Bundesamt für Sicherheit in der Informationstechnik

2 Schichtenmodell und Modellierung

2.1 Modellierung nach IT-Grundschutz

Bei der Umsetzung von IT-Grundschutz muss der betrachtete Informationsverbund mit Hilfe der vorhandenen Bausteine nachgebildet werden, es müssen also die relevanten Sicherheitsanforderungen aus dem IT-Grundschutz-Kompendium zusammengetragen werden. Dafür müssen alle relevanten Prozesse, Anwendungen und IT-Systeme erfasst sein beziehungsweise es müssen die Strukturanalyse und in der Regel eine Schutzbedarfsfeststellung vorliegen. Darauf aufbauend wird ein IT-Grundschutz-Modell des Informationsverbunds erstellt, das aus verschiedenen, gegebenenfalls auch mehrfach verwendeten IT-Grundschutz-Bausteinen besteht und eine Abbildung zwischen den Bausteinen und den sicherheitsrelevanten Aspekten des Informationsverbunds beinhaltet.

Das erstellte IT-Grundschutz-Modell ist unabhängig davon, ob der Informationsverbund aus bereits im Einsatz befindlichen IT-Systemen besteht oder ob es sich um einen Informationsverbund handelt, der sich erst im Planungsstadium befindet. Das Modell kann daher unterschiedlich verwendet werden:

  • Das IT-Grundschutz-Modell eines bereits realisierten Informationsverbunds identifiziert über die verwendeten Bausteine die relevanten Sicherheitsanforderungen. Es kann in Form eines Prüfplans benutzt werden, um einen Soll-Ist-Vergleich durchzuführen.
  • Das IT-Grundschutz-Modell eines geplanten Informationsverbunds stellt hingegen ein Entwicklungskonzept dar. Es beschreibt über die ausgewählten Bausteine, welche Sicherheitsanforderungen bei der Realisierung des Informationsverbunds erfüllt werden müssen.

Die Einordnung der Modellierung und die möglichen Ergebnisse verdeutlicht das folgende Bild:

Ergebnis der Modellierung nach IT-Grundschutz Ergebnis der Modellierung nach IT-Grundschutz

Typischerweise wird ein im Einsatz befindlicher Informationsverbund sowohl realisierte als auch in Planung befindliche Anteile umfassen. Das resultierende IT-Grundschutz-Modell beinhaltet dann sowohl einen Prüfplan wie auch Anteile eines Entwicklungskonzepts. Alle im Prüfplan bzw. im Entwicklungskonzept vorgesehenen Sicherheitsanforderungen bilden dann gemeinsam die Basis für die Erstellung des Sicherheitskonzepts.

Um einen im Allgemeinen komplexen Informationsverbund nach IT-Grundschutz zu modellieren, müssen die passenden Bausteine des IT-Grundschutz-Kompendiums ausgewählt und umgesetzt werden. Um die Auswahl zu erleichtern, sind die Bausteine im IT-Grundschutz-Kompendium zunächst in prozess- und systemorientierte Bausteine aufgeteilt und diese jeweils in einzelne Schichten untergliedert.

Die Sicherheitsaspekte eines Informationsverbunds werden wie folgt den einzelnen Schichten zugeordnet:

Das Schichtenmodell des IT-Grundschutzes Das Schichtenmodell des IT-Grundschutzes

Prozessorientierte Bausteine:

Die Prozess-Bausteine, die in der Regel für sämtliche oder große Teile des Informationsverbunds gleichermaßen gelten, unterteilen sich in die folgenden Schichten, die wiederum aus weiteren Teilschichten bestehen können.

  • Die Schicht ISMS enthält als Grundlage für alle weiteren Aktivitäten im Sicherheitsprozess den Baustein Sicherheitsmanagement.
  • Die Schicht ORP befasst sich mit organisatorischen und personellen Sicherheitsaspekten. In diese Schicht fallen beispielsweise die Bausteine Organisation und Personal.
  • Die Schicht CON enthält Bausteine, die sich mit Konzepten und Vorgehensweisen befassen. Typische Bausteine der Schicht CON sind unter anderem Kryptokonzept und Datenschutz.
  • Die Schicht OPS umfasst alle Sicherheitsaspekte betrieblicher Art. Insbesondere sind dies die Sicherheitsaspekte des operativen IT-Betriebs, sowohl bei einem Betrieb im Haus, als auch bei einem IT-Betrieb, der in Teilen oder komplett durch Dritte betrieben wird. Ebenso enthält er die Sicherheitsaspekte, die bei einem IT-Betrieb für Dritte zu beachten sind. Beispiele für die Schicht OPS sind die Bausteine Schutz vor Schadprogrammen und Outsourcing für Kunden.
  • In der Schicht DER finden sich alle Bausteine, die für die Überprüfung der umgesetzten Sicherheitsmaßnahmen, die Detektion von Sicherheitsvorfällen sowie die geeigneten Reaktionen darauf relevant sind. Typische Bausteine der Schicht DER sind Behandlung von Sicherheitsvorfällen und Vorsorge für IT-Forensik.

Neben den Prozess-Bausteinen beinhaltet das IT-Grundschutz-Kompendium auch System-Bausteine. Diese werden in der Regel auf einzelne Zielobjekte oder Gruppen von Zielobjekten angewendet. Die System-Bausteine unterteilen sich in die folgenden Schichten. Ähnlich wie bei prozessorientierten Bausteinen können systemorientierte Bausteine auch aus weiteren Teilschichten bestehen.

