Management und Wissen, IT-Grundschutz Zukunft

Wunschkonzert

Eine Vision zur Zukunft des IT-Grundschutzes

Grundschutz ist gut – aber über die letzten Jahre ist auch einiges davon in "Schieflage" geraten. Bisweilen kommt man sich als geneigter Grundschutz-Anwender sogar etwas alleine gelassen vor. Abhilfe wäre möglich – der Grundschutz könnte eine gloriose Zukunft haben.

Von Reto Lorenz, Gäufelden

Ein Standard braucht seine Anwender – das ist einerseits trivial, andererseits aber ein Umstand, der Standard-Autoren nicht immer so bewusst ist. Zumindest könnte dieser Eindruck beim IT-Grundschutz entstehen.

Anwender haben Wünsche an einen Standard, die sich aus der Praxis ergeben. Auch wenn Wünsche dabei sein mögen, den Standard so einfach wie möglich zu gestalten, so sind die Anwender dennoch daran interessiert, ein erstrebenswertes Niveau zu erreichen und zu erhalten. Immerhin soll mit der Konformität zu einem Standard eine Ableitung für die eigene Organisation möglich sein, die – abgesehen von Pflichtanforderungen – auch positive Eigenschaften assoziiert.

Der BSI-Grundschutz ist ein Standard, der 2002 für die Zertifizierung ins Leben gerufen wurde. 2005 und 2008 wurde er weiterentwickelt – dabei hat sich der Standard aus einer eigenständigen Aufstellung zu einem umfassenden Informationssicherheits-Managementsystem (ISMS) entwickelt, das sich schließlich in wichtigen Grundzügen an die Ziele der ISO 27001 angenähert hat: Als "ISO 27001 auf der Basis von IT-Grundschutz" hat er sich auf dem Markt etabliert – zugegebenermaßen ein etwas sperriger Titel. Um nicht begrifflich zwischen BSI-Standards, IT-Grundschutz-Katalogen und dem ISO-27001-Standard die jeweils richtige Mischung treffen zu müssen, sei im Folgenden die Verkürzung zu "BSI-Grundschutz" erlaubt.

Ausgangslage: Reformstau

Seit etwas mehr als fünf Jahren ist keine umfassende Anpassung des BSI-Grundschutz mehr erfolgt. Zwar wurde 2011 das Prüfschema durch das Auditierungs- und Zertifizierungsschema ersetzt, dies aber ohne den BSI-Standard 100-2 zur IT-Grundschutz-Vorgehensweise anzupassen. Die Folgen sind den BSI-Grundschutz-Anwendern bekannt: Im vorigen Prüfschema gab es für die meist in Prosa gehaltenen Maßnahmenanforderungen eine Interpretations-Hilfe: Formulierungen mit "sollte" (oder vergleichbar klare Passagen) waren als Anforderungen umzusetzen – alles, was in der Formulierung eher den Charakter einer Auswahl oder Empfehlung hatte, war keine zwingende Anforderung.

Im Auditierungsschema ist davon keine Rede mehr. Eine Diskussion in der Grundschutz-Gruppe auf XING ergab unterschiedliche Aussagen des BSI – eine formale Klarstellung wird seitdem vermisst. Auch wenn mit den Prüffragen die Situation etwas entschärft wurde, ist in der Praxis bei Audits öfter eine Diskussion um das richtige Verständnis für die Maßnahmenumsetzung nicht zu vermeiden.

Weiterhin wurde das Referenzdokument A.7 eingeführt, welches zwar inhaltlich im BSI-Standard 100-2 kurz aufgegriffen wird, ohne dass jedoch – vergleichbar zu anderen Referenzdokumenten – eine nähere Beschreibung, gegebenenfalls mit beispielhafter Darstellung von Inhalten, erfolgen würde. Ähnlich sieht es mit der Forderung aus dem Auditierungsschema aus, für alle Bausteine, die nicht modelliert wurden, eine plausible Begründung zu dokumentieren – diese Anforderung ist im BSI-Standard 100-2 oder auch den Modellierungsregeln nicht explizit formuliert.

Hinzu kommt, dass bestimmte Maßnahmen in mehreren Bausteinen aufgeführt werden. Dies ist – aus dem Kontext der jeweiligen Schicht und des jeweiligen Bausteins betrachtet – durchaus sinnvoll. Dennoch führt es dazu, dass im Rahmen des Basis-Sicherheits-Checks bestimmte Fragen wiederholt an verantwortliche Personen gestellt werden, was mitunter als "nervig" empfunden wird. Aus der Schicht 1 der IT-Grundschutz-Kataloge, welche die so genannten "übergreifenden Aspekte" in den Grundschutz-Bausteinen enthält, sind für jeden Informationsverbund mindestens 10 der dort aufgeführten Bausteine zu bearbeiten. Insgesamt kommen in den Bausteinen der Schicht 1 jedoch 18 Maßnahmen in mindestens zwei Bausteinen vor. Die Verantwortlichen empfinden das stets als doppelte Arbeit und beantworten sie dann – verständlicherweise – gern einmal mit "Moment, das hatten wir doch schon?!".

Die Liste solcher "Kleinigkeiten" ließe sich noch fortsetzen – und hinterlässt den Eindruck, der BSI-Grundschutz sei womöglich etwas in die Jahre gekommen.

Grundschutz ist attraktiv

Dennoch halten viele Anwender diesem Standard die Treue. Hauptursache dürfte der Umstand sein, dass der BSI-Grundschutz unschlagbar konkret ist: Sowohl die Methodik mit Beispielen und Kriterien für die Anwendung als auch die beschriebenen Referenzdokumente nehmen die Anwender an die Hand – und das ist gut so. Dieser Umstand – verbunden mit der Tatsache, dass die Maßnahmen umfassend und konkret beschrieben werden – wird regelmäßig als Vorteil des BSI-Grundschutz für die Umsetzung und Etablierung eines ISMS genannt.

Natürlich gibt es auch spöttische Stimmen, die den Grundschutz-Anwendern insgeheim vorwerfen, sich daran zu klammern, weil das nötige Fachwissen für eine andere Herangehensweise fehle. Darin ist jedoch kein Nachteil des BSI-Standards zu sehen: Wer – aus welchen Beweggründen auch immer – den BSI-Grundschutz im Rahmen eines damit verbundenen ISMS umsetzt und aufrechterhält, der hat ein durchaus beachtliches Sicherheitsniveau erreicht. Und das sollte ja das Ziel eines Standards zur Informationssicherheit sein.

Es gibt also gute Gründe, den BSI-Grundschutz fortzuschreiben. Die Vorteile, die den Grundschutz attraktiv machen, sollten dabei möglichst erhalten bleiben. Daneben gibt es jedoch noch eine ganze Reihe von Wünschen, die sich aus langjähriger Umsetzungspraxis heraus ergeben.

Es ist kein Geheimnis, dass auch Anwender der "nativen" ISO 27001 gerne auf die IT-Grundschutz-Kataloge zurückgreifen, wenn es um die konkrete Ausgestaltung von Maßnahmen geht. Anders herum ist die fehlende Anerkennung der BSI-Grundschutz-Zertifizierung als "echtes" ISO-27001-Zertifikat für einige Anwender ein Grund, letztlich doch lieber den ISO-Standard selbst als Richtschnur für das eigene ISMS zu nutzen.

Mit der jüngsten Fortschreibung des ISO-Standards (vgl. <kes> 2012#6, S. 83) eröffnen sich Möglichkeiten, die das "Wunschkonzert" zur Zukunft des BSI-Grundschutz bereichern können – in aller Kürze:

  • Umsetzung der ISO 27001 bei gleichzeitigem Erhalt der Attraktivität des BSI-Grundschutzes,
  • konkrete Beschreibung der Vorgehensweise (inkl. Beispielen und aktueller Anpassung – weiterhin als BSI-Standards),
  • Entfernung der Redundanzen aus den Bausteinen der IT-Grundschutz-Kataloge,
  • Erleichterung der Risikoanalyse,
  • Flexibilität und Praxisorientierung für geforderte Richtlinien und Konzepte,
  • konkrete Anforderung für interne Audits,
  • Offenheit für die Umsetzung geforderter Detailaspekte von Maßnahmen und eine
  • transparente Darstellung von Änderungen in einzelnen Maßnahmen.

Mit Eins mach Zwei

Der erste Wunsch ist sicher der weitreichendste. Es ist jedoch der Wunsch, der am ehesten der bereits vielfach gelebten Praxis entspricht: ISO 27001 anwenden und Grundschutz umsetzen.

