IT-Grundschutz
aus Wikipedia, der freien Enzyklopädie
Als IT-Grundschutz bezeichnet man die Standardsicherheitsmaßnahmen für typische IT-Systeme.
Inhaltsverzeichnis |
[Bearbeiten] Konzept
Basis eines IT-Grundschutzkonzepts ist der initiale Verzicht auf eine detaillierte Risikoanalyse. Es wird von pauschalen Gefährdungen ausgegangen und dabei auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit verzichtet. Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den Schutzbedarf des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus dem IT-Grundschutzhandbuch auswählt.
Das IT-Grundschutzhandbuch des deutschen Bundesamts für Sicherheit in der Informationstechnik bietet ein "Kochrezept" für ein normales Schutzniveau. Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt. Durch die Verwendung des Grundschutzhandbuches entfällt eine aufwändige Sicherheitsanalyse, die Expertenwissen erfordert, da anfangs mit pauschalisierten Gefährdungen gearbeitet wird. Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.
Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes wird vom BSI ein Grundschutz-Zertifikat vergeben. In den Stufen 1 und 2 basiert es auf Selbsterklärungen, in der Stufe 3 erfolgt eine Überprüfung durch einen unabhängigen, vom BSI lizenzierten Auditor. Seit 2006 ist eine Internationalisierung des Zertifizierungsverfahrens möglich. Gleichzeitig mit der Zertifizierung nach IT-Grundschutz kann eine Zertifizierung nach ISO 27001 erfolgen. (Die Norm ISO 27001 ist der Nachfolger von BS 7799-2). Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards. Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht. Unternehmen, die sich nach dem BS 7799-2 Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet. Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsanalyse gemäß IT-Grundschutzhandbuch ausgewichen. Der Vorteil ist sowohl das Erreichen der Zertifizierung nach BS 7799-2, als auch eine Konformität zu den strengen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien und das GSTOOL an.
Ein Baustein für den Datenschutz liegt derzeit nur als Entwurf vor, ist in den IT-Grundschutz-Katalogen selbst jedoch nicht enthalten. Dieser kann aber vom WWW-Server des Bundesdatenschutzbeauftragten heruntergeladen werden.
[Bearbeiten] Grundschutzverfahren
Gemäß Grundschutzverfahren werden bei der Strukturanalyse bzw. Schutzbedarfsanalyse folgende Schritte durchlaufen:
- Definition des IT-Verbundes
- Durchführung einer IT-Strukturanalyse
- Durchführung einer Schutzbedarfsfeststellung
- Durchführung eines Basis Sicherheitschecks
- Umsetzung der IT-Grundschutzmaßnahmen
Die Erstellung erfolgt in folgenden Schritten:
- IT-Strukturanalyse (Bestandsaufnahme)
- Bewertung des Schutzbedarfes
- Auswahl von Maßnahmen
- laufender Abgleich von Soll und Ist
[Bearbeiten] IT-Strukturanalyse
Unter einem IT-Verbund ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein IT-Verbund kann dabei als Ausprägung die gesamte IT einer Institution oder auch einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame IT-Anwendungen (z. B. Personalinformationssystem) gegliedert sind, umfassen. Für die Erstellung eines IT-Sicherheitskonzepts und insbesondere für die Anwendung des IT-Grundschutzhandbuchs ist es erforderlich, die Struktur der vorliegenden Informationstechnik zu analysieren und zu dokumentieren. Aufgrund der heute üblichen starken Vernetzung von IT-Systemen bietet sich ein Netztopologieplan als Ausgangsbasis für die Analyse an. Die folgenden Aspekte müssen berücksichtigt werden:
- die vorhandene Infrastruktur,
- die organisatorischen und personellen Rahmenbedingungen für den IT-Verbund,
- im IT-Verbund eingesetzte vernetzte und nicht-vernetzte IT-Systeme,
- die Kommunikationsverbindungen zwischen den IT-Systemen und nach außen,
- im IT-Verbund betriebene IT-Anwendungen.
[Bearbeiten] Schutzbedarfsfeststellung
Zweck der Schutzbedarfsfeststellung ist es zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden. Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien "niedrig bis mittel", "hoch" und "sehr hoch". Bei der Vertraulichkeit wird häufig auch "Öffentlich", "intern" und "geheim" verwendet.
[Bearbeiten] Modellierung
Die Informationstechnik in Behörden und Unternehmen ist heute üblicherweise durch stark vernetzte IT-Systeme geprägt. In der Regel ist es daher zweckmäßig, im Rahmen einer IT-Sicherheitsanalyse bzw. IT-Sicherheitskonzeption die gesamte IT und nicht einzelne IT-Systeme zu betrachten. Um diese Aufgabe bewältigen zu können, ist es sinnvoll, die gesamte IT in logisch getrennte Teile zu zerlegen und jeweils einen Teil, eben einen IT-Verbund, getrennt zu betrachten. Voraussetzung für die Anwendung des IT-Grundschutzhandbuchs auf einen IT-Verbund sind detaillierte Unterlagen über seine Struktur. Diese können beispielsweise über die oben beschriebene IT-Strukturanalyse gewonnen werden. Anschließend müssen die Bausteine des IT-Grundschutzhandbuchs in einem Modellierungsschritt auf die Komponenten des vorliegenden IT-Verbunds abgebildet werden.