System-Bausteine:

  • Die Schicht APP beschäftigt sich mit der Absicherung von Anwendungen und Diensten, unter anderem in den Bereichen Kommunikation, Verzeichnisdienste, netzbasierte Dienste sowie Business- und Client-Anwendungen. Typische Bausteine der Schicht APP sind Allgemeine Groupware, Office-Produkte, Webserver und Relationale Datenbanksysteme.
  • Die Schicht SYS betrifft die einzelnen IT-Systeme des Informationsverbunds, die ggf. in Gruppen zusammengefasst wurden. Hier werden die Sicherheitsaspekte von Servern, Desktop-Systemen, Mobile Devices und sonstigen IT-Systemen wie Druckern und TK-Anlagen behandelt. Zur Schicht SYS gehören beispielsweise Bausteine zu konkreten Betriebssystemen, Allgemeine Smartphones und Tablets sowie Drucker, Kopierer und Multifunktionsgeräte.
  • Die Schicht IND befasst sich mit Sicherheitsaspekten industrieller IT. In diese Schicht fallen beispielsweise die Bausteine Betriebs- und Steuerungstechnik, Allgemeine ICS-Komponente und Speicherprogrammierbare Steuerung (SPS).
  • Die Schicht NET betrachtet die Vernetzungsaspekte, die sich nicht primär auf bestimmte IT-Systeme, sondern auf die Netzverbindungen und die Kommunikation beziehen. Dazu gehören zum Beispiel die Bausteine Netz-Management, Firewall und WLAN-Betrieb.
  • Die Schicht INF befasst sich mit den baulich-technischen Gegebenheiten, hier werden Aspekte der infrastruktu­rellen Sicherheit zusammengeführt. Dies betrifft unter anderem die Bausteine Allgemeines Gebäude und Rechenzentrum.

Die Einteilung in diese Schichten hat folgende Vorteile:

  • Die Komplexität der Informationssicherheit wird reduziert, indem eine sinnvolle Aufteilung der Einzelaspekte vorgenommen wird.
  • Da übergeordnete Aspekte und gemeinsame infrastrukturelle Fragestellungen getrennt von den IT-Systemen betrachtet werden, werden Redundanzen vermieden, weil diese Aspekte nur einmal bearbeitet werden müssen und nicht wiederholt für jedes IT-System.
  • Die einzelnen Schichten sind so gewählt, dass auch die Zuständigkeiten für die betrachteten Aspekte gebündelt sind. So betreffen beispielsweise die Schichten ISMS und ORP Grundsatzfragen des sicheren Umgangs mit Informationen, Schicht INF den Bereich Haustechnik, Schicht SYS die Zuständigen für die IT-Systeme, Schicht NET die Ebene der Netzadministratoren und Schicht APP schließlich die Anwendungsverantwortlichen und -betreiber.
  • Aufgrund der Aufteilung der Sicherheitsaspekte in Schichten können Einzelaspekte in resultieren­den Sicherheitskonzepten leichter aktualisiert und erweitert werden, ohne dass andere Schichten umfangreich tangiert werden.

Die Modellierung nach IT-Grundschutz besteht nun darin, für die Bausteine einer jeden Schicht zu entscheiden, ob und wie sie zur Abbildung des Informationsverbunds herangezogen werden können. Je nach betrachtetem Baustein können die Zielobjekte dieser Abbildung von unterschiedlicher Art sein: einzelne Geschäftsprozesse oder Komponenten, Gruppen von Komponenten, Gebäude, Liegen­schaften, Organisationseinheiten usw.

Nachfolgend wird die Vorgehensweise der Modellierung für einen Informationsverbund detailliert beschrieben. Dabei wird besonderer Wert auf die Randbedingungen gelegt, wann ein einzelner Baustein sinnvollerweise eingesetzt werden soll und auf welche Zielobjekte er anzuwenden ist.

Bei der Modellierung eines Informationsverbunds nach IT-Grundschutz kann das Problem auftreten, dass es Zielobjekte gibt, die mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet werden können. In diesem Fall sollte eine Risikoanalyse durchgeführt werden, wie in der IT-Grundschutz-Methodik beschrieben.

Hinweis:

Mit der Veröffentlichung der ersten Edition des IT-Grundschutz-Kompendiums wurden zunächst die wesentlichen bzw. die am häufigsten genutzten Bausteine der 15. Ergänzungslieferung der IT-Grundschutz-Kataloge migriert. Mit der zweiten Edition wird das IT-Grundschutz-Kompendium mit neuen Bausteinen sowie mit weiteren migrierten Bausteinen ergänzt werden. An einigen Stellen im IT-Grundschutz-Kompendium wird bereits auf Bausteine verwiesen, die nicht Bestandteil der ersten Edition sind, aber spätestens mit der zweiten Edition nachgeliefert werden. Für Zielobjekte, für die es im IT-Grundschutz-Kompendium noch keine Bausteine gibt, sollten soweit vorhanden zwischenzeitlich die bestehenden Bausteine der IT-Grundschutz-Kataloge genutzt werden.

2.2 Zuordnung anhand Schichtenmodell

Bei der Modellierung eines Informationsverbunds ist es zweckmäßig, die Zuordnung der Bausteine anhand des Schichtenmodells vorzunehmen. Daran anschließend folgt schließlich die Vollständigkeitsprüfung.

Hinter jedem Bausteintitel der folgenden Auflistung ist mit R1, R2 und R3 die vorgeschlagene Reihenfolge für die Bearbeitung der Bausteine angegeben. Eine detaillierte Beschreibung hierzu findet sich in Kapitel 2.3 Bearbeitungsreihenfolge der Bausteine.

Prozessbausteine

Mit prozessorientierten Bausteinen werden alle Aspekte des Informationsverbunds modelliert, die den technischen Komponenten übergeordnet sind. Diese Aspekte sollten für den gesamten Informationsverbund einheitlich geregelt sein, so dass die entsprechenden Bausteine in den meisten Fällen nur einmal für den gesamten Informationsverbund anzuwenden sind. Dem Informationssicherheitsmanagement, der Organisation des IT-Betriebs, der Schulung und Sensibilisierung des Personals sowie der Detektion und Reaktion auf Sicherheitsvorfälle kommt dabei eine besondere Bedeutung zu. Die Umsetzung der diesbezüglichen Anforderungen ist von grundlegender Bedeutung für den sicheren Umgang mit geschäftsrelevanten Informationen und die sichere Nutzung von Informations- und Kommunikationstechnik.

