„Das Original in der Informationssicherheit“ – so bezeichnet das Bundesamt für Informationstechnik (BSI) seine verfassten IT-Grundschutz-Richtlinien. Weiter schreibt die Behörde auf ihrer Webseite dazu „Die Angebote des IT-Grundschutzes gelten in Verwaltung und Wirtschaft als Maßstab, wenn es um die Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS) geht.“ Da nichts in der IT bleibt, wie es ist, und das Thema Security ein Dauerthema in der IT ist, wollen wir einen dedizierten Blick auf den Status-Quo dieses Regelwerks werfen.
Standardabsicherung in fünf Phasen
Seit 2018 pflegt das Bundesamt für Sicherheit in der Informationstechnik sein „IT-Grundschutz-Kompendium”, das seitdem auch als Prüfgrundlage für die Zertifizierung nach ISO 27001 dient. Das Kompendium umfasst vier Bausteine – Managementsysteme für Informationssicherheit, IT-Grundschutz-Methodik, Risikoanalyse auf der Basis von IT-Grundschutz sowie Notfallmanagement – und gliedert sich in Basis-, Kern- und Standardabsicherung. Die Basis-Absicherung garantiert einen breiten, nicht tiefgehenden Schutz relevanter IT-Assets. Erst die Kern-Absicherung konzentriert sich auf die sogenannten „Kronjuwelen“ einer Institution, die einen besonderen Schutzstatus innehaben. Da hier weniger wichtige Systeme ignoriert werden, spricht man von einer schmalen und gleichzeitig tiefen Absicherung.
Die Standardabsicherung kombiniert die Maßnahmen der Basis- und Kernabsicherung und hat eine breite wie tiefe Schutzwirkung zum Ziel. Sie gliedert sich in fünf relevante Phasen, die nacheinander abzuarbeiten sind:
- In der Strukturanalyse werden möglichst alle eingesetzten Werte erhoben.
- In der Schutzbedarfsanalyse entscheidet sich, ob und wie stark die Werte zu schützen sind.
- Mit der Modellierung eines Schutzverbundes folgt die Verquickung von schutzbedürftigen Werten und Maßnahmen.
- Beim IT-Grundschutz-Check erfolgt eine Ist-Analyse des aktuellen Schutzniveaus eines jeden Assets. Hier wird entschieden, wie die Lücke zwischen Ist- und Soll-Zustand durch Anwendung der zugeordneten Maßnahmen geschlossen werden kann.
- Sollte es sich bei dem zu schützenden Wert nicht um eine Standardkomponente (Server, Client, Telefon, …) handeln, lassen sich spezifische Gefahren und Gegenmaßnahmen durch eine Risikoanalyse bestimmen.
Diese Phasen wiederholen sich für ein BSI-konformes Informationssicherheitsmanagementsystem (ISMS) iterativ über seine gesamte Lebensdauer, in der Praxis kommt hier häufig ein PDCA-Modell (Plan, Do, Check, Act) zum Einsatz.
Das IT-Grundschutz-Kompendium im Detail
Mit der Veröffentlichung der 2018er-Version, der so genannten 200er-Reihe, wurden die bis dato verwendeten IT-Grundschutz-Kataloge abgelöst. Das moderne IT-Grundschutz-Kompendium legt immer noch einen starken Fokus auf Risikomanagement-Prozesse und wahrt hier die Kompatibilität zur ISO/IEC 27001:2013-Norm. Darüber hinaus geht es aber deutlich stärker auf anwenderspezifische Anforderungen ein und berücksichtigt auch Aspekte der industriellen IT als Kern der modernen Industrie 4.0. Das Dokument besteht aus drei Teilen:
- Elementare Gefährdungen bedrohen die drei grundlegenden Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Bedrohlich wirken sich dabei unter anderem jede Form von Naturkatastrophen (Feuer, Spannungsspitzen/Blitze, Wasser- und Flutschäden, …) oder Angriffe mit den Zielen Datendiebstahl, -manipulation oder -zerstörung aus.
- Die Bausteine sind auf zehn Module aufgeteilt: Fünf prozessorientierte Module mit konzeptionell-organisatorischem Bezug (ISMS, ORP, CON, OPS, DER) und fünf systemorientierte Module mit technischem Schwerpunkt (APP, SYS, INT, NET, INF). ORP steht dabei beispielsweise für „Organisation und Personal“, NET für „Netze und Kommunikation“. Unterhalb der Module finden sich durchnummeriert einzelne Bausteine, die jeweils ein schützenswertes Asset repräsentieren. Exemplarisch sei hier der Baustein NET.3.2 genannt, der sich mit Gefahren für – und dem Schutz von Firewalls auseinandersetzt.
- Ausführliche und detaillierte Hinweise zur Umsetzung der Maßnahmen aus den Bausteinen sind im letzten Teil des Dokuments aufgeführt. Aktuell existiert noch nicht für jeden Baustein ein entsprechender Umsetzungshinweis. Diese werden voraussichtlich sukzessive ergänzt.
Die Struktur der Bausteine, die logisch in zehn Modulen angeordnet sind, ist für jeden Baustein praktisch identisch. Eine ausführliche Einleitung beschreibt den Baustein, dann wird die Zielsetzung begründet, bevor eine Abgrenzung zu anderen, eventuell spezifischeren Bausteinen erfolgt. Nach der Einführung werden Bedrohungen angesprochen, welche auf den Baustein einwirken können. Für den vorgenannten Baustein NET.3.2 – Firewall – sind das zum Beispiel DDoS-Attacken, Manipulation, Software-Schwachstellen oder -Fehler, Umgehung der Firewall-Regeln und Fehlerhafte Konfiguration und Bedienungsfehler. Bei den Gefahren handelt es sich ausnahmslos um elementare Gefährdungen oder Synonyme. „Manipulation“ beispielsweise ist identisch zu „schadhafter Veränderung“ oder „Verfälschung“. Es existiert eine Kreuzreferenztabelle, die alle Bausteine mit den sie bedrohenden elementaren Gefährdungen verknüpft.
Normen und Standards unterstützen den Schutz von IT-Werten
Neben dem vor allem auf deutschsprachige Länder beschränkten IT-Grundschutz haben sich zahlreiche internationale IT-Sicherheitsnormen etabliert. Ein prominentes Beispiel ist der ISO-Standard 27001, der ebenfalls den Aufbau eines Informationssicherheitsmanagementsystem (ISMS) beschreibt, allerdings allgemeiner gehalten ist und dem Anwender mehr Freiräume für eine individuelle Auslegung lässt. Statt eines vollständigen Kompendiums enthält sein Anhang A lediglich 114 Maßnahmen, die in 14 Maßnahmenziele gruppiert sind. Auch sie sind bewusst allgemein gehalten und ermöglichen eine weitgehend freie Interpretation. Der BSI-Grundschutz richtet sich dennoch stark an der ISO 27001 aus und wird auch gern als Deutschlands ergänzender Beitrag zur internationalen IT-Sicherheit bezeichnet. Institutionen können sich ihre umgesetzten IT-Sicherheitsmaßnahmen sowohl nach dem ursprünglichen ISO 27001 bescheinigen lassen als auch nach „ISO 27001 auf Basis von IT-Grundschutz“. Nicht zuletzt deshalb stellt das IT-Grundschutz-Kompendium ein wertvolles Referenzwerk für alle in IT-Sicherheit involvierten Personen dar. Das IT-Grundschutz Kompendium setzen wir bei Adacor ein, um das bestehende zertifizierte Informationssicherheitsmanagementsystems (ISMS) sinnvoll weiterzuentwickeln, z.B. bei der Bewertung bereits umgesetzter Maßnahmen und deren Verbesserung.
Fazit
Für Firmen und Institutionen bietet sich generell die Verwendung etablierter Normen und Standards an, wenn es um den Schutz von IT-Werten gegen Gefahren geht. Das deutsche BSI stellt eine Methodik zur Verfügung, die diese Aufgabe erfüllt und die sich am internationalen ISO 27001 Standard orientiert.
Das Vorgehen zum Aufbau eines Informationssicherheitsmanagementsystem wird dabei durch das zentrale Dokument BSI 200-2 beschrieben. Der Prozessschritt „Modellierung“ ordnet bedrohten Werten entsprechende Schutzmaßnahmen zu. Eine umfangreiche Sammlung solcher Maßnahmen stellt das IT-Grundschutz-Kompendium dar, welches die relativ unübersichtlichen IT-Grundschutz-Kataloge seit Februar 2018 abgelöst hat. Hierin werden IT-Assets als „Bausteine“ bezeichnet, die logisch in zehn Module unterteilt sind. Der Aufbau von Bausteinen ist jeweils quasi identisch. Neben einer kurzen Einleitung werden die Bedrohungen für diesen Baustein erläutert und passende Schutzmaßnahmen vorgeschlagen. Konkrete Handlungsempfehlungen gibt das Kompendium im Abschnitt „Umsetzungshinweise“, wobei momentan noch nicht jeder Baustein abgedeckt wird. Das Dokument unterliegt aber einer ständigen Pflege und Weiterentwicklung, so dass in der Zukunft ebenso auf diesen Makel reagiert werden wird, wie auf neue IT-Werte und ihre Bedrohungen.
Zusammenfassend lässt sich sagen: Die Verlässlichkeit und Akribie des BSI machen die 200er-Normen und das IT-Grundschutz-Kompendium zu einem wertvollen Referenzwerk für alle in IT-Sicherheit involvierten Personen, zumal eine offizielle Zertifizierung nach diesem Standard erreicht werden kann.
Autor: Michael Seefried ist Information Security Officer bei ADACOR Hosting (https://www.adacor.com/ ). Er hat Informatik mit dem Schwerpunkt IT-Security studiert und ist verantwortlich für die Weiterentwicklung des Informationssicherheitsmanagementsystems und die Einhaltung von Rahmenbedingungen sowie Vorgaben zur IT-Security.