1 IT-Grundschutz - Basis für IT-Sicherheit
1.1 Warum ist IT-Sicherheit wichtig?

Weder ein Unternehmen noch eine Behörde sind mittlerweile ohne funktionierende Informationstechnik (IT) noch lebensfähig. Hierzu gehört auch, dass diese IT sicher betrieben wird. Ein anerkanntes Standardwerk, in dem für die verschiedensten IT-Umgebungen Empfehlungen zum sicheren Umgang mit Information und IT gegeben wird, sind die IT-Grundschutz-Kataloge.
Nahezu alle Geschäftsprozesse und Fachaufgaben werden mittlerweile elektronisch gesteuert. Große Mengen von Informationen werden dabei digital gespeichert, elektronisch verarbeitet und in lokalen und globalen sowie in privaten und öffentlichen Netzen übermittelt. Viele öffentliche oder privatwirtschaftliche Aufgaben und Vorhaben können ohne IT überhaupt nicht mehr oder im besten Fall nur noch teilweise durchgeführt werden. Damit sind viele Institutionen in Verwaltung und Wirtschaft von dem einwandfreien Funktionieren der eingesetzten IT abhängig. Die jeweiligen Behörden- und Unternehmensziele können nur bei ordnungsgemäßem und sicheren IT-Einsatz erreicht werden.
Mit der Abhängigkeit von der IT erhöht sich auch der potenzielle soziale Schaden durch den Ausfall von Informationstechnik. Da IT an sich nicht frei von Schwachstellen ist, besteht ein durchaus berechtigtes Interesse, die von der IT verarbeiteten Daten und Informationen zu schützen und die Sicherheit der IT zu planen, zu realisieren und zu kontrollieren.
Die Schäden durch IT-Fehlfunktionen können verschiedenen Kategorien zugeordnet werden. Am auffälligsten ist der Verlust der Verfügbarkeit: Läuft ein IT-System nicht, können keine Geldtransaktionen durchgeführt werden, Online-Bestellungen sind unmöglich, Produktionsprozesse stehen still. Häufig diskutiert ist auch der Verlust der Vertraulichkeit von Daten: Jeder Bürger weiß um die Notwendigkeit, seine personenbezogenen Daten vertraulich zu halten, jedes Unternehmen weiß, dass firmeninterne Daten über Umsatz, Marketing, Forschung und Entwicklung die Konkurrenz interessieren. Aber auch der Verlust der Integrität (Korrektheit von Daten) kann schwerwiegende Folgen haben: gefälschte oder verfälschte Daten führen zu Fehlbuchungen, Produktionsprozesse stoppen wegen fehlerhafter Lieferungen, falsche Entwicklungs- und Planungsdaten führen zu fehlerhaften Produkten. Seit einigen Jahren gewinnt auch der Verlust der Authentizität als ein Teilbereich der Integrität an Bedeutung: Daten werden einer falschen Person zugeordnet. Beispielsweise können Zahlungsanweisungen oder Bestellungen zu Lasten einer dritten Person verarbeitet werden, ungesicherte digitale Willenserklärungen können falschen Personen zugerechnet werden, die "digitale Identität" wird gefälscht.
Dabei wird diese Abhängigkeit von der Informationstechnik in Zukunft noch weiter zunehmen. Besonders erwähnenswert sind dabei folgende Entwicklungen:
- Steigender Vernetzungsgrad:
IT-Systeme arbeiten heutzutage nicht mehr isoliert voneinander, sondern werden immer stärker vernetzt. Die Vernetzung ermöglicht es, auf gemeinsame Datenbestände zuzugreifen und intensive Formen der Kooperation über geographische Grenzen hinweg zu nutzen. Damit entsteht nicht nur eine Abhängigkeit von den einzelnen IT-Systemen, sondern in starkem Maße auch von den Datennetzen. Sicherheitsmängel eines IT-Systems können aber dadurch schnell globale Auswirkungen haben. - IT-Verbreitung und Durchdringung:
Immer mehr Bereiche werden durch Informationstechnik unterstützt, häufig, ohne dass dies auffällt. Die erforderliche Hardware wird zunehmend kleiner und günstiger, so dass kleine und kleinste IT-Einheiten in alle Bereiche des Alltags integriert werden können. So gibt es beispielsweise Jacken mit integrierten PDAs, RFIDs zur Steuerung von Besucher- oder Warenströmen, IT-gestützte Sensorik in Autos, um automatisch auf veränderte Umgebungsverhältnisse reagieren zu können. Die Kommunikation der verschiedenen IT-Komponenten untereinander findet dabei zunehmend drahtlos statt. - Verschwinden der Netzgrenzen:
Bis vor kurzem ließen sich IT-Anwendungen ganz klar auf die IT-Systeme und die Kommunikationsstrecken dazwischen begrenzen. Ebenso ließ sich sagen, an welchen Standorten und bei welcher Institution diese angesiedelt waren. Durch Globalisierung und die Zunahme von drahtloser und spontaner Kommunikation verschwinden diese Grenzen zunehmend. - Angriffe kommen schneller:
Die beste Vorbeugung gegen Computer-Viren, Würmer oder andere Angriffe auf IT-Systeme ist die frühzeitige Information über Sicherheitslücken und deren Beseitigung, z. B. durch Einspielen von Patches und Updates. Mittlerweile sinkt allerdings die Zeitspanne zwischen dem Bekanntwerden einer Sicherheitslücke und den ersten gezielten Massenangriffen darauf, so dass es immer wichtiger wird, ein gut aufgestelltes IT-Sicherheitsmanagement und Warnsystem zu haben.
Angesichts der vorgestellten Gefährdungspotentiale und der steigenden Abhängigkeit stellen sich damit für jede Institution, sei es ein Unternehmen oder eine Behörde, bezüglich IT-Sicherheit mehrere zentrale Fragen:
- Wie sicher ist die Informationstechnik einer Institution?
- Welche IT-Sicherheitsmaßnahmen müssen ergriffen werden?
- Wie müssen diese Maßnahmen konkret umgesetzt werden?
- Wie hält bzw. verbessert eine Institution das erreichte Sicherheitsniveau?
- Wie sicher ist die IT anderer Institutionen, mit denen eine Kooperation stattfindet?
Bei der Suche nach Antworten auf diese Fragen ist zu beachten, dass IT-Sicherheit nicht alleine eine technische Fragestellung ist. Um ein ausreichend sicheres IT-System betreiben zu können, sind neben den technischen auch organisatorische, personelle und baulich-infrastrukturelle Maßnahmen zu realisieren und insbesondere ist ein IT-Sicherheitsmanagement einzuführen, das die Aufgaben zur IT-Sicherheit konzipiert, koordiniert und überwacht.
Vergleicht man jetzt die IT-Systeme aller Institutionen im Hinblick auf obige Fragen, so kristallisiert sich eine besondere Gruppe von IT-Systemen heraus. Die IT-Systeme in dieser Gruppe lassen sich wie folgt charakterisieren:
- Es sind typische IT-Systeme, d. h. diese Systeme sind keine Individuallösungen, sondern sie sind weit verbreitet im Einsatz.
- Der Schutzbedarf der IT-Systeme bezüglich Vertraulichkeit, Integrität und Verfügbarkeit liegt im Rahmen des Normalmaßes.
- Zum sicheren Betrieb der IT-Systeme sind Standard-Sicherheitsmaßnahmen aus den Bereichen Infrastruktur, Organisation, Personal, Technik und Notfallvorsorge erforderlich.
Gelingt es, für diese Gruppe der "typischen" IT-Systeme den gemeinsamen Nenner aller Sicherheitsmaßnahmen, die Standard-Sicherheitsmaßnahmen, zu beschreiben, so würde dies die Beantwortung obiger Fragen für diese "typischen" IT-Systeme erheblich erleichtern. IT-Systeme, die außerhalb
dieser Gruppe liegen, seien es seltenere Individualsysteme oder IT-Systeme mit sehr hohem Schutzbedarf, können sich dann zwar an den Standard-Sicherheitsmaßnahmen orientieren, bedürfen letztlich aber einer individuellen Betrachtung.
Die IT-Grundschutz-Kataloge beschreiben detailliert diese Standard-Sicherheitsmaßnahmen, die praktisch für jedes IT-System zu beachten sind. Sie umfassen:
- Standard-Sicherheitsmaßnahmen für typische IT-Systeme mit "normalem" Schutzbedarf,
- eine Darstellung der pauschal angenommenen Gefährdungslage,
- ausführliche Maßnahmenbeschreibungen als Umsetzungshilfe,
- eine Beschreibung des Prozesses zum Erreichen und Aufrechterhalten eines angemessenen IT-Sicherheitsniveaus und
- eine einfache Verfahrensweise zur Ermittlung des erreichten IT-Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs.
Dabei ist die Resonanz sehr positiv. Auf den BSI-Webseiten findet sich ein Auszug aus der Liste derjenigen Institutionen, die IT-Grundschutz einsetzen. Sie stellt im Überblick dar, in welchen Branchen und in welchen Firmen bzw. Behörden IT-Grundschutz angewendet wird.
Da der IT-Grundschutz auch international großen Anklang findet, werden die IT-Grundschutz-Kataloge und das GSTOOL, aber auch die meisten anderen Dokumente zum IT-Grundschutz zusätzlich in englischer Sprache digital zur Verfügung gestellt.