ISMS (Sicherheitsmanagement)

Diese Schicht beschäftigt sich mit dem Aufbau, der Aufrechterhaltung und kontinuierlichen Verbesserung eines Managementmentsystems für Informationssicherheit und enthält den gleichnamigen Baustein ISMS.1.

  • ISMS.1 Sicherheitsmanagement (R1)
    Der Baustein ISMS.1 Sicherheitsmanagement ist für den gesamten Informationsverbund einmal anzuwenden. Ein funktionierendes Informationssicherheitsmanagement ist die wesentliche Grundlage für die Erreichung eines angemessenen Sicherheitsniveaus.

ORP (Organisation und Personal)

In dieser Schicht befinden sich Bausteine, die Sicherheitsanforderungen für organisatorische Prozesse innerhalb einer Institution enthalten. Dies deckt insbesondere auch personalbezogene Aspekte wie Identitätsmanagement und Schulungen mit ab.

  • ORP.1 Organisation (R1)
    Der Baustein ORP.1 Organisation muss für jeden Informationsverbund mindestens einmal herangezogen werden. Wenn Teile des vorliegenden Informationsverbunds einer anderen Organisation(-seinheit) zugeordnet sind und daher anderen Rahmenbedingungen unterliegen, sollte der Baustein auf jede Organisation(-seinheit) getrennt angewandt werden.
  • ORP.2 Personal (R1)
    Der Baustein ORP.2 Personal muss für jeden Informationsverbund mindestens einmal herangezogen werden. Wenn Teile des vorliegenden Informationsverbunds einer anderen Organisation(-seinheit) zugeordnet sind und daher anderen Rahmenbedingungen unterliegen, sollte der Baustein auf jede Organisation(-seinheit) getrennt angewandt werden.
  • ORP.3 Sensibilisierung und Schulung (R1)
    Der Baustein ORP.3 Sensibilisierung und Schulung ist für den gesamten Informationsverbund einmal anzuwenden.
  • ORP.4 Identitäts- und Berechtigungsmanagement (R1)
    Der Baustein ORP.4 Identitäts- und Berechtigungsmanagement ist für den gesamten Informationsverbund einmal anzuwenden.
  • ORP.5 Compliance Management (Anforderungsmanagement) (R3)
    Der Baustein ORP.5 Compliance Management (Anforderungsmanagement) ist für den gesamten Informationsverbund einmal anzuwenden.

CON (Konzepte und Vorgehensweisen)

Die Schicht CON befasst sich mit grundlegenden Konzepten und Vorgehensweisen, welche die Basis für Informationssicherheit in einer Institution bilden. Die Bausteine sind daher in der Regel bereichsübergreifend für den gesamten Informationsverbund anzuwenden.

  • CON.1 Kryptokonzept (R3)
    Der Baustein CON.1 Kryptokonzept ist für den gesamten Informationsverbund einmal anzuwenden.
  • CON.2 Datenschutz (R2)
    Der Baustein CON.2 Datenschutz ist einmal für den gesamten Informationsverbund anzuwenden, wenn personenbezogene oder personenbeziehbare Daten im Informationsverbund verarbeitet werden.
  • CON.3 Datensicherungskonzept (R1)
    Der Baustein CON.3 Datensicherungskonzept ist für den gesamten Informationsverbund einmal anzuwenden.
  • CON.4 Auswahl und Einsatz von Standardsoftware (R2)
    Der Baustein CON.4 Auswahl und Einsatz von Standardsoftware ist zumindest einmal für den gesamten Informationsverbund anzuwenden. Gibt es innerhalb des Informationsverbunds Teilbereiche mit unterschiedlichen Anforderungen oder Regelungen für die Nutzung von Standardsoftware, sollte CON.4 Auswahl und Einsatz von Standardsoftware auf diese Teilbereiche jeweils getrennt angewandt werden.
  • CON.5 Entwicklung und Einsatz von Allgemeinen Anwendungen (R3)
    Der Baustein CON.5 Entwicklung und Einsatz von Allgemeinen Anwendungen ist auf den Informationsverbund anzuwenden, wenn spezialisierte Anwendungssoftware eingesetzt wird. Hierzu gehört Individualsoftware und Standardsoftware mit eigenen Anpassungen.
  • CON.6 Löschen und Vernichten (R1)
    Der Baustein CON.6 Löschen und Vernichten ist für den gesamten Informationsverbund einmal anzuwenden.
  • CON.7 Informationssicherheit auf Auslandsreisen (R3)
    Der Baustein CON.7 Informationssicherheit auf Auslandsreisen ist einmal für den gesamten Informationsverbund anzuwenden, wenn Mitarbeiter auf Auslandsreisen gehen oder zeitweise im Ausland tätig sind und dabei besonders schutzbedürftige Informationen mitgeführt oder verarbeitet werden sollen.

OPS (Betrieb)

Sicherheitsaspekte, die sich auf den Betrieb beziehen, werden in dieser Schicht abgedeckt. Dabei werden neben dem eigenem Betrieb auch Aspekte des Outsourcings, sowohl als Dienstleister als auch Kunde betrachtet. Die Schicht OPS ist zur Übersichtlichkeit in die Teilschichten Eigener IT-Betrieb, Betrieb von Dritten, Betrieb für Dritte und Betriebliche Aspekte aufgeteilt. Im Themenbereich Kern-IT-Betrieb werden Anforderungen für die wesentlichen Kernbereiche eines selbst erbrachten IT-Betriebs aufgestellt. Die entsprechenden Bausteine decken die grundlegenden Aspekte ab und sind mit hoher Priorität zu betrachten.

