Bundesamt für Sicherheit in der Informationstechnik

Neues in der 15. Ergänzungslieferung der IT-Grundschutz-Kataloge

Bedarfsorientierte Weiterentwicklung

Aufgrund der jährlichen Bedarfsabfrage bei registrierten Anwendern wurden die IT-Grundschutz-Kataloge bedarfsorientiert weiterentwickelt. Die neuen und überarbeiteten Bausteine befassen sich mit folgenden Themen:

Windows 8

Der Baustein B 3.213 Client unter Windows 8 ergänzt die Reihe von Bausteinen, die sich mit dem sicheren Einsatz von Windows-Betriebssystemen auf Client-PCs beschäftigen. Der vorliegende Baustein behandelt das Client-Betriebssystem Windows 8 und die Nachfolgeversion Windows 8.1. Hier wird der Anwender auf konzeptionelle Sicherheitsaspekte, aber auch auf Sicherheitsempfehlungen zu konkreten Konfigurationseinstellungen hingewiesen.

Identitäts- und Berechtigungsmanagement

Mit dem Baustein B 1.18 Identitäts- und Berechtigungsmanagement sind die Maßnahmen und Gefährdungen im Bezug auf ein Identitäts- und Berechtigungsmanagement in einem eigenen Baustein zusammengefasst worden. Erweitert wird der Baustein durch die generische Beschreibung von notwendigen Prozessen, die den geeigneten organisatorischen Rahmen für das Identitäts- und Berechtigungsmanagement darstellen. Ziel des Identitäts- und Berechtigungsmanagements ist es, Geschäftsprozesse, Informationen und IT-Systeme einer Institution durch geeignete Zutritts-, Zugangs- und Zugriffsberechtigungen angemessen zu schützen.

Eingebettetes System

Eingebettete Systeme sind in vielen Geräten oder Produkten vorhanden, um dort Steuerungs-, Regelungs- und Datenverarbeitungsaufgaben zu übernehmen, häufig ohne dass sich die Benutzer dessen bewusst sind. Sie finden sich in vielen Bereichen, von der Medizintechnik bis hin zu Haushaltsgeräten. Der Baustein B 3.407 Eingebettetes System beschäftigt sich allgemein mit eingebetteten Systemen und ist für ein großes Spektrum unterschiedlicher eingebetteter Systeme anwendbar. Besondere Gefährdungen für eingebettete Systeme werden herausgestellt und durch entsprechende Maßnahmen behandelt.

Überarbeitung Lokale Netze

Der überarbeitete Baustein B 4.1 Lokale Netze beschreibt, wie die Rahmenbedingungen eines lokalen Netzes analysiert und dieses darauf aufbauend unter Sicherheitsgesichtspunkten konzipiert und betrieben werden kann. Im vorliegenden Baustein werden primär netzspezifische Aspekte wie geeignete Segmentierung, Auswahl einer geeigneten Topologie, Bildung von Teilnetzen etc. betrachtet.

Überarbeitung Netz- und Systemmanagement

Der überarbeitete Baustein B 4.2 Netz- und Systemmanagement beschreibt die Rahmenbedingungen für den Aufbau eines Netz- und Systemmanagementsystems. Dabei wird auf die Anforderungen, den Aufbau und den sicheren Betrieb eines solchen Systems näher eingegangen.

Serviceorientierte Architektur

Als serviceorientierte Architektur (SOA) wird ein allgemeiner Ansatz zur Umsetzung verteilter Systeme bezeichnet, um Institutionen mittels IT in ihren Geschäftsprozessen effizient zu unterstützen. Der Baustein B 5.26 Serviceorientierte Architektur zeigt die spezifischen Gefährdungen von verteilten Services auf und beschreibt Maßnahmen für die sichere Anwendung und Implementierung einer SOA. Hierbei wird insbesondere auch der Schutz einzelner Informationsobjekte beachtet.

Software-Entwicklung

Der Baustein B 5.27 Software-Entwicklung beschreibt die Vorgehensweise für Institutionen, die Software selbst oder von einem Auftragnehmer entwickeln lassen möchten. Neben der Fokussierung auf die Informationssicherheit bei der Software-Entwicklung werden auch organisatorische und praktische Aspekte berücksichtigt.

Aktualisierung und Überarbeitung

Darüber hinaus wurden zahlreiche einzelne Gefährdungen und Maßnahmen an neue technische Entwicklungen, neue Bedrohungsszenarien und neue Entwicklungen in der Informationssicherheit angepasst.

Weitere strukturelle Veränderungen wurden in der aktualisierten Ausgabe nicht durchgeführt. Die Nummerierung bestehender Gefährdungen und Maßnahmen blieb erhalten, sodass ein im Vorjahr auf Basis der IT-Grundschutz-Kataloge erstelltes Sicherheitskonzept fortgeschrieben werden kann. Es empfiehlt sich dennoch, die ausgewählten Maßnahmen bei der Bearbeitung komplett zu lesen, um Ergänzungen berücksichtigen zu können und um das Wissen zur Informationssicherheit aufzufrischen.