Hilfsmittel
Informationen externer Anwender
Von verschiedenen Anwendern von IT-Grundschutz wurden Informationen bzw. Hilfsmittel erstellt, die bei der Anwendung der IT-Grundschutz-Vorgehensweise und der Umsetzung von Sicherheitsmaßnahmen auf für andere Anwender hilfreich sein können. Hierfür wurden diese dem BSI freundlicherweise zur Veröffentlichung zur Verfügung gestellt.
Alle Informationen und Hilfsmittel, die von IT-Grundschutz-Anwendern erarbeitet und anderen Anwendern hier zur Verfügung gestellt werden, erspart der "Interessengemeinschaft IT-Sicherheit" erhebliche Arbeit, indem das Rad nicht immer wieder neu erfunden werden muss. Hilfsmittel können dem BSI über die IT-Grundschutz-Hotline (Telefon: 0228 99 9582-5369 oder grundschutz@bsi.bund.de) übermittelt werden.
Hinweis: Die auf dieser Webseite veröffentlichten Informationen und Hilfsmittel sind nicht vom BSI erstellt bzw. qualitätsgesichert worden und spiegeln in erster Linie die Meinung der jeweiligen Autoren wieder.
Die Dokumente sind überwiegend nicht barrierefrei.
Liste mit den zur Verfügung gestellten Dokumenten
- Kompass der IT-Sicherheitsstandards
Das Herzstück des Leitfadens, der "Kompass der IT-Sicherheitsstandards" der BITKOM und dem DIN, klassifiziert bekannte Standards sowie Standards für spezielle Sicherheitsfunktionen, so dass der Leser diese für sein Unternehmen bewerten und ggf. als relevant einschätzen kann. Im Kompass sind auch ausgewählte Vorschriften aufgeführt, die im Zusammenhang mit IT-Sicherheit in Medien und Publikationen immer wieder erwähnt werden. Auch diese sind klassifiziert und können so auf ihre Relevanz überprüft werden. Nicht jeder Standard ist für jedes Unternehmen sinnvoll. - Best Practice Guideline – VMware Infrastructure 3.5 Security (PDF 650 kB)
Dieses Überblickspapier beschreibt die wichtigsten Sicheitsempfehlungen, die bei VMware Infrastructure 3.5 beachtet werden sollten. Das Dokument wurde freundlicherweise von Thomas Reichenberger von der ACP IT Solutions AG dem BSI zur Verfügung gestellt. - Informationen zum NDS-CERT:
"Untersuchung zur Notwendigkeit und Organisationsstrukur eines CERTs"
Ein Computer-Notfallteam oder auch Computer Emergency Response Team (CERT) trägt mit seiner Expertise zum Thema IT-Sicherheit maßgeblich dazu bei, dass möglichen Angriffen auf IT-Infrastrukturen bereits im Vorfeld -präventiv- wirksam begegnet werden kann.
Neben Dienstleistungen im Bereich der Prävention liegen die Aufgaben eines CERT in erster Linie bei der Aufklärung und Bewältigung von erfolgten Angriffen; fachlicher Begriff: Incident Response.
Ob der Aufbau einer CERT-Infrastruktur für einen großen IT-Verbund wie die niedersächsische Landesverwaltung sinnvoll und notwendig ist und wie ein solcher aufgebaut werden könnte, wurde in diesem Bericht untersucht, der freundlicherweise von der niedersächsischen Landesverwaltung zur Verfügung gestellt wurde (CERT-Leistungen für Niedersachsen Abschlussbericht (PDF 559 kB)).
Dazu gehört die Untersuchung kritischer Erfolgsfaktoren für ein CERT (PDF 2,71 MB), wie es hier ebenfalls am Beispiel CERT-Niedersachsen vorgestellt wird. - IT-Sicherheitsleitlinie
(PDF 41 kB):
Die bereitgestellte IT-Sicherheitsleitlinie wurde freundlicherweise von einem Unternehmen aus dem Finanzsektor zur Verfügung gestellt. - Fax-Fragebogen (PDF 22 kB):
Der Fax-Fragebogen dient der Analyse des Umsetzungsgrades der in den IT-Grundschutz-Katalogen vorgeschlagenen Sicherheitsmaßnahmen für Faxgeräte.
Der Fax-Fragebogen wurde dem BSI von der Flughafen Düsseldorf AG zur Verfügung gestellt. - Dienstanweisung für IT-Sicherheitsbeauftragte (PDF 13 kB):
Es wurde ein Muster für eine Dienstanweisung für IT-Sicherheitsbeauftragte erstellt und hier zur Verfügung gestellt. - Information Security Policy (PDF 19 kB):
Eine IT-Sicherheitspolitik oder IT-Sicherheitsleitlinie ist ein wesentlicher Bestandteil des IT-Sicherheitsprozesses. Ein Beispiel für eine Information Security Policy wurde dem BSI freundlicherweise von einem registrierten Anwender übersandt. - IT-Sicherheitsmaßnahmen bei Datenfernübertragungseinrichtungen (PDF 14 kB):
Diese Dienstanweisung über IT-Sicherheitsmaßnahmen beim Betrieb individueller Datenfernübertragungseinrichtungen wie Modems, ISDN-Karten, etc. wurde vom Bundeskriminalamt, Wiesbaden zur Verfügung gestellt. - Foliensatz "Notfallplanung" (PPT 861 kB):
Von der Commerzbank AG wurde für die Präsentation des Themas Notfallplanung ein Foliensatz auf der Basis von Powerpoint erstellt. In diesem ist dargestellt, welche Punkte bei der Notfallplanung zu beachten sind. - Übersichtsmatrix
Bausteine/Maßnahmen (Excel 290 kB)
Die LTU hat eine Matrix (Excel-Format/Anlage) zur Verfügung gestellt, die die Verbindung zwischen abzuarbeitenden Kapiteln der IT-Grundschutz-Kataloge und den jeweiligen Maßnahmenkatalogen herstellt. Dies erleichtert es, zu erkennen, ob eine dieser Maßnahmen bereits in einem anderen Kapitel bearbeitet wurde. Im Schnittpunkt ist noch zusätzlich angegeben, ob unterschiedliche Prioritäten verwendet wurden. - IuK-Mindestanforderungen (PDF 44 kB):
Der Bundesrechnungshof hat zusammen mit den Rechnungshöfen der Länder neue "Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zum Einsatz der Informations- und Kommunikationstechnik (IuK-Mindestanforderungen)" herausgegeben .
Die IuK-Mindestanforderungen sollen dazu beitragen, möglichen Fehlern und Fehlentwicklungen bei Einführung und Weiterentwicklung der IuK in der Bundesverwaltung entgegenzuwirken sowie Problembewusstsein zu schaffen und zu intensivieren. Es werden Kriterien dargelegt, die bei der Einführung von IuK beachtet werden sollten. Dazu gehört die Umsetzung der Sicherheitsmaßnahmen der IT-Grundschutz-Kataloge. - PC-Anwendungsentwicklung durch den
Endbenutzer (PDF 24 kB):
Durch die Bundesknappschaft wurde eine Richtlinie zur Verfügung gestellt, die den Einsatz von selbstentwickelten Anwendungsprogrammen (z. B. Makros) durch PC-Benutzer regelt, damit auch im Rahmen einer "individuellen" Datenverarbeitung der Einhaltung bestehender Vorschriften zum Datenschutz und zur Datensicherheit Rechnung getragen wird. - Dienstanweisung für die Nutzung von Arbeitsplätzen mit IT-Unterstützung
- Sicherheit von Datenbanken:
Als Ergänzung zum Baustein Datenbanken hat die Firma Oracle dem BSI eine Checkliste zur Untersuchung der Sicherheit von Oracle Datenbanken (PDF 120 KB) zur Verfügung gestellt.
Die SQL-Scripts der Checkliste finden sie hier (ZIP 3 kB).
Das IT-Grundschutz-Team ist an weiteren, praxisorientierten Materialen zu den IT-Grundschutz-Katalogen interessiert und bedankt sich herzlich bei der Fa. Oracle für den Beitrag. - Brandschutz:
Literaturhinweise für das "Verhalten im Brandfall" (PDF 10 kB), sowie ein Muster für das "Verhalten im Brandfall" (PDF 9 kB).
Diese Materialen wurden uns durch das Ingenieurbüro Mink zur Verfügung gestellt. - IT-Verpflichtungserklärung (PDF 159 kB):
Herr Ulrich Schlüter aus Münster hat einen "Vorschlag für eine schriftliche Verpflichtung der Mitarbeiter zur Datensicherheit und zur verantwortungsbewussten und kostenbewussten Nutzung der Informationstechnologie des Unternehmens" erstellt. - IT-Sicherheitsleitfaden für mittelständische Wirtschaftsunternehmen (PDF ca. 300 kB):
Dieser Leitfaden wurde in Zusammenarbeit mit der Emsland GmbH und dem Arbeitkreis IT-Sicherheit, ein Netzwerk emsländischer IT-Leiter "DE-IT-Emsland", herausgegeben. - Betrieb und Konfiguration von Unix-Systemen:
Diese Ausführungsbestimmungen für die Konfiguration und den Betrieb von Unix-Systemen wurden dem Team des IT-Grundschutz freundlicherweise zur Verfügung gestellt. Die Dokumente erfassen detailliert die Konfiguration von Unix-Systemen und behandeln zudem die Unix-Derivate HP-UX, Digital-UNIX, SunOS und IBM-AIX
Wissenschaftliche Arbeiten
Dokumente von externen Anwendern sind auch als Diplom- oder Doktorarbeiten, aber auch als Bachelor bzw. Master Thesis erstellt worden. Einige Dokumente sind in der folgenden Liste aufgeführt.
Wenn auch Sie eine solche Arbeit zum Thema IT-Grundschutz oder allgemein zum Thema IT-Sicherheitsmanagement, Mitarbeitersensibilisierung oder ähnliches haben, dann teilen Sie uns das an der IT-Grundschutz-Hotline unter 0228 99 9582-5369 oder grundschutz@bsi.bund.de mit.
- Holger Schildt: Sicherheitsaspekte von Instant Messaging (PDF 2,30 MB)
In dieser vom BSI betreuten Diplomarbeit finden Sie eine Untersuchung der verbreitesten Instant Messaging-Systeme. Obwohl die Betrachtung der Sicherheitsaspekte der untersuchten Systeme im Vordergrund steht, befasst sich die Diplomarbeit auch mit der Funktionsweise der verschiedenen Instant Messaging Protokolle. Dazu werden auch die übertragenen Informationen betrachtet. - Daniel Jedecke: Studie zur Kompatibilität und Interoperabilität von
Informationssicherheitsmanagementsystemen (PDF 1,62 MB)
In dieser Arbeit werden exemplarisch einige Maßnahmen des IT-Grundschutzes auf Schnittpunkte und Kollisionen mit dem PCI DSS hin überprüft. Ziel der Arbeit ist eine Übersicht über vier Richtlinien des PCI DSS zu geben, sowie deren mögliche Abdeckung durch IT-Grundschutz. Mit Hilfe der Ergebnisse der Arbeit sollen Wege gezeigt werden, um IT-Grundschutz und PCI DSS effektiv und kostengünstig kombinieren.
Weitere Informationen und eine beispielhafte Datenbank zum GSTOOL finden Sie unter https://www.daniel-jedecke.de/Privat/Diplom.html