Der erste Wunsch ist sicher der weitreichendste. Es ist jedoch der Wunsch, der am ehesten der bereits vielfach gelebten Praxis entspricht: ISO 27001 anwenden und Grundschutz umsetzen.

Das Ziel lautet also, auch bei der Anwendung der IT-Grundschutz-Vorgehensweise ein natives ISO-27001-Audit erfolgreich zu bestehen. So könnte man zwei Zertifikate durch ein Audit erreichen: ein international vergleichbares ISO-27001-Zertifikat und zusätzlich ein BSI-Zertifikat, das die erfolgreiche Herangehensweise nach BSI-Grundschutz bestätigt. Letzteres würde dem geneigten Leser verdeutlichen, dass hinter der zertifizierten Konformität zur ISO 27001 auch eine umfassende technische und organisatorische Umsetzung steckt – ein Vorteil, der zumindest in Deutschland und im Behördenbereich Beachtung finden würde.

Möglich wird dieser Ansatz dadurch, dass die aktualisierte ISO 27001:2013 keine Vorgaben bezüglich der Herkunft der Maßnahmen macht, die man zur Behandlung aufgestellter Risiken umsetzt. Im Standard heißt es hierzu (Anmerkung zu Kap. 6.1.3): "Organisationen können Maßnahmen nach Bedarf gestalten oder vorgefertigte Maßnahmen aus einer beliebigen Quelle wählen." Die Aufgabe zur Aufrechterhaltung der Konformität mit den normativen Maßnahmenanforderungen der ISO 27001 liegt nun darin, dass ein "Vergleich der […] festgelegten Maßnahmen mit den Maßnahmen in Anhang A" erfolgt und damit eine "Vergewisserung, dass keine erforderlichen Kontrollmaßnahmen ausgelassen wurden".

Es ist also zulässig, die Maßnahmen der IT-Grundschutz-Kataloge als Quelle heranzuziehen, um für eine IT-Umgebung eine fundierte Basis konkreter Sicherheitsmaßnahmen zu haben – der geforderte Vergleich mit den Maßnahmen in Anhang A der ISO 27001 lässt sich problemlos führen. Diese Abbildung der Maßnahmen der IT-Grundschutz-Kataloge gibt es sogar bereits – nur in umgekehrter Richtung: Seit einigen Jahren stellt das BSI eine Vergleichstabelle bereit, in der die Maßnahmen der ISO 27001 den Maßnahmen der IT-Grundschutz-Kataloge gegenübergestellt werden ( www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Doku/Vergleich_ISO27001_GS.pdf?__blob=publicationFile).

Abbildung 1: Mögliche Verknüpfung von BSI-Grundschutz und ISO 27001 mit angepassten Rollen bestehender und vorgeschlagener BSI-Standards

Durch eine Aktualisierung dieser Tabelle und das Tauschen der Spaltenreihenfolge wäre es möglich, so etwas wie ein generisches "Statement of Applicability" zu schaffen, mit dem ein Mapping aller Grundschutzmaßnahmen auf die Kontrollmaßnahmen der ISO 27001 gelingt. An welcher Stelle diese Vergleichstabelle zum Tragen kommt, zeigt Abbildung 1 – die Tabelle wird als Bindeglied zwischen die Maßnahmenumsetzung nach BSI-Grundschutz und den normativen Anhang A der ISO 27001 eingefügt.

Würde diese Vergleichstabelle in das BSI-Grundschutz-Schema integriert und fortan gepflegt (z. B. als BSI-Standard 100-5, wie in der Grafik vorgeschlagen), könnte die Umkehrung zum "BSI-Grundschutz – auf der Basis von ISO 27001" bezüglich der Maßnahmen Realität werden. So könnte man gleichzeig mit dem Grundschutz-Audit auch ein echtes ISO-27001-Zertifikat erlangen. Sicherlich müsste das im Detail für Anpassungen an konkrete Informationsverbünde noch näher ausgeführt werden (z. B. für Maßnahmen, die in Informationsverbünden nicht relevant und daher entbehrlich sind, wobei die Begründung dann auch für die Kontrollmaßnahmen der ISO 27001 greifen muss). Die Idee ist jedoch verlockend und – wie sich zeigen wird – nur eine von mehreren Möglichkeiten, die Standards noch stärker zu verbinden.

Eines würde der Vergleich in dieser Richtung auch zeigen: es gibt zahlreiche Maßnahmen in den IT-Grundschutz-Katalogen, die auf gleiche inhaltliche Aspekte abzielen. Dieser Umstand sowie die oben bereits aufgeführten Redundanzen in der Auflistung der Maßnahmen in mehreren Bausteinen könnten den BSI-Grundschutz etwas straffen und so manchen Nerv-Faktor entschärfen.

BSI-Standards für ISO 27001

Mit dem genannten Ansatz würde der BSI-Grundschutz zu einem attraktiven und anwendbaren Hilfsmittel werden, um die ISO 27001 (nativ) auf geeignete und effiziente Weise umzusetzen. Damit der Grundschutz diese Rolle wahrnehmen kann, wäre eine Aktualisierung der BSI-Standards nötig. Dies ist jedoch bereits jetzt durch die erfolgten Änderungen und vorhandenen Inkonsistenzen innerhalb des Grundschutzes ohnehin erforderlich. Man könnte die BSI-Standards eben auch gleichsam zu Richtlinien umgestalten, die direkt in die Umsetzung eines ISMS integriert werden.

Die BSI-Standards würden dann eine Rolle im Rahmen der ISO-27001-Anforderungen erhalten. Die BSI-Standards greifen diese Anforderungen bereits auf – insofern ist diese Verbindung nicht daran gekoppelt, sehr viel neu oder ganz anders zu berücksichtigen. Die Inhalte wären jedoch teils geeigneter entlang der ISO-27001-Abschnitte zu formulieren, teilweise müsste man Inhalte prägnanter darin aufnehmen. Die Rolle der BSI-Standards – unter Beibehaltung der bekannten Nummerierung – könnte etwa wie folgt aussehen:

BSI-Standard 100-1 – Managementsysteme für Informationssicherheit (ISMS)

Dieser Standard würde zu einer Art generischer Richtlinie, die im Rahmen eines Sicherheitskonzepts für einen Informationsverbund vieles definiert und beschreibt und für die Ausprägung des Informationsverbunds lediglich konkretisiert und angewendet werden müsste. BSI-Standard 100-1 übernimmt also die Rolle, selbst ein Teil der "dokumentierten Informationen" darzustellen, die in der ISO 27001 doch recht unverbindlich gefordert wird.

Anstatt – wie in der vorliegenden Fassung noch zu lesen – selbst Dokumentationsanforderungen zu stellen, könnte man die Themen vor dem Hintergrund des BSI-Grundschutzes konkret aufgreifen oder zumindest in ersten Ansätzen beschreiben. Die Inhalte müssten sich dazu an den ISO-27001-Kapiteln 5 (Führung, Leitungsverantwortung), 7 (Unterstützung, Sicherheitsbewusstsein), 8 (Einsatz oder besser Umsetzungsplanung), 9 (Leistungsauswertung, internes Audit, Managementbewertung) und 10 (Verbesserung) orientieren.

Diese Themen sind teilweise bereits heute im BSI-Standard 100-1 enthalten. Konkrete Ausführungen und Dokumentationshinweise würden allerdings die Umsetzung erheblich erleichtern und damit auch zu einer in der Praxis einfacheren Anwendung der ISO 27001 führen. Entsprechend wird der BSI-Standard 100-1 als Umsetzungs-Richtlinie für diese Themen in der Grafik aufgeführt.

BSI-Standard 100-2 – IT-Grundschutz-Vorgehensweise

Dieser Standard würde weiterhin die Vorgehensweise – dann unter Berücksichtigung der ISO 27001 – so konkret wie möglich aufzeigen und beispielhaft ausführen. Die verständliche Fragestellung "Welche Dokumente muss ich denn bereithalten, um ein ISO-27001-Audit bestehen zu können?" sollte ebenfalls durch den BSI-Standard 100-2 beantwortet werden – zwar in der Ausprägung des BSI-Grundschutzes, aber doch so, dass diese Ausprägung die Anforderungen aus der Perspektive der ISO 27001 erfüllt und beantwortet.

Dies beginnt bei der immer wieder heiß diskutierten Frage der Beschreibung eines Informationsverbunds: Die Vorgaben, wie ein Verbund für ein ISMS beschrieben werden kann, wie mit Schnittstellen zu externen Dienstleistern und wie mit Outsourcing umzugehen ist, sind und bleiben stets kritische Ausgangsfragen für die Etablierung eines ISMS. Vor allem die "Outsourcing-Debatte" und die durchaus unterschiedlichen Sichtweisen in der Auditorenschaft und im BSI könnten bei dieser Gelegenheit konkretisiert werden (zumal das dazu vom BSI vorliegende Dokument aus dem Jahre 2004 bisher leider keine Überarbeitung erfahren hat). Hauptthema des BSI-Standards 100-2 bleibt jedoch die geeignete und zielführende Zuordnung von Maßnahmen für die Zielobjekte beziehungsweise für die Werte im Informationsverbund.

Auch in der aktualisierten ISO 27001 findet sich in den Kontrollmaßnahmen die Anforderung, eine so genannte Aufstellung der Werte vorzunehmen (A.8.1.1). Insofern können mit Strukturanalyse, Modellierung und Basis-Sicherheits-Check weiterhin bewährte Vorgehensweisen beibehalten werden, um für Standard-Risiken zu geeigneten Standard-Maßnahmen zu kommen. Die Anteile der Schutzbedarfsfeststellung und der ergänzenden Sicherheitsanalyse ließen sich jedoch in den BSI-Standard 100-3 verschieben, um die Vorgehensweise an dieser Stelle zu entlasten. Die Ausführungen zu Aufrechterhaltung und Verbesserung werden im BSI-Standard 100-1 bereits aufgegriffen und sollten dort gebündelt werden. Auf diese Weise würden die Anwender der ISO 27001 weiterhin "an die Hand genommen", wenn es darum geht Maßnahmen für bestehende Informationssicherheitsrisiken zu finden.

BSI-Standard 100-3 – Risikoanalyse auf der Basis von IT-Grundschutz

Hier bliebe es dabei, die Risikoanalyse als Methodik zu beschreiben – und zwar sowohl die immanente Risikoanalyse, die im Grundschutz für "normalen" Schutzbedarf bereits enthalten ist, als auch die explizite Risikoanalyse, die auf der ergänzenden Sicherheitsanalyse aufbaut. Die Beschreibung der Schutzbedarfsanalyse könnte auf diese Weise im BSI-Standard 100-3 aufgehen und direkt mit der Beschreibung des nach ISO 27001 geforderten "Prozesses zur Informationssicherheitsrisikoeinschätzung" verbunden werden.

In diesem Zuge besteht der dringende Wunsch, eine straffe Vorgehensweise für die Risikoanalyse vorzusehen: Die bisherige Methode aus BSI-Standard 100-3 auf der Basis von Gefährdungslisten wurde ja bereits durch eine Ergänzung verbessert. Wünschenswert wäre eine Methode, die eine gezielte Zusammenstellung relevanter Risiken ermöglicht, ohne zwingend auf Gefährdungslisten zurückgreifen zu müssen. Damit würde dem Wunsch nach einer erleichterten Risikoanalyse entsprochen. Ein so (um-)gestalteter BSI-Standard 100-3 würde (siehe Abb.) zu einem Bindeglied zwischen den Themenstellungen des Sicherheitsprozesses einerseits und der Maßnahmenzusammenstellung andererseits.

BSI-Standard 100-4 – Notfallmanagement

Hier bliebe alles beim Alten – dieser Standard würde weiterhin für den Bereich des Notfallmanagements beziehungsweise Business-Continuity-Managements (Bereich A.17 der ISO 27001) herangezogen werden.

BSI-Standard 100-5 – NEU: Anwendbarkeit für die ISO 27001

Dieser neu zu verabschiedende Standard würde die Rolle des Vergleichs der Maßnahmen der IT-Grundschutz-Kataloge zum normativen Anhang A der ISO 27001 übernehmen und damit als eine Art generisches "Statement of Applicability" (SoA) dienen. Damit würden – mit einer kurzen methodischen Einordnung – die Anforderungen 6.1.3 c) und d) erfüllt werden können. Der BSI-Standard 100-5 würde zu einem Bindeglied zwischen den Maßnahmenkatalogen des BSI-Grundschutzes und den Kontrollmaßnahmen der ISO 27001.

Annäherung beim Risiko

Die Risikoanalyse ist neben den normativen Kontrollmaßnahmen ein Bereich der ISO 27001, der mit der Aktualisierung des Standards größere Freiheiten erhalten hat: Hierfür wird nun auf die Grundsätze und allgemeinen Richtlinien der ISO 31000:2009 zurückgegriffen. Dieser Standard ist weniger auf eine objektbezogene Risikoanalyse ausgerichtet, sondern verfolgt eher eine Einordnung von Chancen und Risiken in einen Gesamtkontext.

Aus Sicht des Autors ist es damit möglich, die zweistufige Vorgehensweise für die Risikoanalyse im BSI-Grundschutz auf die Anforderungen der ISO 27001 abzubilden, welche dort vor allem in Abschnitt 6.1 benannt sind.

Die erste Stufe umfasst im Ergebnis die bekannten Standard-Sicherheitsmaßnahmen für den normalen Schutzbedarf. Diese gehen für den IT-Einsatz von gängigen Eintrittswahrscheinlichkeiten und von gegebenenfalls spürbaren, aber in der Regel verkraftbaren Schadensauswirkungen aus. Diese Voraussetzungen werden in den so genannten Gefährdungen zusammengeführt – im BSI-Standard 100-2 heißt es dazu: "Zusammenfassend dient die erste Stufe dazu, Sicherheitsmaßnahmen aufzuzeigen, die den elementaren Risiken entgegenwirken, die in der Praxis nahezu immer auftreten. In der ersten Stufe der IT-Grundschutz-Vorgehensweise wird also bereits eine grundlegende Risikobehandlung durchgeführt" (Abs. 4.6.1 in BSI-Standard 100-2).

Die Beschreibung im Rahmen der ISO 27001 kann dazu herangezogen werden, der Zuordnung der Gefährdungen zu den Maßnahmen in den so genannten "Kreuzreferenztabellen" zu etwas mehr Beachtung zu verhelfen. Diese führen im aktuellen BSI-Standard häufig eher ein Schattendasein und werden nur bei problematischen Entscheidungen hinzugezogen.

Die zweite Stufe der Risikoanalyse kann den Rahmenbedingungen aus der ISO 27001 beziehungsweise aus der ISO 31000 folgen: Dabei ist eine fokussierte Betrachtung von ausschließlich relevanten Gefährdungen möglich und wünschenswert.

Durch den in diesem Artikel vorschlagsweise konzipierten BSI-Standard 100-5 in Form der Vergleichstabelle zwischen BSI-Grundschutz und ISO 27001 würde ein weiterer Wunsch an den BSI-Grundschutz zutage treten: Bereits in der vorliegenden Vergleichstabelle wird an vielen Stellen sichtbar, dass einzelnen Kontrollmaßnahmen ganze Bausteine und mehrere weitere Maßnahmen aus den IT-Grundschutz-Katalogen gegenüberstehen. Dies wird auch weiterhin so bleiben, da die Grundschutzmaßnahmen eher objektspezifisch ausgeführt sind (z. B. für Switches, Firewalls, mobile Datenträger etc.) und der BSI-Grundschutz einfach der akribischere Standard ist.

Es gibt aber auch Stellen, bei denen die Redundanzen auffällig und störend sind: Beispielsweise genannt sei A.10.8.2 (nach neuer ISO 27001: A.8.3.3), worin es um den Transport physischer Medien oder Datenträger geht – die dafür aufgeführten sieben Maßnahmen ließen sich sicher auch mit geringerer Differenzierung im Grundschutz integrieren.

Der vom BSI eingeschlagene Weg, neue Bausteine soweit wie möglich als "allgemeine Bausteine" einzuführen, die nicht produkt- oder lösungsspezifisch sind, führt in die richtige Richtung – dies könnte jedoch noch stärker umgesetzt werden. Ein E-V-Modell (elementar – vertiefend) ist mit der Anwendung einer normativen Vergleichsabbildung jedoch nicht mehr zwingend nötig: Die bereits im Jahr 2010 angekündigte Aufteilung in elementare und vertiefende Bausteine kann für die Umsetzung der Maßnahmen einfach den verantwortlichen Personen in einem ISMS überlassen werden – solange durch die gewählten Bausteine und Maßnahmen alle Kontrollmaßnahmen aus Anhang A der ISO 27001 hinreichend abgedeckt werden.

Darfs ein bissl mehr sein?

Ein BSI-Grundschutz, der sich stärker in den ISO-27001-Standard integriert, könnte seinen Charme und seine Attraktivität weiterhin entfalten. Was jedoch bliebe, sind die in manchen Bausteinen sehr weitreichenden Anforderungen an die Dokumentation und Nachweise: An einigen Stellen erwartet der BSI-Grundschutz Planung, Konzeption und Richtlinie, die schließlich durch regelmäßige Aufzeichnungen und deren dokumentierte Auswertung abgerundet werden – beispielhaft genannt sei hier der Baustein B 5.22 zur Protokollierung. Für die Umsetzung werden ein Protokollierungs- und Alarmierungskonzept, ein Konzept für die Auswertung sowie Berichte für die Analyse der Protokolldaten gefordert.

Auch wenn diese Anforderungen in der Praxis von vielen verantwortlichen Administratoren und weiteren Beteiligten im Sicherheitsprozess mit leistbaren (ggf. sogar sehr schlanken) Mitteln umgesetzt werden, so entsteht beim Lesen und Einrichten der Maßnahmen doch zunächst der Eindruck des "Dokumentations-Overkills". Eine Formulierung von pragmatischeren Beispielansätzen wäre für viele Anwender hilfreich, um ruhigeren Gewissens an die Umsetzung gehen zu können.

Und dann wäre da noch der Wunsch, in manchen Maßnahmen eine offenere Herangehensweise für Einzelaspekte zuzulassen: Beispielhaft genannt sei die Maßnahme M 4.3 "Einsatz von Viren-Schutzprogrammen", die auch bei aktiver Prüfung im Rahmen von jeglichen Dateizugriffen eine regemäßige Prüfung aller Dateien auf Client und Servern einfordert – dies ist in der Praxis oft nicht machbar. Und auch unnötig: Ein Schadprogramm, das zuvor noch nicht erkannt werden konnte, wird gegebenenfalls bei der Ausführung erkannt – wurde ein bisher unbekanntes Schadprogramm unerkannt abgelegt, ohne dass es aktiv war, wird es beim nächsten Aufruf erkannt. Eine regelmäßige Untersuchung des gesamten Datenbestands ist bei heutigen Datenvolumen nicht mehr sinnvoll – eine geeignete Mischung der Prüfung von Bootsektoren und Speicher sowie On-Access-Scans führt zu einem gleichwertigen Ergebnis. Solche Anforderungen sollten flexibler in Maßnahmentext und/oder Prüffragen auftauchen, um "Grundfrust" oder "Auditfrust" zu vermeiden.

Auch eine Änderungsmarkierung für alle Texte in den Ergänzungslieferungen der IT-Grundschutzkataloge sowie in den BSI-Standards würde vielen die Arbeit erleichtern. Als es noch Word-Fassungen der Grundschutz-Texte gab, wurde ein Versionsvergleich als Hilfsmittel bereitgestellt – für die letzten Ergänzungslieferungen war dies nicht mehr der Fall. Die Folge: Anwender wurden immer wieder überrascht, was sich gegebenenfalls im "Klein-Klein" einer Maßnahme doch geändert hatte. Eine übersichtliche Synopse – kombiniert mit einer zeitlich nahe beieinanderliegenden Veröffentlichung von Papier-, PDF- und HTML-Fassung – würden das Grundvertrauen in den BSI-Grundschutz deutlich stärken können.

Fazit

Das dargestellte Wunschkonzert sieht vorrangig die positiven Aspekte des BSI-Grundschutz – die vorgestellten Wünsche zielen auf eine praxisnahe und einfachere Implementierung ab. Dieser Beitrag ist ein Plädoyer für die Aktualisierung eines bewährten Standards, mit der sich gleichzeitig eine stärkere Verbindung zur ISO 27001 herstellen ließe – und zwar so, dass man zumindest auch mit einem nativen ISO-27001-Audit eine Grundschutz-Zertifizierung erreichen könnte, besser noch mit einem Audit womöglich sogar gleich zwei Zertifikate erlangen würde. So könnte man beispielsweise auch Tendenzen begegnen, die eine Abkehr von der Zertifizierung nach BSI-Grundschutz zugunsten der ISO 27001 bedeuten (z. B. für die sog. EU-Zahlstellen in Europa).

Bleibt zu wünschen, dass die Änderungen für ein umfassendes "Miteinander" der Standards aufgegriffen werden – wo es geht, durch die Standard-Anwender selbst, und eventuell auch durch das BSI.

Reto Lorenz ist Auditteamleiter für ISO-27001-Audits auf der Basis von IT-Grundschutz, IS-Revisor und Geschäftsführer der secuvera GmbH.