[Bearbeiten] Basis-Sicherheitscheck
Der Basis-Sicherheitscheck ist ein Organisationsinstrument, welches einen schnellen Überblick über das vorhandene IT-Sicherheitsniveau bietet. Mit Hilfe von Interviews wird der Status Quo eines bestehenden (nach IT-Grundschutz modellierten) IT-Verbunds in Bezug auf den Umsetzungsgrad von Sicherheitsmaßnahmen des IT-Grundschutzhandbuchs ermittelt. Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Maßnahme der Umsetzungsstatus "entbehrlich", "ja", "teilweise" oder "nein" erfasst ist. Durch die Identifizierung von noch nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt.
Der Basis-Sicherheitscheck gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich). Daraus folgt, was noch zu tun ist, um einen Grundschutz an Sicherheit zu erlangen. Es müssen aber nicht alle Maßnahmen umgesetzt werden, die sich aus diesem Basischeck ergeben. Hier sind Besonderheiten zu beachten! Es kann sein, dass mehrere Anwendungen auf einem Server laufen, die einen niedrigen Schutzbedarf haben - mehr oder weniger unwichtige Anwendungen. In ihrer Summe sind diese Anwendungen jedoch mit einem höheren Schutz zu versehen (Kumulationseffekt).
Der Schutzbedarf für einen Server richtet sich nach den Anwendungen die auf ihm laufen. Hierbei ist zu beachten, dass auf einem IT-System mehrere IT-Anwendungen laufen können, wobei die Anwendung mit dem höchsten Schutzbedarf die Schutzbedarfskategorie des IT-Systems bestimmt (Maximumprinzip).
Umgekehrt ist es denkbar, dass eine IT-Anwendung mit hohem Schutzbedarf diesen nicht automatisch auf das IT-System überträgt, da dieses redundant ausgelegt ist oder da auf diesem nur unwesentliche Teile laufen (Verteilungseffekt). Dies ist z. B. bei Clustern der Fall.
Durch den Basis-Sicherheitscheck werden die Grundschutz-Maßnahmen abgebildet. Dieses Niveau genügt nur bei niedrigem bis mittlerem Schutzbedarf. Nach BSI-Schätzungen sind dies ~ 80 % der IT-Systeme. Für Systeme mit hohem/sehr hohem Schutzbedarf werden üblicherweise auf einer Risikoanalyse basierende Informationssicherheits Konzepte, wie zum Beispiel nach ISO 27001 angewandt.
[Bearbeiten] IT-Grundschutz-Kataloge und Standards
Durch die Umstrukturierung/Erweiterung des IT-Grundschutzhandbuchs 2005 des BSI wurde die Methodik und die IT-Grundschutzkataloge getrennt. Die Standards BSI 100-1, Standard BSI 100-2 und Standard BSI 100-3 enthalten Angaben zum Aufbau eines ISMS (Informationssicherheitsmangagementsystems), der Methodik (Vorgehensweise nach Grundschutz) und der Erstellung einer Sicherheitsanalyse für hohen und sehr hohen Schutzbedarf aufbauend auf einer durchgeführten Grundschutzerhebung.
Derzeit ist der Standard BSI 100-4 "Notfallmanagement" in Vorbereitung, der Elemente aus BS 25999, ITIL Service Continutiy Management mit den relevanten Bausteinen der IT-Grundschutzkataloge vereint und wesentliche Aspekte für ein angemessenes Business Continuity Management (BCM) beinhaltet. Mit Umsetzung dieses Standards soll dann eine Zertifizierung gemäß BS 25999-2 möglich sein. Der Entwurf des Standards BSI 100-4 steht zur Kommentierung beim BSI online zur Verfügung[1].
Das BSI gleicht damit seine Standards an internationale Normen an.
[Bearbeiten] Literatur
- BSI: IT-Grundschutz-Leitfaden (pdf, 420 kB)
- BSI: IT-Grundschutz-Kataloge 2006 (pdf)
- BSI: BSI-Standards zu IT-Sicherheitsmanagement und IT-Grundschutz
- Frederik Humpert: IT-Grundschutz umsetzen mit GSTOOL. Anleitungen und Praxistipps für den erfolgreichen Einsatz des BSI-Standards, Carl Hanser Verlag München, 2005. (ISBN 3-446-22984-1)
- Norbert Pohlmann, Hartmut Blumberg: Der IT-Sicherheitsleitfaden. Das Pflichtenheft zur Implementierung von IT-Sicherheitsstandards im Unternehmen, ISBN 3-8266-0940-9
[Bearbeiten] Einzelnachweise
- ↑ Entwurf BSI 100-4 (pdf)
