Bundesamt für Sicherheit in der Informationstechnik

1 IT-Grundschutz – Basis für Informationssicherheit

1.1 Warum ist Informationssicherheit wichtig

Informationen sind ein wesentlicher Wert für Unternehmen und Behörden und müssen daher angemessen geschützt werden. Die meisten Geschäftsprozesse sind heute in Wirtschaft und Verwaltung ohne IT-Unterstützung längst nicht mehr vorstellbar. Eine zuverlässig funktionierende Informationsverarbeitung ist ebenso wie die zugehörige Technik für die Aufrechterhaltung des Betriebes unerlässlich. Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar, der sogar existenzbedrohend werden kann. Dabei ist ein vernünftiger Informationsschutz ebenso wie eine Grundsicherung der IT schon mit verhältnismäßig geringen Mitteln zu erreichen: Mit dem IT-Grundschutz bietet das BSI eine praktikable Methode an, um die Informationen einer Institution angemessenen zu schützen. Die Kombination aus den IT-Grundschutz-Vorgehensweisen Basis-, Kern- und Standard-Absicherung sowie dem IT-Grundschutz-Kompendium beinhaltet für unterschiedliche Einsatzumgebungen sowohl Sicherheitsanforderungen als auch Maßnahmen zum sicheren Umgang mit Informationen.

Aufgrund der skizzierten Abhängigkeit steigt bei Cyber-Sicherheitsvorfällen auch die Gefahr für Institutionen, einen Imageschaden zu erleiden. Die verarbeiteten Daten und Informationen müssen adäquat geschützt, Sicherheitsmaßnahmen sorgfältig geplant, umgesetzt und kontrolliert werden. Hierbei ist es aber wichtig, sich nicht nur auf die Sicherheit von IT-Systemen zu konzentrieren, da Informationssicherheit nicht nur eine Frage der Technik ist. Sie hängt auch stark von infrastrukturellen, organisatorischen und personellen Rahmenbedingungen ab. Die Sicherheit der Betriebsumgebung, die ausreichende Schulung der Mitarbeiter, die Verlässlichkeit von Dienstleistungen, der richtige Umgang mit zu schützenden Informationen und viele andere wichtige Aspekte dürfen auf keinen Fall vernachlässigt werden.

Mängel im Bereich der Informationssicherheit können zu erheblichen Problemen führen. Die potentiellen Schäden lassen sich verschiedenen Kategorien zuordnen.

  • Verlust der Verfügbarkeit
    Wenn grundlegende Informationen nicht vorhanden sind, fällt dies meistens schnell auf, vor allem, wenn Aufgaben ohne diese nicht weitergeführt werden können. Läuft ein IT-System nicht, können beispielsweise keine Geldtransaktionen durchgeführt werden, Online-Bestellungen sind nicht möglich, Produktionsprozesse stehen still. Auch wenn die Verfügbarkeit von bestimmten Informationen lediglich eingeschränkt ist, kann es zu Arbeitsbeeinträchtigungen in den Prozessen einer Institution kommen.
  • Verlust der Vertraulichkeit von Informationen
    Jeder Bürger und jeder Kunde möchte, dass mit seinen personenbezogenen Daten vertraulich umgegangen wird. Jedes Unternehmen sollte wissen, dass interne, vertrauliche Daten über Umsatz, Marketing, Forschung und Entwicklung die Konkurrenz interessieren. Die ungewollte Offenlegung von Informationen kann in vielen Bereichen schwere Schäden nach sich ziehen.
  • Verlust der Integrität (Korrektheit von Informationen)
    Gefälschte oder verfälschte Daten können beispielsweise zu Fehlbuchungen, falschen Lieferungen oder fehlerhaften Produkten führen. Auch der Verlust der Authentizität (Echtheit und Überprüfbarkeit) hat, als ein Teilbereich der Integrität, eine hohe Bedeutung: Daten werden beispielsweise einer falschen Person zugeordnet. So können Zahlungsanweisungen oder Bestellungen zu Lasten einer dritten Person verarbeitet werden, ungesicherte digitale Willenserklärungen können falschen Personen zugerechnet werden, die "digitale Identität" wird gefälscht.

Informations- und Kommunikationstechnik spielt in fast allen Bereichen des täglichen Lebens eine bedeutende Rolle, dabei ist das Innovationstempo seit Jahren unverändert hoch. Besonders erwähnenswert sind dabei folgende Entwicklungen:

  • Steigender Vernetzungsgrad
    Menschen, aber auch IT-Systeme arbeiten heutzutage nicht mehr isoliert voneinander, sondern immer stärker vernetzt. Dies ermöglicht es, auf gemeinsame Datenbestände zuzugreifen und intensive Formen der Kooperation über geographische, politische oder institutionelle Grenzen hinweg zu nutzen. Damit entsteht nicht nur eine Abhängigkeit von einzelnen IT-Systemen, sondern in starkem Maße auch von Datennetzen. Sicherheitsmängel können dadurch schnell globale Auswirkungen haben.
  • IT-Verbreitung und Durchdringung
    Immer mehr Bereiche werden durch Informationstechnik unterstützt, häufig ohne dass dies dem Benutzer auffällt. Die erforderliche Hardware wird zunehmend kleiner und günstiger, so dass kleine und kleinste IT-Einheiten in alle Bereiche des Alltags integriert werden können. So gibt es beispielsweise Bekleidung mit integrierten Gesundheitssensoren, mit dem Internet vernetzte Glühbirnen sowie IT-gestützte Sensorik in Autos, um automatisch auf veränderte Umgebungsverhältnisse reagieren zu können oder sogar selbstfahrende Fahrzeuge zu ermöglichen. Die Kommunikation der verschiedenen IT-Komponenten untereinander findet dabei zunehmend drahtlos statt. Alltagsgegenstände werden dadurch über das Internet lokalisierbar und steuerbar.
  • Verschwinden der Netzgrenzen
    Bis vor kurzem ließen sich Geschäftsprozesse und Anwendungen eindeutig auf IT-Systeme und Kommunikationsstrecken lokalisieren. Ebenso ließ sich sagen, an welchen Standorten und bei welcher Institution diese angesiedelt waren. Durch die zunehmende Verbreitung von Clouddiensten sowie der Kommunikation über das Internet verschwinden diese Grenzen zunehmend.
  • Kürzere Angriffszyklen
    Die beste Vorbeugung gegen Schadprogramme oder andere Angriffe auf IT-Systeme, Anwendungsprogramme und Protokolle ist, sich frühzeitige über Sicherheitslücken und deren Beseitigung, z. B. durch Einspielen von Patches und Updates, zu informieren. Die Zeitspanne zwischen dem Bekanntwerden einer Sicherheitslücke und den ersten Angriffen in der Breite ist mittlerweile sehr kurz, so dass es immer wichtiger wird, ein gut aufgestelltes Informationssicherheitsmanagement und Warnsystem zu haben.
  • Höhere Interaktivität von Anwendungen
    Bereits vorhandene Techniken werden immer stärker miteinander kombiniert, um so neue Anwendungs- und Nutzungsmodelle zu erschaffen. Darunter finden sich unterschiedliche Anwendungsbereiche wie soziale Kommunikationsplattformen, Portale für die gemeinsame Nutzung von Informationen, Bildern und Videos oder interaktive Web-Anwendungen. Dies führt aber auch zu einer höheren Verquickung unterschiedlicher Geschäftsprozess und höherer Komplexität, wodurch die Systeme insgesamt schwieriger abzusichern sind.
  • Verantwortung der Benutzer
    Die beste Technik und solide Sicherheitsmaßnahmen können keine ausreichende Informationssicherheit gewährleisten, wenn der Mensch als Akteur nicht angemessen berücksichtigt wird. Dabei geht es vor allem um das verantwortungsvolle Handeln des Einzelnen. Dazu ist es notwendig, aktuelle Informationen über Sicherheitsrisiken und Verhaltensregeln im Umgang mit der IT zu beachten.

Angesichts der vorgestellten Gefährdungspotenziale und der steigenden Abhängigkeit stellen sich damit für jede Institution, sei es ein Unternehmen oder eine Behörde, bezüglich Informationssicherheit mehrere zentrale Fragen:

  • Wie sorgfältig wird mit geschäftsrelevanten Informationen umgegangen?
  • Wie sicher ist die Informationstechnik einer Institution?
  • Welche Anforderungen müssen erfüllt und welche Sicherheitsmaßnahmen müssen hierfür ergriffen werden?
  • Wie müssen diese Maßnahmen konkret umgesetzt werden?
  • Wie hält bzw. verbessert eine Institution das erreichte Sicherheitsniveau?
  • Werden die personellen Aspekte der Informationssicherheit angemessen berücksichtigt?
  • Wie hoch ist das Sicherheitsniveau anderer Institutionen, mit denen eine Kooperation stattfindet?
  • Sind Notfallvorkehrungen getroffen, um im Gefährdungsfall schnell reagieren zu können?

Bei der Beantwortung dieser Fragen für die eigene Institution ist zu beachten, dass Informationssicherheit eine Kombination aus technischen, organisatorischen, personellen und infrastrukturellen Aspekten ist. Es ist sinnvoll, ein Informationssicherheitsmanagement einzuführen, mit dem die mit Informationssicherheit verbundenen Aufgaben konzipiert, koordiniert und überwacht werden können.

Die Erfahrung zeigt, dass es ohne ein funktionierendes Informationssicherheitsmanagement praktisch nicht möglich ist, kontinuierlich ein angemessenes Sicherheitsniveau zu erzielen und zu erhalten. Daher wird im BSI-Standard 200-1 Managementsysteme für Informationssicherheit (ISMS) beschrieben, was ein solches Managementsystem leisten sollte und welche Aufgaben damit verbunden sind.

Werden die Geschäftsprozesse, Anwendungen und IT-Systeme typischer Institutionen im Hinblick auf obige Fragen verglichen, so kristallisiert sich eine Gruppe mit gemeinsamen Eigenschaften heraus. Die Vorgehensweisen und IT-Systeme in dieser Gruppe lassen sich wie folgt charakterisieren:

  • Es sind typische Vorgehensweisen und IT-Systeme, d. h. es sind keine Individuallösungen, sondern sie sind weit verbreitet im Einsatz.
  • Der Schutzbedarf der Informationen bezüglich Vertraulichkeit, Integrität und Verfügbarkeit liegt im Rahmen des Normalen.
  • Die Geschäftsprozesse, Anwendungen und IT-Systeme sind den üblichen Rahmenbedingungen unterworfen und unterliegen somit typischen Bedrohungen und Gefahren.

Gelingt es, für diese Gruppe der "typischen" Geschäftsprozesse, Anwendungen und IT-Systeme den gemeinsamen Nenner aller erforderlichen Sicherheitsanforderungen zu beschreiben, so erleichtert dies die Beantwortung obiger Fragen für diese "typischen" Anwendungsfälle erheblich. Bereiche, die außerhalb dieser Gruppe liegen, seien es seltenere Individuallösungen oder IT-Systeme mit hohem Schutzbedarf, können sich dann zwar an den Anforderungen orientieren, bedürfen letztlich aber einer besonderen Betrachtung.

Die Bausteine des IT-Grundschutz-Kompendiums beschreiben detailliert standardisierte Sicherheitsanforderungen, die für jedes Objekt im Informationsverbund zu beachten sind. Eine ausführliche Beschreibung des Prozesses zum Erreichen und Aufrechterhalten eines angemessenen Sicherheitsniveaus sowie eine einfache Verfahrensweise zur Ermittlung des erreichten Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs finden sich in den BSI-Standards 200-1, 200-2 und 200-3 zum IT-Grundschutz.

1.2 IT-Grundschutz: Ziel, Idee und Konzeption

Im IT-Grundschutz-Kompendium werden standardisierte Sicherheitsanforderungen für typische Geschäftsprozesse, Anwendungen und IT-Systeme in einzelnen Bausteinen beschrieben. Ziel des IT-Grundschutzes ist es, einen angemessenen Schutz für alle Informationen einer Institution zu erreichen. Die IT-Grundschutz-Methodik zeichnet sich dabei durch den ganzheitlichen Ansatz aus. Durch die geeignete Kombination von organisatorischen, personellen, infrastrukturellen und technischen Sicherheitsanforderungen wird ein Sicherheitsniveau erreicht, das für den jeweiligen Schutzbedarf angemessen und ausreichend ist, um geschäftsrelevante Informationen zu schützen. Darüber hinaus bilden die Anforderungen des IT-Grundschutz-Kompendiums nicht nur eine Basis für hochschutzbedürftige IT-Systeme und Anwendungen, sondern erläutern an vielen Stellen, wie ein höheres Sicherheitslevel erreichbar ist.

Die IT-Grundschutz-Methodik nutzt das Baukastenprinzip, um den heterogenen Bereich der Informationstechnik einschließlich der Einsatzumgebung besser strukturieren und planen zu können. Die einzelnen Bausteine thematisieren typische Abläufe von Geschäftsprozessen und Bereiche des IT-Einsatzes, wie beispielsweise Notfall-Management, Client-Server-Netze, bauliche Einrichtungen sowie Kommunikations- und Applikationskomponenten.

Die Bausteine des IT-Grundschutz-Kompendiums bilden den Stand der Technik ab, basierend auf den Erkenntnissen zum Zeitpunkt der Veröffentlichung. Die dort formulierten Anforderungen beschreiben, was generell umzusetzen ist, um mit geeigneten Sicherheitsmaßnahmen den Stand der Technik zu erreichen. Anforderungen bzw. Maßnahmen, die den Stand der Technik abbilden, entsprechen dem, was zum jeweiligen Zeitpunkt einerseits technisch fortschrittlich und andererseits in der Praxis bewährt ist.

Analyseaufwand reduzieren

Die Methodik nach IT-Grundschutz ermöglicht es, Sicherheitskonzepte einfach und arbeitsökonomisch zu erstellen. Bei der traditionellen Risikoanalyse werden zunächst die Bedrohungen ermittelt und mit Eintrittswahrscheinlichkeiten bewertet, um dann die geeigneten Sicherheitsmaßnahmen auszuwählen und anschließend das noch verbleibende Restrisiko bewerten zu können. Diese Schritte sind beim IT-Grundschutz bereits für jeden Baustein durchgeführt worden. Es wurden die für typische Einsatzszenarien passenden standardisierten Sicherheitsanforderungen ausgewählt, die dann von den Anwendern in Sicherheitsmaßnahmen überführt werden können, die zu den individuellen Rahmenbedingungen passen. Bei der IT-Grundschutz-Methodik reduziert sich die Analyse auf einen Soll-Ist-Vergleich zwischen den im IT-Grundschutz-Kompendium empfohlenen und den bereits umgesetzten Sicherheitsanforderungen. Die noch offenen Anforderungen zeigen die Sicherheitsdefizite auf, die es zu beheben gilt. Erst bei einem signifikant höheren Schutzbedarf muss zusätzlich zu den Anforderungen aus den IT-Grundschutz-Bausteinen eine indiviuelle Risikoanalyse unter Beachtung von Kosten- und Wirksamkeitsaspekten durchgeführt werden. Hierbei reicht es dann aber in der Regel aus, die auf Basis des IT-Grundschutz-Kompendiums ausgewählten Maßnahmen durch entsprechende individuelle, qualitativ höherwertige Maßnahmen zu ergänzen. Eine einfache Vorgehensweise hierzu ist im BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz beschrieben.

Auch wenn besondere Komponenten oder Einsatzumgebungen vorliegen, die im IT-Grundschutz-Kompendium nicht hinreichend behandelt werden, bietet das IT-Grundschutz-Kompendium dennoch eine wertvolle Arbeitshilfe. Bei der erforderlichen individuellen Risikoanalyse kann der Fokus auf die spezifischen Gefährdungen und Sicherheitsmaßnahmen gelegt werden.

Anforderungen für jedes Sicherheitsbedürfnis

Die im IT-Grundschutz-Kompendium aufgeführten Anforderungen sollten erfüllt werden, um ein angemessenes Sicherheitsniveau zu erreichen. Die Anforderungen sind in Basis- und Standard-Anforderungen sowie Anforderungen für erhöhten Schutzbedarf unterteilt. Die Basis-Anforderungen stellen das Minimum dessen dar, was vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist. Als Einstieg können sich die Anwender auf die Basis-Anforderungen beschränken, um so zeitnah die wirkungsvollsten Anforderungen zu erfüllen. Eine angemessene Sicherheit wird allerdings erst mit der Umsetzung der Standard-Anforderungen erreicht. Die exemplarischen Anforderungen für einen erhöhten Schutzbedarf haben sich ebenfalls in der Praxis bewährt und zeigen auf, wie eine Institution sich bei erhöhten Sicherheitsanforderungen zusätzlich absichern kann. Zudem enthalten die Umsetzungshinweise, die ergänzend zu den meisten Bausteinen veröffentlicht werden, Best Practices sowie ergänzende Hinweise, wie die Anforderungen erfüllt werden können. Für eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz müssen für den ausgewählten Geltungsbereich die Basis- und Standard-Anforderungen erfüllt werden.

Die IT-Grundschutz-Bausteine und die zugehörigen Umsetzungshinweise werden ebenso wie die meisten Informationen rund um IT-Grundschutz auch in elektronischer Form zur Verfügung gestellt. Die IT-Grundschutz-Texte können daher auch als Grundlage benutzt werden, um Sicherheitskonzepte zu erstellen. Den Anwendern stehen zudem Hilfsmittel und Musterlösungen zur Verfügung, die dabei unterstützen können, die Anforderungen geeignet umzusetzen.

Da der IT-Grundschutz auch international großen Anklang findet, werden das IT-Grundschutz-Kompendium und weitere Veröffentlichungen auch in englischer Sprache online zur Verfügung gestellt.

Weiterentwicklung des IT-Grundschutz-Kompendiums

Die Inhalte des IT-Grundschutz-Kompendiums sind aufgrund der rasanten Entwicklungen in der Informationstechnik sowie immer kürzer werdender Produktzyklen ständigen Veränderungen ausgesetzt. Struktur und Inhalt des BSI-Standardwerks zur Informationssicherheit sind daher danach angelegt, dass einzelne Veröffentlichungen wie Bausteine zügig aktualisiert und neue Themen aufgenommen werden können. Neben dem BSI können auch IT-Grundschutz-Anwender ihren Beitrag leisten, indem sie Texte bis hin zu ganzen Bausteinen für den IT-Grundschutz erstellen, Bausteine kommentieren oder neue Themen anregen. Ziel ist es, das IT-Grundschutz-Kompendium auf einem aktuellen Stand zu halten.

Aktuelle Informationen zum IT-Grundschutz liefert der IT-Grundschutz-Newsletter, für den Interessierte sich auf der BSI-Webseite kostenfrei anmelden können. Über den Newsletter werden Anwender auch immer wieder auf Mitwirkungsmöglichkeiten hingewiesen, wie beispielsweise auf Anwenderbefragungen zu einzelnen aktuellen Themen. Die Rückmeldungen der Anwender liefern wertvolle Anregungen und Hinweise für die Weiterentwicklung des IT-Grundschutzes. Die Erfahrungen der Anwender aus der Alltagspraxis sind sehr wichtig, damit Anforderungen und Maßnahmenempfehlungen stets auf den Prüfstand gestellt und an den aktuellen Bedarf angepasst werden.

1.3 Aufbau des IT-Grundschutz-Kompendiums

Das IT-Grundschutz-Kompendium lässt sich in unterschiedliche Bereiche untergliedern, die zum besseren Verständnis hier kurz erläutert werden sollen:

Einstieg und Methodik

In diesem einleitenden Teil wird die Konzeption und die Vorgehensweise zur Erstellung eines Sicherheitskonzepts nach IT-Grundschutz vorgestellt. Zudem wird die Struktur des IT-Grundschutz-Kompendiums erläutert und beschrieben, wie es anzuwenden ist. Eine ausführliche Beschreibung der IT-Grundschutz-Methodik ist im BSI-Standard 200-1 nachzulesen.

Hinweise zum Schichtenmodell und zur Modellierung

Um einen komplexen Informationsverbund nach IT-Grundschutz zu modellieren, müssen die passenden Bausteine des IT-Grundschutz-Kompendiums ausgewählt und umgesetzt werden. Um die Auswahl zu erleichtern, sind die Bausteine im IT-Grundschutz-Kompendium zunächst in prozess- und systemorientierte Bausteine aufgeteilt. Prozess-Bausteine gelten in der Regel für sämtliche oder große Teile des Informationsverbunds gleichermaßen, System-Bausteine lassen sich in der Regel auf einzelne Objekte oder Gruppen von Objekten anwenden. Die Prozess- und System-Bausteine bestehen wiederum aus weiteren Teilschichten.

In den Hinweisen zum Schichtenmodell und zur Modellierung wird beschrieben, wann ein einzelner Baustein sinnvollerweise eingesetzt werden soll und auf welche Zielobjekte er anzuwenden ist. Außerdem sind die Bausteine danach gekennzeichnet, ob sie vor- oder nachrangig umgesetzt werden sollten.

Beschreibung der Rollen

In den Anforderungen der Bausteine werden die Rollen genannt, die für die jeweilige Umsetzung zuständig sind. Hieraus können die geeigneten Ansprechpartner für die jeweilige Thematik in der Institution identifiziert werden. Da die Bezeichnungen der im IT-Grundschutz-Kompendium als Verantwortliche genannten Personen oder Rollen nicht in allen Institutionen einheitlich sind, wird für eine leichtere Zuordnung eine kurze Beschreibung der wesentlichen Rollen dargestellt.

Glossar und Begriffsdefinitionen

Im Glossar zum IT-Grundschutz-Kompendium werden die wichtigsten Begriffe rund um Informationssicherheit und IT-Grundschutz erläutert. Ein hierzu ergänzendes Glossar zur Cyber-Sicherheit ist auf den Webseiten des BSI zu finden.

Elementare Gefährdungen

Das BSI hat aus den vielen spezifischen Einzelgefährdungen der Bausteine der früheren IT-Grundschutz-Kataloge die generellen Aspekte herausgearbeitet und in 47 elementare Gefährdungen überführt. Diese sind im IT-Grundschutz-Kompendium aufgeführt. Bei der Erstellung der Übersicht der elementaren Gefährdungen wurden die im Folgenden beschriebenen Ziele verfolgt. Elementare Gefährdungen sind

  • für die Verwendung bei der Risikoanalyse optimiert,
  • produktneutral (immer), technikneutral (möglichst, bestimmte Techniken prägen so stark den Markt, dass sie auch die abstrahierten Gefährdungen beeinflussen),
  • kompatibel mit vergleichbaren internationalen Katalogen und Standards und
  • nahtlos in den IT-Grundschutz integriert.

Bausteine

Die Bausteine des IT-Grundschutz-Kompendiums enthalten jeweils eine Beschreibung der betrachteten Komponente, Vorgehensweisen und IT-Systeme, gefolgt von einem kurzen Überblick über spezifische Gefährdungen sowie konkreter Anforderungen, um die Komponente abzusichern. Die Bausteine sind in die folgenden Schichten gruppiert:

  • Prozess-Bausteine

    • ISMS (implementierte Anforderungen)
    • ORP (Organisation und Personal)
    • CON (Konzepte und Vorgehensweisen)
    • OPS (Betrieb)
    • DER (Detektion & Reaktion)

  • System-Bausteine

    • APP (Anwendungen)
    • SYS (IT-Systeme)
    • IND (Industrielle IT)
    • NET (Netze und Kommunikation)
    • INF (Infrastruktur)

1.4 Aufbau der Bausteine

Die zentrale Rolle des IT-Grundschutz-Kompendiums spielen die Bausteine, deren Aufbau jeweils gleich ist. Zunächst ist jeweils das betrachtete Zielobjekt beschrieben. Die folgende Zielsetzung formuliert, welcher Sicherheitsgewinn mit der Umsetzung des IT-Grundschutz-Bausteins erreicht werden soll. Danach folgt eine Abgrenzung der Aspekte, die nicht in diesem Baustein behandelt werden, sowie Verweise auf andere Bausteine, die diese aufgreifen.

Im Anschluss werden spezifische Gefährdungen aufgeführt. Sie erheben keinen Anspruch auf Vollständigkeit, liefern aber ein Bild über die Sicherheitsprobleme, die ohne Gegenmaßnahmen beim Einsatz der betrachteten Komponente, Vorgehensweise oder des IT-Systems entstehen können. Die Erläuterung der möglichen Risiken kann den Anwender noch stärker für das Thema sensibilisieren. Bei der Risikoanalyse, die jedem Baustein zugrunde liegt, wurden diese spezifischen Gefährdungen aus den elementaren Gefährdungen abgeleitet.

Auf die spezifischen Gefährdungen folgen in der Bausteinstruktur die Anforderungen. Diese sind in drei Kategorien gegliedert: Basis- und Standard-Anforderungen sowie Anforderungen bei erhöhtem Schutzbedarf. Basis-Anforderungen müssen vorrangig umgesetzt werden, da sie mit geringem Aufwand den größtmöglichen Nutzen erzielen. Gemeinsam mit den Basis-Anforderungen erfüllen die Standard-Anforderungen dem Stand der Technik und adressieren den normalen Schutzbedarf. Ergänzend dazu bieten die Bausteine des IT-Grundschutz-Kompendiums Vorschläge für Anforderungen bei erhöhtem Schutzbedarf. Zur Referenzierung sind die Anforderungen bausteinübergreifend eindeutig nummeriert, z. B. SYS.3.4.A2. Über dieses Schema wird zunächst die Schicht (im Beispiel "SYS") benannt, dann die Nummern der jeweiligen Teilschichten und des Bausteins (im Beispiel "3.4") und schließlich die Anforderung selbst (im Beispiel "A2"). Gibt es passende Umsetzungshinweise, trägt die dort aufgeführte Maßnahme zu einer Anforderung "A" die gleiche Nummer mit einem vorangestellten Buchstaben "M", im Beispiel also "SYS.3.4.M2".

In jedem Baustein ist beschrieben, wer für dessen Umsetzung zuständig ist. Es ist immer ein Haupt-Verantwortlicher benannt. Daneben kann es weitere Rollen geben, die für die Umsetzung von Anforderungen verantwortlich sind. Diese werden dann jeweils im Titel der Anforderung in eckigen Klammern genannt. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden.

Am Ende des Bausteins sind weiterführende Informationen und Verweise aufgeführt. Ergänzt werden die Bausteine zudem in einem Anhang um eine Tabelle, in der den Anforderungen die betreffenden elementaren Gefährdungen zugeordnet werden. Diese Zuordnung kann für eine Risikoanalyse genutzt werden.

Modalverben

In den Bausteinen des IT-Grundschutz-Kompendiums werden die Prüfaspekte in den Anforderungen mit den in Versalien geschriebenen Modalverben MUSS und SOLLTE sowie den zugehörigen Verneinungen formuliert, um die jeweiligen Anforderungen eindeutig zu kennzeichnen.

Die hier genutzte Definition basiert auf RFC 2119 (Key words for use in RFCs to Indicate Requirement Levels), Stand 1997 sowie DIN 820-2:2012, Anhang H.

MUSS/DARF NUR:

bedeutet, dass eine Anforderung unbedingt erfüllt werden muss (eine solche Anforderung kann beispielsweise nicht im Rahmen der Risikoanalyse ohne Weiteres ignoriert werden).

DARF NICHT/SOLLTE KEIN:

bedeutet, dass etwas in keinem Fall getan werden darf.

SOLLTE:

bedeutet, dass etwas normalerweise getan werden sollte, es aber Gründe geben kann, dies nicht zu tun. Dies muss aber sorgfältig abgewogen und begründet werden und die Begründung muss bei einem Audit vom Auditor auf ihre Stichhaltigkeit geprüft werden.

SOLLTE NICHT/SOLLTE KEIN:

bedeutet, dass etwas normalerweise nicht getan werden sollte, es aber Gründe gibt, dies doch zu tun. Dies muss aber sorgfältig abgewogen und begründet werden und und die Begründung muss bei einem Audit vom Auditor auf ihre Stichhaltigkeit geprüft werden.

Basis-Anforderungen sind wie folgt formuliert:

Es MUSS xyz getan werden. Es DARF NICHT xyz gemacht werden.

Standard-Anforderungen sowie Anforderungen bei erhöhtem Schutzbedarf haben die folgende Form:

Es SOLLTE xyz getan werden. Es SOLLTE NICHT xyz gemacht werden.

Einzelne Aussagen in den Basis-Anforderungen können mit "SOLLTE" gekennzeichnet sein. Diese Teilanforderungen in den Basis-Anforderungen müssen nicht zwingend erfüllt werden, sie treten aber in Verbindung mit verbindlichen MUSS-Anforderungen auf und ergänzen diese um zusätzliche Aspekte. Bei den Anforderungen für erhöhten Schutzbedarf wird hauptsächlich das Modalverb SOLLTE verwendet. Diese Anforderungen resultieren aus Best Practices und müssen bei erhöhtem Schutzbedarf im Rahmen einer Risikoanalyse bewertet werden.

Kreuzreferenztabellen

Jeder Baustein enthält einen Anhang mit einer Übersicht zu den relevanten elementaren Gefährdungen. Wie die elementaren Gefährdungen des IT-Grundschutzes und die Anforderungen des Bausteins zueinander stehen, kann den Kreuzreferenztabellen entnommen werden. Diese finden sich ebenfalls im Anhang des Bausteins.

Alle Kreuzreferenztabellen haben einen einheitlichen Aufbau. In der Kopfzeile sind die im dazugehörigen Baustein aufgelisteten elementaren Gefährdungen mit ihren Nummern eingetragen. In der ersten Spalte finden sich entsprechend die Nummern der Anforderungen wieder.

Die übrigen Spalten beschreiben, wie die Anforderung des Bausteins und die elementaren Gefährdungen konkret zueinander stehen. Ist in einem Feld ein "X" eingetragen, so bedeutet dies, dass die korrespondierende Anforderung gegen die entsprechende Gefährdung wirksam ist. Diese Wirkung kann schadensvorbeugender oder schadensmindernder Natur sein.

Zu beachten ist, dass eine Anforderung nicht automatisch hinfällig wird, wenn alle in der Tabelle zugeordneten Gefährdungen in einem bestimmten Anwendungsfall nicht relevant sind. Ob auf eine Anforderung verzichtet werden kann, muss immer im Einzelfall anhand der vollständigen Sicherheitskonzeption und nicht nur anhand der Kreuzreferenztabelle geprüft und dokumentiert werden.

1.5 Umsetzungshinweise

Zu vielen Bausteinen des IT-Grundschutz-Kompendiums gibt es detaillierte Umsetzungshinweise. Diese beschreiben, wie die Anforderungen der Bausteine umgesetzt werden können und erläutern im Detail geeignete Sicherheitsmaßnahmen. Die Sicherheitsmaßnahmen können als Grundlage für Sicherheitskonzeptionen verwendet werden, sie sollten aber an die Rahmenbedingungen der jeweiligen Institution angepasst werden. Daneben enthalten die Umsetzungshinweise eine exemplarische Abbildung der Maßnahmen auf einen Lebenszyklus, der aus den Schritten "Planung und Konzeption", "Beschaffung", "Umsetzung", "Betrieb" und "Aussonderung" und "Notfallvorsorge" besteht.

Für die Phasen des Lebenszyklus sind folgende typische Arbeiten angegeben, die im Rahmen einzelner Maßnahmen durchgeführt werden sollten. Phasenübergreifend wirken dabei das Sicherheitsmanagement und die Revision, die den gesamten Lebenszyklus begleiten und kontrollieren.

  • Planung und Konzeption

    • Definition des Einsatzzwecks
    • Festlegung von Einsatzszenarien
    • Abwägung des Risikopotentials
    • Dokumentation der Einsatzentscheidung
    • Erstellung des Sicherheitskonzepts
    • Festlegung von Richtlinien für den Einsatz

  • Beschaffung (sofern erforderlich)

    • Festlegung der Anforderungen an zu beschaffende Produkte (nach Möglichkeit auf Basis der Einsatzszenarien der Planungsphase)
    • Auswahl der geeigneten Produkte

  • Umsetzung

    • Konzeption und Durchführung des Testbetriebs
    • Installation und Konfiguration entsprechend Sicherheitsrichtlinie
    • Schulung und Sensibilisierung aller Betroffenen

  • Betrieb

    • Sicherheitsmaßnahmen für den laufenden Betrieb (z. B. Protokollierung)
    • Kontinuierliche Pflege und Weiterentwicklung
    • Änderungsmanagement
    • Organisation und Durchführung von Wartungsarbeiten
    • Audit

  • Aussonderung (sofern erforderlich)

    • Entzug von Berechtigungen
    • Entfernen von Datenbeständen und Referenzen auf diese Daten
    • Sichere Entsorgung von Datenträgern

  • Notfallvorsorge

    • Konzeption und Organisation der Datensicherung
    • Nutzung von Redundanz zur Erhöhung der Verfügbarkeit
    • Umgang mit Sicherheitsvorfällen
    • Erstellen eines Notfallplans

Es finden sich in den Umsetzungshinweisen nicht für jede Phase entsprechende Maßnahmen. Da sich alle Geschäftsprozesse, IT-Systeme und Einsatzbedingungen ständig ändern und weiterentwickelt werden, müssen die Phasen erfahrungsgemäß immer wieder durchlaufen werden. Dies sicherzustellen ist Aufgabe des Informationssicherheitsmanagements.

Die Umsetzungshinweise adressieren jeweils die Personengruppen, die für die Umsetzung der Baustein-Anforderungen zuständig sind, beispielsweise den IT-Betrieb oder die Haustechnik. Die Umsetzungshinweise sind nicht Bestandteil des IT-Grundschutz-Kompendiums, sondern werden als Hilfsmittel zu den Bausteinen veröffentlicht.

1.6 Mitwirkung der Anwender und Versionierung

Die Anwender des IT-Grundschutzes werden bei der Erstellung und Überarbeitung von Bausteinen sowie weiterer Veröffentlichungen wie den BSI-Standards beteiligt. Alle Anwender sind aufgerufen, ihre Wünsche für neue Themenbereiche im IT-Grundschutz sowie für Änderungen an bestehenden Texten dem IT-Grundschutz-Team des BSI mitzuteilen. Das BSI sichtet die Anregungen und stößt, abhängig von der Nachfrage und den Ressourcen, die entsprechenden Aktualisierungen an. Anwender können aber Bausteine, Umsetzungshinweise oder einzelne Ergänzungen der IT-Grundschutz-Texte selber erstellen und auch dem BSI zur Veröffentlichung zur Verfügung stellen.

Neue IT-Grundschutz-Dokumente werden auf der IT-Grundschutz-Webseite zunächst zur Kommentierung veröffentlicht. Die Rückmeldungen aus der Praxis tragen dazu bei, dass die Inhalte einzelner Bausteine noch aktueller und praxisnäher werden, bis sie finalisiert und als jährliche Edition publiziert werden. Der Veröffentlichtungsprozess sieht unterschiedliche Bearbeitungsstufen vor, die wie folgt gekennzeichnet sind:

  • Working Draft (WD): interne Arbeitspapiere
  • Community Draft (CD): Entwurfsfassung zur Diskussion mit der IT-Grundschutz-Community (Anwender)
  • Final Draft (FD): finale Entwürfe, in die alle relevanten Kommentare der Community eingeflossen sind und die eine hohe Stabilität erreicht haben, so dass keine inhaltlichen Änderungen mehr zu erwarten sind
  • Edition (E): Dies bezeichnet den Stand eines IT-Grundschutz-Dokuments, das als die offizielle Fassung veröffentlicht wurde und auch als Basis für die Zertifizierung genutzt wird.

Von jedem dieser Redaktionsprozessstände kann es unterschiedliche Versionsstände x und Unterversionsstände y geben. So kann aus einem CD 1.0 nach der schnellen Einarbeitung erster Anwenderkommentare ein CD 1.1 (kleinere Änderungen) oder ein CD 2.0 (größere Änderungen) werden.

1.7 Anwendungsweisen des IT-Grundschutz-Kompendiums

Für den erfolgreichen Aufbau eines kontinuierlichen und effektiven Sicherheitsprozesses müssen zahlreiche Aufgaben durchgeführt werden. Hierfür bietet die IT-Grundschutz-Methodik (siehe BSI-Standard 200-2) mit dem IT-Grundschutz-Kompendium viele Hinweise zu den Vorgehensweisen Basis-, Kern- und Standard-Absicherung sowie praktische Umsetzungshilfen. Hinzu kommen Lösungsansätze für verschiedene, die Informationssicherheit betreffende Aufgabenstellungen, beispielsweise Sicherheitskonzeption, Revision und Zertifizierung. Je nach vorliegender Aufgabenstellung sind dabei unterschiedliche Anwendungsweisen des IT-Grundschutzes zweckmäßig. Die folgenden Anwendungshinweise dienen dazu, durch Querverweise auf die entsprechenden Kapitel der IT-Grundschutz-Methodik im BSI-Standard 200-2 den direkten Einstieg in die einzelnen Anwendungsweisen zu erleichtern.

Sicherheitsprozess und Management der Informationssicherheit

Informationssicherheit ist für alle Geschäftsprozesse und Fachaufgabe relevant und daher als originäre Aufgabe anzusehen. Die folgende Abbildung beinhaltet alle wesentlichen Schritte, die für einen kontinuierlichen Sicherheitsprozess notwendig sind:

Phasen des Sicherheitsprozesses Phasen des Sicherheitsprozesses

Im BSI-Standard 200-2 wird der Ablauf für die Vorgehensweisen zur Basis-, Kern- und Standard-Absicherung ausführlich beschrieben. Außerdem wird im Baustein ISMS.1 Sicherheitsmanagement der Sicherheitsprozess im Überblick dargestellt. Zusätzlich werden in diesem Baustein die einzelnen Aktionen und Schritte im Rahmen des Sicherheitsprozesses in Form von Anforderungen beschrieben.

Zur Erstellung der Sicherheitskonzeption sind nach IT-Grundschutz einige Schritte notwendig, die für die Standard-Absicherung im Folgenden kurz dargestellt werden. Die Standard-Absicherung wurde hierbei als Beispiel gewählt, da hiermit ein vollständiges Sicherheitskonzept nach IT-Grundschutz erstellt werden kann. Bei der Basis- und der Kernabsicherung handelt es sich um Vorgehensweisen zum Einstieg in den IT-Grundschutz, diese werden ebenfalls detailliert im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben.

Strukturanalyse

Unter einem Informationsverbund ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Objekten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein Informationsverbund kann die gesamte Institution, aber auch einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungen) oder gemeinsame Geschäftsprozesse bzw. -anwendungen (z. B. Personalinformationssystem) gegliedert sind, umfassen.

Für die Erstellung eines Sicherheitskonzepts nach IT-Grundschutz ist es erforderlich, die Struktur des vorliegenden Informationsverbundes zu analysieren und zu dokumentieren. Bei der Strukturanalyse werden daher die Informationen, Anwendungen, IT-Systeme, Räume und Kommunikationsnetze als Zielobjekte erfasst.

Die einzelnen Schritte der Strukturanalyse für die Standard-Absicherung werden detailliert in Kapitel 8.1 der IT-Grundschutz-Methodik (BSI-Standard 200-2) beschrieben.

Schutzbedarfsfeststellung

Zweck der Schutzbedarfsfeststellung ist es zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die erwartbaren Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist es dabei auch, die möglichen Folgeschäden realistisch einzuschätzen. Eine Einteilung in die drei Schutzbedarfskategorien "normal", "hoch" und "sehr hoch" hat sich bislang bewährt. Im Kapitel 8.2 der IT-Grundschutz-Methodik (BSI-Standard 200-2) sind Erläuterungen und praktische Hinweise zum Thema zu finden.

Modellierung

Als nächstes müssen die Bausteine des IT-Grundschutz-Kompendiums in einem Modellierungsschritt auf die Zielobjekte des vorliegenden Informationsverbunds abgebildet werden.

In Kapitel 8.3 der IT-Grundschutz-Methodik im BSI-Standard 200-2 wird beschrieben, wie die Modellierung eines Informationsverbunds durch Bausteine aus dem IT-Grundschutz-Kompendium für die Standard-Absicherung vorgenommen werden sollte. Detaillierte Hinweise für die Verwendung der Prozess- und System-Bausteine bei der Modellierung sind im Kapitel 2 des IT-Grundschutz-Kompendiums enthalten. Außerdem sind an dieser Stelle die Bausteine danach gekennzeichnet, in welcher Reihenfolge sie für die Basis-Absicherung sinnvollerweise umgesetzt werden sollten. Das Ergebnis der Modellierung ist ein erster grober Entwurf des Sicherheitskonzepts.

IT-Grundschutz-Check

Der IT-Grundschutz-Check ist ein Organisationsinstrument, mit dem sich ein Überblick über das vorhandene Sicherheitsniveau erstellen lässt. Mit Hilfe von Interviews wird der Status Quo eines bestehenden (nach IT-Grundschutz modellierten) Informationsverbunds ermittelt. Als Ergebnis liegt eine Übersicht vor, in der für jede relevante Anforderung der Erfüllungsstatus "entbehrlich", "ja", "teilweise" oder "nein" erfasst ist. Durch die Identifizierung von noch nicht oder nur teilweise erfüllten Anforderungen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Zielobjekte aufgezeigt. Kapitel 8.5 des BSI-Standards 200-2 beschreibt einen Aktionsplan für die Durchführung eines IT-Grundschutz-Sicherheitschecks. Dabei wird sowohl den organisatorischen Aspekten als auch den fachlichen Anforderungen Rechnung getragen.

Weiterführende Sicherheitsmaßnahmen

Die Anforderungen und Sicherheitsmaßnahmen nach IT-Grundschutz bieten im Normalfall einen angemessenen und ausreichenden Schutz. Insbesondere bei hohem oder sehr hohem Schutzbedarf ist jedoch zu prüfen, ob weitere Sicherheitsmaßnahmen erforderlich sind. Hierfür sollte eine Risikoanalyse durchgeführt werden, ein mögliches Vorgehen hierfür ist im BSI-Standard 200-3 beschrieben. Eine Risikoanalyse ist auch dann erforderlich, wenn Teile des Informationsverbunds nicht hinreichend mit den existierenden Bausteinen des IT-Grundschutz-Kompendiums abgebildet werden können oder wenn besondere Einsatzszenarien vorliegen, die im IT-Grundschutz nicht vorgesehen sind.

Umsetzung von Sicherheitskonzepten

Damit das angestrebte Informationssicherheitsniveau erreicht wird, müssen bestehende Schwachstellen ermittelt und alle erforderlichen Maßnahmen identifiziert werden. Vor allem müssen alle Maßnahmen, die im Sicherheitskonzept vorgesehen sind, auch konsequent anhand eines Realisierungsplans umgesetzt werden. In Kapitel 9 des BSI-Standards 200-2 zur IT-Grundschutz-Methodik wird beschrieben, was bei der Umsetzungsplanung von Sicherheitsmaßnahmen zu beachten ist.

Sicherheitsrevision

Die im IT-Grundschutz-Kompendium enthaltenen Anforderungen können auch für die Sicherheitsrevision genutzt werden. Hierzu wird die gleiche Vorgehensweise wie beim IT-Grundschutz-Check empfohlen. Hilfreich und arbeitsökonomisch ist es, für jeden Baustein anhand der Anforderungen eine speziell auf die eigene Institution angepasste Checkliste zu erstellen. Dies erleichtert die Revision und die Ergebnisse können besser reproduziert werden.

Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz

Die Vorgehensweisen nach IT-Grundschutz und das IT-Grundschutz-Kompendium werden nicht nur für die Erstellung von Sicherheitskonzeptionen, sondern auch als Referenz im Sinne eines Sicherheitsstandards verwendet. Durch eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz kann eine Institution dokumentieren, dass sie sowohl ISO 27001 als auch IT-Grundschutz erfolgreich umgesetzt hat.

Dokumentation des Sicherheitsprozesses

Bei den vielfältigen Aufgaben des Informationssicherheitsmanagements entstehen Konzepte, Richtlinien, Berichte und weitere Dokumente. Nur durch eine ausreichende Dokumentation werden getroffene Entscheidungen nachvollziehbar, Handlungen wiederholbar und Schwächen erkannt, so dass sie in Zukunft vermieden werden können.

Hinweis zur Dokumentation im IT-Grundschutz: Es muss nicht jedes Mal ein neues Dokument erstellt werden, wenn laut der IT-Grundschutz-Methodik etwas dokumentiert werden muss. Häufig reichen Notizen oder informelle Informationssammlungen, solange diese auffindbar und nachvollziehbar sind. Einige Dokumentationen sind für das Sicherheitsmanagement erforderlich, vor allem, wenn eine Zertifizierung angestrebt wird.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK