BSI Grundschutz

Mit den IT-Grundschutz-Katalogen liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Rahmenwerk für das Sicherheits- und Notfall-Management in der IT Branche.

Hundertprozentige Sicherheit gibt es in der IT bekanntlich nicht. Im Fall der Fälle ist man deshalb auf alle Eventualitäten gut vorbereitet, um bei Bedarf schnell reagieren zu können. Vor diesem Hintergrund ist ein transparentes Sicherheits- und Notfallmanagement für Unternehmen mit IT-gestützten Geschäftsprozessen nahezu unerlässlich.

Die IT-Grundschutz-Kataloge und die dazugehörigen Standards BSI 100-1 bis BSI 100-4 legen den Grundstein für eine sich selbst kontrollierende Infrastruktur.

Für den IT Grundschutz wurden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) verschiedene BSI-Standards definiert.

  • BSI-Standard 100-1
    Managementsysteme für Informationssicherheit
  • BSI-Standard 100-2
    IT-Grundschutz
  • BSI-Standard 100-3
    Risikoanalyse auf der Basis von IT Grundschutz
  • BSI-Standard 100-4
    Notfallmanagment

Zertifizierungen
Zertifizierbarkeit von IT Grundschutz und Cloud-Angeboten erfolgt nach ISO/IEC 27001 auf der Basis von IT-Grundschutz.

Risiko-Mangement / Gefahrenquellen
Gefahrenquellen lauern überall und es gilt diese entsprechend einzugrenzen. Bei den Gefahrenquellen kann man verschiedene Kategorien aufstellen, die man dann entsprechend dem IT Schutz eingrenzen kann.

  • Drive-by-Downloads
    Beim Besuch von Webseiten laden sich Anwender unbewusst ungewollte Software auf den eigenen Rechner. Meist passiert das unbemerkt im Hintergrund – daher der Name DRIVE-BY. Das fängt heut zu Tage schon beim Laden vom Adobe Reader an, wo ungewollt ein McAfee Antivirenscanner oder ein Google Chrome Browser mit installiert wird, wenn man nicht rechtzeitig einen Haken entfernt bzw. diesen nicht bemerkt. Ebenso wurde eine zeitlang bei JAVA eine ASK-Toolbar mit installiert, nach dem gleichen Verfahren. Auf diese Weise könnten natürlich auch jegliche andere Software mit dazugestellt werden.

  • Trojaner und Würmer
    Der Klassiker kommt meist per eMail. Ein Nachrichten-Text der interessant genug ist, den Inhalt anzuklicken. Die Möglichkeiten werden dabei immer kreativer – “Ihr Konto ist gesperrt”, “Ihre Rechnung im Anhang!”, “ihre Steuererklärung wurde bearbeitet”. Es liegt an der Kreativität der Schadcode-Entwickler den Text so sinnvoll zu gestalten, das derjenige das auch auf sich bezieht. Im Anhang schlummert dann der Virus und einmal ausgeführt infiziert er den Rechner. In der Regel kommen diese als Datei-Anhang, aber in der Regel sind diese meist so neu, das der Virenscanner den Virus noch nicht kennt. Hier hilft nur das Sperren der entsprechenden Dateianhänge von EXE, BAT, CMD, bis ZIP und allen Derivaten.

  • Attacken auf Datenbanken / Webseiten / IP-Adressen
    Alle wollen Web – alle wollen Cloud. Viele Rechenzentren werben mit den Vorteil ihrer Cloud- und Rechenzentren-Lösung. Aber damit sind sie auch Opfer von DDOS und anderen Internet-Attacken. Ziel ist es dabei, die IP-Adresse oder WebSeite solange mit sinnlosen und fehlerhaften Paketen zu attackieren, bis der Router oder die Firewall sich verabschiedet. Sie sind dann nicht mehr erreichbar bzw. sie können dann nicht mehr auf die Web-Anwendung oder das Rechenzentrum zugreifen. Ebenso wird natürlich bei solchen Lösungen ständig nach Sicherheitslücken gesucht, um an eventuell wertvolle Daten zu kommen. Sie sagen unsere Lösung ist sicher. Fragen Sie mal den Sony Konzern oder andere Großmonopole, die in den letzten Jahren gehackt wurden und den wertvolle Kreditkarten-Informationen gestohlen wurden und das sind nur die Fälle, die es in die mediale Presse geschafft haben, die Grauzone von Datendiebstahl ist wesentlich größer.

  • unbeaufsichtigte Fernwartungen und Administrationen
    So groß der Komfort ist, der Hersteller schaltet sich auf und löst das Problem. Was macht er aber noch, wenn er bemerkt, das der Anwender gerade nicht davor sitzt, was überträgt er im Hintergrund und welche Daten sieht er ein? Hier muss man abwiegen zwischen sinnvollen Nutzen und Risiko. Auf jeden Fall sollte man nicht unbeachtet die Fernwartung laufen lassen und diese auch nicht im Host-Modus laufen lassen, da dann zu jeder Zeit zugegriffen werden kann. Wie groß ist ihr Vertrauen in Firmen wie Teamviewer, das es keine programmierte Möglichkeit gibt, im Hintergrund auf ihren PC zuzugreifen und unbemerkt Daten zu übertragen. Der klassische Fall einer Backdoor-Lösung. Keine Unterstellung, nur ein anzunehmendes Risiko.

  • Phishing
    Phishing setzt auf eines – die Dummheit der Anwender. Der Ansatz ist, jedes Sicherheitskonzept ist nur so sicher, wie der dümmste Mitarbeiter. Bekannt wurde Phishing durch den Versand von E-Mail-Links zu gefälschten Bank-Seiten, auf denen die Opfer Kontozugangsdaten (PIN) und Transaktionsnummern (TAN) eingeben sollten. Angriffsziele sind neben Banken auch Bezahldienste, Online-Händler, Paketdienste oder soziale Netzwerke. Schickt man einem Anwender eine eMail mit einem Webformular sein Kennwort zum Fachverfahren ist abgelaufen und er möge es erneut eingeben, werden das geschätzt 60% der Anwender ohne Rückfrage tun. Schutz bietet vor allem ein gesundes Misstrauen. Das Sicherheitskonzept ist an dieser Stelle komplett über den Haufen geworfen..

  • Datenklau und Datenverluste
    Über all in kommunalen Verwaltungen sind heut zu Tage Netzwerk-Dosen und W-LAN-Hotspots, meist noch großzügig mit DHCP-Adressvergabe ausgestattet. Je mehr, je besser, je flexibler – aber auch um so angreifbarer. Ein Patchkabel, eine abendliche Sitzung und ein nicht verschlossenes Büro und der Angreifer ist schon in Ihrem Netzwerk. Aber der Datenklau beginnt nicht nur extern, sondern auch bei den internen Mitarbeitern. Die meisten Fachverfahren bieten großzügige Export-Funktionen und PDF-Ausgaben. Per USB-Stick oder privaten eMailkonto werden diese Daten dann unbemerkt aus dem Hause geschleust.

Die Umsetzung von IT Grundschutz bedarf einer individuellen Analyse, Planung und Vorbereitung. Dieses Thema kann nicht am Rande eines Unternehmens abgehandelt und umgesetzt werden, denn dazu ist es zu komplex.

Die Umsetzung erfolgt dabei in enger Zusammenarbeit der Leitung des Unternehmens, der technischen IT und des Datenschutzbeauftragten. Demzufolge sind im ersten Schritt die entsprechenden Ansprechpartner und Zuständigkeitsbereiche zu dokumentieren. Zu jeder wichtigen IT-Ressource (Server, Netzwerk, Datenschutz, Software) sollte mindestens ein verantwortlicher Beauftragter und ein Stellvertreter benannt sein.

Die Beauftragten sollten entsprechendes Know-how besitzen und mit den BSI Standards zum IT Grundschutz 100-1 bis 100-4 vertraut sein.

Während der BSI Standard 100-1 sich mit den Voraussetzungen für die Umsetzung des IT-Grundschutz beschäftigt, geht der Standard 100-2 an die einzelnen Schritte der Umsetzung des IT-Grundschutzes und beschreibt die Vorgehensweise für eine effektive Umsetzung des IT-Grundschutz.

Der Standard 100-3 unternimmt dann eine Risikoanalyse und daraus resultiert mit dem BSI Standard 100-4 das Notfallmanagment mit geeigneten Maßnahmen. Im Standard 100-3 werden mögliche Risiken bewertet, wodurch Gefahren klassifiziert und geordnet werden können. Das Ergebnis einer solchen Risikoanalyse sollte sein, Gefährdungen die noch nicht ausreichend oder gar nicht behandelt wurden aufzuzeigen, Maßnahmen festzulegen oder aber auch technische Strukturen grundsätzlich zu vereinfachen.

Bevor man sich mit IT Grundschutz im Unternehmen auseinander setzt, steht erst einmal eine komplette Bestandsaufnahme und Dokumentation der technischen und infrastrukturellen IT Technik. Neben der technischen IT Dokumentation werden hier auch Gebäudepläne, Elektro-Verkabelungspläne und die Dokumentation der anderen Ressourcen (Wasser, Gas,…) gerne vergessen. Dabei sind zentrale Absperr- und Sicherungssysteme gesondert zu kennzeichnen. Ebenso sollte eine Bestandsaufnahme aller eingesetzten EDV Softwarelösungen dokumentiert sein.

Ist dieses geschehen, ist der Standard 100-1 erreicht und Standard 100-2 kann als Checkliste zur Umsetzung verwendet werden. Bei der Umsetzung muss jedes Objekt dann bezüglich Vertraulichkeit, Integrität und Verfügbarkeit bewertet werden. Der IT-Grundschutz orientiert sich an den möglichen Schäden, die mit einer Beeinträchtigung des betroffenen Objektes verbunden sind und die Auswirkung auf anderen Geschäftsprozesse.

Dabei unterteilt man in folgende Schutzkategorien:

  • normal
    Die Schadensauswirkungen sind begrenzt und überschaubar.
  • hoch
    Die Schadensauswirkungen können beträchtlich sein.
  • sehr hoch
    Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Dabei werden immer die maximal möglichen Schäden und Folgeschäden betrachtet, bspw. der komplette Informationsverlust. Dabei müssen die materiellen und ideellen Schäden betrachtet werden. Die Höhe dieser möglichen Schäden bestimmt letztendlich dann den Schutzbedarf der Anwendung. Dabei ist es hilfreich, die jeweiligen Verantwortlichen und die Verfahrensbediener in die Bewertung mit einzubeziehen. Sie haben meist eine gute Vorstellung darüber, welche Schäden entstehen können und können für die Erfassung wertvolle Hinweise geben. Im Wesentlichen bestimmt der Schaden bzw. die Summe der Schäden mit den schwerwiegendsten Auswirkungen den Schutzbedarf eines IT-Systems (Maximumprinzip).

Aus den Ergebnissen der Schutzbedarfsfeststellung der Anwendungen und der IT-Systeme sollte abgeleitet werden, welcher Schutzbedarf für die jeweiligen Räume und Zugänge resultiert. Der Schutzbedarf leitet sich dabei aus dem Schutzbedarf der im jeweiligen Raum installierten IT-Systeme, verarbeiteten Informationen oder der gelagerten Datenträger ab.

Eine besondere Schutzbedarfsfestellung benötigt die Vernetzungsstruktur der IT Systeme. Die Vernetzungsstruktur ist eine wichtige Arbeitsressource der IT Systeme, aber auch der größtmöglichste Angriffspunkt. Hier ist auch eine Abwägung nach Redundanzlösungen sinnvoll.

Die erzielten Ergebnisse aus der Schutzbedarf-Feststellung beinhalten eine erste Vorgehensweise in der Sicherheitskonzeption. Nach dem alle Feststellungen dokumentiert wurden, werden entsprechende Maßnahmen festgelegt. Diese Maßnahmen werden mit Fristen entsprechenden Mitarbeitern zugeordnet und überwacht. Die Maßnahmen und deren Ergebnisse sind zu dokumentieren.

Insgesamt ist es das Ziel der Maßnahmen, Risiken durch geeignete Gegenmaßnahmen auf ein akzeptables Maß zu reduzieren oder ganz auszuschließen. Hierbei ist es insbesondere wichtig Risiken transparent zu machen und somit zu steuern. Dazu zählt auch die Schulung und Sensibilisierung der Mitarbeiter beim Umgang mit den IT Ressourcen. Jede Schutzmaßnahme ist nur so wirkungsvoll wie die schwächste Komponente im Verbund. Diese Einarbeitung der Mitarbeiters in das Thema sollte dabei nicht nur einmal erfolgen, sondern immer wieder aufgefrischt und erneuert werden, gerade wenn neue Ressourcen in die IT Struktur aufgenommen werden. Da zählt auch, das Sicherheitsmaßnahmen verständlich dokumentiert sind. Darüber hinaus müssen die Mitarbeiter über die Existenz und Bedeutung dieser Richtlinien informiert und geschult sein.

Alle getroffenen IT-Grundschutz Maßnahmen und die hierzu definierten Prozesse und Maßnahmen müssen regelmäßig auf seine Wirksamkeit und Effizienz stichprobenartig überprüft werden. Dabei sollen auch organisatorische und technische Veränderungen am Informationsverbund erkannt und notwendige Anpassungen vorgenommen werden.

Sie haben Fragen zum IT Grundschutz? Sprechen Sie uns an!