Bundesamt für Sicherheit in der Informationstechnik

1 IT-Grundschutz - Basis für Informationssicherheit

1.1 Warum ist Informationssicherheit wichtig?

Informationen sind ein wesentlicher Wert für Unternehmen und Behörden und müssen daher angemessen geschützt werden. Die meisten Informationen werden heutzutage zumindest teilweise mit Informationstechnik (IT) erstellt, gespeichert, transportiert oder weiterverarbeitet. Moderne Geschäftsprozesse sind heute in Wirtschaft und Verwaltung ohne IT-Unterstützung längst nicht mehr vorstellbar. Eine zuverlässig funktionierende Informationsverarbeitung ist ebenso wie die zugehörige Technik für die Aufrechterhaltung des Betriebes unerlässlich. Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar, der für manche Institution existenzbedrohend sein kann. Dabei ist ein vernünftiger Informationsschutz ebenso wie eine Grundsicherung der IT schon mit verhältnismäßig geringen Mitteln zu erreichen.

Mit dem IT-Grundschutz bietet das BSI eine einfache Methode an, um alle Informationen einer Institution angemessenen zu schützen. Mit der Kombination aus der IT-Grundschutz-Vorgehensweise im BSI-Standard 100-2 und den IT-Grundschutz-Katalogen stellt das BSI für die verschiedensten Einsatzumgebungen sowohl eine Sammlung von Sicherheitsmaßnahmen als auch eine entsprechende Methodik zur Auswahl und Anpassung geeigneter Maßnahmen zum sicheren Umgang mit Informationen zur Verfügung.

Nahezu alle Geschäftsprozesse und Fachaufgaben werden mittlerweile elektronisch gesteuert. Große Mengen von Informationen werden dabei digital gespeichert, elektronisch verarbeitet und in lokalen und globalen sowie in privaten und öffentlichen Netzen übermittelt. Viele öffentliche oder privatwirtschaftliche Aufgaben und Vorhaben können ohne IT überhaupt nicht mehr oder im besten Fall nur noch teilweise durchgeführt werden. Damit sind viele Institutionen in Verwaltung und Wirtschaft von dem einwandfreien Funktionieren der eingesetzten IT abhängig. Die jeweiligen Behörden- und Unternehmensziele können nur bei ordnungsgemäßem und sicheren IT-Einsatz erreicht werden.

Mit der Abhängigkeit von der IT erhöht sich auch der potenzielle soziale Schaden durch den Ausfall von Informationstechnik. Da IT an sich nicht frei von Schwachstellen ist, besteht ein durchaus berechtigtes Interesse, die von der IT verarbeiteten Daten und Informationen zu schützen und die Sicherheit der IT zu planen, zu realisieren und zu kontrollieren. Hierbei ist es aber wichtig, sich nicht nur auf die Sicherheit von IT-Systemen zu konzentrieren, da Informationssicherheit nicht nur eine Frage der Technik ist, sondern auch stark von den organisatorischen und personellen Rahmenbedingungen abhängt. Die Sicherheit der Betriebsumgebung, die Verlässlichkeit von Dienstleistungen, der richtige Umgang mit zu schützenden Informationen und viele andere wichtige Aspekte dürfen auf keinen Fall vernachlässigt werden.

Mängel im Bereich der Informationssicherheit können zu erheblichen Problemen führen. Die potentiellen Schäden lassen sich verschiedenen Kategorien zuordnen.

  • Verlust der Verfügbarkeit: Wenn grundlegende Informationen nicht vorhanden sind, fällt dies meistens schnell auf, vor allem, wenn Aufgaben ohne diese nicht weitergeführt werden können. Läuft ein IT-System nicht, können beispielsweise keine Geldtransaktionen durchgeführt werden, Online-Bestellungen sind unmöglich, Produktionsprozesse stehen still. Aber auch wenn die Verfügbarkeit von bestimmten Informationen nur eingeschränkt ist, kann es zu Arbeitsbeeinträchtigungen in den Prozessen einer Institution kommen.
  • Verlust der Vertraulichkeit von Informationen: Jeder Bürger möchte, dass mit seinen personenbezogenen Daten vertraulich umgegangen wird. Jedes Unternehmen weiß, dass interne, vertrauliche Daten über Umsatz, Marketing, Forschung und Entwicklung die Konkurrenz interessieren. Die ungewollte Offenlegung von Informationen kann in vielen Bereichen schwere Schäden nach sich ziehen.
  • Verlust der Integrität (Korrektheit von Informationen): Gefälschte oder verfälschte Daten können beispielsweise zu Fehlbuchungen, falschen Lieferungen oder fehlerhaften Produkten führen. Seit einigen Jahren gewinnt auch der Verlust der Authentizität als ein Teilbereich der Integrität an Bedeutung: Daten werden einer falschen Person zugeordnet. Beispielsweise können Zahlungsanweisungen oder Bestellungen zu Lasten einer dritten Person verarbeitet werden, ungesicherte digitale Willenserklärungen können falschen Personen zugerechnet werden, die "digitale Identität" wird gefälscht.

Informations- und Kommunikationstechnik spielt in immer mehr Bereichen des täglichen Lebens eine bedeutende Rolle, dabei ist das Innovationstempo seit Jahren unverändert hoch. Besonders erwähnenswert sind dabei folgende Entwicklungen:

  • Steigender Vernetzungsgrad: Menschen, aber auch IT-Systeme arbeiten heutzutage nicht mehr isoliert voneinander, sondern werden immer stärker vernetzt. Die Vernetzung ermöglicht es, auf gemeinsame Datenbestände zuzugreifen und intensive Formen der Kooperation über geographische, politische oder institutionelle Grenzen hinweg zu nutzen. Damit entsteht nicht nur eine Abhängigkeit von den einzelnen IT-Systemen, sondern in starkem Maße auch von den Datennetzen. Sicherheitsmängel können dadurch schnell globale Auswirkungen haben.
  • IT-Verbreitung und Durchdringung: Immer mehr Bereiche werden durch Informationstechnik unterstützt, häufig, ohne dass dies auffällt. Die erforderliche Hardware wird zunehmend kleiner und günstiger, so dass kleine und kleinste IT-Einheiten in alle Bereiche des Alltags integriert werden können. So gibt es beispielsweise Jacken mit integrierten PDAs, RFIDs zur Steuerung von Besucher- oder Warenströmen, IT-gestützte Sensorik in Autos, um automatisch auf veränderte Umgebungsverhältnisse reagieren zu können. Die Kommunikation der verschiedenen IT-Komponenten untereinander findet dabei zunehmend drahtlos statt. Dadurch werden auch Alltagsgegenstände über das Internet lokalisierbar und steuerbar.
  • Verschwinden der Netzgrenzen: Bis vor kurzem ließen sich Geschäftsprozesse und Anwendungen eindeutig auf die IT-Systeme und die Kommunikationsstrecken dazwischen begrenzen. Ebenso ließ sich sagen, an welchen Standorten und bei welcher Institution diese angesiedelt waren. Durch Globalisierung und die Zunahme von drahtloser und spontaner Kommunikation verschwinden diese Grenzen zunehmend.
  • Angriffe kommen schneller: Die beste Vorbeugung gegen Computer-Viren, Trojanische Pferde oder andere Angriffe auf IT-Systeme, Anwendungsprogramme und Protokolle ist die frühzeitige Information über Sicherheitslücken und deren Beseitigung, z. B. durch Einspielen von Patches und Updates. Mittlerweile sinkt allerdings die Zeitspanne zwischen dem Bekanntwerden einer Sicherheitslücke und den ersten gezielten Massenangriffen darauf, so dass es immer wichtiger wird, ein gut aufgestelltes Informationssicherheitsmanagement und Warnsystem zu haben.
  • Höhere Interaktivität von Anwendungen: Unter dem Stichwort Web 2.0 werden bereits vorhandene Techniken miteinander kombiniert, um so neue Anwendungs- und Nutzungsmodelle zu erschaffen. Darunter finden sich verschiedenste Anwendungsbereiche wie neue, soziale Kommunikationsplattformen, Portale für die gemeinsame Nutzung von Informationen, Bildern und Videos oder interaktive Web-Anwendungen. Durch die stärkere Integration von Benutzerrückmeldungen werden Informationen nicht nur schneller verbreitet, sondern es ist auch schwieriger, deren Weitergabe zu steuern.
  • Verantwortung der Nutzer: Die beste Technik und schnellste Überbrückung von Sicherheitslücken führt nicht zu einer ausreichenden Informationssicherheit, wenn dabei der Risikofaktor Mensch nicht angemessen beachtet wird. Dabei geht es nicht nur darum, sicherheitskritische Situationen erkennen zu können, sondern vielmehr auch um das verantwortungsvolle Handeln des Einzelnen. Dazu ist es notwendig, Kenntnisse über Sicherheitsrisiken und Verhaltensregeln zu haben.

Angesichts der vorgestellten Gefährdungspotentiale und der steigenden Abhängigkeit stellen sich damit für jede Institution, sei es ein Unternehmen oder eine Behörde, bezüglich Informationssicherheit mehrere zentrale Fragen:

  • Wie sorgfältig wird mit geschäftsrelevanten Informationen umgegangen?
  • Wie sicher ist die Informationstechnik einer Institution?
  • Welche Sicherheitsmaßnahmen müssen ergriffen werden?
  • Wie müssen diese Maßnahmen konkret umgesetzt werden?
  • Wie hält bzw. verbessert eine Institution das erreichte Sicherheitsniveau?
  • Werden die personellen Aspekte der Informationssicherheit angemessen berücksichtigt?
  • Wie hoch ist das Sicherheitsniveau anderer Institutionen, mit denen eine Kooperation stattfindet?
  • Sind Notfallvorkehrungen getroffen, um im Gefährdungsfall schnell reagieren zu können?

Bei der Suche nach Antworten auf diese Fragen ist zu beachten, dass Informationssicherheit eine Kombination aus technischen, organisatorischen, personellen und baulich-infrastrukturellen Aspekten ist. Sinnvoll ist es, ein Informationssicherheitsmanagement einzuführen, das die mit Informationssicherheit verbundenen Aufgaben konzipiert, koordiniert und überwacht.

Vergleicht man jetzt die Geschäftsprozesse, Anwendungen und IT-Systeme aller Institutionen im Hinblick auf obige Fragen, so kristallisiert sich eine besondere Gruppe heraus. Die Vorgehensweisen und IT-Systeme in dieser Gruppe lassen sich wie folgt charakterisieren:

  • Es sind typische Vorgehensweisen und IT-Systeme, d. h. es sind keine Individuallösungen, sondern sie sind weit verbreitet im Einsatz.
  • Der Schutzbedarf der Informationen bezüglich Vertraulichkeit, Integrität und Verfügbarkeit liegt im Rahmen des Normalen.
  • Die Vorgehensweisen und IT-Systeme sind den üblichen Rahmenbedingungen unterworfen und unterliegen somit typischen Bedrohungen und Gefahren.

Gelingt es, für diese Gruppe der "typischen" Geschäftsprozesse, Anwendungen und IT-Systeme den gemeinsamen Nenner aller erforderlichen Sicherheitsmaßnahmen, die Standard-Sicherheitsmaßnahmen, zu beschreiben, so würde dies die Beantwortung obiger Fragen für diese "typischen" Anwendungsfälle erheblich erleichtern. Bereiche, die außerhalb dieser Gruppe liegen, seien es seltenere Individuallösungen oder IT-Systeme mit hohem Schutzbedarf, können sich dann zwar an den Standard-Sicherheitsmaßnahmen orientieren, bedürfen letztlich aber einer besonderen Betrachtung.

Die IT-Grundschutz-Kataloge beschreiben detailliert diese Standard-Sicherheitsmaßnahmen, die praktisch für jedes IT-System zu beachten sind. Sie umfassen:

  • Standard-Sicherheitsmaßnahmen für typische Geschäftsprozesse, Anwendungen und IT-Systeme mit "normalem" Schutzbedarf,
  • eine Darstellung der pauschal angenommenen Gefährdungslage und
  • ausführliche Maßnahmenbeschreibungen als Umsetzungshilfe.

Eine ausführliche Beschreibung des Prozesses zum Erreichen und Aufrechterhalten eines angemessenen Sicherheitsniveaus sowie eine einfache Verfahrensweise zur Ermittlung des erreichten Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs findet sich in den BSI-Standards 100-1, 100-2 und 100-3 zum IT-Grundschutz.

Da der IT-Grundschutz auch international großen Anklang findet, werden die IT-Grundschutz-Kataloge und das GSTOOL, aber auch die meisten anderen Dokumente zum IT-Grundschutz zusätzlich in englischer Sprache digital zur Verfügung gestellt.

1.2 IT-Grundschutz: Ziel, Idee und Konzeption

In den IT-Grundschutz-Katalogen werden Standard-Sicherheitsmaßnahmen für typische Geschäftsprozesse, Anwendungen und IT-Systeme empfohlen. Ziel des IT-Grundschutzes ist es, einen angemessenen Schutz für alle Informationen einer Institution zu erreichen. IT-Grundschutz verfolgt dabei einen ganzheitlichen Ansatz. Durch die geeignete Kombination von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen wird ein Sicherheitsniveau erreicht, das für den normalen Schutzbedarf angemessen und ausreichend ist, um geschäftsrelevante Informationen zu schützen. Darüber hinaus bilden die Maßnahmen der IT-Grundschutz-Kataloge nicht nur eine Basis für hochschutzbedürftige IT-Systeme und Anwendungen, sondern liefern an vielen Stellen bereits höherwertige Sicherheit.

Um den sehr heterogenen Bereich der Informationstechnik einschließlich der Einsatzumgebung besser strukturieren und aufbereiten zu können, verfolgt der IT-Grundschutz das Baukastenprinzip. Die einzelnen Bausteine spiegeln typische Abläufe von Geschäftsprozessen und Bereiche des IT-Einsatzes wider, wie beispielsweise Notfall-Management, Client-Server-Netze, bauliche Einrichtungen, Kommunikations- und Applikationskomponenten. In jedem Baustein wird zunächst die zu erwartende Gefährdungslage beschrieben, wobei sowohl die typischen Gefährdungen als auch die pauschalisierten Eintrittswahrscheinlichkeiten berücksichtigt werden. Diese Gefährdungslage bildet die Grundlage, um ein spezifisches Maßnahmenbündel aus den Bereichen Infrastruktur, Personal, Organisation, Hard- und Software, Kommunikation und Notfallvorsorge zu generieren.

Die Vorgehensweise nach IT-Grundschutz hilft dabei, Sicherheitskonzepte einfach und arbeitsökonomisch zu erstellen. Bei der traditionellen Risikoanalyse werden zunächst die Bedrohungen ermittelt und mit Eintrittswahrscheinlichkeiten bewertet, um dann die geeigneten Sicherheitsmaßnahmen auszuwählen und anschließend noch das verbleibende Restrisiko bewerten zu können. Diese Schritte sind beim IT-Grundschutz bereits für jeden Baustein durchgeführt und die für typische Einsatzszenarien passenden Sicherheitsmaßnahmen ausgewählt worden. Bei Anwendung des IT-Grundschutzes reduziert sich die Analyse auf einen Soll-Ist-Vergleich zwischen den in den IT-Grundschutz-Katalogen empfohlenen und den bereits realisierten Maßnahmen. Dabei festgestellte fehlende und noch nicht umgesetzte Maßnahmen zeigen die Sicherheitsdefizite auf, die es durch die empfohlenen Maßnahmen zu beheben gilt. Erst bei einem signifikant höheren Schutzbedarfmuss zusätzlich eine ergänzende Sicherheitsanalyse unter Beachtung von Kosten- und Wirksamkeitsaspekten durchgeführt werden. Hierbei reicht es dann aber in der Regel aus, die Maßnahmenempfehlungen der IT-Grundschutz-Kataloge durch entsprechende individuelle, qualitativ höherwertige Maßnahmen zu ergänzen. Eine einfache Vorgehensweise hierzu ist im BSI-Standard 100-3 "Risikoanalyse auf der Basis von IT-Grundschutz" beschrieben.

Auch wenn besondere Komponenten oder Einsatzumgebungen vorliegen, die in den IT-Grundschutz-Katalogen nicht hinreichend behandelt werden, bieten diese dennoch eine wertvolle Arbeitshilfe. Die dann notwendige ergänzende Analyse kann sich auf die spezifischen Gefährdungen und Sicherheitsmaßnahmen für diese Komponenten oder Rahmenbedingungen konzentrieren.

Bei den in den IT-Grundschutz-Katalogen aufgeführten Maßnahmen handelt es sich um Standard-Sicherheitsmaßnahmen, also um diejenigen Maßnahmen, die für die jeweiligen Bausteine nach dem Stand der Technik umzusetzen sind, um eine angemessene Basis-Sicherheit zu erreichen. Dabei stellen die Maßnahmen, die für die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz gefordert werden, das Minimum dessen dar, was in jedem Fall vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist. Die als "zusätzlich" gekennzeichneten Maßnahmen haben sich ebenfalls in der Praxis bewährt, sie richten sich jedoch an Anwendungsfälle mit erhöhten Sicherheitsanforderungen.

Sicherheitskonzepte, die auf IT-Grundschutz basieren, können kompakt gehalten werden, da innerhalb des Konzepts jeweils nur auf die entsprechenden Maßnahmen in den IT-Grundschutz-Katalogen verwiesen werden muss. Dies fördert die Verständlichkeit und die Übersichtlichkeit. Um die Maßnahmenempfehlungen leichter umsetzbar zu machen, sind die Sicherheitsmaßnahmen in den IT-Grundschutz-Katalogen detailliert beschrieben. Bei der verwendeten Fachterminologie wird darauf geachtet, dass die Beschreibungen für diejenigen verständlich sind, die die Maßnahmen realisieren müssen.

Um die Realisierung der Maßnahmen zu vereinfachen, werden die IT-Grundschutz-Kataloge ebenso wie die meisten Informationen rund um IT-Grundschutz auch in elektronischer Form zur Verfügung gestellt. Darüber hinaus wird die Realisierung der Maßnahmen auch durch Hilfsmittel und Musterlösungen unterstützt, die teilweise durch das BSI und teilweise auch von IT-Grundschutz-Anwendern bereitgestellt werden.

Da die Informationstechnik sehr innovativ ist und sich ständig weiterentwickelt, sind die vorliegenden Kataloge auf Aktualisierbarkeit und Erweiterbarkeit angelegt. Das Bundesamt für Sicherheit in der Informationstechnik aktualisiert auf der Grundlage von Anwenderbefragungen die IT-Grundschutz-Kataloge ständig und erweitert sie um neue Themen.

Das BSI bietet allen Anwendern die Möglichkeit der freiwilligen, selbstverständlich kostenfreien Registrierung an. Registrierte Anwender erhalten regelmäßig Informationen über aktuelle Themen des IT-Grundschutzes und der Informationssicherheit. Die Registrierung ist außerdem die Grundlage für die Anwenderbefragungen. Nur durch den ständigen Erfahrungsaustausch mit den IT-Grundschutz-Anwendern ist eine bedarfsgerechte Weiterentwicklung möglich. Diese Bemühungen zielen letztlich darauf, aktuelle Empfehlungen zu typischen Informationssicherheitsproblemen aufzeigen zu können. Maßnahmenempfehlungen, die nicht ständig aktualisiert und erweitert werden, veralten sehr schnell oder müssen so generisch gehalten werden, dass sie ihren eigentlichen Nutzen, Sicherheitslücken zu identifizieren und die konkrete Umsetzung zu vereinfachen, verfehlen.

1.3 Aufbau der IT-Grundschutz-Kataloge

Die IT-Grundschutz-Kataloge lassen sich in verschiedene Bereiche untergliedern, die zum besseren Verständnis hier kurz erläutert werden sollen:

Einstieg und Vorgehensweise

In diesem einleitenden Teil wird die Konzeption IT-Grundschutz und die Vorgehensweise zur Erstellung eines Sicherheitskonzepts nach IT-Grundschutz kurz vorgestellt. Eine ausführliche Beschreibung der Vorgehensweise nach IT-Grundschutz findet sich im BSI-Standard 100-2. Außerdem wird die Struktur der IT-Grundschutz-Kataloge und deren Nutzung erläutert.

Informationssicherheitsmanagement

Die Planungs- und Lenkungsaufgabe, die erforderlich ist, um einen durchdachten und planmäßigen Informationssicherheitsprozess aufzubauen und kontinuierlich umzusetzen, wird als Informationssicherheitsmanagement oder kurz IS-Management bezeichnet.

Die Erfahrung zeigt, dass es ohne ein funktionierendes IS-Management praktisch nicht möglich ist, ein durchgängiges und angemessenes Sicherheitsniveau zu erzielen und zu erhalten. Daher wird im BSI-Standard 100-1 "Managementsysteme für Informationssicherheit (ISMS)" beschrieben, was ein solches Managementsystem leisten sollte und welche Aufgaben damit verbunden sind.

Aufbauend hierauf wird in Baustein B 1.0 der IT-Grundschutz-Kataloge beschrieben, wie ein effizientes Informationssicherheitsmanagement aussehen sollte und welche Organisationsstrukturen dafür sinnvoll sind. Es wird außerdem ein systematischer Weg aufgezeigt, wie ein funktionierendes IS-Management eingerichtet und im laufenden Betrieb weiterentwickelt werden kann.

Bausteine

Die Bausteine der IT-Grundschutz-Kataloge enthalten jeweils eine Kurzbeschreibung für die betrachteten Komponenten, Vorgehensweisen und IT-Systeme sowie einen Überblick über die Gefährdungslage und die Maßnahmenempfehlungen. Die Bausteine sind nach dem IT-Grundschutz-Schichtenmodell in die folgenden Kataloge gruppiert:

  • B 1: Übergreifende Aspekte der Informationssicherheit
  • B 2: Sicherheit der Infrastruktur
  • B 3: Sicherheit der IT-Systeme
  • B 4: Sicherheit im Netz
  • B 5: Sicherheit in Anwendungen

Gefährdungskataloge

Dieser Bereich enthält die ausführlichen Beschreibungen der Gefährdungen, die in den einzelnen Bausteinen als Gefährdungslage genannt wurden. Die Gefährdungen sind in fünf Kataloge gruppiert:

  • G 0: Elementare Gefährdungen
  • G 1: Höhere Gewalt
  • G 2: Organisatorische Mängel
  • G 3: Menschliche Fehlhandlungen
  • G 4: Technisches Versagen
  • G 5: Vorsätzliche Handlungen

Zusätzlich wurde ein Gefährdungskatalog G 0 Elementare Gefährdungen mit aufgenommen, der verallgemeinerte und auf das wesentliche reduzierte grundlegende Gefährdungen enthält. Dieser Katalog kann beispielsweise als Grundlage für Risikoanalysen benutzt werden.

Maßnahmenkataloge

Dieser Teil beschreibt die in den Bausteinen der IT-Grundschutz-Kataloge zitierten Sicherheitsmaßnahmen ausführlich. Die Maßnahmen sind in sechs Maßnahmenkataloge gruppiert:

  • M 1: Infrastruktur
  • M 2: Organisation
  • M 3: Personal
  • M 4: Hard- und Software
  • M 5: Kommunikation
  • M 6: Notfallvorsorge

Aufbau der Bausteine

Die zentrale Rolle der IT-Grundschutz-Kataloge spielen die Bausteine, deren Aufbau im Prinzip gleich ist. Jeder Baustein beginnt mit einer kurzen Beschreibung der betrachteten Komponente, der Vorgehensweise bzw. des IT-Systems.

Im Anschluss daran wird die Gefährdungslage dargestellt. Die Gefährdungen sind dabei nach den genannten Bereichen Höhere Gewalt, Organisatorische Mängel, Menschliche Fehlhandlungen, Technisches Versagen und Vorsätzliche Handlungen unterteilt.

Um die Bausteine übersichtlich zu gestalten und um Redundanzen zu vermeiden, werden die Gefährdungstexte lediglich referenziert. Hier ein Beispiel für das Zitat einer Gefährdung innerhalb eines Bausteins:

  • G 4.1 Ausfall der Stromversorgung

Im Kürzel G x.y steht der Buchstabe "G" für Gefährdung. Die Zahl x vor dem Punkt bezeichnet den Gefährdungskatalog (hier G 4 = Technisches Versagen) und die Zahl y nach dem Punkt bezeichnet die laufende Nummer der Gefährdung innerhalb des jeweiligen Katalogs. Es folgt der Titel der Gefährdung. Ein Einlesen in die Gefährdungen ist aus Gründen der Sensibilisierung und des Verständnisses der Maßnahmen empfehlenswert, aber für die Erstellung eines Sicherheitskonzepts nach IT-Grundschutz nicht zwingend erforderlich.

Den wesentlichen Teil eines jeden Bausteins bilden die Maßnahmenempfehlungen, die sich an die Gefährdungslage anschließen. Zunächst werden kurze Hinweise zum jeweiligen Maßnahmenbündel dargestellt, beispielsweise zur folgerichtigen Reihenfolge bei der Realisierung der notwendigen Maßnahmen.

In jedem Baustein wird für das betrachtete Themengebiet vor der Maßnahmen-Liste eine Übersicht in Form eines "Lebenszyklus" gegeben, welche Maßnahmen in welcher Phase der Bearbeitung zu welchem Zweck umgesetzt werden sollten. In der Regel können die folgenden Phasen identifiziert werden, wobei für jede dieser Phasen typische Arbeiten angegeben sind, die im Rahmen einzelner Maßnahmen durchgeführt werden. Phasenübergreifend wirken dabei das Sicherheitsmanagement und die Revision, die den gesamten Lebenszyklus begleiten und kontrollieren.

Phase typische Tätigkeiten
Planung und Konzeption
  • Definition des Einsatzzwecks
  • Festlegung von Einsatzszenarien
  • Abwägung des Risikopotentials
  • Dokumentation der Einsatzentscheidung
  • Erstellung des Sicherheitskonzepts
  • Festlegung von Richtlinien für den Einsatz
Beschaffung (sofern erforderlich)
  • Festlegung der Anforderungen an zu beschaffende Produkte (nach Möglichkeit auf Basis der Einsatzszenarien der Planungsphase)
  • Auswahl der geeigneten Produkte
Umsetzung
  • Konzeption und Durchführung des Testbetriebs
  • Installation und Konfiguration entsprechend Sicherheitsrichtlinie
  • Schulung und Sensibilisierung aller Betroffenen
Betrieb
  • Sicherheitsmaßnahmen für den laufenden Betrieb (z. B. Protokollierung)
  • Kontinuierliche Pflege und Weiterentwicklung
  • Änderungsmanagement
  • Organisation und Durchführung von Wartungsarbeiten
  • Audit
Aussonderung (sofern erforderlich)
  • Entzug von Berechtigungen
  • Entfernen von Datenbeständen und Referenzen auf diese Daten
  • Sichere Entsorgung von Datenträgern
Notfallvorsorge
  • Konzeption und Organisation der Datensicherung
  • Nutzung von Redundanz zur Erhöhung der Verfügbarkeit
  • Umgang mit Sicherheitsvorfällen
  • Erstellen eines Notfallplans

Es finden sich nicht in allen Bausteinen für jede Phase entsprechende Maßnahmen. So enthält beispielsweise der Baustein "Internet Information Server" keine Maßnahme in der Beschaffungsphase, da dieser Baustein auf der Umsetzung des Bausteins "Webserver" basiert und hier die Auswahl eines Produkts bereits entschieden wurde.

Da alle Geschäftsprozesse, IT-Systeme und Einsatzbedingungen sich ständig ändern und weiterentwickelt werden, müssen die Phasen erfahrungsgemäß immer wieder durchlaufen werden. Dies sicherzustellen ist Aufgabe des Informationssicherheitsmanagements.

Analog zu den Gefährdungen sind die Maßnahmen in die Maßnahmenkataloge Infrastruktur, Organisation, Personal, Hard- und Software, Kommunikation und Notfallvorsorge gruppiert. Wie bei den Gefährdungen wird hier ebenfalls nur auf die entsprechende Maßnahme referenziert. Hier ein Beispiel für das Zitat einer empfohlenen Maßnahme innerhalb eines Bausteins:

  • M 1.15 (A) Geschlossene Fenster und Türen

Im Kürzel M x.y bezeichnet "M" eine Maßnahme, die Zahl x vor dem Punkt den Maßnahmenkatalog (hier M 1 = Infrastruktur). Die Zahl y nach dem Punkt ist die laufende Nummer der Maßnahme innerhalb des jeweiligen Katalogs.

Mit dem Buchstaben in Klammern - hier (A) - wird zu jeder Maßnahme die Qualifizierungsstufe angegeben, also eine Einstufung, ob diese Maßnahme für die IT-Grundschutz-Qualifizierung gefordert wird. Folgende Einstufungen sind vorgesehen:

A (Einstieg) Diese Maßnahmen müssen für alle drei Ausprägungen der Qualifizierung nach IT-Grundschutz (Auditor-Testat "IT-Grundschutz Einstiegsstufe", Auditor-Testat "IT-Grundschutz Aufbaustufe" und ISO 27001-Zertifikat auf Basis von IT-Grundschutz) umgesetzt sein. Diese Maßnahmen sind essentiell für die Sicherheit innerhalb des betrachteten Bausteins. Sie sind vorrangig umzusetzen.
B (Aufbau) Diese Maßnahmen müssen für das Auditor-Testat "IT-Grundschutz Aufbaustufe" und für das ISO 27001-Zertifikat auf Basis von IT-Grundschutz umgesetzt sein. Sie sind besonders wichtig für den Aufbau einer kontrollierbaren Informationssicherheit. Eine zügige Realisierung ist anzustreben.
C (Zertifikat) Diese Maßnahmen müssen für das ISO 27001-Zertifikat auf Basis von IT-Grundschutz umgesetzt sein. Sie sind wichtig für die Abrundung der Informationssicherheit. Bei Engpässen können sie zeitlich nachrangig umgesetzt werden.
Z (zusätzlich) Diese Maßnahmen müssen weder für ein Auditor-Testat noch für das ISO 27001-Zertifikat auf Basis von IT-Grundschutz verbindlich umgesetzt werden. Sie stellen Ergänzungen dar, die vor allem bei höheren Sicherheitsanforderungen hilfreich sein können.
W (Wissen) Diese Maßnahmen dienen der Vermittlung von Grundlagen und Kenntnissen, die für das Verständnis und die Umsetzung der anderen Maßnahmen hilfreich sind. Sie müssen weder für ein Auditor-Testat noch für das ISO 27001-Zertifikat auf Basis von IT-Grundschutz geprüft werden.

Um ein Sicherheitskonzept nach IT-Grundschutz erstellen und den dabei notwendigen Soll-Ist-Vergleich durchführen zu können, ist es erforderlich, die Texte zu den jeweils in den identifizierten Bausteinen enthaltenen Maßnahmen im jeweiligen Maßnahmenkatalog sorgfältig zu lesen. Als Beispiel sei hier ein Auszug aus einer Maßnahme zitiert:

M 2.11 Regelung des Passwortgebrauchs

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Benutzer

[Maßnahmentext ...]

Prüffragen:

  • Gibt es klare Regelungen zum Passwortgebrauch und die Passwortgestaltung?

[...]

Die Maßnahmentexte sind sinngemäß umzusetzen. Sie sind so geschrieben, dass sie auf möglichst viele Bereiche angewendet werden können. Bevor die Maßnahmenempfehlungen umgesetzt werden, ist immer zu überlegen, ob sie für die jeweilige Organisation oder den Informationsverbund angepasst werden müssen. Alle Änderungen sollten dokumentiert werden, damit die Gründe auch später noch nachvollziehbar sind.

Neben der eigentlichen Empfehlung, wie die einzelnen Maßnahmen umzusetzen sind, werden Verantwortliche beispielhaft genannt. Verantwortlich für die Initiierung bezeichnet die Personen oder Rollen, die die Umsetzung einer Maßnahme typischerweise veranlassen sollten. Verantwortlich für die Umsetzung bezeichnet die Personen oder Rollen, die die Maßnahme realisieren sollten.

Bisher wurden am Ende vieler Maßnahmen ergänzende Kontrollfragen angeführt, die das behandelte Thema abrunden und nochmals einen kritischen Blick auf die Umsetzung der Maßnahmen bewirken sollten. Diese ergänzenden Kontrollfragen sollten Denkanstösse geben, aber keine Prüffragen ersetzen. Da sie keinen Anspruch auf Vollständigkeit erheben, können sie also beispielsweise nicht als alleinstehendes Werkzeug bei Revisionen oder Audits eingesetzt werden, um den Umsetzungsgrad einer Maßnahme zu bestimmen.

Am Ende der meisten Maßnahmen finden sich Prüffragen.

Diese sind so formuliert, dass sie als letzte Checkliste benutzt werden können, um die Umsetzung der Maßnahmen kontrollieren zu können. Sie geben Ziel und Grundrichtung der Sicherheitsempfehlungen vor und können damit als Basis für Revisionen und Zertifizierungsaudits benutzt werden. Nach der Beantwortung der Prüffragen kann eine Aussage getroffen werden, in wieweit in der Institution die Ziele
der einzelnen Bausteine erfüllt wurden.

Prüffragen sind stets geschlossene Fragen, die mit "Ja" oder "Nein" beantwortet werden können. Dabei bedeutet ein "Ja", dass die jeweilige Anforderung erfüllt ist. Somit lassen sich die Prüffragen auch toolgestützt auswerten. Prüffragen sind allgemeiner und abstrakter formuliert als die Maßnahmentexte. Details zur konkreten Umsetzung von Empfehlungen finden sich in den jeweiligen Maßnahmen.

Nicht alle Maßnahmen haben zwingend Prüffragen, da Prüffragen nicht dem Aufbau von Sicherheitskonzepten dienen, sondern bei der Überprüfung der umgesetzten Sicherheitsmaßnahmen eingesetzt werden sollen. So enthalten beispielsweise viele Maßnahmen aus der Lebenszyklusphase "Beschaffung" keine Prüffragen, da hier Sicherheitsempfehlungen formuliert wurden, die vor dem Kauf von Systemen beachtet werden sollten. Bei einem Audit kann aber nur geprüft werden, ob die vorhandenen Systeme sicher betrieben werden.

Der Zusammenhang zwischen den für den IT-Grundschutz angenommenen Gefährdungen und den empfohlenen Maßnahmen kann den Maßnahmen-Gefährdungstabellen entnommen werden. Diese finden sich auf den IT-Grundschutz-Seiten der BSI-Webseite. Für jeden Baustein gibt es eine Maßnahmen-Gefährdungstabelle.

Als Beispiel sei ein Auszug aus der Maßnahmen-Gefährdungstabelle für den Baustein B 2.10 Mobiler Arbeitsplatz angeführt:

Phase/SiegelG
1.
15
G
2.
1
G
2.
4
G
2.
47
G
2.
48
G
3.
3
G
3.
43
G
3.
44
G
5.
1
G
5.
2
G
5.
4
G
5.
71
M 1.15BTA X X
M 1.23BTA X X
M 1.45BTA XX XXX
M 1.46BTZ X
M 1.61PKAX X X XX

Alle Tabellen haben einen einheitlichen Aufbau. In der Kopfzeile sind die im dazugehörigen Baustein aufgelisteten Gefährdungen mit ihren Nummern eingetragen. In der ersten Spalte finden sich entsprechend die Nummern der Maßnahmen wieder. In der zweiten Spalte ist eingetragen, zu welcher Lebenszyklusphase die jeweilige Maßnahme für den betrachteten Baustein gehört. Aus Platzgründen werden hierbei für die einzelnen Lebenszyklusphasen folgende Abkürzungen verwendet: PK für "Planung und Konzeption", BE für "Beschaffung", UM für "Umsetzung", BT für "Betrieb", AU für "Aussonderung" und NV für "Notfallvorsorge". In der dritten Spalte ist notiert, welche Einstufung bezüglich einer IT-Grundschutz-Qualifizierung die einzelne Maßnahme für den betrachteten Baustein besitzt.

Die übrigen Spalten beschreiben den Zusammenhang zwischen Maßnahmen und Gefährdungen. Ist in einem Feld ein "X" eingetragen, so bedeutet dies, dass die korrespondierende Maßnahme gegen die entsprechende Gefährdung wirksam ist. Diese Wirkung kann schadensvorbeugender oder schadensmindernder Natur sein.

Zu beachten ist, dass in den Maßnahmen-Gefährdungstabellen nur die wichtigsten Gefährdungen angeführt sind, gegen die eine bestimmte Maßnahme wirkt. Dies bedeutet insbesondere, dass eine Maßnahme nicht automatisch überflüssig wird, wenn alle in der Tabelle zugeordneten Gefährdungen in einem bestimmten Anwendungsfall nicht relevant sind. Ob auf eine Standard-Sicherheitsmaßnahme verzichtet werden kann, muss immer im Einzelfall anhand der vollständigen Sicherheitskonzeption und nicht nur anhand der Maßnahmen-Gefährdungstabelle geprüft und dokumentiert werden.

Abschließend sei erwähnt, dass sämtliche Bausteine, Gefährdungen, Maßnahmen, Tabellen und Hilfsmittel in elektronischer Form verfügbar sind. Diese Texte können bei der Erstellung eines Sicherheitskonzeptes und bei der Realisierung von Maßnahmen weiterverwendet werden.

1.4 Anwendungsweisen der IT-Grundschutz-Kataloge

Für den erfolgreichen Aufbau eines kontinuierlichen und effektiven Sicherheitsprozesses müssen eine ganze Reihe von Aktionen durchgeführt werden. Hierfür bieten die IT-Grundschutz-Vorgehensweise (siehe BSI-Standard 100-2) sowie die IT-Grundschutz-Kataloge zahlreiche Hinweise zur Methodik und praktische Umsetzungshilfen. Enthalten sind ferner Lösungsansätze für verschiedene, die Informationssicherheit betreffende Aufgabenstellungen, beispielsweise Sicherheitskonzeption, Revision und Zertifizierung. Je nach vorliegender Aufgabenstellung sind dabei unterschiedliche Anwendungsweisen des IT-Grundschutzes zweckmäßig. Dieser Abschnitt dient dazu, durch Querverweise auf die entsprechenden Kapitel der IT-Grundschutz-Vorgehensweise im BSI-Standard 100-2 den direkten Einstieg in die einzelnen Anwendungsweisen zu erleichtern.

Sicherheitsprozess und Management der Informationssicherheit

Informationen sind wichtige Werte für Unternehmen und Behörden und müssen daher angemessen geschützt werden. Je nach Art der Informationen stehen unterschiedliche Schutzziele im Vordergrund: So muss sichergestellt werden können, dass Informationen vertraulich behandelt werden, dass sie nicht absichtlich oder versehentlich geändert werden und dass sie dann zur Verfügung stehen, wenn sie benötigt werden.

Die meisten Informationen werden heutzutage zumindest teilweise mit Informationstechnik (IT) erstellt, gespeichert, transportiert oder weiterverarbeitet. Die Abhängigkeit vom ordnungsgemäßen Funktionieren der Informationstechnik hat in den letzten Jahren sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft stark zugenommen. Immer mehr Geschäftsprozesse werden auf die Informationstechnik verlagert oder mit ihr verzahnt. Ein Ende dieser Entwicklung ist nicht abzusehen. Zu einem vernünftigem Informationsschutz gehört daher auch die Absicherung der IT.

Informationssicherheit ist bei allen Geschäftsprozessen und Fachaufgaben relevant und daher als integraler Bestandteil der originären Aufgabe anzusehen. Der folgende Aktionsplan beinhaltet alle wesentlichen Schritte, die für einen kontinuierlichen Sicherheitsprozess notwendig sind, und ist somit als eine planmäßig anzuwendende, begründete Vorgehensweise zu verstehen, wie ein angemessenes Sicherheitsniveau erreicht und aufrechterhalten werden kann:

  • Initiierung des Sicherheitsprozesses

    • Übernahme der Verantwortung durch die Leitungsebene
    • Konzeption und Planung des Sicherheitsprozesses
    • Erstellung der Leitlinie zur Informationssicherheit
    • Aufbau einer geeigneten Organisationsstruktur für das Informationssicherheitsmanagement
    • Bereitstellung von finanziellen, personellen und zeitlichen Ressourcen
    • Einbindung aller Mitarbeiter in den Sicherheitsprozess
  • Erstellung einer Sicherheitskonzeption
  • Umsetzung der Sicherheitskonzeption und Realisierung der Sicherheitsmaßnahmen
  • Aufrechterhaltung der Informationssicherheit im laufenden Betrieb und kontinuierliche Verbesserung

Phasen des Sicherheitsprozesses Abbildung: Phasen des Sicherheitsprozesses

Im BSI-Standard 100-2 wird der Ablauf ausführlich beschrieben. Außerdem wird im Baustein B 1.0 Sicherheitsmanagement der Sicherheitsprozess im Überblick dargestellt, und es wird eine detaillierte Erläuterung der einzelnen Aktionen in Form empfohlener Standard-Maßnahmen gegeben.

Zur Erstellung der Sicherheitskonzeption ist nach IT-Grundschutz eine Reihe von Schritten notwendig, die im Folgenden kurz dargestellt werden.

Strukturanalyse

Unter einem Informationsverbund (oder auch IT-Verbund) ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Objekten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein Informationsverbund kann dabei als Ausprägung die gesamte Institution oder auch einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungen) oder gemeinsame Geschäftsprozesse bzw. Anwendungen (z. B. Personalinformationssystem) gegliedert sind, umfassen.

Für die Erstellung eines Sicherheitskonzepts und insbesondere für die Anwendung von IT-Grundschutz ist es erforderlich, die Struktur des vorliegenden Informationsverbundes zu analysieren und zu dokumentieren. Bei der Strukturanalyse werden daher die Informationen, Anwendungen, IT-Systeme, Räume, Kommunikationsnetze, die zur Erfüllung der im Geltungsbereich festgelegten Geschäftsprozesse oder Fachaufgaben benötigt werden, erfasst.

Die einzelnen Schritte der Strukturanalyse werden im Detail in Kapitel 4.2 der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) in Form einer Handlungsanweisung beschrieben.

Schutzbedarfsfeststellung

Zweck der Schutzbedarfsfeststellung ist es zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist es dabei auch, die möglichen Folgeschäden realistisch einzuschätzen. Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien "normal", "hoch" und "sehr hoch". Erläuterungen und praktische Hinweise zur Schutzbedarfsfeststellung sind Gegenstand von Kapitel 4.3 der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2).

Modellierung

Als Nächstes müssen die Bausteine der IT-Grundschutz-Kataloge in einem Modellierungsschritt auf die Zielobjekte des vorliegenden Informationsverbunds abgebildet werden.

In Kapitel 4.4 der IT-Grundschutz-Vorgehensweise im BSI-Standard 100-2 wird beschrieben, wie die Modellierung eines Informationsverbunds durch Bausteine aus den IT-Grundschutz-Katalogen vorgenommen werden sollte. Detaillierte Hinweise für die Verwendung des Schichtenmodells und der einzelnen Bausteine im Rahmen der Modellierung sind im Kapitel 2 der IT-Grundschutz-Kataloge enthalten. Das Ergebnis der Modellierung ist ein erster grober Entwurf des Sicherheitskonzepts.

Basis-Sicherheitscheck

Der Basis-Sicherheitscheck ist ein Organisationsinstrument, welches einen schnellen Überblick über das vorhandene Sicherheitsniveau bietet. Mit Hilfe von Interviews wird der Status Quo eines bestehenden (nach IT-Grundschutz modellierten) Informationsverbunds in Bezug auf den Umsetzungsgrad von Sicherheitsmaßnahmen der IT-Grundschutz-Kataloge ermittelt. Als Ergebnis liegt eine Übersicht vor, in dem für jede relevante Maßnahme der Umsetzungsstatus "entbehrlich", "ja", "teilweise" oder "nein" erfasst ist. Durch die Identifizierung von noch nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Zielobjekte aufgezeigt. Kapitel 4.5 des BSI-Standards 100-2 beschreibt einen Aktionsplan für die Durchführung eines Basis-Sicherheitschecks. Dabei wird sowohl den organisatorischen Aspekten als auch den fachlichen Anforderungen bei der Projektdurchführung Rechnung getragen.

Weiterführende Sicherheitsmaßnahmen

Die Standard-Sicherheitsmaßnahmen nach IT-Grundschutz bieten im Normalfall einen angemessenen und ausreichenden Schutz. Insbesondere bei hohem oder sehr hohem Schutzbedarf ist jedoch zu prüfen, ob zusätzlich oder ersatzweise höherwertige Sicherheitsmaßnahmen erforderlich sind.

Im Rahmen der ergänzenden Sicherheitsanalyse (siehe Kapitel 4.6 des BSI-Standards 100-2) wird entschieden, für welche Zielobjekte des betrachteten Informationsverbunds eine Risikoanalyse erforderlich ist, um gegebenenfalls weiterführende Sicherheitsmaßnahmen festzulegen. Eine Methode zur Risikoanalyse auf der Basis von IT-Grundschutz wird im BSI-Standard 100-3 beschrieben.

Eine ergänzende Sicherheitsanalyse ist auch dann erforderlich, wenn Teile des Informationsverbunds nicht hinreichend mit den existierenden Bausteinen der IT-Grundschutz-Kataloge abgebildet werden können oder wenn besondere Einsatzszenarien vorliegen, die im IT-Grundschutz nicht vorgesehen sind.

Umsetzung von Sicherheitskonzepten

Damit das angestrebte Informationssicherheitsniveau erreicht wird, müssen bestehende Schwachstellen ermittelt und alle erforderlichen Maßnahmen identifiziert werden. Vor allem müssen alle Maßnahmen, die im Sicherheitskonzept vorgesehen sind, auch konsequent anhand eines Realisierungsplans umgesetzt werden. In Kapitel 5 des BSI-Standards 100-2 zur IT-Grundschutz-Vorgehensweise wird beschrieben, was bei der Umsetzungsplanung von Sicherheitsmaßnahmen zu beachten ist.

Sicherheitsrevision

Die in den IT-Grundschutz-Katalogen enthaltenen Sicherheitsmaßnahmen können auch für die Sicherheitsrevision genutzt werden. Hierzu wird die gleiche Vorgehensweise wie beim Basis-Sicherheitscheck empfohlen. Hilfreich und arbeitsökonomisch ist es, für jeden Baustein anhand der Maßnahmentexte eine speziell auf die eigene Institution angepasste Checkliste zu erstellen. Dies erleichtert die Revision und verbessert häufig die Reproduzierbarkeit der Ergebnisse.

Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz

Die Vorgehensweise nach IT-Grundschutz und die IT-Grundschutz-Kataloge werden nicht nur für die Sicherheitskonzeption, sondern auch zunehmend als Referenz im Sinne eines Sicherheitsstandards verwendet. Durch eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz kann eine Institution nach innen und außen hin dokumentieren, dass sie sowohl ISO 27001 als auch IT-Grundschutz in der erforderlichen Tiefe umgesetzt hat.

Das Niveau der Qualifizierung wird dabei in drei verschiedene Stufen unterteilt, die sich sowohl im Hinblick auf die Güte (d. h. den erforderlichen Umsetzungsgrad der Sicherheitsmaßnahmen) als auch in Bezug auf die Vertrauenswürdigkeit unterscheiden. Das Eingangsniveau kann durch einen zertifizierten Auditor nachgewiesen werden, das höchste Niveau erfordert zusätzlich eine Prüfung durch eine Zertifizierungsstelle. Das Prüfungsschema für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz sowie das entsprechende Zertifizierungsschema für Auditoren sind auf dem Webserver des BSI erhältlich.