1 IT-Grundschutz - Basis für IT-Sicherheit
1.3 Aufbau der IT-Grundschutz-Kataloge

Die IT-Grundschutz-Kataloge lassen sich in verschiedene Bereiche untergliedern, die zum besseren Verständnis hier kurz erläutert werden sollen:
Einstieg und Vorgehensweise
In diesem einleitenden Teil wird die Konzeption IT-Grundschutz und die Vorgehensweise zur Erstellung eines Sicherheitskonzepts nach IT-Grundschutz kurz vorgestellt. Eine ausführliche Beschreibung der Vorgehensweise nach IT-Grundschutz findet sich im BSI-Standard 100-2. Außerdem wird die Struktur der IT-Grundschutz-Kataloge und deren Nutzung erläutert.
IT-Sicherheitsmanagement
Die Planungs- und Lenkungsaufgabe, die erforderlich ist, um einen durchdachten und planmäßigen IT-Sicherheitsprozess aufzubauen und kontinuierlich umzusetzen, wird als IT-Sicherheitsmanagement bezeichnet.
Die Erfahrung zeigt, dass es ohne ein funktionierendes IT-Sicherheitsmanagement praktisch nicht möglich ist, ein durchgängiges und angemessenes IT-Sicherheitsniveau zu erzielen und zu erhalten. Daher wird im BSI-Standard 100-1 "Managementsysteme für Informationssicherheit (ISMS)" beschrieben, wie ein solches Managementsystem aufgebaut werden kann.
Aufbauend hierauf wird außerdem in Baustein B 1.0 der IT-Grundschutz-Kataloge beschrieben, wie ein effizientes IT-Sicherheitsmanagement aussehen sollte und welche Organisationsstrukturen dafür sinnvoll sind. Es wird außerdem ein systematischer Weg aufgezeigt, wie ein funktionierendes IT-Sicherheitsmanagement eingerichtet und im laufenden Betrieb weiterentwickelt werden kann.
Bausteine
Die Bausteine der IT-Grundschutz-Kataloge enthalten jeweils eine Kurzbeschreibung für die betrachteten Komponenten, Vorgehensweisen und IT-Systeme sowie einen Überblick über die Gefährdungslage und die Maßnahmenempfehlungen. Die Bausteine sind nach dem IT-Grundschutz-Schichtenmodell in die folgenden Kataloge gruppiert:
- B 1: Übergeordnete Aspekte der IT-Sicherheit
- B 2: Sicherheit der Infrastruktur
- B 3: Sicherheit der IT-Systeme
- B 4: Sicherheit im Netz
- B 5: Sicherheit in Anwendungen
Gefährdungskataloge
Dieser Bereich enthält die ausführlichen Beschreibungen der Gefährdungen, die in den einzelnen Bausteinen als Gefährdungslage genannt wurden. Die Gefährdungen sind in fünf Kataloge gruppiert:
- G 1: Höhere Gewalt
- G 2: Organisatorische Mängel
- G 3: Menschliche Fehlhandlungen
- G 4: Technisches Versagen
- G 5: Vorsätzliche Handlungen
Maßnahmenkataloge
Dieser Teil beschreibt die in den Bausteinen der IT-Grundschutz-Kataloge zitierten IT-Sicherheitsmaßnahmen ausführlich. Die Maßnahmen sind in sechs Maßnahmenkataloge gruppiert:
- M 1: Infrastruktur
- M 2: Organisation
- M 3: Personal
- M 4: Hard- und Software
- M 5: Kommunikation
- M 6: Notfallvorsorge
Aufbau der Bausteine
Die zentrale Rolle der IT-Grundschutz-Kataloge spielen die Bausteine, deren Aufbau im Prinzip gleich ist. Jeder Baustein beginnt mit einer kurzen Beschreibung der betrachteten Komponente, der Vorgehensweise bzw. des IT-Systems.
Im Anschluss daran wird die Gefährdungslage dargestellt. Die Gefährdungen sind dabei nach den genannten Bereichen Höhere Gewalt, Organisatorische Mängel, Menschliche Fehlhandlungen, Technisches Versagen und Vorsätzliche Handlungen unterteilt.
Um die Bausteine übersichtlich zu gestalten und um Redundanzen zu vermeiden, werden die Gefährdungstexte lediglich referenziert. Hier ein Beispiel für das Zitat einer Gefährdung innerhalb eines Bausteins:
- G 4.1 Ausfall der Stromversorgung
Im Kürzel G x.y steht der Buchstabe "G" für Gefährdung. Die Zahl x vor dem Punkt bezeichnet den Gefährdungskatalog (hier G 4 = Technisches Versagen) und die Zahl y nach dem Punkt bezeichnet die laufende Nummer der Gefährdung innerhalb des jeweiligen Katalogs. Es folgt der Titel der Gefährdung. Ein Einlesen in die Gefährdungen ist aus Gründen der Sensibilisierung und des Verständnisses der Maßnahmen empfehlenswert, aber für die Erstellung eines IT-Sicherheitskonzepts nach IT-Grundschutz nicht zwingend erforderlich.
Den wesentlichen Teil eines jeden Bausteins bilden die Maßnahmenempfehlungen, die sich an die Gefährdungslage anschließen. Zunächst erfolgen kurze Hinweise zum jeweiligen Maßnahmenbündel. So enthalten diese Ausführungen z. B. Hinweise zur folgerichtigen Reihenfolge bei der Realisierung der notwendigen Maßnahmen.
In jedem Baustein wird für das betrachtete Themengebiet vor der Maßnahmen-Liste eine Übersicht in Form eines "Lebenszyklus" gegeben, welche Maßnahmen in welcher Phase der Bearbeitung zu welchem Zweck umgesetzt werden sollten. In der Regel können die folgenden Phasen identifiziert werden, wobei für jede dieser Phasen typische Arbeiten angegeben sind, die im Rahmen einzelner Maßnahmen durchgeführt werden. Phasenübergreifend wirken dabei das IT-Sicherheitsmanagement und die Revision, die den gesamten Lebenszyklus begleiten und kontrollieren.
Phase | typische Tätigkeiten |
---|---|
Planung und Konzeption |
|
Beschaffung (sofern erforderlich) |
|
Umsetzung |
|
Betrieb |
|
Aussonderung (sofern erforderlich) |
|
Notfallvorsorge |
|
Es finden sich nicht in allen Bausteinen für jede Phase Maßnahmen. So findet sich beispielsweise im Baustein IIS-Server keine Maßnahme in der Beschaffungsphase, da dieser Baustein auf der Umsetzung des Bausteins Webserver basiert und hier die Auswahl eines Produkts bereits entschieden wurde.
Da alle Geschäftsprozesse, IT-Systeme und Einsatzbedingungen sich ständig ändern und weiterentwickelt werden, müssen die Phasen erfahrungsgemäß immer wieder durchlaufen werden. Dies sicherzustellen ist Aufgabe des IT-Sicherheitsmanagements.
Analog zu den Gefährdungen sind die Maßnahmen in die Maßnahmenkataloge Infrastruktur, Organisation, Personal, Hard- und Software, Kommunikation und Notfallvorsorge gruppiert. Wie bei den Gefährdungen wird hier ebenfalls nur auf die entsprechende Maßnahme referenziert. Hier ein Beispiel für das Zitat einer empfohlenen Maßnahme innerhalb eines Bausteins:
- M 1.15 (A) Geschlossene Fenster und Türen
Im Kürzel M x.y bezeichnet "M" eine Maßnahme, die Zahl x vor dem Punkt den Maßnahmenkatalog (hier M 1 = Infrastruktur). Die Zahl y nach dem Punkt ist die laufende Nummer der Maßnahme innerhalb des jeweiligen Katalogs.
Mit dem Buchstaben in Klammern - hier (A) - wird zu jeder Maßnahme die Qualifizierungsstufe angegeben, also eine Einstufung, ob diese Maßnahme für die IT-Grundschutz-Qualifizierung gefordert wird. Folgende Einstufungen sind vorgesehen:
A | (Einstieg) | Diese Maßnahmen müssen für alle drei Ausprägungen der Qualifizierung nach IT-Grundschutz (Auditor-Testat "IT-Grundschutz Einstiegsstufe", Auditor-Testat "IT-Grundschutz Aufbaustufe" und ISO 27001-Zertifikat auf Basis von IT-Grundschutz) umgesetzt sein. Diese Maßnahmen sind essentiell für die Sicherheit innerhalb des betrachteten Bausteins. Sie sind vorrangig umzusetzen. |
B | (Aufbau) | Diese Maßnahmen müssen für das Auditor-Testat "IT-Grundschutz Aufbaustufe" und für das ISO 27001-Zertifikat auf Basis von IT-Grundschutz umgesetzt sein. Sie sind besonders wichtig für den Aufbau einer kontrollierbaren IT-Sicherheit. Eine zügige Realisierung ist anzustreben. |
C | (Zertifikat) | Diese Maßnahmen müssen für das ISO 27001-Zertifikat auf Basis von IT-Grundschutz umgesetzt sein. Sie sind wichtig für die Abrundung der IT-Sicherheit. Bei Engpässen können sie zeitlich nachrangig umgesetzt werden. |
Z | (zusätzlich) | Diese Maßnahmen müssen weder für ein Auditor-Testat noch für das ISO 27001-Zertifikat auf Basis von IT-Grundschutz verbindlich umgesetzt werden. Sie stellen Ergänzungen dar, die vor allem bei höheren Sicherheitsanforderungen hilfreich sein können. |
Um ein IT-Sicherheitskonzept nach IT-Grundschutz erstellen und den dabei notwendigen Soll-Ist-Vergleich durchführen zu können, ist es erforderlich, die Texte zu den jeweils in den identifizierten Bausteinen enthaltenen Maßnahmen im jeweiligen Maßnahmenkatalog sorgfältig zu lesen. Als Beispiel sei hier ein Auszug aus einer Maßnahme zitiert:
M 2.11 Regelung des Passwortgebrauchs
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Benutzer
[Maßnahmentext ...]
Ergänzende Kontrollfragen:
- Sind die Benutzer über den korrekten Umgang mit Passwörtern unterrichtet worden?
[...]
Die Maßnahmentexte sind sinngemäß umzusetzen. Sie sind so geschrieben, dass sie auf möglichst viele Bereiche angewendet werden können. Bevor die Maßnahmenempfehlungen umgesetzt werden, ist immer zu überlegen, ob sie für die jeweilige Organisation oder IT-Umgebungen angepasst werden müssen. Alle Änderungen sollten dokumentiert werden, damit die Gründe auch später noch nachvollziehbar sind.
Neben der eigentlichen Empfehlung, wie die einzelnen Maßnahmen umzusetzen sind, werden Verantwortliche beispielhaft genannt. Verantwortlich für die Initiierung bezeichnet die Personen oder Rollen, die die Umsetzung einer Maßnahme typischerweise veranlassen sollten. Verantwortlich für die Umsetzung bezeichnet die Personen oder Rollen, die die Maßnahme realisieren sollten.
Weiterhin werden ergänzende Kontrollfragen angeführt, die das behandelte Thema abrunden und nochmals einen kritischen Blick auf die Umsetzung der Maßnahmen bewirken sollen. Diese ergänzenden Kontrollfragen erheben dabei jedoch keinen Anspruch auf Vollständigkeit.
Der Zusammenhang zwischen den für den IT-Grundschutz angenommenen Gefährdungen und den empfohlenen Maßnahmen kann den Maßnahmen-Gefährdungstabellen entnommen werden. Diese finden sich auf den Grundschutz-Seiten der BSI-Webseite. Für jeden Baustein gibt es eine Maßnahmen-Gefährdungstabelle.
Als Beispiel sei ein Auszug aus der Maßnahmen-Gefährdungstabelle für den Baustein B 2.10 Mobiler Arbeitsplatz angeführt:
|
G |
G |
G |
G |
G |
G |
G |
G |
G |
G |
G |
G |
||
M 1.15 |
BT |
A |
X |
X |
||||||||||
M 1.23 |
BT |
A |
X |
X |
||||||||||
M 1.45 |
BT |
A |
X |
X |
X |
X |
X |
|||||||
M 1.46 |
BT |
Z |
X |
|||||||||||
M 1.61 |
PK |
A |
X |
X |
X |
X |
X |
Alle Tabellen haben einen einheitlichen Aufbau. In der Kopfzeile sind die im dazugehörigen Baustein aufgelisteten Gefährdungen mit ihren Nummern eingetragen. In der ersten Spalte finden sich entsprechend die Nummern der Maßnahmen wieder. In der zweiten Spalte ist eingetragen, welche Priorität die einzelne Maßnahme für den betrachteten Baustein besitzt. In der dritten Spalte ist notiert, welche Einstufung bezüglich einer Grundschutz-Qualifizierung die einzelne Maßnahme für den betrachteten Baustein besitzt.
Die übrigen Spalten beschreiben den Zusammenhang zwischen Maßnahmen und Gefährdungen. Ist in einem Feld ein "X" eingetragen, so bedeutet dies, dass die korrespondierende Maßnahme gegen die entsprechende Gefährdung wirksam ist. Diese Wirkung kann schadensvorbeugender oder schadensmindernder Natur sein.
Zu beachten ist, dass in den Maßnahmen-Gefährdungstabellen nur die wichtigsten Gefährdungen angeführt sind, gegen die eine bestimmte Maßnahme wirkt. Dies bedeutet insbesondere, dass eine Maßnahme nicht automatisch überflüssig wird, wenn alle in der Tabelle zugeordneten Gefährdungen in einem bestimmten Anwendungsfall nicht relevant sind. Ob auf eine Standard-Sicherheitsmaßnahme verzichtet werden kann, muss immer im Einzelfall anhand der vollständigen Sicherheitskonzeption und nicht nur anhand der Maßnahmen-Gefährdungstabelle geprüft und dokumentiert werden.
Abschließend sei erwähnt, dass sämtliche Bausteine, Gefährdungen, Maßnahmen, Tabellen und Hilfsmittel in elektronischer Form verfügbar sind. Diese Texte können bei der Erstellung eines IT-Sicherheitskonzeptes und bei der Realisierung von Maßnahmen weiterverwendet werden.