Kern-IT-Betrieb

  • OPS.1.1.2 Ordnungsgemäße IT-Administration (R1)
    Der Baustein OPS.1.1.2 Ordnungsgemäße IT-Administration ist einmal für den gesamten Informationsverbund anzuwenden, wenn die IT von der Institution selber administriert wird. Wird die IT von externen Auftragnehmern administriert, so muss der Bautein entsprechend für die Outsourcing-Dienstleister geprüft werden.
  • OPS.1.1.3 Patch- und Änderungsmanagement (R1)
    Der Baustein OPS.1.1.3 Patch- und Änderungsmanagement ist einmal für den gesamten Informationsverbund anzuwenden. Das Patchmanagement stellt einen Teilbereich bzw. speziellen Prozess innerhalb des Änderungsmanagements dar, der auf die Aktualisierung von Software zielt und in jedem Fall anzuwenden ist. Aspekte des Änderungsmanagements sind den Gegebenheiten der Institution entsprechend zu betrachten.
  • OPS.1.1.4 Schutz vor Schadprogrammen (R1)
    Der Baustein OPS.1.1.4 Schutz vor Schadprogrammen ist mindestens einmal für alle IT-Systeme im gesamten Informationsverbund anzuwenden.
  • OPS.1.1.5 Protokollierung (R1)
    Der Baustein OPS.1.1.5 Protokollierung ist für den gesamten Informationsverbund einmal anzuwenden.
  • OPS.1.1.6 Software-Tests und -Freigaben (R1)
    Der Baustein OPS.1.1.6 Software-Tests und -Freigaben ist einmal für den gesamten Informationsverbund anzuwenden.

Weiterführende Aufgaben

  • OPS.1.2.2 Archivierung (R3)
    Der Baustein OPS.1.2.2 Archivierung ist auf den Informationsverbund anzuwenden, wenn aufgrund interner oder externer Vorgaben eine Langzeitarchivierung elektronischer Dokumente erforderlich ist oder bereits ein System zur Langzeitarchivierung elektronischer Dokumente betrieben wird.
  • OPS.1.2.3 Informations- und Datenträgeraustausch (R3)
    Der Baustein OPS.1.2.3 Informations- und Datenträgeraustausch ist für jede Anwendung einmal heranzuziehen, die als Datenquelle für einen Datenträgeraustausch dient oder auf diesem Wege eingegangene Daten weiterverarbeitet.
  • OPS.1.2.4 Telearbeit (R3)
    Der Baustein OPS.1.2.4 Telearbeit ist bei jedem Telearbeitsplatz bzw. auf jede entsprechende Gruppe anzuwenden.

Betrieb von Dritten

  • OPS.2.1 Outsourcing für Kunden (R2)
    Der Baustein OPS.2.1 Outsourcing für Kunden ist für jede Outsourcing-Dienstleistung aus Sicht des Anwenders separat anzuwenden.
  • OPS.2.4 Fernwartung (R3)
    Der Baustein OPS.2.4 Fernwartung ist einmal für den gesamten Informationsverbund anzuwenden.

Betrieb für Dritte

  • OPS.3.1 Outsourcing für Dienstleister (R3)
    Der Baustein OPS.3.1 Outsourcing für Dienstleister ist einmal für den Outsourcing-Dienstleister anzuwenden.

Betriebliche Aspekte

In dieser Schicht werden betriebliche Aspekte behandelt, die über die zuvor genannten hinausgehen.

Hinweis: Die Erstellung entsprechender Bausteine ist für die zweite Edition des IT-Grundschutz-Kompendiums geplant.

DER (Detektion und Reaktion)

In dieser Schicht finden sich Bausteine, die Vorgehensweisen beschreiben, um Sicherheitsvorfälle zu erkennen und geeignet mit diesen umzugehen. Auch das Thema Sicherheitsüberprüfungen wird geeignet mit entsprechenden Bausteinen adressiert. Die Schicht DER umfasst die Teilschichten Detektion von Sicherheitsvorfällen, Security Incident Management, Sicherheitsüberprüfungen und Notfallmanagement.

Detektion von Sicherheitsvorfällen

  • DER.1 Detektion von sicherheitsrelevanten Ereignissen (R2)
    Der Baustein DER.1 Detektion von sicherheitsrelevanten Ereignissen ist für den gesamten Informationsverbund einmal anzuwenden.

Security Incident Management

  • DER.2.1 Behandlung von Sicherheitsvorfällen (R2)
    Der Baustein DER.2.1 Behandlung von Sicherheitsvorfällen ist für den gesamten Informationsverbund einmal anzuwenden.
  • DER.2.2 Vorsorge für die IT-Forensik (R3)
    Der Baustein DER.2.2 Vorsorge für die IT-Forensik ist für den gesamten Informationsverbund einmal anzuwenden.
  • DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle (APT-Responder) (R3)
    Der Baustein DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle (APT-Responder) ist immer dann anzuwenden, wenn der reguläre und sichere Betriebszustand eines Informationsverbunds nach einem APT-Vorfall wiederhergestellt werden soll und hierfür IT-Systeme bereinigt werden sollen.

Sicherheitsüberprüfungen

  • DER 3.1 Audits und Revisionen (R3)
    Der Baustein DER.3.1 Audits und Revisionen ist einmal für den gesamten Informationsverbund anzuwenden.
  • DER 3.4 IS-Revision für Bundesbehörden (R3)
    Der Bautein DER.3.4 IS-Revision für Bundesbehörden ist einmal für den gesamten Informationsverbund anzuwenden, sofern die IS-Revision erforderlich ist.

Notfallmanagement

  • DER.4 Notfallmanagement (R3)
    Der Baustein DER.4 Notfallmanagement ist einmal für den gesamten Informationsverbund anzuwenden.

System-Bausteine

System-Bausteine adressieren Sicherheitsaspekte von spezifischen Komponenten und können somit auf relevante Zielobjekte des Informationsverbunds modelliert werden. Beispiele hierfür sind IT-Systeme, ICS-Komponenten, Gebäude, Anwendungen etc.

APP (Anwendungen)

In der Schicht APP (Anwendungen) des zu modellierenden Informationsverbunds erfolgt die Nachbildung der Anwendungen. Moderne Anwendungen beschränken sich nur selten auf ein einzelnes IT-System. Insbesondere behörden- bzw. unternehmensweite Kernanwendungen sind in der Regel als Client-Server-Applikationen realisiert. In vielen Fällen greifen Server selbst wieder auf andere, nachgeschaltete Server, z. B. Datenbanksysteme, zu. Die Sicherheit der Anwendungen muss daher unabhängig von den IT-Systemen und Netzen betrachtet werden.

Die Schicht APP umfasst die Teilschichten Client-Anwendungen, Verzeichnisdienste, Netzbasierte Anwendungen, Business-Anwendungen und Groupware bzw. Kommunikation.

Client-Anwendungen

  • APP.1.1 Office-Produkte (R2)
    Der Baustein APP.1.1 Office-Produkte ist einmal für den gesamten Informationsverbund anzuwenden, wenn auf den eigenen IT-Systemen, z. B. auf Clients oder Terminalservern Office-Produkte wie Textverarbeitung oder Tabellenkalkulation eingesetzt werden.
  • APP.1.2 Web-Browser (R2)
    Der Baustein APP.1.2 Web-Browser ist für alle IT-Systeme innerhalb des Informationsverbundes anzuwenden, auf denen Web-Browser eingesetzt werden.

Verzeichnisdienste

  • APP.2.1 Allgemeiner Verzeichnisdienst (R2)
    Der Baustein APP.2.1 Allgemeiner Verzeichnisdienst sollte, unabhängig vom gewählten Produkt, auf jeden Verzeichnisdienst einmal angewandt werden.
  • APP.2.2 Active Directory (R2)
    Der Baustein APP.2.2 Active Directory ist für den Informationsverbund anzuwenden, wenn in der Institution Microsofts Active Directory, etwa innerhalb einer Windows-Domäne, eingesetzt wird. Gibt es mehrere getrennte Instanzen von Active Directory, so ist der Baustein entsprechend mehrfach anzuwenden. In der Regel ist der Baustein gemeinsam mit den Bausteinen zu Windows Server sowie zum APP.2.1 Allgemeiner Verzeichnisdienst anzuwenden.

Netzbasierte Dienste

  • APP.3.1 Webanwendungen (R2)
    Der Baustein APP.3.1 Webanwendungen ist auf jeden als Webanwendung ausgelegten Web-Dienst (z. B. Intranet oder Internet) des betrachteten Informationsverbunds anzuwenden.
  • APP.3.2 Webserver (R2)
    Der Baustein APP.3.2 Webserver ist auf jeden WWW-Dienst (z. B. Intranet oder Internet) des betrachteten Informationsverbunds anzuwenden.
  • APP.3.3 Fileserver (R2)
    Der Baustein APP.3.3 Fileserver ist auf jeden Fileserver des betrachteten Informationsverbunds anzuwenden.
  • APP.3.4 Samba (R2)
    Der Baustein APP.3.4 Samba ist auf jeden Samba-Server des betrachteten Informationsverbunds anzuwenden.
  • APP 3.6 DNS-Server (R2)
    Der Baustein APP.3.6 DNS-Server ist auf jeden im Informationsverbund betriebenen DNS-Server bzw. auf jede Gruppe von DNS-Servern anzuwenden.

Business-Anwendungen

  • APP.4.3 Relationale Datenbanksysteme (R2)
    Der Baustein APP.4.3 Relationale Datenbanksysteme ist auf jedes relationale Datenbanksystem bzw. auf jede Gruppe von relationalen Datenbanksystemen einmal anzuwenden.

Groupware und Kommunikation

  • APP.5.1 Allgemeine Groupware (R2)
    Der Baustein APP.5.1 Allgemeine Groupware ist auf jedes E-Mail-System (intern oder extern) des betrachteten Informationsverbunds anzuwenden.
  • APP.5.2 Microsoft Exchange und Outlook (R2)
    Der Baustein APP.5.2 Microsoft Exchange und Outlook ist, zusätzlich zum Baustein APP.5.1 Allgemeine Groupware, auf jedes Workgroup- oder E-Mail-System anzuwenden, das auf Microsoft Exchange bzw. Outlook basiert.

SYS (IT-Systeme)

Sicherheitsaspekte, die sich auf IT-Systeme beziehen, werden in dieser Schicht abgedeckt. Diese Schicht SYS ist zur Übersichtlichkeit nach Servern, Deskop-Systemen, Mobile Devices und sonstigen Systemen sortiert. Bei letzteren handelt es sich in der Regel um IT-Systeme mit besonderen Funktionen, auf denen kein gängiges Betriebssystem installiert werden kann. Entsprechend den Einsatzumne nachgebildet werden, es müssen also die relevanten Sicherheitsanforderungen aus dem IT-Grundschutz-Kompendium zusammengetragen werden. Dafür müssen alle relevanten Prozesse, Anwendungen und IT-Systeme erfasst sein beziehungsweise es müssen die Strukturanalyse und in der Regel eine Schutzbedarfsfeststellung vorliegen. Darauf aufbauend wird ein IT-Grundschutz-Modell des Informationsverbunds erstellt, das aus verschiedenen, gegebenenfalls auch mehrfach verwendeten IT-Grundschutz-Bausteinen besteht und eine Abbildung zwischen den Bausteinen ugebungen sind die Bausteine auf die jeweiligen IT-Systeme im Informationsverbund anzuwenden.

Die Bausteine des Bereichs IT-Systeme können sowohl auf einzelne IT-Systeme als auch auf Gruppen solcher IT-Systeme angewandt werden. Dies wird im Folgenden nicht mehr gesondert hervorgehoben.

Server

  • SYS.1.1 Allgemeiner Server (R2)
    Der Baustein SYS.1.1 Allgemeiner Server ist auf jedes IT-System anzuwenden, das Dienste (z. B. Datei- oder Druckdienste) als Server im Netz anbietet.
  • SYS.1.3 Server unter Unix (R2)
    Der Baustein SYS.1.3 Server unter Unix ist auf jeden Server anzuwenden, der mit diesem Betriebssystem arbeitet.Hinweis: Für jeden Server muss neben dem Betriebssystem-spezifischen Baustein immer auch der Baustein SYS.1.1 Allgemeiner Server angewendet werden, da in diesem Baustein die plattformunabhängigen Sicherheitsaspekte für Server zusammengefasst sind.
  • SYS.1.5 Virtualisierung (R2)
    Der Baustein SYS.1.5 Virtualisierung ist auf jeden Virtualisierungsserver bzw. auf jede Gruppe von Virtualisierungsservern anzuwenden.
  • SYS.1.8 Speicherlösungen (R2)
    Der Baustein SYS.1.8 Speicherlösungen ist immer dann anzuwenden, wenn zentrale Speicherlösungen eingesetzt werden. Typische Zielobjekte für diesen Baustein sind NAS-Systeme (Network Attached Storage), SAN-Systeme (Storage Area Networks), Hybrid Storage, Objekt Storage und Cloud Storage.

Desktop-Systeme

  • SYS.2.1 Allgemeine Client (R2)
    Der Baustein SYS.2.1 Allgemeine Clientsist auf jeden Client anzuwenden. Clients sind Arbeitsplatz-Computer die regelmäßig oder zumindest zeitweise in einem Netz betrieben werden (im Gegensatz zu Einzeplatz-Systemen).
  • SYS.2.2.2 Clients unter Windows 8.1 (R2)
    Der Baustein SYS.2.2.2 Clients unter Windows 8.1 ist für jeden Client bzw. jede Gruppe von Clients im Informationsverbund anzuwenden, auf denen das Betriebsystem Windows 8.1 von Microsoft eingesetzt wird.
    Hinweis: Für jeden Client muss neben dem Betriebsystem-spezifischen Baustein immer auch der Baustein SYS.2.1 Allgemeine Clientsangewendet werden, da in diesem Baustein die plattformunabhängigen Sicherheitsaspekte für Clients zusammengefasst sind.
  • SYS.2.2.3 Clients unter Windows 10 (R2)
    Der Baustein SYS.2.2.3 Clients unter Windows 10 ist für jeden Client bzw. jede Gruppe von Clients im Informationsverbund anzuwenden, auf denen das Betriebsystem Windows 10 von Microsoft eingesetzt wird.
    Hinweis: Für jeden Client muss neben dem Betriebsystem-spezifischen Baustein immer auch der Baustein SYS.2.1 Allgemeine Clientsangewendet werden, da in diesem Baustein die plattformunabhängigen Sicherheitsaspekte für Clients zusammengefasst sind.
  • SYS.2.3 Clients unter Unix (R2)
    Der Baustein SYS.2.3 Clients unter Unix ist für jeden Client bzw. jede Gruppe von Clients im Informationsverbund anzuwenden, auf denen das Betriebsystem Unix eingesetzt wird.
    Hinweis: Für jeden Client muss neben dem Betriebsystem-spezifischen Baustein immer auch der Baustein SYS.2.1 Allgemeine Clientsangewendet werden, da in diesem Baustein die plattformunabhängigen Sicherheitsaspekte für Clients zusammengefasst sind.

Mobile Devices

  • SYS.3.1 Laptops (R2)
    Der Baustein SYS.3.1 Laptops ist auf jeden mobilen Computer (Laptop) anzuwenden.
  • SYS.3.2.1 Allgemeine Smartphones und Tablets (R2)
    Der Baustein SYS.3.2.1 Allgemeine Smartphones und Tablets ist immer dann anzuwenden, wenn in der Institution Endgeräte dienstlich eingesetzt werden, die auf mobilen Betriebssystemen wie z. B. Android oder iOS basieren. Der Baustein fasst die plattformunabhängigen Sicherheitsaspekte für die spezifischen Bausteine für solche mobilen Endgeräte zusammen.
  • SYS.3.2.2 Mobile Device Management (MDM) (R2)
    Der Baustein SYS.3.2.2 Mobile Device Management (MDM) ist immer dann anzuwenden, wenn in der Institution mobile Endgeräte wie Smartphones und Tablets zentral mithilfe eines Mobile Device Managements (MDM) verwaltet werden.
  • SYS.3.2.3 iOS (for Enterprise) (R2)
    Der Baustein SYS.3.2.3 iOS (for Enterprise) ist für alle Endgeräte anzuwenden, auf denen in der Institution das Betriebssystem iOS von Apple dienstlich eingesetzt wird. Zu diesen Geräten gehören vorwiegend iPhones und iPads.
    Hinweis: Für jedes iOS-basierende Endgerät muss neben dem Betriebssystem-spezifischen Baustein immer auch der Baustein SYS.3.2.1 Allgemeine Smartphones und Tablets angewendet werden, da in diesem Baustein die plattformunabhängigen Sicherheitsaspekte zusammengefasst sind.
  • SYS.3.2.4 Android (R2)
    Der Baustein SYS.3.2.4 Android ist in Ergänzung zum Baustein SYS.3.2.1 Allgemeine Smartphones und Tablets für jedes Zielobjekt oder jede Zielobjektgruppe mit dem Betriebssystem Android anzuwenden.
  • SYS.3.4 Mobile Datenträger (R2)
    Der Baustein SYS.3.4 Mobile Datenträger ist für jeden mobilen Datenträger des Informationsverbundes bzw. von jeder Gruppe hiervon anzuwenden.

Sonstige Systeme

  • SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte (R2)
    Der Baustein SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte ist für jeden Drucker, Kopierer oder Multifunktionsgerät im Informationsverbund bzw. in jeder Gruppe hiervon anzuwenden. Als Multifunktionsgeräte werden dabei Geräte bezeichnet, die mehrere verschiedene papierverarbeitende Funktionen bieten, etwa Drucken, Kopieren und Scannen oder auch Fax-Dienste.
  • SYS.4.4 Allgemeines IoT-Gerät (R2)
    Der Baustein SYS.4.4 Allgemeines IoT-Gerät ist auf jedes Gerät mit Funktionalitäten aus dem Bereich Internet of Things (IoT) bzw. auf jede entsprechende Gruppe anzuwenden. Dies sind im Gegensatz zu "klassischen" IT-Systemen "intelligente" Gegenstände, die zusätzliche "smarte" Funktionen enthalten.

IND (Industrielle IT)

Die Bausteine dieser Schicht enthalten Anforderungen für IT-Systeme und ICS-Komponenten, die in industriellen und Produktionsbereichen eingesetzt werden. Die Schicht IND ist in die drei Teilschichten Betriebs- und Steuerungstechnik, ICS-Komponenten und Produktionsnetze eingeteilt.

Betriebs- und Steuerungstechnik

  • IND.1 Betriebs- und Steuerungstechnik (R2)
    Der Baustein IND.1 Betriebs- und Steuerungstechnik ist einmal für den industriellen Teil innerhalb des Informationsverbundes anzuwenden.

ICS-Komponenten

  • IND.2.1 Allgemeine ICS-Komponente (R2)
    Der Baustein IND.2.1 Allgemeine ICS-Komponente ist für alle Komponenten der industriellen Steuerung anzuwenden. Hinzu kommen die spezifischen Bausteine für die einzelnen Zielobjekte bzw. Zielobjektgruppen.
  • IND.2.2 Speicherprogrammierbare Steuerung (SPS) (R2)
    Der Baustein IND.2.2 Speicherprogrammierbare Steuerung (SPS) ist auf jede SPS-Komponente bzw. jede Gruppe hiervon anzuwenden.
  • IND.2.3 Sensoren und Aktoren (R2)
    Der Baustein IND.2.3 Sensoren und Aktoren ist auf Sensoren und Aktoren bzw. jede Gruppe hiervon anzuwenden.
  • IND 2.4 Maschine (R2)
    Der Baustein IND.2.4 Maschine ist auf jede Maschine bzw. jede Gruppe von Maschinen anzuwenden.

Produktionsnetze

Hinweis: Die Erstellung entsprechender Bausteine ist für künftige Editionen des IT-Grundschutz-Kompendiums geplant.

NET (Netze und Kommunikation)

In dieser Schicht werden Sicherheitsaspekte in Netzen behandelt, die nicht primär an bestimmten IT-Systemen (z. B. Servern) festgemacht werden können. Vielmehr geht es im Wesentlichen um Sicherheitsaspekte, die sich auf die Netzverbindungen und die Kommunikation zwischen den IT-Systemen beziehen.

Um die Komplexität zu verringern, kann es sich als sinnvoll erweisen, bei der Modellierung statt des Gesamtnetzes Teilbereiche jeweils einzeln zu betrachten. Die hierzu erforderliche Aufteilung des Gesamtnetzes in Teilnetze sollte anhand der Kriterien erfolgen, die im Baustein NET.1.1 Netzarchitektur und -design definiert worden sind.

Die Schicht Netze und Kommunikation ist zur Übersichtlichkeit nach Netzen, Funknetzen, Netzkomponenten und Telekommunikation sortiert.

Netze

  • NET.1.1 Netzarchitektur und -design (R2)
    Der Baustein NET.1.1 Netzarchitektur und -design ist auf das Gesamtnetz einer Institution (inklusive Teilnetze) anzuwenden.
  • NET.1.2 Netzmanagement (R2)
    Der Baustein NET.1.2 Netzmanagement ist auf jedes Netzmanagement-System anzuwenden, das im vorliegenden Informationsverbund eingesetzt wird.

Funknetze

  • NET.2.1 WLAN-Betrieb (R2)
    Der Baustein NET.2.1 WLAN-Betrieb ist auf alle Kommunikationsnetze anzuwenden, die gemäß der Standard-Reihe 802.11 und deren Erweiterungen aufgebaut und betrieben werden.
  • NET.2.2 WLAN-Nutzung (R2)
    Der Baustein NET.2.2 WLAN-Nutzung ist immer dann anzuwenden, wenn WLANs genutzt werden.

Netzkomponenten

  • NET.3.1 Router und Switches (R2)
    Der Baustein NET.3.1 Router und Switches ist in jedem aktiven Netz, das im vorliegenden Informationsverbund eingesetzt wird, anzuwenden.
  • NET.3.2 Firewall (R2)
    Der Baustein NET.3.2 Firewall ist immer anzuwenden, wenn unterschiedlich vertrauenswürdige Netze gekoppelt werden. Ein typischer Anwendungsfall ist die Absicherung einer Außenverbindung (z. B. beim Übergang eines internen Netzes zum Internet oder bei Anbindungen zu Netzen von Geschäftspartnern). Aber auch bei einer Kopplung von zwei organisationsinternen Netzen mit unterschiedlich hohem Schutzbedarf ist der Baustein anzuwenden, z. B. bei der Trennung des Bürokommunikationsnetzes vom Netz der Entwicklungsabteilung, wenn dort besonders vertrauliche Daten verarbeitet werden.
  • NET.3.3 VPN (R2)
    Der Baustein NET.3.3 VPN ist für jede Art von Fernzugriffen auf den Informationsverbund, also interne Netze oder IT-Systeme, einmal anzuwenden. Hierzu gehören Verbindungen über Datennetze, wie z. B. Site-to-Site-, End-to-End- oder Remote-Access-VPNs, und über Telekommunikationsverbindungen, wie z. B. über analoge Wählleitungen, ISDN- oder Mobiltelefonie.

Telekommunikation

Hinweis: Die Erstellung entsprechender Bausteine (z. B. NET.4.1 TK-Anlagen oder NET.4.2 VoIP) ist für die zweite Edition des IT-Grundschutz-Kompendiums geplant.

INF (Infrastruktur)

Die für den vorliegenden Informationsverbund relevanten baulichen Gegebenheiten werden mit Hilfe der Bausteine aus der Schicht Infrastruktur modelliert. Jedem Gebäude, Raum oder Schutzschrank (bzw. Gruppen dieser Komponenten) wird dabei der entsprechende Baustein aus dem IT-Grundschutz-Kompendium zugeordnet.

  • INF.1 Allgemeines Gebäude (R2)
    Der Baustein INF.1 Allgemeines Gebäude ist für jedes Gebäude bzw. jede Gebäudegruppe einmal anzuwenden.
  • INF.2 Rechenzentrum (R2)
    Der Baustein INF.2 Rechenzentrum ist auf jedes Rechenzentrum und jeden Serverraum anzuwenden.
    Hinweis: Das BSI hat die Begriffe "Rechenzentrum" und "Serverraum" neu gefasst. Dabei ist auf den bisherigen Ansatz verzichtet worden, Rechenzentren und Serverräume über die getroffenen Maßnahmen, Organisationsformen oder Betriebsgrößen zu unterscheiden. Die neue Definition für Rechenzentren orientiert sich ausschließlich an der Bedeutung der IT-Struktur für die Aufgabenerfüllung der nutzenden Institution und steht damit im methodischen Einklang mit der DIN EN 50600. Details zur Unterscheidung finden sich im Baustein INF.2 Rechenzentrum.
  • INF.3 Elektrotechnische Verkabelung (R2)
    Der Baustein INF.3 Elektrotechnische Verkabelung ist in der Regel einmal pro Gebäude bzw. Gebäudegruppe anzuwenden (zusätzlich zum Baustein INF.1 Allgemeines Gebäude). Darüber hinaus kann der Baustein INF.3 Elektrotechnische Verkabelung auch für einzelne Räume bzw. Raumgruppen, wie beispielsweise Rechenzentren, angewendet werden, wenn diese Besonderheiten im Bezug auf die elektrotechnische Verkabelung aufweisen. Für die IT-Verkabelung ist zusätzlich der Baustein INF.4 IT-Verkabelung anzuwenden.
  • INF.4 IT-Verkabelung (R2)
    Der Baustein INF.4 IT-Verkabelung ist in der Regel einmal pro Gebäude bzw. Gebäudegruppe anzuwenden (zusätzlich zum Baustein INF.1 Allgemeines Gebäude). Darüber hinaus kann der Baustein INF.4 IT-Verkabelung auch für einzelne Räume bzw. Raumgruppen, wie beispielsweise Rechenzentren, angewendet werden, wenn diese Besonderheiten im Bezug auf die IT-Verkabelung aufweisen. Für die elektrotechnische Verkablung ist zusätzlich der Baustein INF.3 Elektrotechnische Verkabelung anzuwenden.
  • INF.7 Büroarbeitsplatz (R2)
    Der Baustein INF.7 Büroarbeitsplatz ist auf jeden Raum bzw. jede Gruppe von Räumen anzuwenden, in denen sich Mitarbeiter aufhalten, um dort ihre Aufgaben zu erledigen.
  • INF.8 Häuslicher Arbeitsplatz (R2)
    Der Baustein INF.8 Häuslicher Arbeitsplatz ist auf jeden häuslichen Arbeitsplatz bzw. jede Gruppe einmal anzuwenden.
  • INF.9 Mobiler Arbeitsplatz (R2)
    Der Baustein INF.9 Mobiler Arbeitsplatz ist immer dann anzuwenden, wenn Mitarbeiter häufig nicht mehr nur innerhalb der Räumlichkeiten der Institution arbeiten, sondern an wechselnden (mobilen) Arbeitsplätzen außerhalb. Typische Zielobjekte für den Baustein sind Laptops.
  • INF.10 Besprechungs-, Veranstaltungs- und Schulungsraum (R2)
    Der Baustein INF.10 Besprechungs-, Veranstaltungs- und Schulungsräume ist auf jeden solchen Raum bzw. jede Gruppe (falls entsprechende Gruppen definiert wurden) einmal anzuwenden.

2.3 Bearbeitungsreihenfolge der Bausteine

Um grundlegende Risiken abzudecken und eine ganzheitliche Informationssicherheit aufzubauen, müssen die essentiellen Sicherheitsanforderungen frühzeitig erfüllt und entsprechende Sicherheitsmaßnahmen umgesetzt werden. Daher wird im IT-Grundschutz mit R1, R2 und R3 eine Reihenfolge für die umzusetzenden Bausteine vorgeschlagen (siehe Kapitel 2.2 Zuordnung anhand Schichtenmodell).

  • R1: Diese Bausteine sollten vorrangig umgesetzt werden, da sie die Grundlage für einen effektiven Sicherheitsprozess bilden.
  • R2: Diese Bausteine sollten als nächstes umgesetzt werden, da sie in wesentlichen Teilen des Informationsverbundes für nachhaltige Sicherheit erforderlich sind.
  • R3: Diese Bausteine werden zur Erreichung des angestrebten Sicherheitsniveaus ebenfalls benötigt und müssen umgesetzt werden, es wird aber empfohlen, diese erst nach den anderen Bausteinen zu betrachten.

Mit R1 sind die Bausteine gekennzeichnet, die notwendig sind, um ein grundlegendes Sicherheitsgerüst zu erreichen. Es handelt sich um die Bausteine der Bereiche

  • ISMS Sicherheitsmanagement
  • ORP Organisation und Personal
  • OPS.1 Kernaufgaben der Schicht Eigener IT-Betrieb

Die im zweiten und dritten Schritt umzusetzenden Bausteine (R2 und R3) finden sich in allen anderen Schichten des IT-Grundschutz-Kompendiums.

Diese Kennzeichnung zeigt nur die sinnvolle zeitliche Reihenfolge für die Umsetzung der Anforderungen des jeweiligen Bausteins auf und stellt keine Gewichtung der Bausteine untereinander dar. Grundsätzlich müssen alle für den jeweiligen Informationsverbund relevanten Bausteine des IT-Grundschutz-Kompendiums umgesetzt werden.

Die Kennzeichnung der Bausteine stellt außerdem nur eine Empfehlung dar, in welcher Reihenfolge die verschiedenen Bausteine sinnvoll umgesetzt werden könnten. Jede Institution kann hier eine abweichende, für sich sinnvolle Reihenfolge festlegen.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK