Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: 4 Neues - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

Neues in der 10. Ergänzungslieferung der IT-Grundschutz-Kataloge

Bedarfsorientierte Weiterentwicklung

Aufgrund der jährlichen Bedarfsabfrage bei registrierten Anwendern wurden die IT-Grundschutz-Kataloge bedarfsorientiert weiterentwickelt. Die neuen und überarbeiteten Bausteine befassen sich mit folgenden Themen:

Sicherheitsmanagement

Da die BSI-Standards zum Sicherheitsmanagement 100-1, 2 und 3 dieses Jahr überarbeitet wurden, ergab sich auch Änderungsbedarf am Baustein B 1.0 Sicherheitsmanagement. Schwerpunkt der Änderungen war der Paradigmenwechsel von "IT-Sicherheit" zu "Informationssicherheit", der mehr als ein reiner Begriffswechsel ist. Außerdem wird nun auch unterstrichen, dass die Ziele und Geschäftsprozesse einer Institution der Ausgangspunkt aller Sicherheitsüberlegungen sind. Zudem wurden die Fortschreibungen der ISO-Standards der ISO 2700x-Reihe eingearbeitet und die optimierte Gliederung der IT-Grundschutz-Vorgehensweise aus dem BSI-Standard 100-2 übernommen.

Patch- und Änderungsmanagement

Der Baustein B 1.14 Patch- und Änderungsmanagement zeigt, wie ein funktionierendes Patch- und Änderungsmanagement aufgebaut werden kann, wie der entsprechende Prozess zum Patch- und Änderungsmanagement kontrolliert und optimiert werden kann, damit Störungen im Betrieb vermieden sowie Sicherheitslücken minimiert und zeitnah beseitigt werden können. Die organisatorische Umsetzung des Patch- und Änderungsmanagements stellt eine Querschnittsfunktion durch verschiedene Abteilungen einer Institution dar. Insbesondere sind der IT-Betrieb, das Informationssicherheitsmanagement und die Fachabteilungen einzubinden.

VPN / Remote Access

Der Baustein B 4.4 Remote Access wurde überarbeitet und zu einem Baustein VPN verallgemeinert. Mit Hilfe des Bausteins B 4.4 VPN können mit Virtuellen Privaten Netzen (VPNs) Sicherheitsmaßnahmen realisiert werden, um schutzwürdige Daten über nicht-vertrauenswürdige Netze zu übertragen. Ein VPN ist ein Netz, das physisch innerhalb eines anderen Netzes, wie beispielsweise dem Internet, betrieben wird, jedoch logisch von diesem Netz getrennt ist.

Der bisherige Baustein Remote Access findet sich als Spezialfall im Baustein B 4.4 VPN wieder.

Allgemeiner Verzeichnisdienst

Mit dem Baustein B 5.15 Allgemeiner Verzeichnisdienst hält ein generischer Baustein rund um Verzeichnisdienste Einzug in die IT-Grundschutz-Kataloge. Der Baustein beschreibt dabei das prinzipielle Vorgehen wie ein Verzeichnisdienst unabhängig vom gewählten Produkt abgesichert werden kann. Neben der grundlegenden Erstellung eines Sicherheitskonzeptes und einer Sicherheitsrichtlinie für Verzeichnisdienste beschreibt der Baustein auch die technische Absicherung durch sichere Installation und Konfiguration von Verzeichnisdienst-Komponenten, auch von Zugriffsschnittstellen wie beispielsweise über LDAP. Der Baustein bildet die Grundlage für die Bausteine B 5.9 Novell eDirectory und dem ebenfalls neuen Baustein B 5.16 Active Directory.

Active Directory

Der von Microsoft entwickelte Verzeichnisdienst Active Directory ist ein wichtiger Bestandteil der Windows Server Betriebssysteme seit Windows 2000 Server. Zur besseren Einordnung wurden die Active Directory Teile aus den Bausteinen B 3.106 Server unter Windows 2000 und B 3.108 Windows Server 2003 entfernt und in den neuen Baustein B 5.16 Active Directory überführt.

Aufbauend auf dem Baustein B 5.15 Allgemeiner Verzeichnisdienst beschreibt der Baustein alle spezifischen Sicherheitsmaßnahmen für den Betrieb eines Active Directory auf einem der genannten Windows Server Betriebssysteme.

Telearbeit und Häuslicher Arbeitsplatz

Die Bausteine B 2.8 Häuslicher Arbeitsplatz und B 5.8 Telearbeit wurden überarbeitet, um der aktuellen Entwicklung hin zu verteiltem Arbeiten am häuslichen bzw. institutsfremden Arbeitsplatz aufgrund des steigenden Vernetzungsgrades Rechnung zu tragen. Grundsätzlich ist Telearbeit jede auf die Informations- und Kommunikationstechnik gestützte Tätigkeit, die ausschließlich oder zeitweise außerhalb der Gebäude des Arbeit- bzw. Auftraggebers verrichtet wird. Diese Arbeit kann an einem häuslichen Arbeitsplatz erfolgen, aber ebenso mobil von unterwegs oder aus Satelittenbüros. Während sich der Baustein Telearbeit mehr den Problemen des verteilten Arbeitens widmet, geht es im Baustein Häuslicher Arbeitsplatz um die Einrichtung und Benutzung des Arbeitsplatzes.

Neue Maßnahmen und Gefährdungen

Außerdem sind verschiedene neue Maßnahmen und Gefährdungen aufgenommen worden, beispielsweise zu den Themen

Bausteine entfernt

Neben verschiedenen Bausteinen, die der 10. Ergänzungslieferung hinzugefügt wurden, wurden diesmal auch Bausteine entfernt, und zwar die Bausteine B 3.104 Server unter Novell Netware 3.x und B 3.206 Client unter Windows 95, da hier Betriebssysteme betrachtet wurden, die sich mittlerweile kaum noch in Institutionen im Einsatz befinden. Für die Anwender, die diese Betriebssysteme noch im Einsatz haben, werden die Bausteine weiterhin zum Download unter den Hilfsmitteln zum IT-Grundschutz zur Verfügung stehen.

Prüffragen

Bisher wurden am Ende vieler Maßnahmen ergänzende Kontrollfragen angeführt, die das behandelte Thema abrunden und nochmals einen kritischen Blick auf die Umsetzung der Maßnahmen bewirken sollten. Diese ergänzenden Kontrollfragen sollten Denkanstösse geben, aber keine Prüffragen ersetzen. Sie können also beispielsweise nicht bei Revisionen oder Audits eingesetzt werden, um den Umsetzungsgrad einer Maßnahme zu bestimmen. Sie erhoben auch nie einen Anspruch auf Vollständigkeit.

Da dies immer wieder zu Verwirrungen führte, werden die ergänzenden Kontrollfragen in neuen Bausteinen jetzt durch Prüffragen abgelöst. Diese sind so formuliert, dass sie als letzte Checkliste benutzt werden können, um die Umsetzung der Maßnahmen kontrollieren zu können. Sie geben Ziel und Grundrichtung der Sicherheitsempfehlungen vor und können damit als Grundlage für Revisionen und Zertifizierungsaudits benutzt werden.

W-Maßnahmen

Bisher gab es im IT-Grundschutz vier Qualifizierungsstufen, um einordnen zu können, ob die jeweilige Maßnahme für die IT-Grundschutz-Qualifizierung gefordert wird.

Es hat sich gezeigt, dass es sinnvoll ist, Grundlagenwissen in IT-Grundschutz-Maßnahmen mit aufzunehmen, da dies das Einarbeiten in neue Themenbereiche erleichtert. Andererseits erhöht dies die Informationsbreite und Komplexität von Maßnahmen. Daher werden mit dieser Ergänzungslieferung W-Maßnahmen eingeführt, die der Wissensvermittlung dienen. Ihre Inhalte sind für das Verständnis und die Umsetzung der anderen Maßnahmen hilfreich, sie müssen aber weder für ein Auditor-Testat noch für das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz geprüft werden.

Aktualisierung und Überarbeitung

Da der Begriff "Informationssicherheit" umfassender ist als der Ausdruck "IT-Sicherheit", wird ersterer zunehmend verwendet. IT-Grundschutz verfolgt schon lange einen ganzheitlichen Ansatz, bei dem auch geschäftsrelevante Informationen und Geschäftsprozesse geschützt werden sollen, die nicht oder nur teilweise durch IT unterstützt werden. Der Begriff "IT-Sicherheit" ist eingeführt und weit verbreitet, daher wird er in dieser sowie in anderen Publikationen des IT-Grundschutzes weiterhin häufig verwendet, allerdings werden die Texte sukzessive stärker auf die Betrachtung von Informationssicherheit ausgerichtet.

Darüber hinaus wurden zahlreiche einzelne Gefährdungen und Maßnahmen an neue technische Entwicklungen, neue Bedrohungsszenarien und neue Entwicklungen in der Informationssicherheit angepasst.

Weitere strukturelle Veränderungen wurden in der aktualisierten Ausgabe nicht durchgeführt. Die Nummerierung bestehender Gefährdungen und Maßnahmen blieb erhalten, sodass ein im Vorjahr auf Basis der IT-Grundschutz-Kataloge erstelltes Sicherheitskonzept fortgeschrieben werden kann. Es empfiehlt sich dennoch, die ausgewählten Maßnahmen bei der Bearbeitung komplett zu lesen, um Ergänzungen berücksichtigen zu können und um das Wissen zur Informationssicherheit aufzufrischen.