Eine aktualisierte Version der ehemaligen IT-Grundschutz-Kataloge erschien letztmalig 2016. Knapp zwei Jahre später führte das Bundesamt für Sicherheit in der Informationstechnik (BSI) das IT-Grundschutz-Kompendium ein. In dem Nachfolgewerk der Kataloge veröffentlicht das BSI zusammen mit den BSI-Standards den IT-Grundschutz. Die einzelnen Bausteine des Kompendiums gliedern sich in zehn Schichten und beschäftigen sich mit verschiedenen Themen der Informationssicherheit – von Anwendungen über Industrielle IT bis hin zum Sicherheitsmanagement. Das IT-Grundschutz-Kompendium gilt als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz.
Kompendium liefert Hilfestellung für die Informationssicherheit
Das Bundesamt für Sicherheit in der Informationstechnik pflegt vier Referenzdokumente zum BSI-Standard (200-1, 200-2, 200-3 und 100-4). Diese werden regelmäßig samt Änderungen auf der Webseite des Amtes veröffentlicht. Interessierte Personen mit Verantwortung für die institutionelle IT-Sicherheit können sich außerdem im IT-Grundschutz-Kompendium über Gefahren und bedrohte (IT-)Unternehmenswerte informieren. Das Kompendium bietet eine umfassende Hilfestellung und gleichermaßen ein wertvolles Nachschlagewerk.
Das BSI veröffentlichte im Februar 2018 mit seinen drei Standards 200-1 (Managementsysteme für Informationssicherheit), 200-2 (IT-Grundschutz-Methodik) und 200-3 (Risikoanalyse auf der Basis von IT-Grundschutz) die langersehnte Aktualisierung, der in die Jahre gekommenen 100er-Reihe. Nur eine überarbeitete Version des Standards 100-4 (Notfallmanagement) steht noch aus. Die IT-Grundschutz-Methodik (200-2) repräsentiert das zentrale Referenzwerk der Standard-Familie. Es gliedert sich in Basis-, Kern- und Standard-Absicherung und beschreibt unterschiedliche Vorgehensweisen zur Härtung und Sicherung schutzbedürftiger Werte („Assets“) der Informationstechnik.
Standard-Absicherung gliedert sich in fünf Phasen
Die Basis-Absicherung garantiert einen breiten, nicht tiefgehenden Schutz relevanter IT-Assets. Erst die Kern-Absicherung konzentriert sich auf die sogenannten „Kronjuwelen“ einer Institution, die einen besonderen Schutzstatus innehaben. Da hier weniger wichtige Systeme ignoriert werden, spricht man von einer schmalen und gleichzeitig tiefen Absicherung. Die Standard-Absicherung kombiniert beide vorgenannten Varianten, da sie sowohl eine breite wie tiefe Schutzwirkung zum Ziel hat.
Sie gliedert sich in fünf relevante Phasen, welche nacheinander abzuarbeiten sind:
- Strukturanalyse: Es werden möglichst alle eingesetzten Werte erhoben.
- Schutzbedarfsanalyse: Hier entscheidet sich, ob und wie stark die Werte zu schützen sind.
- Modellierung eines Schutzverbundes: Es folgt die Verquickung von schutzbedürftigen Werten und Maßnahmen.
- IT-Grundschutz-Check: Beim Check erfolgt eine Ist-Analyse des aktuellen Schutzniveaus eines jeden Assets. Hier wird entschieden, wie die Lücke zwischen Ist- und Soll-Zustand durch Anwendung der zugeordneten Maßnahmen geschlossen werden kann.
- Risikoanalyse: Sollte es sich bei dem zu schützenden Wert nicht um eine Standardkomponente (Server, Client, Telefon, …) handeln, lassen sich spezifische Gefahren und Gegenmaßnahmen durch eine Risikoanalyse bestimmen.
Alle Phasen wiederholen sich für ein Informationssicherheitsmanagementsystem (ISMS) nach BSI 200-2 iterativ über seine gesamte Lebensdauer. Ausdrücklich zu nennen ist hier eine Iteration nach PDCA-Modell (Plan, Do, Check, Act), das in der Praxis häufig zum Einsatz kommt.
IT-Grundschutz-Kompendium im Detail
Mit der Aktualisierung der BSI-Standards auf die 200er-Reihe wurden die bis dato verwendeten IT-Grundschutz-Kataloge durch das modernere IT-Grundschutz-Kompendium abgelöst. Nach Isabel Münch, Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit, bietet dieser Schritt eine bessere Strukturierung bei gleichzeitiger Verschlankung der Maßnahmensammlung.
Weiterhin soll damit ein stärkerer Fokus auf Risikomanagement-Prozesse gelegt werden, wobei die Kompatibilität zu der ISO/IEC 27001:2013-Norm erhalten bleibt. Das IT-Grundschutz-Kompendium geht mehr auf anwenderspezifische Anforderungen ein und berücksichtigt überdies die industrielle IT als Kern der zukunftsträchtigen Industrie 4.0.
Das Dokument besteht aus drei Teilen: Eine Aufstellung elementarer Gefährdungen, Bausteine und Umsetzungshinweise.
Elementare Gefährdungen bedrohen die drei grundlegenden Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Bedrohlich wirken sich dabei unter anderem jede Form von Naturkatastrophen (Feuer, Spannungsspitzen/Blitze, Wasser- und Flutschäden, …) oder Angriffe mit den Zielen Datendiebstahl, -manipulation oder -zerstörung aus.
Die Bausteine sind auf zehn Module aufgeteilt: Fünf prozessorientierte Module mit konzeptionell-organisatorischem Bezug (ISMS, ORP, CON, OPS, DER) und fünf systemorientierte Module mit technischem Schwerpunkt (APP, SYS, INT, NET, INF). ORP steht dabei beispielsweise für „Organisation und Personal“, NET für „Netze und Kommunikation“. Unterhalb der Module finden sich durchnummeriert einzelne Bausteine, die jeweils ein schützenswertes Asset repräsentieren. Exemplarisch sei hier der Baustein NET.3.2 genannt, der sich mit Gefahren für – und dem Schutz von Firewalls auseinandersetzt. (Man beachte den Trennpunkt zwischen dem Namen des Moduls und der laufenden Nummer.)
Ausführliche und detaillierte Hinweise zur Umsetzung der Maßnahmen aus den Bausteinen sind im letzten Teil des Dokuments aufgeführt. Aktuell existiert noch nicht für jeden Baustein ein entsprechender Umsetzungshinweis. Diese werden voraussichtlich sukzessive ergänzt.
Aufbau der Grundschutz-Bausteine
Die Struktur der Bausteine, die logisch in zehn Modulen angeordnet sind, ist für jeden Baustein quasi identisch. Alle beginnen mit einer Einleitung, die den Baustein konkret beschreibt. Dann wird seine Zielsetzung begründet, bevor eine Abgrenzung zu anderen, eventuell spezifischeren Bausteinen erfolgt.
Nach der kurzen Einführung werden Bedrohungen angesprochen, welche auf den Baustein einwirken können. Für den vorgenannten Baustein NET.3.2 – Firewall sind das zum Beispiel folgende: DDoS-Attacken (Distributed Denial of Service), Manipulation, Software-Schwachstellen oder -Fehler, Umgehung der Firewall-Regeln und Fehlerhafte Konfiguration und Bedienungsfehler.
Bei den Gefahren handelt es sich ausnahmslos um elementare Gefährdungen oder Synonymen. „Manipulation“ beispielsweise ist somit identisch zu „schadhafter Veränderung“ oder „Verfälschung“. Es existiert eine Kreuzreferenztabelle, die alle Bausteine mit den sie bedrohenden elementaren Gefährdungen verknüpft.
Kompatibilität mit ISO/IEC 27001:2013 und Zertifizierungsmöglichkeiten
Neben dem in der Regel auf deutschsprachige Länder beschränkten IT-Grundschutz existieren internationale Sicherheitsnormen, die sich in der Informationstechnik etabliert haben. Als prominenter Vertreter ist der Standard ISO 27001 zu nennen, der ebenfalls den Aufbau eines ISMS beschreibt. Allerdings ist ISO 27001 allgemeiner gehalten und lässt einem Verwendenden viele Freiräume für eine individuelle Auslegung. Statt eines vollständigen Kompendiums enthält sein Anhang A lediglich 114 Maßnahmen, welche in 14 Maßnahmenziele gruppiert sind. Auch sie sind bewusst allgemein gehalten und ermöglichen eine weitgehend freie Interpretation. Die Maßnahme für kryptographische Verfahren lautet beispielsweise sinngemäß: „Entsprechende kryptographische Verfahren wurden geplant und umgesetzt.“
Der BSI-Grundschutz richtet sich dennoch stark an ISO 27001 aus und kann als Deutschlands ergänzender Beitrag zur internationalen IT-Sicherheit aufgefasst werden. Institutionen können sich ihre umgesetzten IT-Sicherheitsmaßnahmen sowohl nach dem ursprünglichen ISO 27001 – Standard bescheinigen lassen als auch nach „ISO 27001 auf Basis von IT-Grundschutz“.
Fazit: Normen und Standards unterstützen den Schutz von IT-Werten
Für Institutionen bietet sich die Verwendung etablierter Normen und Standards an, wenn es um den Schutz von IT-Werten gegen Gefahren aller Art geht. Das deutsche BSI stellt eine Methodik zur Verfügung, die diese Aufgabe erfüllt und die sich an dem international anerkannten ISO 27001 – Standard orientiert beziehungsweise ihn sinnvoll ergänzt.
Das Vorgehen zum Aufbau eines Informationssicherheitsmanagementsystem wird dabei durch das zentrale Dokument BSI 200-2 beschrieben. Der Prozessschritt „Modellierung“ ordnet bedrohten Werten entsprechende Schutzmaßnahmen zu. Eine umfangreiche Sammlung solcher Maßnahmen stellt das IT-Grundschutz-Kompendium dar, welches die relativ unübersichtlichen IT-Grundschutz-Kataloge seit Februar 2018 abgelöst hat.
Hierin werden IT-Assets als „Bausteine“ bezeichnet, die logisch in zehn Module unterteilt sind. Der Aufbau von Bausteinen ist jeweils quasi identisch. Neben einer kurzen Einleitung werden die Bedrohungen für diesen Baustein erläutert und passende Schutzmaßnahmen vorgeschlagen.
Konkrete Handlungsempfehlungen gibt das Kompendium im Abschnitt „Umsetzungshinweise“, wobei momentan noch nicht jeder Baustein abgedeckt wird. Das Dokument unterliegt aber einer ständigen Pflege und Weiterentwicklung, so dass in der Zukunft ebenso auf diesen Makel reagiert werden wird, wie auf neue IT-Werte und ihre Bedrohungen.
Die Verlässlichkeit und Akribie des BSI machen die 200er-Normen und das IT-Grundschutz-Kompendium zu einem wertvollen Referenzwerk für alle in IT-Sicherheit involvierten Personen, zumal eine offizielle Zertifizierung nach diesem Standard erreicht werden kann.