<br />
Seite 23
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
IT-System Schutzbedarfsfeststellung<br />
Nr. Beschreibung Grundwert Schutz- Begründung<br />
bedarf<br />
C7 Clients <strong>in</strong> der<br />
Entwicklungsabteilung<br />
C8 Clients <strong>in</strong> den<br />
Vertriebsbüros<br />
C9 Laptops<br />
Vertraulichkeit sehr hoch Auf den Rechnern bef<strong>in</strong>den sich Konstruktionspläne und unter Umständen<br />
kundenspezifische Entwicklungen und Verfahrensbeschreibungen,<br />
die z. B. vor Wirtschaftsspionage und damit möglichen<br />
gravierenden wirtschaftlichen Folgen <strong>für</strong> die Firma zu schützen s<strong>in</strong>d.<br />
Integrität normal Fehler werden <strong>in</strong> der Regel schnell und leicht erkannt.<br />
Verfügbarkeit normal Bei Ausfall e<strong>in</strong>es Rechners kann auf den anderen Rechnern weiter<br />
gearbeitet werden. E<strong>in</strong> Laptop kann als Ersatzrechner zur Verfügung<br />
gestellt werden.<br />
Vertraulichkeit hoch Da auch auf Kundendaten zugegriffen wird, ist die Vertraulichkeit als<br />
hoch zu bewerten.<br />
Integrität normal Fehler werden <strong>in</strong> der Regel leicht erkannt. Die Daten können dann<br />
neu aus der Kundendatenbank herunter geladen werden.<br />
Verfügbarkeit normal Bei Ausfall des Rechners kann ersatzweise mit dem Laptop gearbeitet<br />
werden. E<strong>in</strong> Ausfall bis zu 8 Tagen ersche<strong>in</strong>t tolerierbar.<br />
Vertraulichkeit hoch Da auf den Laptops der Außendienstmitarbeiter (Vertrieb) auch<br />
Kundendaten und Konditionen gespeichert s<strong>in</strong>d, ist die<br />
Vertraulichkeit hoch.<br />
Integrität normal Fehler <strong>in</strong> den Kundendaten werden <strong>in</strong> der Regel schnell bemerkt. Die<br />
Daten können dann aus der Kundendatenbank neu auf den Laptop<br />
geladen werden.<br />
Verfügbarkeit normal In Bad Godesberg steht e<strong>in</strong> Laptop als Ersatzrechner. Die Daten<br />
können auf diesen Rechner überspielt werden. In den Vertriebsbüros<br />
ist e<strong>in</strong> Ausfall bis zu 72 Stunden tolerierbar. Der Vertrieb kann sich<br />
dann vor Kundenbesuch Listen ausdrucken.<br />
4.3.3 Schutzbedarf Netzkomponenten<br />
IT-System Schutzbedarfsfeststellung<br />
Nr. Beschreibung Grundwert Schutzbedarf<br />
N1 Router zum<br />
Internet<br />
Begründung<br />
Vertraulichkeit normal Es werden ke<strong>in</strong>e vertraulichen Daten übermittelt. Vertrauliche E-<br />
Mails werden vorher verschlüsselt.<br />
Integrität hoch Durch Fehler <strong>in</strong> der Konfiguration können <strong>Sicherheit</strong>se<strong>in</strong>stellungen<br />
bee<strong>in</strong>trächtigt werden und E-Mails an e<strong>in</strong>en falschen Adressaten<br />
weitergeleitet werden.<br />
Verfügbarkeit hoch Maximumpr<strong>in</strong>zip von Anwendung A7 und A12<br />
Seite 24
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
IT-System Schutzbedarfsfeststellung<br />
Nr. Beschreibung Grundwert Schutz- Begründung<br />
bedarf<br />
N2 Firewall<br />
N3 Zentraler Switch<br />
N4 Switch <strong>für</strong><br />
Personalbereich<br />
N5 Router zur<br />
Beuel-<br />
Anb<strong>in</strong>dung<br />
N6 Router zur<br />
Anb<strong>in</strong>dung nach<br />
Bad Godesberg<br />
N7 Switch <strong>in</strong> Beuel<br />
Vertraulichkeit normal Es laufen ke<strong>in</strong>e vertraulichen Daten unverschlüsselt über die<br />
Firewall.<br />
Integrität hoch Von der korrekten Konfiguration hängt die <strong>Sicherheit</strong> des <strong>in</strong>ternen<br />
Netzes und aller angeschlossenen IT-Geräte ab.<br />
Verfügbarkeit hoch Bei Ausfall muss die gesamte Verb<strong>in</strong>dung zum Internet, e<strong>in</strong>schließlich<br />
E-Mail unterbrochen werden. Dies ist nur bis zu 24 Stunden<br />
tolerabel.<br />
Vertraulichkeit normal Über dieses System fließen ke<strong>in</strong>e vertraulichen Daten.<br />
Integrität normal Fehler <strong>in</strong> den übertragenen Daten werden leicht erkannt und<br />
korrigiert.<br />
Verfügbarkeit hoch Bei e<strong>in</strong>em Ausfall des Switches ist e<strong>in</strong> IT-gestütztes Arbeiten nicht<br />
mehr möglich, da ke<strong>in</strong> Zugriff zu den Servern mit den Daten besteht.<br />
E<strong>in</strong> Ausfall ist höchstens 3 Stunden tolerierbar.<br />
Vertraulichkeit hoch Über diesen Switch s<strong>in</strong>d die Clients <strong>in</strong> der Personalverwaltung mit<br />
dem Server S5 verbunden. Über diese Netzkomponente fließen<br />
vertrauliche Personaldaten. Daher ist der Schutzbedarf hoch.<br />
Integrität normal Fehlerhafte Daten werden leicht erkannt und können korrigiert<br />
werden.<br />
Verfügbarkeit normal Ausfälle bis zu 5 Arbeitstagen können die Mitarbeiter mit manuellen<br />
Verfahren überbrücken, ohne dass beträchtliche Schadensauswirkungen<br />
entstehen.<br />
Vertraulichkeit normal Es werden ke<strong>in</strong>e vertraulichen Daten gespeichert.<br />
Integrität normal Bei Fehlern <strong>in</strong> der Konfigurationsdatei ist die gesamte <strong>in</strong>terne<br />
Kommunikation gestört. Diese Fehler können aber leicht erkannt und<br />
korrigiert werden.<br />
Verfügbarkeit hoch Maximumpr<strong>in</strong>zip lt. Anwendung A4. E<strong>in</strong> Ausfall ersche<strong>in</strong>t höchstens<br />
bis zu 24 Stunden tolerabel.<br />
Vertraulichkeit normal Es werden ke<strong>in</strong>e vertraulichen Daten gespeichert.<br />
Integrität normal Bei Fehlern <strong>in</strong> der Konfigurationsdatei ist die gesamte <strong>in</strong>terne<br />
Kommunikation gestört. Diese Fehler können aber leicht erkannt und<br />
korrigiert werden.<br />
Verfügbarkeit hoch Maximumpr<strong>in</strong>zip lt. Anwendung A4. E<strong>in</strong> Ausfall ersche<strong>in</strong>t höchstens<br />
bis zu 24 Stunden tolerabel.<br />
Vertraulichkeit normal Alle Anforderungen der Schadenskategorie niedrig treffen zu. Insbesondere<br />
fließen ke<strong>in</strong>e vertraulichen Daten über diese Komponente.<br />
Integrität normal Fehler können leicht erkannt und korrigiert werden.<br />
Verfügbarkeit hoch Bei Ausfall des Switches können die Mitarbeiter aus Beuel nicht<br />
mehr auf die Kunden-, Auftrags-, Lager- und Materialdaten zugreifen<br />
und aktualisieren. E<strong>in</strong> Ausfall ist höchstens bis zu 3 Stunden<br />
tolerierbar.<br />
Seite 25
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
4.3.4 Schutzbedarf Telekommunikationskomponenten<br />
Komponente Schutzbedarfsfeststellung<br />
Nr. Beschreibung Grundwert Schutzbedarf<br />
T1 TK-Anlage<br />
Bad Godesberg<br />
T2 TK-Anlage<br />
Beuel<br />
T3 Faxgeräte<br />
Begründung<br />
Vertraulichkeit normal Maximumpr<strong>in</strong>zip gemäß Anwendung A15<br />
Integrität normal Maximumpr<strong>in</strong>zip gemäß Anwendung A15<br />
Verfügbarkeit hoch Maximumpr<strong>in</strong>zip gemäß Anwendung A15<br />
Vertraulichkeit normal Maximumpr<strong>in</strong>zip gemäß Anwendung A15<br />
Integrität normal Maximumpr<strong>in</strong>zip gemäß Anwendung A15<br />
Verfügbarkeit hoch Maximumpr<strong>in</strong>zip gemäß Anwendung A15<br />
Vertraulichkeit hoch Maximumpr<strong>in</strong>zip gemäß Anwendung A16.<br />
Integrität normal Maximumpr<strong>in</strong>zip gemäß Anwendung A16<br />
Verfügbarkeit normal Bei Ausfall e<strong>in</strong>es Faxgeräts stehen weitere Faxgeräte zur Verfügung.<br />
E<strong>in</strong> Ausfall e<strong>in</strong>es Geräts führt nur zu m<strong>in</strong>imalen E<strong>in</strong>schränkungen.<br />
4.4 Schutzbedarf der Kommunikationsverb<strong>in</strong>dungen<br />
Im nächsten Arbeitsschritt geht es darum, den Schutzbedarf <strong>für</strong> die Kommunikationsverb<strong>in</strong>dungen<br />
feststellen. Es gibt Verb<strong>in</strong>dungen, die gefährdeter s<strong>in</strong>d als andere und durch doppelte Auslegung oder<br />
durch besondere Maßnahmen gegen Angriffe von außen oder <strong>in</strong>nen geschützt werden müssen.<br />
Als kritische Verb<strong>in</strong>dungen gelten:<br />
• Verb<strong>in</strong>dungen, die aus dem Unternehmen <strong>in</strong> e<strong>in</strong> öffentliches Netz (z. B. Telefonnetz, Internet)<br />
oder über e<strong>in</strong> öffentliches Gelände reichen. Über solche Verb<strong>in</strong>dungen können Computer-Viren<br />
und trojanische Pferde <strong>in</strong> das Unternehmensnetz e<strong>in</strong>geschleust werden, Unternehmens-Server angegriffen<br />
werden oder Mitarbeiter vertrauliche Daten an Nichtbefugte weiterleiten.<br />
• Verb<strong>in</strong>dungen, über die besonders schützenswerte Informationen übertragen werden. Mögliche<br />
Gefährdungen s<strong>in</strong>d Abhören, vorsätzliche Manipulation und betrügerischer Missbrauch. Vom<br />
Ausfall solcher Verb<strong>in</strong>dungen s<strong>in</strong>d Anwendungen, <strong>für</strong> die e<strong>in</strong>e hohe Verfügbarkeit erforderlich<br />
ist, besonders betroffen.<br />
• Verb<strong>in</strong>dungen, über die vertrauliche Informationen überhaupt nicht übertragen werden<br />
dürfen. Personaldaten dürfen zum Beispiel nur von Mitarbeitern der Personalabteilung und der<br />
Geschäftsführung e<strong>in</strong>gesehen und bearbeitet werden. Daher muss verh<strong>in</strong>dert werden, dass diese<br />
Daten bei ihrer Übertragung von unbefugten Mitarbeitern e<strong>in</strong>gesehen werden können.<br />
Nachfolgend sehen Sie nochmals den bere<strong>in</strong>igten Netzplan <strong>RECPLAST</strong> GmbH. Die kritischen<br />
Verb<strong>in</strong>dungen s<strong>in</strong>d hervorgehoben (siehe Abbildung 4).<br />
Seite 26
1<br />
Vertriebsbüros<br />
C8: 3 Clients<br />
Vertriebsbüros<br />
T3: 8 Faxgeräte<br />
C9: 8 Laptops<br />
Internet<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
VPN<br />
Verwaltung Bad Godesberg<br />
1 4, 5 4<br />
N1: Router<br />
S5: DB-Server<br />
Fibu<br />
C1: 5 Clients<br />
Lohn/Fibu<br />
C2: 3 Clients<br />
Geschäftsführung<br />
C3: 4 Clients<br />
Personal<br />
N2: Firewall<br />
4, 5<br />
N4: Switch<br />
C4: 4Clients<br />
IT<br />
C5: 14 Clients<br />
E<strong>in</strong>kauf/Market<strong>in</strong>g/<br />
Vertrieb<br />
T1: TK-Anlage<br />
N3: Switch<br />
N5: Router<br />
S1: Domänen-<br />
Controller<br />
S2: Komm.-Server<br />
(Exchange)<br />
S3: Datei- und<br />
Druckserver<br />
S4: DB-Server<br />
Kunden- und<br />
Auftragsbearb.<br />
Standleitung<br />
Server und Clients werden e<strong>in</strong>heitlich mit dem Betriebssystem W<strong>in</strong>dows 2000 betrieben<br />
Abbildung 4: Kritische Kommunikationsverb<strong>in</strong>dungen der <strong>RECPLAST</strong> GmbH<br />
2<br />
2<br />
2<br />
2<br />
2<br />
2<br />
4<br />
1<br />
Betrieb Bonn-Beuel<br />
N6: Router<br />
N7: Switch<br />
S6: Domänen-<br />
Controller, Dateiu.<br />
Druckserver<br />
C6: 12 Clients<br />
Fertigung/Lager<br />
C7: 6 Clients<br />
Entwicklung<br />
T2: TK-Anlage<br />
Die kritischen Verb<strong>in</strong>dungen s<strong>in</strong>d zusätzlich mit Ziffern versehen, die als Kürzel <strong>für</strong> die Begründungen<br />
da<strong>für</strong> e<strong>in</strong>gesetzt s<strong>in</strong>d, warum e<strong>in</strong>e Verb<strong>in</strong>dung jeweils als kritisch e<strong>in</strong>gestuft ist. Die Auflösung<br />
der Kürzel f<strong>in</strong>den Sie <strong>in</strong> den Spaltenüberschriften der folgenden Tabelle:<br />
Beschreibung der<br />
Verb<strong>in</strong>dung<br />
Nr. Beschreibung<br />
1<br />
Außenverb<strong>in</strong>dung<br />
Kritisch aufgrund Nicht übertragen werden dürfen<br />
Informationen mit<br />
2<br />
hoher Vertraulichkeit<br />
3<br />
hoher<br />
Integrität<br />
4<br />
hoher Verfügbarkeit<br />
V1 N1 Internet X X<br />
V2 N5 N6 X<br />
V3 S5 N4 X<br />
V4 S2 N3 X<br />
5<br />
hoher Vertraulichkeit<br />
V5 N1N2 X X<br />
V6 N2N3 X<br />
Seite 27<br />
6<br />
hoher<br />
Integrität<br />
7<br />
hoher Verfügbarkeit
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Beschreibung der Kritisch aufgrund Nicht übertragen werden dürfen<br />
Verb<strong>in</strong>dung Informationen mit<br />
1 2 3 4 5 6 7<br />
Nr. Beschreibung Außen- hoher Ver- hoher hoher Ver- hoher Ver- hoher hoher Ververb<strong>in</strong>dung<br />
traulichkeit Integrität fügbarkeit traulichkeit Integrität fügbarkeit<br />
V7 N4 N3 X X<br />
V8 S4N3 X<br />
V9 N3C5 X<br />
V10 C1N4 X<br />
V11 C2N4 X<br />
V12 C3N4 X<br />
V13 C8Internet X<br />
Die folgende Tabelle enthält die Begründungen da<strong>für</strong>, dass die genannten Verb<strong>in</strong>dungen als kritisch<br />
e<strong>in</strong>gestuft wurden:<br />
Nr. Begründung<br />
V1 Alle Verb<strong>in</strong>dungen nach außen s<strong>in</strong>d als kritisch anzusehen.<br />
V2 Dies ist e<strong>in</strong>e Verb<strong>in</strong>dung nach außen und deshalb kritisch<br />
V3 Die übertragenen Daten s<strong>in</strong>d vertraulich und die Anwendungen, deren Daten über diese Verb<strong>in</strong>dungen übertragen<br />
werden, haben e<strong>in</strong>en hohen Schutzbedarf an Vertraulichkeit.<br />
V4 Der Kommunikationsserver S3 weist hohen Schutzbedarf <strong>in</strong> Bezug auf Verfügbarkeit auf und es ist ke<strong>in</strong>e redundante<br />
Verb<strong>in</strong>dung vorhanden. Den Schutzbedarf <strong>für</strong> die Grundwerte Vertraulichkeit und Verfügbarkeit erbt die<br />
Verb<strong>in</strong>dung nicht, da die schutzbedürftigen Daten hauptsächlich durch Außenangriffe gefährdet werden können.<br />
V5 Die Verb<strong>in</strong>dung erbt den hohen Schutzbedarf <strong>für</strong> den Grundwert „Verfügbarkeit“ vom System N1. Sie ist außerdem<br />
kritisch, da verh<strong>in</strong>dert werden muss, dass aus dem Internet unkontrolliert auf das <strong>in</strong>terne Netz zugegriffen wird.<br />
V6 Die Verb<strong>in</strong>dung erbt den hohen Schutzbedarf vom System N2 (Firewall).<br />
V7 Die Kommunikationsverb<strong>in</strong>dung ist kritisch, da hierüber ke<strong>in</strong>e vertraulichen Daten vom Server S2 <strong>in</strong> das h<strong>in</strong>ter dem<br />
Switch N4 liegende Netz übertragen werden dürfen.<br />
V8 Die Verb<strong>in</strong>dung erbt den hohen Schutzbedarf der Systeme S4 und N3, da zum e<strong>in</strong>en vertrauliche Daten übermittelt<br />
werden, zum anderen ke<strong>in</strong>e redundante Verb<strong>in</strong>dung vorhanden ist, um die Verfügbarkeit bei Ausfall der Verb<strong>in</strong>dung<br />
zu sichern.<br />
V9 Die Verb<strong>in</strong>dung ist kritisch, da vertrauliche Kundendaten übermittelt werden.<br />
V10<br />
V11<br />
V12<br />
Diese Verb<strong>in</strong>dungen s<strong>in</strong>d kritisch, da vertrauliche Kundendaten übermittelt werden.<br />
V13 Die Verb<strong>in</strong>dung ist kritisch, da es e<strong>in</strong>e Außenverb<strong>in</strong>dung über das Internet ist.<br />
Seite 28
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
4.5 Schutzbedarfsfeststellung der IT-genutzten Räume<br />
Bei der Schutzbedarfsfeststellung <strong>für</strong> Räume werden sowohl Räume berücksichtigt,<br />
• die zum Betrieb von IT-Systemen dienen (z. B. Serverräume, Räume <strong>für</strong> e<strong>in</strong>e TK-Anlage und<br />
andere Räume mit technischer Infrastruktur), als auch solche,<br />
• <strong>in</strong> denen IT-Systeme genutzt werden (z. B. Büroräume).<br />
Der Schutzbedarf e<strong>in</strong>es Raumes bemisst sich nach dem Schutzbedarf der IT-Systeme, die sich <strong>in</strong> diesem<br />
Raum bef<strong>in</strong>den. Auch hier können Sie (wie schon bei der Schutzbedarfsfeststellung der IT-Systeme)<br />
wieder im Allgeme<strong>in</strong>en das Maximumpr<strong>in</strong>zip anwenden. Bef<strong>in</strong>den sich jedoch <strong>in</strong> e<strong>in</strong>em Raum<br />
mehrere Systeme, dann kann sich <strong>für</strong> den Raum e<strong>in</strong> höherer Schutzbedarf als <strong>für</strong> jedes e<strong>in</strong>zelne IT-<br />
System ergeben (Kumulationseffekt). Dies gilt z. B. <strong>für</strong> Serverräume.<br />
Die folgende Tabelle zeigt das Ergebnis der Schutzbedarfsfeststellung <strong>für</strong> die IT-genutzten Räume bei<br />
der <strong>RECPLAST</strong> GmbH. Der Schutzbedarf der Räume wird hier festgelegt nach dem jeweils höchsten<br />
Schutzbedarf der dar<strong>in</strong> bef<strong>in</strong>dlichen IT-Systeme (Maximumpr<strong>in</strong>zip).<br />
Raum IT Schutzbedarf<br />
Bezeichnung Art Lokation Installierte IT Vertraulichkeit Integrität Verfügbarkeit<br />
BG,<br />
R. 1.01<br />
BG,<br />
R. 1.02<br />
BG,<br />
R. 1.03 – 1.06<br />
BG,<br />
R. 1.07 – 1.09<br />
BG,<br />
R. 1.10 – 1.13<br />
BG,<br />
R. 2.03 – 2.09<br />
BG,<br />
R. 2.10 – 2.12<br />
Beuel,<br />
R. 2.01<br />
Beuel,<br />
R. 2.02<br />
Beuel,<br />
R. 2.10 – 2.13<br />
Beuel,<br />
R. 2.14 – 2.20<br />
Technikraum Verwaltungsgebäude<br />
Serverraum Verwaltungsgebäude<br />
Büroräume Verwaltungsgebäude<br />
Büroräume Verwaltungsgebäude<br />
Büroräume Verwaltungsgebäude<br />
Büroräume Verwaltungsgebäude<br />
Büroräume Verwaltungsgebäude<br />
Serverraum Produktionshalle<br />
Technikraum Produktionshalle<br />
Büroräume Produktionshalle<br />
Büroräume Produktionshalle<br />
TK-Anlage T1 normal normal hoch<br />
S1 bis S5<br />
N1 bis N5<br />
hoch hoch hoch<br />
C4 hoch normal normal<br />
C3 hoch normal normal<br />
C2 hoch normal normal<br />
C5, e<strong>in</strong>ige mit<br />
Faxgeräten<br />
hoch normal normal<br />
C1 hoch normal normal<br />
S6, N6, N7 normal normal normal<br />
TK-Anlage T2 normal normal hoch<br />
C6, e<strong>in</strong>ige mit<br />
Faxgeräten<br />
hoch normal normal<br />
C7 sehr hoch normal normal<br />
Seite 29
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
5 Modellierung gemäß IT-Grundschutz<br />
Ziel der Modellierung gemäß IT-Grundschutz ist es festzulegen, welche Bauste<strong>in</strong>e der IT-<br />
Grundschutz-Kataloge auf welche Zielobjekte der Informationstechnik e<strong>in</strong>er Organisation<br />
anzuwenden s<strong>in</strong>d.<br />
<strong>Das</strong> Ergebnis ist e<strong>in</strong> IT-Grundschutz-Modell, das <strong>für</strong> geplante IT als Entwicklungskonzept und <strong>für</strong><br />
bestehende IT als Prüfplan verwendet werden kann.<br />
Im <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong> dient dieses Modell als Prüfplan <strong>für</strong> den Basis-<strong>Sicherheit</strong>scheck.<br />
Die nachfolgenden Tabellen zeigen die Dokumentation der bei <strong>RECPLAST</strong> vorgenommenen<br />
Modellierung.<br />
Weitere Informationen zur Modellierung gemäß IT-Grundschutz f<strong>in</strong>den Sie <strong>in</strong> Kapitel 4.3 der<br />
Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) sowie <strong>in</strong> Kapitel 2 der IT-<br />
Grundschutz-Kataloge.<br />
5.1 Schicht 1: Übergreifende Aspekte<br />
Bauste<strong>in</strong> Zielobjekt H<strong>in</strong>weise<br />
B 1.0 IT-<strong>Sicherheit</strong>smanagement Gesamte Organisation Gilt e<strong>in</strong>heitlich <strong>für</strong> alle Betriebsteile.<br />
B 1.1 Organisation Gesamte Organisation Gilt e<strong>in</strong>heitlich <strong>für</strong> alle Betriebsteile.<br />
B 1.2 Personal Gesamte Organisation Gilt e<strong>in</strong>heitlich <strong>für</strong> alle Betriebsteile.<br />
B 1.3 Notfallvorsorgekonzept Gesamte Organisation Gilt e<strong>in</strong>heitlich <strong>für</strong> alle Betriebsteile.<br />
B 1.4 Datensicherungskonzept Gesamte Organisation Gilt e<strong>in</strong>heitlich <strong>für</strong> alle Betriebsteile.<br />
B 1.6 Computer-Virenschutzkonzept Gesamte Organisation Gilt e<strong>in</strong>heitlich <strong>für</strong> alle Betriebsteile.<br />
B 1.7 Kryptokonzept Gesamte Organisation Gilt e<strong>in</strong>heitlich <strong>für</strong> alle Betriebsteile.<br />
B 1.8 Behandlung von <strong>Sicherheit</strong>svorfällen Gesamte Organisation E<strong>in</strong>heitliches Konzept <strong>für</strong> alle Betriebsteile.<br />
B 1.9 Hard- und Software-Management Gesamte Organisation Wird zentral von der IT festgelegt.<br />
B 1.10 Standardsoftware Gesamte Organisation Gilt e<strong>in</strong>heitlich <strong>für</strong> alle Betriebsteile.<br />
B 1.12 Archivierung Gesamte Organisation Gilt <strong>für</strong> die Buchhaltungsabteilung.<br />
B 1.13 IT-<strong>Sicherheit</strong>ssensibilisierung und<br />
-schulung<br />
Gesamte Organisation Gilt e<strong>in</strong>heitlich <strong>für</strong> alle Betriebsteile<br />
Seite 30
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
5.2 Schicht 2: Infrastruktur<br />
Bauste<strong>in</strong> Zielobjekt H<strong>in</strong>weise<br />
B 2.1 Gebäude Verwaltungsgebäude<br />
B 2.1 Gebäude Produktionshalle<br />
B 2.2 Verkabelung Verwaltungsgebäude<br />
B 2.2 Verkabelung Produktionshalle<br />
B 2.3 Büroraum Büroräume <strong>in</strong><br />
Bad Godesberg<br />
Der Bauste<strong>in</strong> Gebäude muss auf beide Gebäude<br />
getrennt angewendet werden.<br />
Die Verkabelung muss <strong>für</strong> beide Gebäude<br />
gesondert betrachtet werden.<br />
Da alle Räume denselben Standard haben, sollen<br />
als Stichprobe e<strong>in</strong> Raum der Geschäftsführung<br />
sowie e<strong>in</strong> e<strong>in</strong>zeln und e<strong>in</strong> doppelt besetztes<br />
Mitarbeiterbüro untersucht werden.<br />
B 2.3 Büroraum Büroräume <strong>in</strong> Beuel Als Stichprobe sollen jeweils e<strong>in</strong> Raum der Entwicklungsabteilung<br />
und e<strong>in</strong> Raum der Mitarbeiter<br />
aus Fertigung/Lager untersucht werden.<br />
B 2.4 Serverraum Serverraum BG, R. 1.02<br />
B 2.4 Serverraum Serverraum Beuel, R. 2.01<br />
B 2.6 Raum <strong>für</strong> technische Infrastruktur BG 1.01<br />
B 2.6 Raum <strong>für</strong> technische Infrastruktur BN 2.02<br />
B 2.8 Häuslicher Arbeitsplatz Vertriebsbüros Berl<strong>in</strong>,<br />
Hamburg und München<br />
Der Bauste<strong>in</strong> muss auf beide Serverräume<br />
getrennt angewendet werden.<br />
In beiden Räumen ist die TK-Anlage untergebracht.<br />
Der Bauste<strong>in</strong> muss auf jeden Raum<br />
getrennt angewendet werden.<br />
Die drei Vertriebsbüros zeichnen sich durch e<strong>in</strong>e<br />
e<strong>in</strong>heitliche IT-Ausstattung, übere<strong>in</strong>stimmende<br />
Aufgaben und Regelungen sowie e<strong>in</strong>er identischen<br />
Zugangsmöglichkeit zum Firmennetz aus<br />
und s<strong>in</strong>d daher <strong>in</strong> e<strong>in</strong>er Gruppe zusammengefasst.<br />
B 2.10 Mobiler Arbeitsplatz Vertrieb BG Die Vertriebsmitarbeiter benutzen ihre Laptops<br />
bei externen Kundenterm<strong>in</strong>en<br />
B 2.10 Mobiler Arbeitsplatz Vertriebsbüros Berl<strong>in</strong>,<br />
Hamburg und München<br />
5.3 Schicht 3: IT-Systeme<br />
Server<br />
Bauste<strong>in</strong> Zielobjekt H<strong>in</strong>weise<br />
B 3.101 Allgeme<strong>in</strong>er Server S1<br />
B 3.101 Allgeme<strong>in</strong>er Server S2<br />
B 3.101 Allgeme<strong>in</strong>er Server S3<br />
B 3.101 Allgeme<strong>in</strong>er Server S4<br />
B 3.101 Allgeme<strong>in</strong>er Server S5<br />
B 3.101 Allgeme<strong>in</strong>er Server S6<br />
Seite 31<br />
Die Vertriebsmitarbeiter benutzen ihre Laptops<br />
bei externen Kundenterm<strong>in</strong>en<br />
Dieser Bauste<strong>in</strong> behandelt die <strong>Sicherheit</strong>saspekte<br />
von Servern, die nicht betriebssystem-spezifisch<br />
s<strong>in</strong>d. Die Server S1 bis S6 und die Firewall N2<br />
s<strong>in</strong>d unterschiedlich konfiguriert. Der Bauste<strong>in</strong><br />
wird daher auf jedes System getrennt angewendet.
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Bauste<strong>in</strong> Zielobjekt H<strong>in</strong>weise<br />
B 3.101 Allgeme<strong>in</strong>er Server N2<br />
B 3.106 W<strong>in</strong>dows 2000 Server S1<br />
B 3.106 W<strong>in</strong>dows 2000 Server S2<br />
B 3.106 W<strong>in</strong>dows 2000 Server S3<br />
B 3.106 W<strong>in</strong>dows 2000 Server S4<br />
B 3.106 W<strong>in</strong>dows 2000 Server S5<br />
B 3.106 W<strong>in</strong>dows 2000 Server S6<br />
B 3.106 W<strong>in</strong>dows 2000 Server N2<br />
Clients<br />
Bauste<strong>in</strong> Zielobjekt H<strong>in</strong>weise<br />
B 3.201 Allgeme<strong>in</strong>er Client C1<br />
B 3.201 Allgeme<strong>in</strong>er Client C2<br />
B 3.201 Allgeme<strong>in</strong>er Client C3<br />
B 3.201 Allgeme<strong>in</strong>er Client C4<br />
B 3.201 Allgeme<strong>in</strong>er Client C5<br />
B 3.201 Allgeme<strong>in</strong>er Client C6<br />
B 3.201 Allgeme<strong>in</strong>er Client C7<br />
B 3.201 Allgeme<strong>in</strong>er Client C8<br />
B 3.201 Allgeme<strong>in</strong>er Client C9<br />
Alle Server und die Firewall werden mit dem<br />
Betriebssystem W<strong>in</strong>dows 2000 betrieben. Sie s<strong>in</strong>d<br />
jedoch unterschiedlich konfiguriert. Daher wird<br />
der Bauste<strong>in</strong> auf jedes dieser Gruppen von Clients<br />
gesondert angewendet, da diese unterschiedliche<br />
<strong>Sicherheit</strong>sanforderungen stellen.<br />
Der Bauste<strong>in</strong> behandelt die Eigenschaften von<br />
Clients, die nicht betriebssystemspezifisch s<strong>in</strong>d.<br />
Er ist auf jede Gruppe von Clients anzuwenden,<br />
da diese jeweils besondere <strong>Sicherheit</strong>sanforderungen<br />
stellen.<br />
B 3.203 Tragbarer PC C9 Die tragbaren PCs <strong>in</strong> den Vertriebsbüros, <strong>in</strong> Bad<br />
Godesberg und <strong>in</strong> Beuel werden von den<br />
Vertriebsmitarbeitern benutzt und s<strong>in</strong>d <strong>in</strong> e<strong>in</strong>er<br />
Gruppe zusammengefasst.<br />
B 3.209 W<strong>in</strong>dows 2000 Client C1 E<strong>in</strong> Client aus der F<strong>in</strong>anzbuchhaltung wird als<br />
Stichprobe untersucht. Hier soll besonders darauf<br />
geachtet werden, dass die Rechner e<strong>in</strong>en hohen<br />
Schutzbedarf <strong>für</strong> den Grundwert Vertraulichkeit<br />
haben.<br />
B 3.209 W<strong>in</strong>dows 2000 Client C2 E<strong>in</strong> Client der Geschäftsführung wird untersucht.<br />
Hier soll besonders darauf geachtet werden, dass<br />
die Rechner e<strong>in</strong>en hohen Schutzbedarf <strong>für</strong> den<br />
Grundwert Vertraulichkeit haben.<br />
B 3.209 W<strong>in</strong>dows 2000 Client C3 E<strong>in</strong> Client aus der Personalabteilung wird untersucht.<br />
Hier soll besonders darauf geachtet werden,<br />
dass die Rechner e<strong>in</strong>en hohen Schutzbedarf<br />
<strong>für</strong> den Grundwert Vertraulichkeit haben.<br />
Seite 32
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Bauste<strong>in</strong> Zielobjekt H<strong>in</strong>weise<br />
B 3.209 W<strong>in</strong>dows 2000 Client C4 E<strong>in</strong> Client aus der IT-Abteilung wird untersucht.<br />
Hier soll besonders darauf geachtet werden, dass<br />
die Rechner e<strong>in</strong>en hohen Schutzbedarf <strong>für</strong> den<br />
Grundwert Vertraulichkeit haben.<br />
B 3.209 W<strong>in</strong>dows 2000 Client C5 E<strong>in</strong> Client aus der Vertriebsabteilung wird<br />
untersucht. Hier soll besonders darauf geachtet<br />
werden, dass die Rechner e<strong>in</strong>en hohen Schutzbedarf<br />
<strong>für</strong> den Grundwert Vertraulichkeit haben.<br />
B 3.209 W<strong>in</strong>dows 2000 Client C6 E<strong>in</strong> Client aus der Fertigungsabteilung <strong>in</strong> Beuel<br />
wird untersucht. Hier soll besonders darauf geachtet<br />
werden, dass die Rechner e<strong>in</strong>en hohen<br />
Schutzbedarf <strong>für</strong> den Grundwert Vertraulichkeit<br />
haben.<br />
B 3.209 W<strong>in</strong>dows 2000 Client C7 E<strong>in</strong> Client aus der Entwicklungsabteilung wird als<br />
Stichprobe untersucht.<br />
B 3.209 W<strong>in</strong>dows 2000 Client C8 E<strong>in</strong> Client aus den Vertriebsbüros wird untersucht.<br />
Die Clients <strong>in</strong> den Vertriebsbüros s<strong>in</strong>d<br />
gleich konfiguriert. Der hohe Schutzbedarf dieser<br />
Rechner <strong>für</strong> den Grundwert Vertraulichkeit muss<br />
besonders berücksichtigt werden.<br />
B 3.209 W<strong>in</strong>dows 2000 Client C9 Hier werden die betriebssystemspezifischen<br />
Aspekte des gleichen Rechners wie beim<br />
Bauste<strong>in</strong> B 3.203 Tragbarer PC untersucht.<br />
Netzkomponenten<br />
Bauste<strong>in</strong> Zielobjekt H<strong>in</strong>weise<br />
B 3.301 <strong>Sicherheit</strong>sgateway (Firewall) N2<br />
B 3.302 Router und Switches N1<br />
B 3.302 Router und Switches N3<br />
B 3.302 Router und Switches N4<br />
B 3.302 Router und Switches N5<br />
B 3.302 Router und Switches N6<br />
B 3.302 Router und Switches N7<br />
Sonstige IT-Systeme<br />
Bauste<strong>in</strong> Zielobjekt H<strong>in</strong>weise<br />
B 3.401 TK-Anlage T1 (Bad Godesberg)<br />
B 3.401 TK-Anlage T2 (Beuel)<br />
Der Bauste<strong>in</strong> wird auf die jede e<strong>in</strong>zelne Netzkomponente<br />
gesondert angewendet, da diese IT-<br />
Systeme sich an unterschiedlichen Standorten<br />
bef<strong>in</strong>den, unterschiedliche Aufgaben erfüllen und<br />
damit unterschiedliche <strong>Sicherheit</strong>sanforderungen<br />
erfüllen müssen.<br />
Beide TK-Anlagen werden getrennt mit diesem<br />
Bauste<strong>in</strong> untersucht.<br />
B 3.402 Faxgeräte T3 E<strong>in</strong> Faxgerät wird als Stichprobe untersucht.<br />
Seite 33
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
5.4 Schicht 4: Netze<br />
Bauste<strong>in</strong> Zielobjekt H<strong>in</strong>weise<br />
B 4.1 Heterogene Netze Teilnetz an Switch 1<br />
(FIBU und Personaldatenverarbeitung)<br />
B 4.1 Heterogene Netze Übriges Netz <strong>in</strong> Bad<br />
Godesberg<br />
B 4.1 Heterogene Netze Netz <strong>in</strong> Beuel<br />
Besonders ist darauf zu achten, dass ke<strong>in</strong>e<br />
vertraulichen Daten aus dem Teilnetz nach außen<br />
gelangen.<br />
Da die Netzsegmente aufgrund der ger<strong>in</strong>gen<br />
Anzahl an Systemen übersichtlich s<strong>in</strong>d, reicht es<br />
aus, diesen Bauste<strong>in</strong> jeweils e<strong>in</strong>mal <strong>für</strong> das<br />
restliche Netz <strong>in</strong> Bad Godesberg und <strong>für</strong> das Netz<br />
<strong>in</strong> Beuel zu bearbeiten.<br />
B 4.2 Netz- und Systemmanagement Gesamtes Unternehmen Mit dem Server S1 werden alle Clients im<br />
Unternehmen verwaltet.<br />
B 4.3 Modem C9 Die Laptops haben e<strong>in</strong> e<strong>in</strong>gebautes Modem. Als<br />
Stichprobe wird e<strong>in</strong> Rechner untersucht.<br />
B 4.4 Remote Access C8, N1, N2 E<strong>in</strong> RAS-Konzept und <strong>Sicherheit</strong>sleitl<strong>in</strong>ien,<br />
Installation, Konfiguration und Verschlüsselungskonzept<br />
zur Kommunikation mit den<br />
Vertriebsbüros s<strong>in</strong>d zu überprüfen.<br />
B 4.4 Remote Access C9, N1, N2 E<strong>in</strong> RAS-Konzept und <strong>Sicherheit</strong>sleitl<strong>in</strong>ien,<br />
Installation, Konfiguration und Verschlüsselungskonzept<br />
zur Kommunikation der Laptops<br />
mit dem <strong>in</strong>ternen Netz s<strong>in</strong>d zu überprüfen.<br />
B 4.4 Remote Access N5, N6, S1, S6 E<strong>in</strong> RAS-Konzept und <strong>Sicherheit</strong>sleitl<strong>in</strong>ien,<br />
Installation, Konfiguration und Verschlüsselungskonzept<br />
zur Kommunikation zwischen dem<br />
Verwaltungsgebäude und den Fertigungshallen<br />
s<strong>in</strong>d zu überprüfen.<br />
B 4.5 LAN-Anb<strong>in</strong>dung e<strong>in</strong>es IT-Systems<br />
über ISDN<br />
C8, N1 Die <strong>Sicherheit</strong> der Kommunikation zwischen den<br />
Vertriebsbüros und dem <strong>in</strong>ternen Netz ist zu<br />
überprüfen.<br />
Seite 34
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
5.5 Schicht 5: Anwendungen<br />
Bauste<strong>in</strong> Zielobjekt H<strong>in</strong>weise<br />
B 5.3 E-Mail Gesamtes Unternehmen Erarbeitung e<strong>in</strong>er <strong>Sicherheit</strong>spolitik <strong>für</strong> E-Mail<br />
und Überprüfung des Mail-Servers S2 sowie als<br />
Stichprobe e<strong>in</strong> E-Mail Client der<br />
Geschäftsführung.<br />
B 5.7 Datenbanken A3 F<strong>in</strong>anzbuchhaltung<br />
B 5.7 Datenbanken A4 Auftrags- und<br />
Kundenverwaltung<br />
Die Datenbanksysteme unterscheiden sich<br />
bezüglich der verwendeten Server, ihrer Benutzer<br />
und ihres Schutzbedarfs. Der Bauste<strong>in</strong> ist daher<br />
getrennt auf beideDatenbanken anzuwenden.<br />
B 5.8 Telearbeit C8 Die Vertriebsbüros werden behandelt wie Telearbeiter.<br />
Dementsprechend wird e<strong>in</strong> Rechner als<br />
Stichprobe untersucht. Die übrigen werden gleich<br />
konfiguriert. Besonderer Wert ist darauf zu legen,<br />
dass die Rechner e<strong>in</strong>en hohen Schutzbedarf <strong>für</strong><br />
den Grundwert Vertraulichkeit haben und e<strong>in</strong>e<br />
vertrauliche Kommunikation über VPN<br />
sichergestellt werden muss. Außerdem wird der<br />
Router N1, der die Kommunikation herstellt, auf<br />
richtige Konfiguration h<strong>in</strong> untersucht.<br />
B 5.8 Telearbeit C9 Da die Laptops von den Vertriebsbeauftragten<br />
auch genutzt werden, um evtl. von Kunden oder<br />
von zu Hause aus auf das Firmennetz zuzugreifen,<br />
müssen die Maßnahmen dieses Bauste<strong>in</strong>s<br />
auch <strong>für</strong> diese Rechner umgesetzt werden und die<br />
entsprechenden organisatorischen Regelungen<br />
erstellt werden. Als Stichprobe wird e<strong>in</strong> Rechner<br />
untersucht.<br />
Seite 35
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
6 Basis-<strong>Sicherheit</strong>scheck<br />
Mit e<strong>in</strong>em Basis-<strong>Sicherheit</strong>scheck ermitteln Sie, ob und <strong>in</strong>wieweit die Maßnahmen-Empfehlungen der<br />
IT-Grundschutz-Kataloge <strong>für</strong> die e<strong>in</strong>zelnen Zielobjekte des betrachteten IT-Verbunds umgesetzt s<strong>in</strong>d.<br />
Sie greifen dazu auf die Ergebnisse der vorangegangenen Schritte zurück:<br />
• Bei der IT-Strukturanalyse haben Sie die vorhandenen IT-Systeme und die von diesen<br />
unterstützten Anwendungen erfasst.<br />
• Anschließend haben Sie den Schutzbedarf der IT-Systeme, Anwendungen, Räume und<br />
Kommunikationsverb<strong>in</strong>dungen bestimmt und<br />
• bei der Modellierung durch Auswahl der anzuwendenden Bauste<strong>in</strong>e e<strong>in</strong>en Prüfplan („IT-Grundschutz-Modell“)<br />
<strong>für</strong> die verschiedenen Zielobjekte (gesamter IT-Verbund, Räume, Rechner,<br />
Kommunikationsverb<strong>in</strong>dungen, Anwendungen) zusammengestellt.<br />
Den Prüfplan wenden Sie beim Basis-<strong>Sicherheit</strong>scheck an, <strong>in</strong>dem Sie <strong>für</strong> jedes Zielobjekt und <strong>für</strong> jede<br />
Maßnahme, die <strong>in</strong> den anzuwendenden Bauste<strong>in</strong>en empfohlenen wird, prüfen,<br />
• ob sie überhaupt auf das Zielobjekt anzuwenden ist, und falls ja,<br />
• ob sie vollständig, teilweise oder überhaupt nicht umgesetzt ist.<br />
Die nachfolgenden Tabellen zeigen <strong>in</strong> Auszügen e<strong>in</strong>en Basis-<strong>Sicherheit</strong>scheck <strong>für</strong> das <strong>Beispielunternehmen</strong><br />
<strong>RECPLAST</strong> und zwar die Anwendung des zentralen Bauste<strong>in</strong>s<br />
• B 1.0 IT-<strong>Sicherheit</strong>smanagement auf die gesamte Organisation<br />
sowie die Anwendung der Bauste<strong>in</strong>e<br />
• B 1.2 Personal auf die gesamte Organisation,<br />
• B 2.4 Serverraum auf den Serverraum <strong>in</strong> Bad Godesberg,<br />
• B 3.101 Allgeme<strong>in</strong>er Server und B 3.106 Server unter W<strong>in</strong>dows 2000 auf den Datenbankserver<br />
<strong>für</strong> F<strong>in</strong>anzbuchhaltung <strong>in</strong> Bad Godesberg,<br />
• B 4.1 Heterogene Netze auf e<strong>in</strong> Teilnetz des Standorts Bad Godesberg sowie<br />
• B 5.7 Datenbanken auf die Datenbank <strong>für</strong> F<strong>in</strong>anzbuchhaltung.<br />
In der Praxis dürfen Sie <strong>für</strong> e<strong>in</strong>en umfassenden IT-Grundschutz bei e<strong>in</strong>em Basis-<strong>Sicherheit</strong>scheck<br />
selbstverständlich ke<strong>in</strong> Zielobjekt und ke<strong>in</strong>en Bauste<strong>in</strong> auslassen.<br />
Die folgenden Tabellen enthalten <strong>in</strong> der ersten Spalte zusätzlich zur Nummer der Maßnahme e<strong>in</strong>en<br />
H<strong>in</strong>weis darauf, <strong>für</strong> welche Stufe der Qualifizierung gemäß IT-Grundschutz die Umsetzung e<strong>in</strong>er<br />
Maßnahme erforderlich ist. Die H<strong>in</strong>weise bedeuten im E<strong>in</strong>zelnen:<br />
• A: Diese Maßnahme muss <strong>für</strong> alle drei Ausprägungen der Qualifizierung nach IT-Grundschutz<br />
(E<strong>in</strong>stiegsstufe, Aufbaustufe und IT-Grundschutz-Zertifikat) umgesetzt se<strong>in</strong>.<br />
• B: Diese Maßnahme muss <strong>für</strong> die Aufbaustufe und <strong>für</strong> das IT-Grundschutz-Zertifikat umgesetzt<br />
se<strong>in</strong>.<br />
• C: Diese Maßnahme muss lediglich <strong>für</strong> das IT-Grundschutz-Zertifikat umgesetzt se<strong>in</strong>.<br />
• Z: Diese Maßnahme muss weder <strong>für</strong> e<strong>in</strong>e Qualifizierungsstufe noch <strong>für</strong> das IT-Grundschutz-<br />
Zertifikat verb<strong>in</strong>dlich umgesetzt werden.<br />
Mehr zum Basis-<strong>Sicherheit</strong>scheck f<strong>in</strong>den Sie <strong>in</strong> Kapitel 4.4 und zur IT-Grundschutz-Qualifizierung <strong>in</strong><br />
Kapitel 5.3 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2).<br />
Seite 36
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
6.1 Beispiel aus Schicht 1:<br />
B 1.0 IT-<strong>Sicherheit</strong>smanagement<br />
Der Bauste<strong>in</strong> B1.0 IT-<strong>Sicherheit</strong>smanagement gehört zu<br />
den Pflichtbauste<strong>in</strong>en. Zielobjekt ist bei <strong>RECPLAST</strong> die<br />
gesamte Organisation, da an allen Standorten e<strong>in</strong>heitliche<br />
Regelungen zur IT-<strong>Sicherheit</strong> gelten (sollen).<br />
Erfasst am: 18. August Erfasst durch: P. Muster<br />
Bauste<strong>in</strong>: B 1.0 IT-<strong>Sicherheit</strong>smanagement<br />
Befragung am: 18. August<br />
Leiter der Befragung: P. Muster<br />
Befragte Personen: A. Adm<strong>in</strong> (Leiter IT), M. Müller (Geschäftsführung)<br />
Maßnahmen:<br />
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 2.192<br />
(A)<br />
M 2.193<br />
(A)<br />
M 2.195<br />
(A)<br />
M 2.197<br />
(A)<br />
M 2.199<br />
(A)<br />
M 2.200<br />
(C)<br />
M 2.201<br />
(C)<br />
M 2.335<br />
(A)<br />
Name<br />
Erstellung e<strong>in</strong>er<br />
IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie<br />
Aufbau e<strong>in</strong>er geeigneten<br />
Organisationsstruktur <strong>für</strong><br />
IT-<strong>Sicherheit</strong><br />
Erstellung e<strong>in</strong>es<br />
IT-<strong>Sicherheit</strong>skonzepts<br />
Integration der Mitarbeiter<br />
<strong>in</strong> den <strong>Sicherheit</strong>sprozess<br />
Aufrechterhaltung der IT-<br />
<strong>Sicherheit</strong><br />
Managementreporte und<br />
-bewertungen der IT-<br />
<strong>Sicherheit</strong><br />
Dokumentation des IT-<br />
<strong>Sicherheit</strong>sprozesses<br />
Festlegung der IT-<br />
<strong>Sicherheit</strong>sziele und<br />
-strategie<br />
entbehrlich<br />
ja teilweise ne<strong>in</strong><br />
X<br />
X<br />
Bemerkung/<br />
Begründung bei Nicht-Umsetzung<br />
X Bislang gibt es ke<strong>in</strong> def<strong>in</strong>iertes IT-<br />
<strong>Sicherheit</strong>skonzept. Es wird derzeit<br />
erarbeitet.<br />
Projektlaufzeit:32. – 45. KW.<br />
X Bislang nicht vorhanden.<br />
X Bislang wurden dazu ke<strong>in</strong>e<br />
Maßnahmen geplant.<br />
X Aufgrund der Größe der Firma und<br />
des Schutzbedarfs wird diese<br />
Maßnahme als entbehrlich e<strong>in</strong>gestuft.<br />
X<br />
Seite 37<br />
X Bislang nicht dokumentiert.
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 2.336<br />
(A)<br />
M 2.337<br />
(A)<br />
M 2.338<br />
(Z)<br />
M 2.339<br />
(Z)<br />
M 2.340<br />
(A)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
entbehr- Bemerkung/<br />
Name ja teilweise ne<strong>in</strong><br />
lich Begründung bei Nicht-Umsetzung<br />
Übernahme der<br />
Gesamtverantwortung <strong>für</strong><br />
IT-<strong>Sicherheit</strong> durch die<br />
Leitungsebene<br />
Integration der IT-<br />
<strong>Sicherheit</strong> <strong>in</strong><br />
organisationsweite<br />
Abläufe und Prozesse<br />
Erstellung von<br />
zielgruppengerechten IT-<br />
<strong>Sicherheit</strong>srichtl<strong>in</strong>ien<br />
Wirtschaftlicher E<strong>in</strong>satz<br />
von Ressourcen <strong>für</strong> IT-<br />
<strong>Sicherheit</strong><br />
Beachtung rechtlicher<br />
Rahmenbed<strong>in</strong>gungen<br />
X<br />
X<br />
X Für e<strong>in</strong>zelne Aspekte/Benutzer (z. B.<br />
Datensicherung, Virenschutz) s<strong>in</strong>d<br />
entsprechend fokussierte Regelungen<br />
im E<strong>in</strong>satz.<br />
X E<strong>in</strong> angemessenes Budget <strong>für</strong> IT-<br />
<strong>Sicherheit</strong> ist bereitgestellt. Auf den<br />
wirtschaftlichen E<strong>in</strong>satz der Mittel<br />
wird geachtet.<br />
X Auf geltende Rechtsvorschriften wird<br />
im erforderlichen Umfang<br />
h<strong>in</strong>gewiesen (z. B. durch Verweise <strong>in</strong><br />
Richtl<strong>in</strong>ien und Anweisungen).<br />
Seite 38
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
6.2 Beispiel aus Schicht 1:<br />
B 1.2 Personal<br />
Der Bauste<strong>in</strong> B 1.2 Personal enthält Empfehlungen zu<br />
allgeme<strong>in</strong>en Regelungen im Bereich des Personalwesens<br />
<strong>für</strong> den sicheren Betrieb der Informationstechnik. Er<br />
gehört zu den Pflichtbauste<strong>in</strong>en und wird im Beispiel auf<br />
die gesamte Organisation angewendet.<br />
Erfasst am: 18. August Erfasst durch: P. Muster<br />
Bauste<strong>in</strong>: B 1.2 Personal<br />
Befragung am: 18. August<br />
Leiter der Befragung: P. Muster<br />
Befragte Personen: A. Adm<strong>in</strong> (Leiter IT), K. Vogel (Leiter Personalabteilung)<br />
Maßnahmen:<br />
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 3.1<br />
(A)<br />
M 3.2<br />
(A)<br />
M 3.3<br />
(A)<br />
M 3.4<br />
(A)<br />
Name<br />
Geregelte E<strong>in</strong>arbeitung/<br />
E<strong>in</strong>weisung neuer<br />
Mitarbeiter<br />
Verpflichtung der Mitarbeiter<br />
auf E<strong>in</strong>haltung<br />
e<strong>in</strong>schlägiger Gesetze,<br />
Vorschriften und<br />
Regelungen<br />
entbehrlich<br />
ja teilweise ne<strong>in</strong><br />
Bemerkung/<br />
Begründung bei Nicht-Umsetzung<br />
X Die betriebliche Anweisung Nr. 43<br />
regelt diesbezügliche Verfahrensweisen<br />
bei der Neue<strong>in</strong>stellung e<strong>in</strong>es<br />
Mitarbeiters sowie <strong>für</strong> den Fall, dass<br />
e<strong>in</strong> Mitarbeiter neue Aufgaben<br />
übernimmt.<br />
X Entsprechende Verpflichtungserklärungen<br />
s<strong>in</strong>d Bestandteil der<br />
Arbeitsverträge.<br />
Vertretungsregelungen X Grundsätzlich ist geregelt, dass <strong>für</strong><br />
jede Aufgabe Vertreter zu bestimmen<br />
s<strong>in</strong>d.<br />
Schulung vor<br />
Programmnutzung<br />
X Soweit Mitarbeiter bestimmte<br />
Programme <strong>für</strong> die Erfüllung ihrer<br />
Aufgaben benötigen, werden diese<br />
auch <strong>in</strong> deren Benutzung<br />
e<strong>in</strong>gewiesen. Dies sieht auch die<br />
Anweisung Nr. 43 vor.<br />
Seite 39
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 3.5<br />
(A)<br />
M 3.6<br />
(A)<br />
M 3.7<br />
(Z)<br />
M 3.8<br />
(Z)<br />
M 3.10<br />
(A)<br />
M 3.11<br />
(A)<br />
M 3.33<br />
(Z)<br />
M 3.50<br />
(Z)<br />
M 3.51<br />
(Z)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
entbehr- Bemerkung/<br />
Name ja teilweise ne<strong>in</strong><br />
lich Begründung bei Nicht-Umsetzung<br />
Schulung zu IT-<br />
<strong>Sicherheit</strong>smaßnahmen<br />
Geregelte Verfahrensweise<br />
beim Ausscheiden<br />
von Mitarbeitern<br />
Anlaufstelle bei<br />
persönlichen Problemen<br />
Vermeidung von Störungen<br />
des Betriebsklimas<br />
Auswahl e<strong>in</strong>es vertrauenswürdigen<br />
Adm<strong>in</strong>istrators<br />
und Vertreters<br />
Schulung des Wartungs-<br />
und Adm<strong>in</strong>istrationspersonals<br />
<strong>Sicherheit</strong>sprüfung von<br />
Mitarbeitern<br />
X Bislang fanden ke<strong>in</strong>e Schulungen<br />
speziell zu IT-<strong>Sicherheit</strong>smaßnahmen<br />
statt, das vorhandene Schulungskonzept<br />
berücksichtigt lediglich die<br />
E<strong>in</strong>arbeitung <strong>in</strong> die funktionalen<br />
Eigenschaften der e<strong>in</strong>gesetzten<br />
Anwendungen und IT-Systeme.<br />
X In der betrieblichen Anweisung Nr 39<br />
angemessen geregelt.<br />
X Der Betriebsrat bietet sich als vertrauliche<br />
Anlaufstelle an und wird als<br />
solche auch von der Geschäftsführung<br />
akzeptiert.<br />
X Geschäftsführung und Betriebsrat<br />
pflegen e<strong>in</strong>en offenen Umgang<br />
mite<strong>in</strong>ander und s<strong>in</strong>d <strong>in</strong> ihren<br />
regelmäßigen Besprechungen<br />
bestrebt, die Ursachen <strong>für</strong> mögliche<br />
Probleme frühzeitig zu beseitigen.<br />
X Adm<strong>in</strong>istrator und Vertreter wurden<br />
mit angemessener Sorgfalt<br />
ausgewählt. Neben der fachlichen<br />
Qualifikation wurde dabei auch auf<br />
die Persönlichkeit der ausgewählten<br />
Mitarbeiter geachtet.<br />
X Die Adm<strong>in</strong>istratoren erhalten<br />
regelmäßige Schulungen und<br />
Fortbildungen zu den funktionalen<br />
Eigenschaften der von ihnen<br />
betreuten Hard- und Software..<br />
X Die Referenzen von Mitarbeitern, die<br />
<strong>für</strong> Arbeitsplätze mit besonderen<br />
Vertraulichkeitsanforderungen<br />
vorgesehen s<strong>in</strong>d, werden sorgfältig<br />
geprüft.<br />
Auswahl von Personal X Personal <strong>für</strong> besonders<br />
sicherheitsrelebvante<br />
Aufgabengebiete wird sehr sorgfältig<br />
ausgewählt.<br />
Geeignetes Konzept <strong>für</strong><br />
Personale<strong>in</strong>satz und<br />
-qualifizierung<br />
Seite 40<br />
X Teilaspekte s<strong>in</strong>d geregelt<br />
(Vertretungsregelungen,<br />
Aufgabendef<strong>in</strong>itionen etc.); e<strong>in</strong><br />
grundlegenden Schulungs- und<br />
Qualifizierungskonzept ist bislang<br />
jedoch nicht vorhanden.
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
6.3 Beispiel aus Schicht 2:<br />
B 2.4 Serverraum<br />
Dieser Bauste<strong>in</strong> ist auf die Serverräume <strong>in</strong> Bad Godesberg<br />
und Beuel getrennt anzuwenden. Die nachfolgende<br />
Tabelle dokumentiert den Basis-<strong>Sicherheit</strong>scheck <strong>für</strong> den<br />
Serverraum des Verwaltungsgebäudes Bad Godesberg.<br />
Raum: BG, R. 1.02 Serverraum<br />
Erfasst am: 19. August Erfasst durch: P. Muster<br />
Bauste<strong>in</strong>: B 2.4 Serverraum<br />
Befragung am: 19. August<br />
Leiter der Befragung: P. Muster<br />
Befragte Personen: A. Adm<strong>in</strong> (Leiter IT), M. Wachsam (Haustechnik)<br />
Maßnahmen:<br />
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 1.3<br />
(A)<br />
M 1.7<br />
(A)<br />
M 1.10<br />
(C)<br />
M 1.15<br />
(A)<br />
M 1.18<br />
(Z)<br />
M 1.23<br />
(A)<br />
M 1.24<br />
(C)<br />
Name<br />
Angepasste Aufteilung der<br />
Stromkreise<br />
entbehrlich<br />
ja teilweise ne<strong>in</strong><br />
Bemerkung/<br />
Begründung bei Nicht-Umsetzung<br />
X Bislang wurde die Elektro<strong>in</strong>stallation<br />
nicht geprüft.<br />
Handfeuerlöscher X Die betroffenen Mitarbeiter wurden<br />
nicht im Umgang mit den<br />
vorhandenen CO 2-Löschern geschult.<br />
Verwendung von <strong>Sicherheit</strong>stüren<br />
und -fenstern<br />
Geschlossene Fenster und<br />
Türen<br />
X<br />
X Der Raum hat ke<strong>in</strong> <strong>Sicherheit</strong>sfenster,<br />
nur e<strong>in</strong>e <strong>Sicherheit</strong>stür.<br />
Gefahrenmeldeanlage X E<strong>in</strong>e solche Anlage wurde bislang als<br />
unnötig kostspielig e<strong>in</strong>gestuft.<br />
Abgeschlossene Türen X Die Tür hat flurseitig e<strong>in</strong>en Bl<strong>in</strong>dknauf.<br />
Vermeidung von wasserführenden<br />
Leitungen<br />
Seite 41<br />
X Im Raum s<strong>in</strong>d Heizkörper. Die Dichtigkeit<br />
der Leitungen wurde bislang<br />
nicht kontrolliert. Im Raum bef<strong>in</strong>det<br />
sich ferner e<strong>in</strong>e Klimaanlage mit<br />
Zuleitungen. E<strong>in</strong> Rechner bef<strong>in</strong>det<br />
sich direkt unter e<strong>in</strong>er Zuleitung. Es<br />
fehlen Absperrventile außerhalb des<br />
Raums, mit denen die Wasserzufuhr<br />
zum Serverraum gezielt unterbrochen<br />
werden kann.
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 1.25<br />
(B)<br />
M 1.26<br />
(Z)<br />
M 1.27<br />
(B)<br />
M 1.28<br />
(B)<br />
M 1.31<br />
(Z)<br />
M 1.52<br />
(Z)<br />
M 1.58<br />
(A)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
entbehr- Bemerkung/<br />
Name ja teilweise ne<strong>in</strong><br />
lich Begründung bei Nicht-Umsetzung<br />
Überspannungsschutz X<br />
Not-Aus-Schalter X<br />
Klimatisierung X<br />
Lokale unterbrechungsfreie<br />
Stromversorgung<br />
Fernanzeige von<br />
Störungen<br />
Redundanzen <strong>in</strong> der<br />
technischen Infrastruktur<br />
Technische und organisatorische<br />
Vorgaben <strong>für</strong><br />
Serverräume<br />
M 1.62 Brandschutz von<br />
Patchfeldern<br />
M 2.17<br />
(A)<br />
M 2.21<br />
(A)<br />
Zutrittsregelung und<br />
-kontrolle<br />
X<br />
X Dies wurde bislang als unnötig teuer<br />
e<strong>in</strong>gestuft.<br />
X Es werden ke<strong>in</strong>e Ersatzgeräte vorrätig<br />
gehalten, da der IT-Lieferant die<br />
Lieferung von Ersatzgeräten<br />
<strong>in</strong>nerhalb von 4 Stunden vertraglich<br />
zugesichert hat.<br />
X<br />
X Die verwendeten Abschottungen<br />
entsprechen den Anforderungen der<br />
Funktionserhaltsklasse E 90.<br />
X Für Zugangsregelungen gilt die<br />
betriebliche Anweisung Nr. 26.<br />
Rauchverbot X Laut Betriebsanweisung Nr. 19; im<br />
Raum bef<strong>in</strong>den sich zusätzlich<br />
Rauchverbotsschilder.<br />
Seite 42
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
6.4 Beispiel II aus Schicht 3:<br />
B 3.101 Allgeme<strong>in</strong>er Server<br />
Der Bauste<strong>in</strong> B 3.101 Allgeme<strong>in</strong>er Server beschreibt die<br />
generellen IT-<strong>Sicherheit</strong>smaßnahmen <strong>für</strong> Server. Er ist<br />
gesondert <strong>für</strong> alle Server der <strong>RECPLAST</strong> GmbH<br />
anzuwenden. Als Beispiel dient hier die Erhebung <strong>für</strong> den<br />
Datenbankserver F<strong>in</strong>anzbuchhaltung.<br />
IT-System: S5, DB-Server F<strong>in</strong>anzbuchhaltung<br />
Erfasst am: 20. August Erfasst durch: P. Muster<br />
Bauste<strong>in</strong>: B 3.101 Allgeme<strong>in</strong>er Server<br />
Befragung am: 20. August<br />
Leiter der Befragung: P. Muster<br />
Befragte Personen: A. Adm<strong>in</strong> (Leiter IT)<br />
Maßnahmen:<br />
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 1.28<br />
(B)<br />
M 2.22<br />
(A)<br />
M 2.31<br />
(A)<br />
M 2.32<br />
(Z)<br />
M 2.35<br />
(B)<br />
M 2.138<br />
(B)<br />
M 2.273<br />
(A)<br />
M 2.314<br />
(Z)<br />
Name<br />
Lokale unterbrechungsfreie<br />
Stromversorgung<br />
H<strong>in</strong>terlegen des<br />
Passwortes<br />
Dokumentation der<br />
zugelassenen Benutzer<br />
und Rechteprofile<br />
E<strong>in</strong>richtung e<strong>in</strong>er<br />
e<strong>in</strong>geschränkten<br />
Benutzerumgebung<br />
Informationsbeschaffung<br />
über <strong>Sicherheit</strong>slücken des<br />
Systems<br />
entbehrlich<br />
ja teilweise ne<strong>in</strong><br />
Bemerkung/<br />
Begründung bei Nicht-Umsetzung<br />
X USV ist angeschlossen.<br />
X Bislang ist die H<strong>in</strong>terlegung von<br />
Passwörtern nicht geregelt.<br />
X E<strong>in</strong>e entsprechende aktuelle<br />
Dokumentation ist vorhanden.<br />
X Berechtigte Benutzer haben nur<br />
Zugriff auf die Datenbank, ansonsten<br />
auf ke<strong>in</strong>e Systemressourcen.<br />
X Relevante Newsletter s<strong>in</strong>d abonniert<br />
und werden ausgewertet.<br />
Strukturierte Datenhaltung X Server wird ausschließlich als<br />
Datenbank-Server genutzt. Die<br />
Benutzer legen ke<strong>in</strong>e Dateien ab.<br />
Zeitnahes E<strong>in</strong>spielen<br />
sicherheitsrelevanter<br />
Patches und Updates<br />
Verwendung von<br />
hochverfügbaren<br />
Architekturen <strong>für</strong> Server<br />
X Aktuelle Patches werden zeitnah<br />
e<strong>in</strong>gespielt.<br />
X Der Server stellt ke<strong>in</strong>e hohen<br />
Verfügbarkeitsanforderungen.<br />
Seite 43
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 2.315<br />
(A)<br />
M 2.316<br />
(A)<br />
M 2.317<br />
(C)<br />
M 2.318<br />
(A)<br />
M 2.319<br />
(C)<br />
M 2.320<br />
(A)<br />
M 4.7<br />
(A)<br />
M 4.15<br />
(A)<br />
M 4.16<br />
(A)<br />
M 4.17<br />
(A)<br />
M 4.24<br />
(A)<br />
M 4.40<br />
(C)<br />
M 4.93<br />
(B)<br />
M 4.237<br />
(A)<br />
M 4.238<br />
(A)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
entbehr- Bemerkung/<br />
Name ja teilweise ne<strong>in</strong><br />
lich Begründung bei Nicht-Umsetzung<br />
Planung des Servere<strong>in</strong>satzes<br />
Festlegen e<strong>in</strong>er <strong>Sicherheit</strong>srichtl<strong>in</strong>ie<br />
<strong>für</strong> e<strong>in</strong>en<br />
Server<br />
Beschaffungskriterien <strong>für</strong><br />
e<strong>in</strong>en Server<br />
Sichere Installation e<strong>in</strong>es<br />
Servers<br />
X Die E<strong>in</strong>führung des Servers wurde<br />
angemessen geplant. Diesbezügliche<br />
Dokumentation liegt vor.<br />
X <strong>Das</strong> Planungsdokument enthält e<strong>in</strong>e<br />
entspechende <strong>Sicherheit</strong>srichtl<strong>in</strong>ie.<br />
X <strong>Das</strong> System ist seit 2 Jahren im<br />
E<strong>in</strong>satz. Neuanschaffung ist derzeit<br />
nicht geplant.<br />
X System wurde konkret untersucht:<br />
Kriterien s<strong>in</strong>d erfüllt.<br />
Migration e<strong>in</strong>es Server X Derzeit nicht aktuell<br />
Geregelte Außerbetriebnahme<br />
e<strong>in</strong>es Servers<br />
Änderung vore<strong>in</strong>gestellter<br />
Passwörter<br />
X Maßnahme steht derzeit nicht an.<br />
Vergleichbare Anforderungen s<strong>in</strong>d<br />
jedoch <strong>in</strong> e<strong>in</strong>er allgeme<strong>in</strong>en<br />
Dienstanweisung zur Aussonderung<br />
von IT-Systemen enthalten<br />
X Default-Passwörter wurden bei der<br />
Installation der Software geändert.<br />
Gesichertes Log<strong>in</strong> X Die technischen Möglichkeiten des<br />
Systems <strong>für</strong> den Zugriffsschutz<br />
werden genutzt (z. B. Sperrung e<strong>in</strong>es<br />
Accounts nach dreimaliger<br />
Fehle<strong>in</strong>gabe des Passworts).<br />
Zugangsbeschränkungen<br />
<strong>für</strong> Accounts und / oder<br />
Term<strong>in</strong>als<br />
Sperren und Löschen nicht<br />
benötigter Accounts und<br />
Term<strong>in</strong>als<br />
Sicherstellung e<strong>in</strong>er<br />
konsistenten<br />
Systemverwaltung<br />
Verh<strong>in</strong>derung der<br />
unautorisierten Nutzung<br />
des Rechnermikrofons<br />
Regelmäßige<br />
Integritätsprüfung<br />
Sichere Grundkonfiguration<br />
e<strong>in</strong>es IT-Systems<br />
E<strong>in</strong>satz e<strong>in</strong>es lokalen<br />
Paketfilters<br />
X Zugriffsmöglichkeiten <strong>für</strong> berechtigte<br />
Benutzer s<strong>in</strong>d auf die regulären<br />
Arbeitszeiten begrenzt.<br />
X Es gibt e<strong>in</strong>e Verfahrensanweisung <strong>für</strong><br />
das Anlegen und Löschen von<br />
Benutzeraccounts. Diese wird auch<br />
beachtet.<br />
X Änderungen werden dokumentiert.<br />
X An den Rechner kann ke<strong>in</strong> Mikrofon<br />
angeschlossen werden.<br />
X Die Integrität wichtiger Dateien wird<br />
wöchentlich automatisiert geprüft.<br />
X<br />
X<br />
Seite 44
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 4.239<br />
(A)<br />
M 4.240<br />
(Z)<br />
M 5.8<br />
(B)<br />
M 5.9<br />
(A)<br />
M 5.10<br />
(A)<br />
M 5.37<br />
(B)<br />
M 6.24<br />
(A)<br />
M 6.96<br />
(A)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
entbehr- Bemerkung/<br />
Name ja teilweise ne<strong>in</strong><br />
lich Begründung bei Nicht-Umsetzung<br />
Sicherer Betrieb e<strong>in</strong>es<br />
Servers<br />
E<strong>in</strong>richten e<strong>in</strong>er Testumgebung<br />
<strong>für</strong> e<strong>in</strong>en<br />
Server<br />
Regelmäßiger <strong>Sicherheit</strong>scheck<br />
des Netzes<br />
X Anforderungen werden erfüllt.<br />
X Server ist im E<strong>in</strong>satz; Erweiterungen<br />
s<strong>in</strong>d nicht geplant.<br />
X Die sicherheitsrelevanten E<strong>in</strong>stellungen<br />
des Servers werden wöchentlich<br />
mit Hilfe e<strong>in</strong>es Scanners überprüft.<br />
Protokollierung am Server X Bei sicherheitskritischen Zugriffen<br />
auf den Server werden die<br />
Adm<strong>in</strong>istratoren automatisiert<br />
<strong>in</strong>formiert, ansonsten werden die<br />
Protokolle wöchentlich ausgewertet.<br />
Restriktive Rechtevergabe X<br />
E<strong>in</strong>schränken der Peer-to-<br />
Peer-Funktionalitäten <strong>in</strong><br />
e<strong>in</strong>em servergestützten<br />
Netz<br />
Erstellen e<strong>in</strong>es Notfall-<br />
Bootmediums<br />
Notfallvorsorge <strong>für</strong> e<strong>in</strong>en<br />
Server<br />
X Auf dem Server s<strong>in</strong>d ke<strong>in</strong>e überflüssigen<br />
Freigaben e<strong>in</strong>gerichtet<br />
worden.<br />
X Medium wurde erstellt; Funktionieren<br />
wurde getestet.<br />
X Handlungsanweisung liegt vor.<br />
Seite 45
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
6.5 Beispiel II aus Schicht 3:<br />
B 3.106 Server unter<br />
W<strong>in</strong>dows 2000<br />
Der Bauste<strong>in</strong> B 3.106 Server unter W<strong>in</strong>dows 2000<br />
beschreibt die Maßnahmen, die <strong>für</strong> e<strong>in</strong>en Server mit<br />
diesem Betriebssystem spezifisch s<strong>in</strong>d. Er ist gesondert <strong>für</strong><br />
alle Server der <strong>RECPLAST</strong> GmbH anzuwenden. Als<br />
Beispiel dient hier die Erhebung <strong>für</strong> den Datenbankserver<br />
F<strong>in</strong>anzbuchhaltung.<br />
IT-System: S5, DB-Server F<strong>in</strong>anzbuchhaltung<br />
Erfasst am: 20. August Erfasst durch: P. Muster<br />
Bauste<strong>in</strong>: B 3.106 W<strong>in</strong>dows 2000 Server<br />
Befragung am: 20. August<br />
Leiter der Befragung: P. Muster<br />
Befragte Personen: A. Adm<strong>in</strong> (Leiter IT)<br />
Maßnahmen:<br />
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 2.227<br />
(A)<br />
M 2.228<br />
(A)<br />
M 2.229<br />
(A)<br />
M 2.230<br />
(A)<br />
M 2.231<br />
(A)<br />
M 2.232<br />
(B)<br />
M 2.233<br />
(B)<br />
Name<br />
Planung des W<strong>in</strong>dows<br />
2000 E<strong>in</strong>satzes<br />
Festlegen e<strong>in</strong>er W<strong>in</strong>dows<br />
2000 <strong>Sicherheit</strong>srichtl<strong>in</strong>ie<br />
Planung des Active<br />
Directory<br />
Planung der Active<br />
Directory-Adm<strong>in</strong>istration<br />
Planung der<br />
Gruppenrichtl<strong>in</strong>ien unter<br />
W<strong>in</strong>dows 2000<br />
Planung der W<strong>in</strong>dows<br />
2000 CA-Struktur<br />
Planung der Migration von<br />
W<strong>in</strong>dows NT auf<br />
W<strong>in</strong>dows 2000<br />
entbehrlich<br />
ja teilweise ne<strong>in</strong><br />
Bemerkung/<br />
Begründung bei Nicht-Umsetzung<br />
X Die Planungsphase ist seit Längerem<br />
abgeschlossen. Die Maßnahme ist<br />
derzeit nicht relevant.<br />
X Die vorhandene <strong>Sicherheit</strong>srichtl<strong>in</strong>ie<br />
deckt die wesentlichen Aspekte ab.<br />
X In der Dokumentation, die im Basis-<br />
<strong>Sicherheit</strong>scheck zu B 1.9 Hard- und<br />
Software-Management erwähnt wird<br />
(siehe dort M 2.25), s<strong>in</strong>d die<br />
wesentlichen Aspekte abgedeckt.<br />
X<br />
X<br />
X Die W<strong>in</strong>dows 2000 CA wird nicht<br />
genutzt.<br />
X Die Migration ist schon seit<br />
Längerem abgeschlossen.<br />
Seite 46
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 3.27<br />
(A)<br />
M 4.48<br />
(A)<br />
M 4.56<br />
(C)<br />
M 4.75<br />
(A)<br />
M 4.136<br />
(A)<br />
M 4.137<br />
(A)<br />
M 4.138<br />
(A)<br />
M 4.139<br />
(A)<br />
M 4.140<br />
(A)<br />
M 4.141<br />
(A)<br />
M 4.142<br />
(B)<br />
M 4.143<br />
(B)<br />
M 4.144<br />
(B)<br />
M 4.145<br />
(A)<br />
M 4.146<br />
(A)<br />
M 4.147<br />
(Z)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
entbehr- Bemerkung/<br />
Name ja teilweise ne<strong>in</strong><br />
lich Begründung bei Nicht-Umsetzung<br />
Schulung zur Active<br />
Directory-Verwaltung<br />
Passwortschutz unter<br />
W<strong>in</strong>dows NT/2000/XP<br />
Sicheres Löschen unter<br />
W<strong>in</strong>dows-Betriebssystemen<br />
Schutz der Registrierung<br />
unter<br />
W<strong>in</strong>dows NT/2000/XP<br />
Sichere Installation von<br />
W<strong>in</strong>dows 2000<br />
Sichere Konfiguration von<br />
W<strong>in</strong>dows 2000<br />
Konfiguration von<br />
W<strong>in</strong>dows 2000 als<br />
Domänen-Controller<br />
Konfiguration von<br />
W<strong>in</strong>dows 2000 als Server<br />
Sichere Konfiguration<br />
wichtiger W<strong>in</strong>dows 2000<br />
Dienste<br />
Sichere Konfiguration des<br />
DDNS unter<br />
W<strong>in</strong>dows 2000<br />
Sichere Konfiguration des<br />
WINS unter<br />
W<strong>in</strong>dows 2000<br />
Sichere Konfiguration des<br />
DHCP unter<br />
W<strong>in</strong>dows 2000<br />
Nutzung der<br />
W<strong>in</strong>dows 2000 CA<br />
Sichere Konfiguration von<br />
RRAS unter<br />
W<strong>in</strong>dows 2000<br />
Sicherer Betrieb von<br />
W<strong>in</strong>dows 2000/XP<br />
Sichere Nutzung von EFS<br />
unter W<strong>in</strong>dows 2000/XP<br />
X Die Adm<strong>in</strong>istratoren wurden bei<br />
E<strong>in</strong>führung des Systems umfassend<br />
geschult.<br />
X Auf dem Rechner ist ausschließlich<br />
W<strong>in</strong>dows 2000 <strong>in</strong>stalliert. Die Regeln<br />
<strong>für</strong> das sichere Löschen werden<br />
beachtet.<br />
X<br />
X<br />
X<br />
X Dieser Rechner wird nicht als<br />
Domänen-Controller genutzt.<br />
X Die Empfehlungen (z. B. die Deaktivierung<br />
nicht benötigter Dienste) s<strong>in</strong>d<br />
umgesetzt.<br />
X<br />
X<br />
X Dienst wird nicht benötigt und ist<br />
deaktiviert.<br />
X<br />
X Dienst wird nicht genutzt.<br />
X Dienst wird nicht genutzt und ist<br />
deaktiviert.<br />
X<br />
X<br />
Seite 47
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 4.148<br />
(B)<br />
M 4.149<br />
(A)<br />
M 5.89<br />
(A)<br />
M 5.90<br />
(Z)<br />
M 6.43<br />
(Z)<br />
M 6.76<br />
(C)<br />
M 6.77<br />
(A)<br />
M 6.78<br />
(A)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Überwachung e<strong>in</strong>es<br />
W<strong>in</strong>dows 2000/XP<br />
Systems<br />
entbehr- Bemerkung/<br />
Name ja teilweise ne<strong>in</strong><br />
lich Begründung bei Nicht-Umsetzung<br />
Datei- und Freigabeberechtigungen<br />
unter<br />
W<strong>in</strong>dows 2000/XP<br />
Konfiguration des sicheren<br />
Kanals unter<br />
W<strong>in</strong>dows 2000/XP<br />
E<strong>in</strong>satz von IPSec unter<br />
W<strong>in</strong>dows 2000/XP<br />
E<strong>in</strong>satz redundanter<br />
W<strong>in</strong>dows NT/2000 Server<br />
Erstellen e<strong>in</strong>es Notfallplans<br />
<strong>für</strong> den Ausfall e<strong>in</strong>es<br />
W<strong>in</strong>dows 2000/XP Netzes<br />
Erstellung von Rettungsdisketten<br />
<strong>für</strong><br />
W<strong>in</strong>dows 2000<br />
Datensicherung unter<br />
W<strong>in</strong>dows 2000/XP<br />
X Die Protokollfunktion des Betriebssystems<br />
ist <strong>für</strong> wesentliche Ereignisse<br />
aktiviert (z. B: An- und Abmeldung,<br />
Zugriffe auf wichtige Dateien,<br />
Änderung der Konfiguration); die<br />
Protokolldateien werden täglich<br />
überprüft.<br />
X Nur der Zugriff auf die Datenbank ist<br />
<strong>für</strong> die befugten Mitarbeiter auf dem<br />
Rechner freigegeben.<br />
X<br />
X<br />
X Aufgrund der Verfügbarkeitsanforderungen<br />
wird e<strong>in</strong> zweiter<br />
Server nicht <strong>für</strong> erforderlich gehalten.<br />
X Bislang existiert ke<strong>in</strong> Notfallplan <strong>für</strong><br />
das Gesamtnetz und auch nicht<br />
speziell <strong>für</strong> diesen Server.<br />
X Rettungsdisketten s<strong>in</strong>d vorhanden.<br />
X Datensicherung erfolgt mit spezieller<br />
Backup-Software.<br />
Seite 48
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
6.6 Beispiel aus Schicht 4:<br />
B 4.1 Heterogene Netze<br />
Dieser Bauste<strong>in</strong> ist gemäß Modellierung auf die Teilnetze<br />
• an Switch 1 (FIBU und Personaldatenverarbeitung),<br />
• das übrige Netz <strong>in</strong> Bad Godesberg und<br />
• das Netz <strong>in</strong> Beuel<br />
gesondert anzuwenden.<br />
Nachfolgend die Dokumentation <strong>für</strong> das Teilnetz der<br />
F<strong>in</strong>anzbuchhaltung und Personaldatenverarbeitung <strong>in</strong> Bad Godesberg.<br />
Netz: Teilnetz an Switch 1 (FIBU und Personaldatenverarbeitung)<br />
Erfasst am: 21. August Erfasst durch: P. Muster<br />
Bauste<strong>in</strong>: B 4.1 Heterogene Netze<br />
Befragung am: 21. August<br />
Leiter der Befragung: P. Muster<br />
Befragte Personen: A. Adm<strong>in</strong> (Leiter IT)<br />
Maßnahmen<br />
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 2.139<br />
(A)<br />
M 2.140<br />
(Z)<br />
M 2.141<br />
(B)<br />
M 2.142<br />
(B)<br />
M 4.7<br />
(A)<br />
M 4.79<br />
(A)<br />
M 4.80<br />
(A)<br />
Name<br />
Ist-Aufnahme der<br />
aktuellen Netzsituation<br />
Analyse der aktuellen<br />
Netzsituation<br />
Entwicklung e<strong>in</strong>es<br />
Netzkonzeptes<br />
Entwicklung e<strong>in</strong>es Netz-<br />
Realisierungsplans<br />
Änderung vore<strong>in</strong>gestellter<br />
Passwörter<br />
Sichere Zugriffsmechanismen<br />
bei lokaler<br />
Adm<strong>in</strong>istration<br />
Sichere Zugriffsmechanismen<br />
bei<br />
Fernadm<strong>in</strong>istration<br />
entbehrlich<br />
ja teilweise ne<strong>in</strong><br />
X<br />
X<br />
Bemerkung/<br />
Begründung bei Nicht-Umsetzung<br />
X Im Zusammenhang mit dem Umzug<br />
der Verwaltung und der damit<br />
verbundenen Umstrukturierung des<br />
Netzes wurde e<strong>in</strong> Konzept entwickelt<br />
und dokumentiert.<br />
X Maßnahme ist derzeit nicht aktuell.<br />
X<br />
X<br />
X<br />
Seite 49
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 4.81<br />
(B)<br />
M 4.82<br />
(A)<br />
M 4.83<br />
(C)<br />
M 5.2<br />
(A)<br />
M 5.7<br />
(A)<br />
M 5.13<br />
(A)<br />
M 5.60<br />
(A)<br />
M 5.61<br />
(A)<br />
M 5.62<br />
(Z)<br />
M 5.77<br />
(Z)<br />
M 6.52<br />
(A)<br />
M 6.53<br />
(Z)<br />
M 6.54<br />
(B)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
entbehr- Bemerkung/<br />
Name ja teilweise ne<strong>in</strong><br />
lich Begründung bei Nicht-Umsetzung<br />
Audit und Protokollierung<br />
der Aktivitäten im Netz<br />
Sichere Konfiguration der<br />
aktiven Netzkomponenten<br />
Update/Upgrade von Soft-<br />
und Hardware im<br />
Netzbereich<br />
Auswahl e<strong>in</strong>er geeigneten<br />
Netz-Topographie<br />
X<br />
X<br />
X Bislang gibt es ke<strong>in</strong>e Testumgebung,<br />
<strong>in</strong> der Tests der Hard- und Software<br />
vor ihrem produktiven E<strong>in</strong>satz<br />
möglich s<strong>in</strong>d.<br />
X Maßnahme vermittelt nur<br />
H<strong>in</strong>tergrundwissen<br />
Netzverwaltung X Netzverwaltung ist zentral geregelt<br />
Geeigneter E<strong>in</strong>satz von<br />
Elementen zur<br />
Netzkopplung<br />
Auswahl e<strong>in</strong>er geeigneten<br />
Backbone-Technologie<br />
Geeignete physikalische<br />
Segmentierung<br />
Geeignete logische<br />
Segmentierung<br />
Bildung von Teilnetzen X<br />
Regelmäßige Sicherung<br />
der Konfigurationsdaten<br />
aktiver Netzkomponenten<br />
Redundante Auslegung<br />
der Netzkomponenten<br />
Verhaltensregeln nach<br />
Verlust der Netz<strong>in</strong>tegrität<br />
X Maßnahme vermittelt nur<br />
H<strong>in</strong>tergrundwissen<br />
X<br />
X<br />
X<br />
X<br />
X Aufgrund der dokumentierten Verfügbarkeitsanforderungen<br />
ist das Netz<br />
nicht redundant ausgelegt. Es existieren<br />
aber Verträge mit dem Lieferanten,<br />
die im Bedarfsfall e<strong>in</strong>en raschen<br />
Austausch defekter Komponenten<br />
ermöglichen.<br />
Seite 50<br />
X Bislang gibt es hierzu ke<strong>in</strong>e<br />
def<strong>in</strong>ierten Regelungen
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
6.7 Beispiel aus Schicht 5:<br />
B 5.7 Datenbanken<br />
Dieser Bauste<strong>in</strong> ist gemäß Modellierung auf die beiden<br />
Datenbankanwendungen A3 (F<strong>in</strong>anzbuchhaltung) und<br />
A4 (Auftrags- und Kundenverwaltung) gesondert<br />
anzuwenden. Nachfolgend die Dokumentation <strong>für</strong> die<br />
Anwendung A3 F<strong>in</strong>anzbuchhaltung.<br />
IT-Anwendung: A3 F<strong>in</strong>anzbuchhaltung<br />
Erfasst am: 22. August Erfasst durch: P. Muster<br />
Bauste<strong>in</strong>: B 5.7 Datenbanken<br />
Befragung am: 22. August<br />
Leiter der Befragung: P. Muster<br />
Befragte Personen: A. Adm<strong>in</strong> (Leiter IT)<br />
Maßnahmen<br />
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 2.31<br />
(A)<br />
M 2.34<br />
(A)<br />
M 2.65<br />
(B)<br />
M 2.80<br />
(A)<br />
M 2.124<br />
(A)<br />
M 2.125<br />
(A)<br />
M 2.126<br />
(A)<br />
Name<br />
Dokumentation der<br />
zugelassenen Benutzer<br />
und Rechteprofile<br />
Dokumentation der<br />
Veränderungen an e<strong>in</strong>em<br />
bestehenden System<br />
Kontrolle der Wirksamkeit<br />
der Benutzer-Trennung am<br />
IT-System<br />
Erstellung e<strong>in</strong>es<br />
Anforderungskatalogs <strong>für</strong><br />
Standardsoftware<br />
Geeignete Auswahl e<strong>in</strong>er<br />
Datenbank-Software<br />
Installation und Konfiguration<br />
e<strong>in</strong>er Datenbank<br />
Erstellung e<strong>in</strong>es<br />
Datenbanksicherheitskonzeptes <br />
entbehrlich<br />
ja teilweise ne<strong>in</strong><br />
X<br />
Bemerkung/<br />
Begründung bei Nicht-Umsetzung<br />
X Es existiert zwar e<strong>in</strong>e Dokumentation,<br />
diese ist aber nicht auf dem neuesten<br />
Stand.<br />
X Es existiert zwar e<strong>in</strong>e Dokumentation,<br />
diese ist aber nicht auf dem neuesten<br />
Stand.<br />
X <strong>Das</strong> gekaufte Produkt entspricht den<br />
Anforderungen, die vor der Anschaffung<br />
dokumentiert wurden.<br />
X <strong>Das</strong> gekaufte Produkt entspricht den<br />
Anforderungen, die vor der Anschaffung<br />
dokumentiert wurden.<br />
X<br />
X<br />
Seite 51
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 2.127<br />
(B)<br />
M 2.128<br />
(A)<br />
M 2.129<br />
(A)<br />
M 2.130<br />
(A)<br />
M 2.131<br />
(C)<br />
M 2.132<br />
(A)<br />
M 2.133<br />
(A)<br />
M 2.134<br />
(B)<br />
M 2.135<br />
(C)<br />
M 3.18<br />
(A)<br />
M 4.7<br />
(A)<br />
M 4.67<br />
(B)<br />
M 4.68<br />
(A)<br />
M 4.69<br />
(B)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
entbehr- Bemerkung/<br />
Name ja teilweise ne<strong>in</strong><br />
lich Begründung bei Nicht-Umsetzung<br />
Inferenzprävention X<br />
Zugangskontrolle e<strong>in</strong>er<br />
Datenbank<br />
Zugriffskontrolle e<strong>in</strong>er<br />
Datenbank<br />
Gewährleistung der<br />
Datenbank<strong>in</strong>tegrität<br />
Aufteilung von Adm<strong>in</strong>istrationstätigkeiten<br />
bei<br />
Datenbanksystemen<br />
Regelung <strong>für</strong> die<br />
E<strong>in</strong>richtung von<br />
Datenbankbenutzern/<br />
-benutzergruppen<br />
Kontrolle der Protokolldateien<br />
e<strong>in</strong>es Datenbanksystems<br />
Richtl<strong>in</strong>ien <strong>für</strong> Datenbank-<br />
Anfragen<br />
Gesicherte Datenübernahme<br />
<strong>in</strong> e<strong>in</strong>e Datenbank<br />
Verpflichtung der<br />
Benutzer zum Abmelden<br />
nach Aufgabenerfüllung<br />
Änderung vore<strong>in</strong>gestellter<br />
Passwörter<br />
Sperren und Löschen nicht<br />
benötigter Datenbank-<br />
Accounts<br />
Sicherstellung e<strong>in</strong>er<br />
konsistenten Datenbankverwaltung<br />
Regelmäßiger<br />
<strong>Sicherheit</strong>scheck der<br />
Datenbank<br />
X Zugang ist aufgabenbezogen<br />
reglementiert. Normale Benutzer<br />
haben ke<strong>in</strong>e direkten SQL-Zugriffe.<br />
Remote-Zugriffe s<strong>in</strong>d nicht möglich.<br />
X Zugriffsmöglichkeiten werden<br />
restriktiv gehandhabt. Zugriffe<br />
werden protokolliert.<br />
X<br />
X<br />
X Aufgrund der ger<strong>in</strong>gen Anzahl an IT-<br />
Mitarbeitern ist e<strong>in</strong>e Aufteilung wenig<br />
zweckmäßig.<br />
X Protokolldateien werden täglich<br />
kontrolliert.<br />
X Die Benutzer haben ke<strong>in</strong>e Möglichkeit<br />
<strong>für</strong> SQL-Abfragen. Nur die<br />
Standardfunktionalität der Software<br />
wird genutzt, es gibt ke<strong>in</strong>e<br />
Eigenentwicklungen.<br />
X Derzeit wird ke<strong>in</strong> Bedarf <strong>für</strong><br />
Datenübernahmen gesehen.<br />
X Ist <strong>in</strong> betrieblicher Anweisung 1/2001<br />
geregelt.<br />
X<br />
X<br />
X Die Adm<strong>in</strong>istratoren haben zwar<br />
zusätzliche Benutzerkennungen mit<br />
ger<strong>in</strong>geren Rechten und s<strong>in</strong>d angehalten<br />
die Adm<strong>in</strong>istratorkennung nur<br />
dann zu benutzen, wenn dies erforderlich<br />
ist. Diese Anweisung wird<br />
jedoch häufig nicht beachtet.<br />
X <strong>Sicherheit</strong>scheck wird monatlich<br />
durchgeführt und dokumentiert.<br />
Seite 52
Maßnahme<br />
(erforderl.<br />
ab Stufe)<br />
M 4.70<br />
(C)<br />
M 4.71<br />
(C)<br />
M 4.72<br />
(Z)<br />
M 4.73<br />
(C)<br />
M 5.58<br />
(B)<br />
M 6.48<br />
(A)<br />
M 6.49<br />
(A)<br />
M 6.50<br />
(A)<br />
M 6.51<br />
(B)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
entbehr- Bemerkung/<br />
Name ja teilweise ne<strong>in</strong><br />
lich Begründung bei Nicht-Umsetzung<br />
Durchführung e<strong>in</strong>er<br />
Datenbanküberwachung<br />
Restriktive Handhabung<br />
von Datenbank-L<strong>in</strong>ks<br />
Datenbank-<br />
Verschlüsselung<br />
Festlegung von Obergrenzen<br />
<strong>für</strong> selektierbare<br />
Datensätze<br />
Installation von ODBC-<br />
Treibern<br />
Verhaltensregeln nach<br />
Verlust der Datenbank<strong>in</strong>tegrität<br />
Datensicherung e<strong>in</strong>er<br />
Datenbank<br />
Archivierung von<br />
Datenbeständen<br />
Wiederherstellung e<strong>in</strong>er<br />
Datenbank<br />
X<br />
X Datenbank-L<strong>in</strong>ks werden nicht<br />
genutzt.<br />
X<br />
X <strong>Das</strong> vergleichsweise ger<strong>in</strong>ge Datenvolumen<br />
macht auf absehbare Zeit<br />
e<strong>in</strong>e derartige Festlegung entbehrlich.<br />
X<br />
X<br />
X Bislang gibt es hierzu ke<strong>in</strong>e<br />
def<strong>in</strong>ierten Regelungen.<br />
X Es existiert e<strong>in</strong> Archivierungskonzept.<br />
Die erforderlichen Fristen<br />
werden e<strong>in</strong>gehalten.<br />
Seite 53<br />
X Es gibt hierzu weder e<strong>in</strong> Konzept,<br />
noch praktische Tests.
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
7 Ergänzende Risikoanalyse<br />
Immer dann, wenn e<strong>in</strong> Zielobjekt m<strong>in</strong>destens e<strong>in</strong>e der folgenden drei Charakteristiken aufweist, ist zu<br />
prüfen, ob die Standard-<strong>Sicherheit</strong>smaßnahmen der IT-Grundschutz-Kataloge h<strong>in</strong>reichend und<br />
angemessen s<strong>in</strong>d, um den vorhandenen Risiken zu begegnen:<br />
• <strong>Das</strong> Zielobjekt hat e<strong>in</strong>en hohen oder sehr hohen Schutzbedarf <strong>in</strong> m<strong>in</strong>destens e<strong>in</strong>em der drei<br />
Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben.<br />
• <strong>Das</strong> Zielobjekt kann mit den vorhandenen Bauste<strong>in</strong>en des IT-Grundschutzes nicht h<strong>in</strong>reichend<br />
abgebildet (modelliert) werden.<br />
• Es wird <strong>in</strong> e<strong>in</strong>er <strong>für</strong> das Anwendungsgebiet des IT-Grundschutzes untypischen Weise oder<br />
E<strong>in</strong>satzumgebung betrieben.<br />
Im Rahmen der IT-Grundschutz-Vorgehensweise wird <strong>in</strong> e<strong>in</strong>er ergänzenden <strong>Sicherheit</strong>sanalyse<br />
erwogen, welche Zielobjekte mit Hilfe e<strong>in</strong>er Risikoanalyse genauer untersucht werden sollen. Diese<br />
ergänzende Risikoanalyse umfasst die Schritte:<br />
1. Erstellung e<strong>in</strong>er Gefährdungsübersicht<br />
2. Ermittlung zusätzlicher Gefährdungen<br />
3. Bewertung der Gefährdungen<br />
4. Behandlung der Risiken und Maßnahmenauswahl<br />
5. Konsolidierung des IT-<strong>Sicherheit</strong>skonzepts<br />
Diese Schritte werden nachfolgend an e<strong>in</strong>em Beispiel veranschaulicht und zwar dem Zielobjekt C7,<br />
den Clients <strong>in</strong> der Entwicklungsabteilung, deren Schutzbedarf bezüglich Vertraulichkeit mit sehr hoch<br />
bewertet wurde. In diesem Zusammenhang s<strong>in</strong>d ebenfalls die Büroräume zu berücksichtigen, <strong>in</strong> denen<br />
diese IT-Systeme untergebracht s<strong>in</strong>d (Räume 2.14 – 2.20 <strong>in</strong> Bonn-Beuel).<br />
Weitere Informationen zur ergänzenden Risikoanalyse und zu ihrer E<strong>in</strong>ordnung <strong>in</strong> die IT-<br />
Grundschutz-Vorgehensweise f<strong>in</strong>den Sie <strong>in</strong> Kapitel 4.5 von BSI-Standard 100-2 sowie umfassend <strong>in</strong><br />
dem BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz.<br />
Seite 54
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
7.1 Erstellung der Gefährdungsübersicht<br />
In e<strong>in</strong>em ersten Schritt werden alle Zielobjekte gestrichen, <strong>für</strong> die gemäß ergänzender<br />
<strong>Sicherheit</strong>sanalyse ke<strong>in</strong> Bedarf <strong>für</strong> e<strong>in</strong>e Risikoanalyse besteht. Anschließend werden aus der Tabelle<br />
alle Bauste<strong>in</strong>e gestrichen, <strong>für</strong> die ke<strong>in</strong>e Zielobjekte mehr übrig s<strong>in</strong>d. Für die Clients <strong>in</strong> der<br />
Entwicklungsabteilung und die Räume, <strong>in</strong> denen sie untergebracht s<strong>in</strong>d, ergibt sich damit nach diesen<br />
beiden Schritten der folgende Tabellenauszug.<br />
Nr. Titel des Bauste<strong>in</strong>s Zielobjekt<br />
B 1.0 IT-<strong>Sicherheit</strong>smanagement Gesamte Organisation<br />
B 1.1 Organisation Gesamte Organisation<br />
B 1.2 Personal Gesamte Organisation<br />
B 1.4 Datensicherungskonzept Gesamte Organisation<br />
B 1.6 Computer-Virenschutzkonzept Gesamte Organisation<br />
B 1.7 Kryptokonzept Gesamte Organisation<br />
B 1.8 Behandlung von <strong>Sicherheit</strong>svorfällen Gesamte Organisation<br />
B 1.9 Hard- und Software-Management Gesamte Organisation<br />
B 1.10 Standardsoftware Gesamte Organisation<br />
B 1.13 <strong>Sicherheit</strong>ssensibilisierung und -Schulung Gesamte Organisation<br />
B 2.3 Büroraum Räume 2.14 – 2.20 <strong>in</strong> Bonn-Beuel<br />
B 3.201 Allgeme<strong>in</strong>er Client C7 Clients <strong>in</strong> Entwicklungsabteilung<br />
B3.209 W<strong>in</strong>dows 2000 Client C7 Clients <strong>in</strong> Entwicklungsabteilung<br />
Anmerkungen: Die meisten Bauste<strong>in</strong>e der Schicht 1 gelten übergeordnet <strong>für</strong> beide Zielobjekte. Daher<br />
wurden sie nicht aus der Tabelle gestrichen. Die <strong>in</strong> diesen Bauste<strong>in</strong>en enthaltenen Gefährdungen s<strong>in</strong>d<br />
folglich auch bei den nachfolgenden Schritten zu berücksichtigen. Damit die Darstellung<br />
übersichtlicher wird, wurde <strong>in</strong> den nachfolgenden Tabellen jedoch darauf verzichtet, die <strong>in</strong> den<br />
Bauste<strong>in</strong>en der Schicht 1 enthaltenen Gefährdungen aufzuführen.<br />
Anschließend werden den Zielobjekten die Gefährdungen aus den verbliebenen Bauste<strong>in</strong>en<br />
zugeordnet. Dabei wird darauf geachtet, dass <strong>für</strong> e<strong>in</strong> Zielobjekt ke<strong>in</strong>e Gefährdung doppelt aufgeführt<br />
wird. Ferner werden die Gefährdungen werden thematisch sortiert. In den resultierenden<br />
Gefährdungsübersichten <strong>für</strong> die e<strong>in</strong>zelnen Zielobjekte sollte zusätzlich der jeweilige Schutzbedarf<br />
bezüglich der drei <strong>Sicherheit</strong>sziele Vertraulichkeit, Integrität und Verfügbarkeit vermerkt werden. Die<br />
folgenden Tabellen zeigen Auszüge der Gefährdungsübersichten <strong>für</strong> die ausgesuchten Zielobjekte.<br />
Zielobjekt: Räume B 2.14 – 2.20 <strong>in</strong> Bonn-Beuel<br />
Vertraulichkeit:<br />
Integrität:<br />
Verfügbarkeit:<br />
sehr hoch<br />
normal<br />
normal<br />
G 2.1 Fehlende oder unzureichende Regelungen<br />
G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen<br />
Seite 55
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Zielobjekt: Räume B 2.14 – 2.20 <strong>in</strong> Bonn-Beuel<br />
G 2.14 Bee<strong>in</strong>trächtigung der IT-Nutzung durch ungünstige Arbeitsbed<strong>in</strong>gungen<br />
G 3.6 Gefährdung durch Re<strong>in</strong>igungs- oder Fremdpersonal<br />
G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör<br />
G 5.2 Manipulation an Daten oder Software<br />
G 5.4 Diebstahl<br />
G 5.5 Vandalismus<br />
Zielobjekt: C7 Clients <strong>in</strong> der Entwicklungsabteilung<br />
Vertraulichkeit:<br />
Integrität:<br />
Verfügbarkeit:<br />
sehr hoch<br />
normal<br />
normal<br />
G 1.1 Personalausfall<br />
G 1.2 Ausfall des IT-Systems<br />
G 1.4 Feuer<br />
G 1.5 Wasser<br />
G 1.8 Staub, Verschmutzung<br />
G 2.1 Fehlende oder unzureichende Regelungen<br />
G 2.7 Unerlaubte Ausübung von Rechten<br />
G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-E<strong>in</strong>satz<br />
G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern<br />
G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes<br />
G 2.25 E<strong>in</strong>schränkung der Übertragungs- oder Bearbeitungsgeschw<strong>in</strong>digkeit durch Peer-to-Peer-<br />
Funktionalitäten<br />
G 2.37 Unkontrollierter Aufbau von Kommunikationsverb<strong>in</strong>dungen<br />
G 3.2 Fahrlässige Zerstörung von Gerät oder Daten<br />
G 3.3 Nichtbeachtung von IT-<strong>Sicherheit</strong>smaßnahmen<br />
G 3.6 Gefährdung durch Re<strong>in</strong>igungs- oder Fremdpersonal<br />
G 3.8 Fehlerhafte Nutzung des IT-Systems<br />
G 3.9 Fehlerhafte Adm<strong>in</strong>istration des IT-Systems<br />
G 3.17 Ke<strong>in</strong> ordnungsgemäßer PC-Benutzerwechsel<br />
G 4.1 Ausfall der Stromversorgung<br />
G 4.7 Defekte Datenträger<br />
G 4.8 Bekanntwerden von Softwareschwachstellen<br />
G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen<br />
Seite 56
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Zielobjekt: C7 Clients <strong>in</strong> der Entwicklungsabteilung<br />
G 4.13 Verlust gespeicherter Daten<br />
G 4.23 Automatische CD-ROM-Erkennung<br />
G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör<br />
G 5.2 Manipulation an Daten oder Software<br />
G 5.4 Diebstahl<br />
G 5.7 Abhören von Leitungen<br />
G 5.9 Unberechtigte IT-Nutzung<br />
G 5.18 Systematisches Ausprobieren von Passwörtern<br />
G 5.20 Missbrauch von Adm<strong>in</strong>istratorrechten<br />
G 5.21 Trojanische Pferde<br />
G 5.23 Computer-Viren<br />
G 5.40 Abhören von Räumen mittels Rechner mit Mikrofon<br />
G 5.43 Makro-Viren<br />
G 5.52 Missbrauch von Adm<strong>in</strong>istratorrechten im W<strong>in</strong>dows NT/2000 System<br />
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen<br />
G 5.79 Unberechtigtes Erlangen von Adm<strong>in</strong>istratorrechten unter W<strong>in</strong>dows NT/2000/XP Systemen<br />
G 5.83 Kompromittierung kryptographischer Schlüssel<br />
G 5.85 Integritätsverlust schützenswerter Informationen<br />
7.2 Ermittlung zusätzlicher Gefährdungen<br />
Im zweiten Schritt ist zu prüfen, ob weitere Gefährdungen zu berücksichtigen s<strong>in</strong>d. Zu betrachten s<strong>in</strong>d<br />
<strong>in</strong> diesem Zusammenhang höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen<br />
technisches Versagen, vorsätzliche Angriffe von Außen und Innentätern können mögliche Ursachen<br />
se<strong>in</strong>. Die Gefährdungsübersichten s<strong>in</strong>d um die gefundenen Gefährdungen zu ergänzen.<br />
Die Diskussion im IT-<strong>Sicherheit</strong>smanagementteam bei <strong>RECPLAST</strong> ergab, dass <strong>für</strong> das Schutzziel<br />
Vertraulichkeit, die Gefährdungskataloge bereits vielfältige Bedrohungsquellen berücksichtigen – und<br />
zwar sowohl <strong>in</strong> Bezug auf die <strong>Sicherheit</strong> der Räumlichkeiten als auch auf die der IT-Systeme.<br />
Zusätzlich wurden die folgenden beiden Gefahrenquellen identifiziert:<br />
• unzureichender Zugangsschutz, der dazu führen kann, dass Betriebsfremde aber auch eigene<br />
Mitarbeiter E<strong>in</strong>sicht <strong>in</strong><br />
• Ausspionieren der elektromagnetischen Abstrahlung der IT-Systeme<br />
Da die sich daraus ergebenden Gefährdungen <strong>in</strong> den berücksichtigten Bauste<strong>in</strong>en bereits genannt s<strong>in</strong>d,<br />
wurde die Gefährdungsübersicht zu den Räumen nicht erweitert. H<strong>in</strong>gegen wurde die<br />
Gefährdungsübersicht zu den IT-Systemen um die Gefährdung Abhören der elektromagnetischen<br />
Abstrahlung von IT-Komponenten ergänzt (siehe folgende Tabelle).<br />
Seite 57
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Zielobjekt: C 7 Clients <strong>in</strong> Entwicklungsabteilung<br />
Vertraulichkeit:<br />
Integrität:<br />
Verfügbarkeit:<br />
sehr hoch<br />
normal<br />
normal<br />
G 5.B1 Abhören der elektromagnetischen Abstrahlung von IT-Komponenten<br />
Die Informationen auf den Clients können das Ziel von Industriespionage se<strong>in</strong>. Die<br />
elektromagnetische Abstrahlung der Geräte kann <strong>für</strong> derartige Zwecke ausgespäht werden.<br />
Diese Gefährdung ist <strong>in</strong> den Grundschutzkatalogen nicht aufgeführt.<br />
7.3 Bewertung der Gefährdungen<br />
Für jede Gefärdung ist zu prüfen, ob sie durch die bereits umgesetzten oder geplanten Maßnahmen<br />
abgedeckt ist oder nicht. Dabei müssen Sie auf die Vollständigkeit, Mechanismenstärke und<br />
Zuverlässigkeit der Maßnahmen achten. <strong>Das</strong> Ergebnis dieser Risikobewertung dokumentieren Sie<br />
folgendermaßen <strong>in</strong> der Gefährdungsübersicht:<br />
• Mit OK=J drücken Sie aus, dass die umgesetzten oder beabsichtigten <strong>Sicherheit</strong>smaßnahmen<br />
e<strong>in</strong>en ausreichenden Schutz gegen die jeweilige Gefährdung bieten.<br />
• Mit OK=“N drücken Sie aus, dass der Schutz gegen die betreffende Gefährdung noch nicht<br />
ausreicht.<br />
Nachfolgend s<strong>in</strong>d Auszüge der Gefährdungstabellen <strong>für</strong> die betrachteten Zielobjekte abgebildet, <strong>in</strong><br />
denen dokumentiert ist, wie die Gefährdungen bewertet wurden.<br />
Zielobjekt: Räume B 2.14 – 2.20 <strong>in</strong> Bonn-Beuel<br />
Vertraulichkeit:<br />
Integrität:<br />
Verfügbarkeit:<br />
sehr hoch<br />
normal<br />
normal<br />
G 2.1 Fehlende oder unzureichende Regelungen<br />
Der Zugang zu den Räumenist bislang nicht ausreichend geregelt. Die bestehende Regelung<br />
reicht zwar <strong>für</strong> alle anderen Räumlichkeiten aus, wird aber den besonderen Anforderungen<br />
der Entwicklungsabteilung nicht gerecht.<br />
OK=N<br />
G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen OK=N<br />
Aufgrund der unzureichenden Regelungen können unbefugte Zutritte nicht ausgeschlossen<br />
werden.<br />
G 2.14 Bee<strong>in</strong>trächtigung der IT-Nutzung durch ungünstige Arbeitsbed<strong>in</strong>gungen OK=J<br />
Gefährdung ist <strong>für</strong> das Schutzziel Vertraulichkeit nicht relevant.<br />
G 3.6 Gefährdung durch Re<strong>in</strong>igungs- oder Fremdpersonal OK=N<br />
Die bisherigen Regelungen <strong>für</strong> Re<strong>in</strong>igungs- und Fremdpersonal werden den besonderen<br />
Anforderungen dieser Räume nicht gerecht. Insbesondere sollte e<strong>in</strong> unbeaufsichtigter<br />
Zugang von Re<strong>in</strong>igungs- oder Wartungspersonal ausgeschlossen werden.<br />
G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör OK=N<br />
Aufgrund des noch nicht ausreichenden Zugangs- und Zugriffsschutzes können<br />
Manipulationen nicht ausgeschlossen werden.<br />
Seite 58
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Zielobjekt: Räume B 2.14 – 2.20 <strong>in</strong> Bonn-Beuel<br />
G 5.2 Manipulation an Daten oder Software OK=N<br />
Siehe vorstehende Gefährdung<br />
G 5.4 Diebstahl OK=N<br />
Wenn der Diebstahl e<strong>in</strong>es der IT-Systeme gel<strong>in</strong>gt, ist die Vertraulichkeit der gespeicherten<br />
Daten nicht mehr im erforderlichen Umfang gewährleistet. Der Zugangsschutz zu den<br />
Räumen ist verbesserungsbedürftig.<br />
G 5.5 Vandalismus OK=J<br />
Diese Gefährdung betrifft nicht das Schutzziel Vertraulichkeit.<br />
Zielobjekt: C7 Clients <strong>in</strong> der Entwicklungsabteilung<br />
Vertraulichkeit:<br />
Integrität:<br />
Verfügbarkeit:<br />
sehr hoch<br />
normal<br />
normal<br />
G 1.1 Personalausfall OK=J<br />
Die Gefährdung bedroht nicht die Vertraulichkeit der Daten auf den Rechnern.<br />
G 1.2 Ausfall des IT-Systems OK=J<br />
Die Gefährdung bedroht nicht die Vertraulichkeit der Daten auf den Rechnern.<br />
G 1.4 Feuer OK=J<br />
Die Gefährdung bedroht nicht die Vertraulichkeit der Daten auf den Rechnern.<br />
G 1.5 Wasser OK=J<br />
Die Gefährdung bedroht nicht die Vertraulichkeit der Daten auf den Rechnern.<br />
G 1.8 Staub, Verschmutzung OK=J<br />
Die Gefährdung bedroht nicht die Vertraulichkeit der Daten auf den Rechnern.<br />
G 2.1 Fehlende oder unzureichende Regelungen OK=N<br />
Aufgrund der noch nicht ausreichend geregelten Zutrittsregelungen zu den Räumen gibt es<br />
Probleme <strong>für</strong> die Vertraulichkeit der Daten.<br />
G 2.7 Unerlaubte Ausübung von Rechten OK=J<br />
Die vorhandenen Regelungen werden als ausreichend angesehen.<br />
G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-E<strong>in</strong>satz OK=J<br />
Die vorhandenen Regelungen werden als ausreichend angesehen.<br />
G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern OK=J<br />
Die vorhandenen Regelungen werden als ausreichend angesehen.<br />
G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes OK=J<br />
Die IT-Systeme s<strong>in</strong>d gegen die <strong>in</strong> der Gefährdung beschriebenen Angriffe angemessen<br />
geschützt.<br />
Seite 59<br />
OK=J
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Zielobjekt: C7 Clients <strong>in</strong> der Entwicklungsabteilung<br />
G 2.25 E<strong>in</strong>schränkung der Übertragungs- oder Bearbeitungsgeschw<strong>in</strong>digkeit durch Peer-to-Peer-<br />
Funktionalitäten<br />
Die Gefährdung ist <strong>für</strong> das Schutzziel nicht relevant. (Unabhängig davon s<strong>in</strong>d ke<strong>in</strong>e Peer-to-<br />
Peer-Funktionen aktiv.)<br />
G 2.37 Unkontrollierter Aufbau von Kommunikationsverb<strong>in</strong>dungen OK=J<br />
In die Rechner s<strong>in</strong>d nur übliche Netzwerkkarten e<strong>in</strong>gebaut.<br />
G 3.2 Fahrlässige Zerstörung von Gerät oder Daten OK=J<br />
Die Gefährdung bedroht nicht die Vertraulichkeit der Daten auf den Rechnern.<br />
G 3.3 Nichtbeachtung von IT-<strong>Sicherheit</strong>smaßnahmen OK=J<br />
Der Gefährdung soll durch Schulungs- und Sensibilisierungsmaßnahmen begegnet werden.<br />
G 3.6 Gefährdung durch Re<strong>in</strong>igungs- oder Fremdpersonal OK=N<br />
Die bisherigen Regelungen <strong>für</strong> Re<strong>in</strong>igungs- und Fremdpersonal werden den besonderen<br />
Anforderungen dieser Räume nicht gerecht. Insbesondere sollte e<strong>in</strong> unbeaufsichtigter<br />
Zugang von Re<strong>in</strong>igungs- oder Wartungspersonal ausgeschlossen werden.<br />
G 3.8 Fehlerhafte Nutzung des IT-Systems OK=J<br />
Fehler können nie ausgeschlossen werden. Die betreffenden Mitarbeiter<strong>in</strong>nen und<br />
Mitarbeiter s<strong>in</strong>d aber sehr gut qualifiziert.<br />
G 3.9 Fehlerhafte Adm<strong>in</strong>istration des IT-Systems OK=J<br />
Der Gefährdung wird ausreichend vorgebeugt.<br />
G 3.17 Ke<strong>in</strong> ordnungsgemäßer PC-Benutzerwechsel OK=J<br />
Der Benutzerwechsel ist ausreichend geregelt.<br />
G 4.1 Ausfall der Stromversorgung OK=J<br />
Die Gefährdung betrifft nicht das Schutzziel Vetraulichkeit.<br />
G 4.7 Defekte Datenträger OK=J<br />
Die Gefährdung betrifft nicht das Schutzziel Vetraulichkeit.<br />
G 4.8 Bekanntwerden von Softwareschwachstellen OK=J<br />
<strong>Das</strong> Patch-Management ist gut organisiert.<br />
G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen OK=J<br />
Die <strong>in</strong> der Gefährdung beschriebenen Dienste s<strong>in</strong>d auf den Rechnern nicht aktiviert.<br />
G 4.13 Verlust gespeicherter Daten OK=J<br />
Die Gefährdung betrifft nicht das Schutzziel Vetraulichkeit.<br />
G 4.23 Automatische CD-ROM-Erkennung OK=J<br />
Die automatische CD-ROM-Erkennung ist deaktiviert.<br />
G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör OK=N<br />
Manipulationen der IT-Systeme, die zu Vertraulichkeitsverlusten führen können, s<strong>in</strong>d zwar<br />
Seite 60<br />
OK=J
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Zielobjekt: C7 Clients <strong>in</strong> der Entwicklungsabteilung<br />
sehr aufwändig. Sie können jedoch nicht mit h<strong>in</strong>reichender <strong>Sicherheit</strong> ausgeschlossen<br />
werden.<br />
G 5.2 Manipulation an Daten oder Software OK=N<br />
Manipulationen der IT-Systeme, die zu Vertraulichkeitsverlusten führen können, s<strong>in</strong>d zwar<br />
sehr aufwändig. Sie können jedoch nicht mit h<strong>in</strong>reichender <strong>Sicherheit</strong> ausgeschlossen<br />
werden.<br />
G 5.4 Diebstahl OK=N<br />
Der Diebstahl e<strong>in</strong>es Geräts kann dazu führen, dass die auf ihm gespeicherten Informationen<br />
missbraucht werden können. Der Zugangsschutz zu den Räumen kann verbessert werden.<br />
G 5.7 Abhören von Leitungen OK=N<br />
E<strong>in</strong> Abhören der Leitungen kann nicht mit h<strong>in</strong>reichender Wahrsche<strong>in</strong>lichkeit ausgeschlossen<br />
werden.<br />
G 5.9 Unberechtigte IT-Nutzung OK=N<br />
Der Zugriff auf e<strong>in</strong> IT-Systeme ist nur mit Passwort möglich. <strong>Das</strong> Bekanntwerden von<br />
Passwörtern kann nicht gänzlich ausgeschlossen werden.<br />
G 5.18 Systematisches Ausprobieren von Passwörtern OK=J<br />
E<strong>in</strong> Missbrauch setzt voraus, dass die Passwortdatei <strong>in</strong> fremde Hände gelangt und<br />
anschließend e<strong>in</strong> physischer Zugriff auf den Rechner möglich ist. In dieser Komb<strong>in</strong>ation<br />
wird diese Gefährdung als eher unwahrsche<strong>in</strong>lich angesehen.<br />
G 5.20 Missbrauch von Adm<strong>in</strong>istratorrechten OK=J<br />
Die technischen Möglichkeiten, mit denen sich derartige Missbräuche verh<strong>in</strong>dern oder<br />
erschweren lassen, werden genutzt.<br />
G 5.21 Trojanische Pferde OK=J<br />
Den Risiken wird angemessen vorgebeugt (aktueller Scanner, restriktive Internet-Nutzung,<br />
organisatorische Vorschriften).<br />
G 5.23 Computer-Viren OK=J<br />
Den Risiken wird angemessen vorgebeugt (aktueller Scanner, restriktive Internet-Nutzung,<br />
organisatorische Vorschriften).<br />
G 5.40 Abhören von Räumen mittels Rechner mit Mikrofon OK=J<br />
Die Rechner s<strong>in</strong>d nicht mit e<strong>in</strong>em Mikrofon ausgestattet<br />
G 5.43 Makro-Viren OK=J<br />
Den Risiken wird angemessen vorgebeugt (aktueller Scanner, restriktive Internet-Nutzung,<br />
organisatorische Vorschriften).<br />
G 5.52 Missbrauch von Adm<strong>in</strong>istratorrechten im W<strong>in</strong>dows NT/2000/XP System OK=J<br />
Die technischen Möglichkeiten, mit denen sich derartige Missbräuche verh<strong>in</strong>dern oder<br />
erschweren lassen, werden genutzt.<br />
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen OK=N<br />
Vertraulichkeitsverluste drohen <strong>in</strong>sbesondere durch unzureichenden Zugangsschutz <strong>in</strong> die<br />
Räume und damit mögliche „zufällige“ Blicke auf Bildschirme, Unterlagen usw.<br />
Seite 61
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Zielobjekt: C7 Clients <strong>in</strong> der Entwicklungsabteilung<br />
G 5.79 Unberechtigtes Erlangen von Adm<strong>in</strong>istratorrechten unter W<strong>in</strong>dows NT/2000/XP Systemen OK=J<br />
Die technischen Möglichkeiten, mit denen sich derartige Missbräuche verh<strong>in</strong>dern oder<br />
erschweren lassen, werden genutzt.<br />
G 5.83 Kompromittierung kryptographischer Schlüssel OK=J<br />
Die technischen Möglichkeiten, mit denen sich derartige Missbräuche verh<strong>in</strong>dern oder<br />
erschweren lassen, werden genutzt.<br />
G 5.85 Integritätsverlust schützenswerter Informationen OK=J<br />
Die Gefährdung betrifft nicht das Schutzziel Vertraulichkeit.<br />
7.4 Behandlung der Risiken und Maßnahmenauswahl<br />
Für alle Gefährdungen, die nicht abgedeckt s<strong>in</strong>d, ist zu überlegen, wie diese zu behandeln s<strong>in</strong>d. Als<br />
Handlungsalternativen kommen <strong>in</strong>frage:<br />
• A: die Risiko-Reduktion durch weitere <strong>Sicherheit</strong>smaßnahmen,<br />
• B: die Risiko-Reduktion durch Umstrukturierung,<br />
• C: die Risiko-Übernahme,<br />
• D: der Risiko-Transfer.<br />
Zielobjekt: Räume 2.14 – 2.20 <strong>in</strong> Bonn-Beuel<br />
Vertraulichkeit:<br />
Integrität:<br />
Verfügbarkeit:<br />
sehr hoch<br />
normal<br />
normal<br />
G 2.1 Fehlende oder unzureichende Regelungen<br />
„B“ Umstrukturierung:<br />
Die bestehenden Regelungen zum Zugangsschutz werden so geändert, dass auch Betriebsangehörige,<br />
Wartungsarbeiter und Re<strong>in</strong>igungskräfte die Räume der Entwicklungsabteilung nicht mehr unbeaufsichtigt<br />
betreten können. Für die Umsetzung der Regelung werden die entsprechenden Büroräume so verlegt, dass<br />
sie durch e<strong>in</strong>e flurseitig mit e<strong>in</strong>em Bl<strong>in</strong>dknauf versehene Zwischentür von den anderen Räumen abgetrennt<br />
s<strong>in</strong>d.<br />
G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen<br />
usw.<br />
Siehe unter G 2.1.<br />
Seite 62
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Zielobjekt: C7 Clients <strong>in</strong> Entwicklungsabteilung<br />
Vertraulichkeit:<br />
Integrität:<br />
Verfügbarkeit:<br />
sehr hoch<br />
normal<br />
normal<br />
G 5.B1 Abhören der elektromagnetischen Abstrahlung von IT-Komponenten<br />
„A“<br />
M 6.B1<br />
usw.<br />
Zusätzliche <strong>Sicherheit</strong>smaßnahme<br />
Verr<strong>in</strong>gern der elektronmagnetischen Abstrahlung von IT-Geräten<br />
Die elektromagnetische Abstrahlung der vorhandenen IT-Systeme wird von e<strong>in</strong>er darauf spezialisierten<br />
Firma so weit reduziert, dass sie nicht mehr außerhalb der Büroräume wahrnehmbar ist.<br />
Mit den getroffenen Entscheidungen wird der IT-<strong>Sicherheit</strong>sprozess fortgesetzt. Dies bedeutet<br />
<strong>in</strong>sbesondere, dass die zusätzlichen Maßnahmen <strong>in</strong> das IT-<strong>Sicherheit</strong>skonzept zu <strong>in</strong>tegrieren s<strong>in</strong>d (=<br />
Konsolidierung des IT-<strong>Sicherheit</strong>skonzepts) sowie deren Umsetzung zu planen ist. Gegebenenfalls ist<br />
außerdem <strong>in</strong> e<strong>in</strong>em erneuten Basis-<strong>Sicherheit</strong>scheck der Umsetzungsstatus der neuen oder geänderten<br />
Maßnahmen zu prüfen.<br />
Seite 63
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
8 Realisierungsplanung<br />
Insbesondere dann, wenn viele <strong>Sicherheit</strong>smaßnahmen umzusetzen s<strong>in</strong>d, ist es hilfreich, wenn Sie sich<br />
bei der Realisierungsplanung an die folgende Reihenfolge halten:<br />
1. Ergebnisse ichten<br />
Sichten Sie zunächst die Ergebnisse des Basis-<strong>Sicherheit</strong>schecks und ggf. e<strong>in</strong>er ergänzenden<br />
<strong>Sicherheit</strong>sanalyse und stellen Sie die noch nicht oder nur teilweise realisierten<br />
<strong>Sicherheit</strong>smaßnahmen tabellarisch zusammen.<br />
2. Maßnahmen konsolidieren<br />
Prüfen und konkretisieren Sie die Maßnahmen im Zusammenhang. Dies reduziert<br />
gegebenenfalls die umzusetzenden Maßnahmen. <strong>Das</strong> Ergebnis ist e<strong>in</strong> konsolidierter<br />
Realisierungsplan.<br />
3. Aufwand schätzen<br />
Schätzen Sie den f<strong>in</strong>anziellen und personellen Aufwand, der mit der Umsetzung der e<strong>in</strong>zelnen<br />
Maßnahmen verbunden ist. Unterscheiden Sie dabei zwischen dem e<strong>in</strong>maligen Aufwand bei der<br />
E<strong>in</strong>führung e<strong>in</strong>er Maßnahme und dem wiederkehrenden Aufwand im laufenden Betrieb.<br />
4. Umsetzungsreihenfolge festlegen<br />
Legen Sie e<strong>in</strong>e s<strong>in</strong>nvolle Umsetzungsreihenfolge fest. Berücksichtigen Sie dabei sowohl die<br />
sachlogischen Zusammenhänge der e<strong>in</strong>zelnen Maßnahmen, als auch deren Wirkung auf das<br />
<strong>Sicherheit</strong>sniveau des IT-Verbunds.<br />
5. Verantwortliche bestimmen<br />
Entscheiden Sie, bis zu welchem Term<strong>in</strong> e<strong>in</strong>e Maßnahme umzusetzen ist und wer <strong>für</strong> die<br />
Realisierung und deren Überwachung zuständig se<strong>in</strong> soll.<br />
6. Begleitende Maßnahmen festlegen<br />
Die praktische Wirksamkeit der <strong>Sicherheit</strong>smaßnahmen hängt von der Akzeptanz und dem<br />
Verhalten der betroffenen Mitarbeiter ab. Planen Sie daher Schritte zu ihrer Sensibilisierung und<br />
Schulung e<strong>in</strong>.<br />
Die Schritte 1, 3 und 4 können entfallen, falls nur wenige Maßnahmen zu realisieren s<strong>in</strong>d oder die<br />
Maßnahmen <strong>in</strong>sgesamt nur ger<strong>in</strong>ge personelle und f<strong>in</strong>anzielle Ressourcen benötigen.<br />
Weitere Informationen zur Realisierungsplanung f<strong>in</strong>den Sie <strong>in</strong> Kapitel 4.6 der Beschreibung der IT-<br />
Grundschutz-Vorgehensweise (BSI-Standard 100-2).<br />
8.1 Konsolidierter Realisierungsplan<br />
E<strong>in</strong>ige der fehlenden Maßnahmen können kurzfristig korrigiert werden und bedürfen daher ke<strong>in</strong>er<br />
umfangreichen Realisierungsplanung. So sollten Mängel <strong>in</strong> e<strong>in</strong>er Dokumentation <strong>in</strong> der Regel umgehend<br />
und leicht behebbar se<strong>in</strong> (siehe die unzureichend umgesetzten Maßnahmen 2.25, 2.31 und 2.34<br />
zum Zielobjekt A3 F<strong>in</strong>anzbuchhaltung sowie Maßnahme 2.25 zum Zielobjekt DB-Server F<strong>in</strong>anzbuchhaltung).<br />
Wer derartige Maßnahmen bis wann umzusetzen hat und wer überprüft, ob dies tatsächlich<br />
geschehen ist, kann unkompliziert bereits beim Basis-<strong>Sicherheit</strong>scheck dokumentiert werden. Diese<br />
und vergleichbare Maßnahmen werden daher <strong>in</strong> der Darstellung nicht weiter berücksichtigt.<br />
Die folgenden Tabellen enthalten alle übrigen Maßnahmen, die im Basis-<strong>Sicherheit</strong>scheck als nicht<br />
oder nur teilweise umgesetzt identifiziert wurden. Sie beschränken sich ferner auf die exemplarisch<br />
ausgewählten Zielobjekte und Bauste<strong>in</strong>e und geben den Stand der Realisierungsplanung nach dem<br />
Schritt 3 (Konsolidierung der Maßnahmen).<br />
Seite 64
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Legende: AT = Arbeitstage<br />
a) E<strong>in</strong>malige Investitionskosten b) E<strong>in</strong>maliger Personalaufwand<br />
c) Wiederkehrende Kosten d) Wiederkehrender Personalaufwand<br />
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 2.195 Erstellung e<strong>in</strong>es<br />
IT-<strong>Sicherheit</strong>skonzepts<br />
(A)<br />
M 2.196 Umsetzung des<br />
IT-<strong>Sicherheit</strong>skonzepts nach e<strong>in</strong>em<br />
Realisierungsplan<br />
(A)<br />
M 2.197 Erstellung e<strong>in</strong>es Schulungskonzepts<br />
zur IT-<strong>Sicherheit</strong><br />
(B)<br />
M 2.198 Sensibilisierung der<br />
Mitarbeiter <strong>für</strong> IT-<strong>Sicherheit</strong><br />
(A)<br />
M 2.199 Aufrechterhaltung der IT-<br />
<strong>Sicherheit</strong><br />
(A)<br />
M 2.201 Dokumentation des IT-<br />
<strong>Sicherheit</strong>sprozesses<br />
(B)<br />
Maßnahme<br />
(erforderlich ab Stufe)<br />
M. 3.5 Schulung zu IT-<strong>Sicherheit</strong>smaßnahmen<br />
(A)<br />
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 1.3 Angepasste Aufteilung der<br />
Stromkreise<br />
(A)<br />
Zielobjekt: Gesamte Organisation <strong>RECPLAST</strong> GmbH<br />
Bauste<strong>in</strong>: B 1.0 IT-<strong>Sicherheit</strong>smanagement<br />
Aufwand Bemerkungen<br />
a) 0,- Euro<br />
b) 40 AT<br />
c) 0,- Euro<br />
d) 5 AT/Jahr<br />
a) 0,- Euro<br />
b) 20 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
a) 0,- Euro<br />
b) 2 AT<br />
c) 0,- Euro<br />
d) 1 AT/Jahr<br />
a) 800,- Euro<br />
b) 0,5 AT<br />
c) 800,- Euro<br />
d) 0,5 AT<br />
a) 0,- Euro<br />
b) 0 AT<br />
c) 0,- Euro<br />
d) 5 AT/Jahr<br />
a) 0,- Euro<br />
b) 5 AT<br />
c) 0,- Euro<br />
d) 2 AT/Jahr<br />
Projektlaufzeit 33. – 46. Kalenderwoche parallel zu anderen<br />
Arbeiten; regelmäßiger Aufwand <strong>für</strong> die Fortschreibung des<br />
Konzepts ist berücksichtigt.<br />
Umsetzung <strong>in</strong> Arbeitsteilung<br />
Wird bei der Erarbeitung des IT-<strong>Sicherheit</strong>skonzepts<br />
berücksichtigt. <strong>Das</strong> Schulungskonzept soll jährlich aktualisiert<br />
werden.<br />
Durchführung mit externen Dozenten; es s<strong>in</strong>d jährliche<br />
Veranstaltungen geplant.<br />
IT-<strong>Sicherheit</strong>srevision <strong>in</strong> der 20. Kalenderwoche des nächsten<br />
Jahres, Aktualisierung spätestens zwei Jahre danach geplant.<br />
In elektronischen Dokumenten, die von den Mitarbeitern<br />
jederzeit abgerufen werden können.<br />
Bauste<strong>in</strong>: B 1.2 Personal<br />
Aufwand Bemerkungen<br />
a) 800,- Euro<br />
b) 8 AT<br />
c) 800,- Euro<br />
d) 4 AT/Jahr<br />
Die Adm<strong>in</strong>istratoren erhalten jährliche Schulungen durch<br />
externe Dozenten. Die Benutzer werden von diesen <strong>in</strong> den<br />
sicheren Umgang mit den jeweiligen Anwendungen<br />
e<strong>in</strong>gearbeitet.<br />
Zielobjekt: BG, R. 1.02 Serverraum<br />
Bauste<strong>in</strong>: B 2.4 Serverraum<br />
Aufwand Bemerkungen<br />
a) 0,- Euro<br />
b) 0,3 AT<br />
c) 0,- Euro<br />
d) 0,3 AT/Jahr<br />
Die Elektro<strong>in</strong>stallation wird von der Haustechnik geprüft. E<strong>in</strong>e<br />
m<strong>in</strong>destens jährliche Überprüfung wird festgelegt.<br />
Seite 65
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 1.7 Handfeuerlöscher<br />
(A)<br />
M 1.10 Verwendung von<br />
<strong>Sicherheit</strong>stüren und Fenstern<br />
(C)<br />
M 1.24 Vermeidung von<br />
wasserführenden Leitungen (C)<br />
M 1.31 Fernanzeige von Störungen<br />
(Z)<br />
Z1: E<strong>in</strong>bau von Wasser ableitenden<br />
Blechen und Installation e<strong>in</strong>es<br />
Wassermelders mit Sirene<br />
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 2.22 H<strong>in</strong>terlegen des Passwortes<br />
(A)<br />
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 6.76 Erstellen e<strong>in</strong>es Notfallplans<br />
<strong>für</strong> den Ausfall des W<strong>in</strong>dows 2000<br />
Netzes<br />
(C)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Zielobjekt: BG, R. 1.02 Serverraum<br />
Bauste<strong>in</strong>: B 2.4 Serverraum<br />
Aufwand Bemerkungen<br />
a) 0,- Euro<br />
b) 0,3 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
a) 2000,- Euro<br />
b) 2 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
a) 20.000,- Euro<br />
b) 12 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
a) 300,- Euro<br />
b) 2 AT<br />
c) 100,- Euro<br />
d) 0,5 AT/Jahr<br />
a) 500,- Euro<br />
b) 1 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
Alle Mitarbeiter mit Zugangsberechtigung zum Serverraum<br />
sollen <strong>in</strong> die Handhabung der vorhandenen CO 2-Löscher<br />
e<strong>in</strong>gewiesen werden.<br />
Der E<strong>in</strong>bau e<strong>in</strong>es <strong>Sicherheit</strong>sfensters zum Serverraum und e<strong>in</strong>es<br />
Außengitters empfiehlt sich, da der Raum im Erdgeschoss liegt<br />
und <strong>in</strong>sgesamt e<strong>in</strong>en hohen Schutzbedarf hat.<br />
Die Maßnahme übersteigt das derzeit vorhandene Budget.<br />
Ersatzweise wird die Zusatzmaßnahme Z1 realisiert.<br />
Die vorhandenen Geräte bieten ke<strong>in</strong>e Möglichkeit zur<br />
Fernanzeige von Funktionsstörungen der USV oder e<strong>in</strong>es<br />
Ausfalls der Klimaanlage, lassen sich aber mit vertretbarem<br />
Aufwand um diese Funktionen erweitern.<br />
Diese Maßnahme ersetzt Maßnahme M 1.24.<br />
Zielobjekt: S5 DB-Server F<strong>in</strong>anzbuchhaltung<br />
Bauste<strong>in</strong>: B 3.101 Allgeme<strong>in</strong>er Server<br />
Aufwand Bemerkungen<br />
a) 0,- Euro<br />
b) 0,3 AT<br />
c) 0,- Euro<br />
d) 0,3 AT/Jahr<br />
Alle Passwörter <strong>für</strong> die Adm<strong>in</strong>istration des Servers werden <strong>in</strong><br />
e<strong>in</strong>em Safe im Büro der Geschäftsführung h<strong>in</strong>terlegt. E<strong>in</strong> Zugriff<br />
auf die Passwörter ist ohne Zustimmung der Geschäftsführung<br />
nicht möglich.<br />
Bauste<strong>in</strong>: B 3.106 W<strong>in</strong>dows 2000 Server<br />
Aufwand Bemerkungen<br />
a) 0,- Euro<br />
b) 7 AT<br />
c) 0,- Euro<br />
d) 0,5 AT/Jahr<br />
Im Rahmen des <strong>in</strong>sgesamt zu entwickelnden Notfallplans wird<br />
e<strong>in</strong> Konzept speziell <strong>für</strong> diesen Server entwickelt.<br />
Seite 66
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 4.83 Update/Upgrade von Soft-<br />
und Hardware im Netzbereich<br />
(C)<br />
M 6.54 Verhaltensregeln nach<br />
Verlust der Netz<strong>in</strong>tegrität<br />
(A)<br />
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 6.48 Verhaltensregeln nach<br />
Verlust der Datenbank<strong>in</strong>tegrität<br />
(A)<br />
M 6.51 Wiederherstellung e<strong>in</strong>er<br />
Datenbank<br />
(B)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Zielobjekt: Teilnetz an Switch 1<br />
Bauste<strong>in</strong>: B 4.1 Heterogene Netze<br />
Aufwand Bemerkungen<br />
a) 2000,- Euro<br />
b)2 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
a) 0,- Euro<br />
b) 0 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
E<strong>in</strong> zusätzlicher Rechner <strong>für</strong> Testzwecke wird beschafft.<br />
Die Formulierung entsprechender Verhaltensregeln ist<br />
Bestandteil des zu entwickelnden <strong>Sicherheit</strong>skonzepts. Es<br />
entsteht hier ke<strong>in</strong> zusätzlicher Aufwand.<br />
Zielobjekt: Anwendung A3 F<strong>in</strong>anzbuchhaltung<br />
Bauste<strong>in</strong>: B 5.7 Datenbanken<br />
Aufwand Bemerkungen<br />
a) 0,- Euro<br />
b) 0 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
a) 0,- Euro<br />
b) 2 AT<br />
c) 0,- Euro<br />
d) 1 AT/Jahr<br />
Die Formulierung entsprechender Verhaltensregeln ist<br />
Bestandteil des zu entwickelnden <strong>Sicherheit</strong>skonzepts. Es<br />
entsteht hier ke<strong>in</strong> zusätzlicher Aufwand.<br />
<strong>Das</strong> vorhandene Datensicherungskonzept wird um Regelungen<br />
ergänzt, die entsprechende Überprüfungen und deren<br />
Dokumentation vorschreiben.<br />
Seite 67
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
8.2 Abgestimmter Realisierungsplan<br />
Die folgenden Tabellen enthalten den mit der Unternehmensleitung abgestimmten Realisierungsplan<br />
mit e<strong>in</strong>getragenen Verantwortlichen und Umsetzungsterm<strong>in</strong>en.<br />
Legende: Z = Zusatzmaßnahme AT = Arbeitstage KW = Kalenderwoche<br />
a) E<strong>in</strong>malige Investitionskosten b) E<strong>in</strong>maliger Personalaufwand<br />
c) Wiederkehrende Kosten d) Wiederkehrender Personalaufwand<br />
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 2.195 Erstellung e<strong>in</strong>es<br />
IT-<strong>Sicherheit</strong>skonzepts<br />
(A)<br />
M 2.196 Umsetzung des<br />
IT-<strong>Sicherheit</strong>skonzepts nach<br />
e<strong>in</strong>em Realisierungsplan<br />
(A)<br />
M 2.197 Erstellung e<strong>in</strong>es<br />
Schulungskonzepts zur<br />
IT-<strong>Sicherheit</strong><br />
(B)<br />
M 2.198 Sensibilisierung der<br />
Mitarbeiter <strong>für</strong> IT-<strong>Sicherheit</strong><br />
(A)<br />
M 2.199 Aufrechterhaltung der<br />
IT-<strong>Sicherheit</strong><br />
(A)<br />
M 2.201 Dokumentation des IT-<br />
<strong>Sicherheit</strong>sprozesses<br />
(B)<br />
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 3.5 Schulung zu IT-<br />
<strong>Sicherheit</strong>smaßnahmen<br />
(A)<br />
Zielobjekt: Gesamte Organisation der <strong>RECPLAST</strong> GmbH.<br />
Bauste<strong>in</strong>: B 1.0 IT-<strong>Sicherheit</strong>smanagement<br />
Umzusetzen<br />
bis<br />
Verantwortlich Budgetrahmen Bemerkungen<br />
46. KW Umsetzung:<br />
IT-<strong>Sicherheit</strong>steam<br />
Kontrolle:<br />
P. Muster<br />
49. KW Umsetzung:<br />
IT-<strong>Sicherheit</strong>steam<br />
Kontrolle:<br />
P. Muster<br />
47. KW Umsetzung:<br />
M. Müller<br />
Kontrolle:<br />
P. Muster<br />
51. KW Umsetzung:<br />
M. Müller<br />
Kontrolle:<br />
P. Muster<br />
20 KW des<br />
nächsten<br />
Jahres,<br />
(fortlaufend)<br />
Umsetzung:<br />
IT-<strong>Sicherheit</strong>steam<br />
Kontrolle:<br />
P. Muster<br />
46. KW Umsetzung:<br />
A. Adm<strong>in</strong><br />
Kontrolle:<br />
P. Muster<br />
Umzusetzen<br />
bis<br />
ab 1. KW<br />
(fortlaufend)<br />
Bauste<strong>in</strong>: B 1.2 Personal<br />
a) 0,- Euro<br />
b) 40 AT<br />
c) 0,- Euro<br />
d) 5 AT/Jahr<br />
a) 0,- Euro<br />
b) 20 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
a) 0,- Euro<br />
b) 2 AT<br />
c) 0,- Euro<br />
d) 1 AT/Jahr<br />
a) 800,- Euro<br />
b) 0,5 AT<br />
c) 800,- Euro<br />
d) 0,5 AT<br />
a) 0,- Euro<br />
b) 0 AT<br />
c) 0,- Euro<br />
d) 5 AT/Jahr<br />
a) 0,- Euro<br />
b) 5 AT<br />
c) 0,- Euro<br />
d) 2 AT/Jahr<br />
Betriebsrat wird vor der<br />
Verabschiedung des Konzepts<br />
beteiligt<br />
Umsetzung <strong>in</strong> Arbeitsteilung<br />
<strong>Das</strong> Konzept soll jährlich<br />
aktualisiert werden.<br />
Durchführung mit externen<br />
Dozenten; es s<strong>in</strong>d jährliche<br />
Veranstaltungen geplant.<br />
Verantwortlich Budgetrahmen Bemerkungen<br />
Umsetzung:<br />
A. Adm<strong>in</strong><br />
Kontrolle:<br />
P. Muster<br />
Seite 68<br />
a) 800,- Euro<br />
b) 8 AT<br />
c) 800,- Euro<br />
d) 4 AT/Jahr<br />
IT-<strong>Sicherheit</strong>srevision <strong>in</strong> der<br />
20. Kalenderwoche des<br />
nächsten Jahres, Aktualisierung<br />
spätestens zwei Jahre danach<br />
geplant.<br />
In elektronischen Dokumenten,<br />
die von den Mitarbeitern<br />
jederzeit abgerufen werden<br />
können.<br />
Die Adm<strong>in</strong>istratoren erhalten<br />
jährliche Schulungen durch<br />
externe Dozenten. Die<br />
Benutzer werden von diesen <strong>in</strong><br />
den sicheren Umgang mit den<br />
jeweiligen Anwendungen<br />
e<strong>in</strong>gearbeitet.
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 1.3 Angepasste Aufteilung der<br />
Stromkreise<br />
(A)<br />
M 1.7 Handfeuerlöscher<br />
(A)<br />
M 1.10 Verwendung von<br />
<strong>Sicherheit</strong>stüren und Fenstern<br />
(C)<br />
M 1.31 Fernanzeige von<br />
Störungen<br />
(Z)<br />
Z1: E<strong>in</strong>bau von Wasser ableitenden<br />
Blechen und Installation<br />
e<strong>in</strong>es Wassermelders mit Sirene<br />
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 2.22 H<strong>in</strong>terlegen des<br />
Passwortes<br />
(A)<br />
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 6.76 Erstellen e<strong>in</strong>es Notfallplans<br />
<strong>für</strong> den Ausfall des<br />
W<strong>in</strong>dows 2000 Netzes<br />
(C)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Umzusetzen<br />
bis<br />
Zielobjekt: BG, R. 10 Serverraum<br />
Bauste<strong>in</strong>: B 2.4 Serverraum<br />
38. KW Umsetzung:<br />
M. Wachsam<br />
Kontrolle:<br />
P. Muster<br />
38. KW Umsetzung:<br />
M. Wachsam<br />
Kontrolle:<br />
P. Muster<br />
48. KW Umsetzung:<br />
M. Wachsam<br />
Kontrolle:<br />
P. Muster<br />
48. KW Umsetzung:<br />
M. Wachsam<br />
Kontrolle:<br />
P. Muster<br />
39. KW Umsetzung:<br />
M. Wachsam<br />
Kontrolle:<br />
P. Muster<br />
Verantwortlich Budgetrahmen Bemerkungen<br />
a) 0,- Euro<br />
b) 0,3 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
a) 0,- Euro<br />
b) 0,3 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
a) 2000,- Euro<br />
b) 2 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
a) 300,- Euro<br />
b) 2 AT<br />
c) 100,- Euro<br />
d) 0,5 AT/Jahr<br />
a) 500,- Euro<br />
b) 1 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
Zielobjekt: S5 DB-Server F<strong>in</strong>anzbuchhaltung<br />
Umzusetzen<br />
bis<br />
Bauste<strong>in</strong>: B 3.101 Allgeme<strong>in</strong>er Server<br />
40. KW Umsetzung:<br />
A. Adm<strong>in</strong><br />
Kontrolle:<br />
P. Muster<br />
Umzusetzen<br />
bis<br />
Die Elektro-Installation wird<br />
von der Haustechnik geprüft.<br />
E<strong>in</strong>e m<strong>in</strong>destens jährliche<br />
Überprüfung wird festgelegt.<br />
Alle Mitarbeiter, die Zugang<br />
zum Serverraum haben, werden<br />
im Umgang mit den CO 2-<br />
Löschern geschult.<br />
Der Serverraum erhält e<strong>in</strong><br />
<strong>Sicherheit</strong>sfenster mit<br />
Außengitter.<br />
Beschaffung und Installation<br />
von Geräten zur Fernanzeige<br />
von Störungen der Klimaanlage<br />
und der USV.<br />
Diese Maßnahme ersetzt<br />
M 1.24.<br />
Verantwortlich Budgetrahmen Bemerkungen<br />
a) 0,- Euro<br />
b) 0,3 AT<br />
c) 0,- Euro<br />
d) 0,3 AT/Jahr<br />
Bauste<strong>in</strong>: B 3.106 W<strong>in</strong>dows 2000 Server<br />
43. KW Umsetzung:<br />
A. Adm<strong>in</strong><br />
Kontrolle:<br />
P. Muster<br />
Verantwortlich Budgetrahmen Bemerkungen<br />
Seite 69<br />
a) 0,- Euro<br />
b) 7 AT<br />
c) 0,- Euro<br />
d) 0,5 AT/Jahr<br />
Alle Passwörter <strong>für</strong> die<br />
Adm<strong>in</strong>istration des Servers<br />
werden <strong>in</strong> e<strong>in</strong>em Safe im Büro<br />
der Geschäftsführung h<strong>in</strong>terlegt.<br />
E<strong>in</strong> Zugriff auf die<br />
Passwörter ist ohne<br />
Zustimmung der Geschäftsführung<br />
nicht möglich.<br />
Besondere Berücksichtigung<br />
bei der Notfallplanung
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 4.83 Update/Upgrade von<br />
Soft- und Hardware im<br />
Netzbereich<br />
(C)<br />
M 6.54 Verhaltensregeln nach<br />
Verlust der Netz<strong>in</strong>tegrität<br />
(A)<br />
Maßnahme<br />
(erforderlich ab Stufe)<br />
M 6.48 Verhaltensregeln nach<br />
Verlust der Datenbank<strong>in</strong>tegrität<br />
(A)<br />
M 6.51 Wiederherstellung e<strong>in</strong>er<br />
Datenbank<br />
(B)<br />
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
Umzusetzen<br />
bis<br />
Zielobjekt: Teilnetz an Switch 1<br />
Bauste<strong>in</strong>: B 4.1 Heterogene Netze<br />
46. KW Umsetzung:<br />
A. Adm<strong>in</strong><br />
Kontrolle:<br />
P. Muster<br />
43. KW Umsetzung:<br />
A. Adm<strong>in</strong><br />
Kontrolle:<br />
P. Muster<br />
Verantwortlich Budgetrahmen Bemerkungen<br />
a) 1000,- Euro<br />
b)2 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
a) 0,- Euro<br />
b) 0 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
Zielobjekt: Anwendung A3 F<strong>in</strong>anzbuchhaltung<br />
Umzusetzen<br />
bis<br />
Bauste<strong>in</strong>: B 5.7 Datenbanken<br />
43. KW Umsetzung:<br />
A. Adm<strong>in</strong><br />
Kontrolle:<br />
P. Muster<br />
43. KW Umsetzung:<br />
A. Adm<strong>in</strong><br />
Kontrolle:<br />
P. Muster<br />
Budgetrahmen verr<strong>in</strong>gert, da<br />
ke<strong>in</strong> teurer Rechner notwendig<br />
ist.<br />
Es entsteht hier ke<strong>in</strong><br />
zusätzlicher Aufwand.<br />
Verantwortlich Budgetrahmen Bemerkungen<br />
Seite 70<br />
a) 0,- Euro<br />
b) 0 AT<br />
c) 0,- Euro<br />
d) 0 AT/Jahr<br />
a) 0,- Euro<br />
b) 2 AT<br />
c) 0,- Euro<br />
d) 1 AT/Jahr<br />
Die Formulierung entsprechender<br />
Regeln ist Bestandteil<br />
des <strong>Sicherheit</strong>skonzepts. Es<br />
entsteht hier ke<strong>in</strong> zusätzlicher<br />
Aufwand.<br />
<strong>Das</strong> Datensicherungskonzept<br />
wird um Regelungen ergänzt,<br />
die Überprüfungen und deren<br />
Dokumentation vorschreiben.