IT-Grundschutz / Modernisierung

IT-Grundschutz 2.0

Der Grundschutz ist im Wandel begriffen – im Oktober soll für drei BSI-Standards eine neue Version finalisiert werden. Das alles ist gut und wichtig, stellt bestehende IT-Grundschutzkonzepte aber auch vor – teils noch zu lösende – Herausforderungen.

Von Sebastian Krüsmann und Tobias Goldschmidt, Berlin

Der klassische IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI, www.bsi. bund.de/IT-Grundschutz) hat sich seit seiner Einführung im Jahr 1994 kontinuierlich weiterentwickelt. Im Rahmen von so genannten Ergänzungslieferungen wurden bestehende IT-Grundschutz-Bausteine basierend auf dem Stand der Technik aktualisiert oder endgültig gestrichen sowie neue aufgenommen. Dennoch wurde sowohl vonseiten des BSI als auch der Anwender der Bedarf an einer Umstrukturierung der in die Jahre gekommenen IT-Grundschutz-Standards erkannt und die Modernisierung initiiert [1].

Die bislang gültigen BSI-Standards 100-1, 100-2 und 100-3 wurden im Zuge dieser Modernisierung zusammen mit dem IT-Grundschutzkatalog komplett überarbeitet. Im Ergebnis stehen Anwender mit bestehendem grundschutzkonformem Sicherheitskonzept vor der Herausforderung, dieses hin zum modernisierten IT-Grundschutz zu migrieren.

Die BSI-Standards

Die finale Veröffentlichung der aktuell als Community-Draft vorliegenden neuen BSI-Standards 200-1, 200-2 und 200-3 [2] ist zur it-sa in Nürnberg im Oktober 2017 geplant. Der Beginn der Aktualisierung des BSI-Standards 100-4 ist für 2018 geplant.

Die Ausrichtung der BSI-Standards wurde grundsätzlich beibehalten. Lediglich die Zusammenfassung der risikobezogenen Tätigkeiten im BSI-Standard 200-3 stellt eine Neuerung dar. Im Folgenden werden die wesentlichen Änderungen detailliert dargestellt.

BSI-Standards im Überblick

  • BSI-Standard 200-1: Management-Systeme für Informationssicherheit – Definition allgemeiner Anforderungen an ein Informationssicherheits-Managementsystem (ISMS)
  • BSI-Standard 200-2: IT-Grundschutz-Vorgehensweise – Aufbau und Betrieb von Management-Systemen zur Informationssicherheit
  • BSI Standard 200-3: Risikoanalyse auf Basis von IT-Grundschutz – Bündelung aller risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes
  • BSI-Standard 100-4: Notfallmanagement – Vorgehensmodell zum Aufbau eines Notfallmanagements in Behörden und Unternehmen.

Management-Systeme

Der BSI-Standard 200-1 „Management-Systeme“ definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit. Er ist kompatibel zum internationalen Standard ISO/IEC 27001:2013 und berücksichtigt darüber hinaus Empfehlungen anderer ISO-Standards, wie beispielsweise ISO/IEC 27002:2013.

Ziele

Im Rahmen der Modernisierung wurde die Ausrichtung des Standards weiter ausdifferenziert: Neben dem allgemeinen Ziel „Aufbau von Management-Systemen zur Informationssicherheit“ werden der Schutz vernetzter Industrieanlagen, Smart-Homes, Internet of Things und Connected Cars besonders herausgestellt. Damit wird aktuelle und künftige Technologie stärker in das Vorgehen einbezogen.

Adressaten

Der Adressatenkreis wurde im neu entwickelten BSI-Standard 200-1 erweitert: Während sich der BSI-Standard 100-1 schwerpunktmäßig an Verantwortungsträger im Umfeld der Informationssicherheit richtete, werden jetzt vermehrt Führungskräfte und Projektleiter angesprochen. Das Thema Informationssicherheit wird vom Spezial- zum Querschnittsthema.

Definitionen und Vorgehen

Der BSI-Standard 200-1 beschreibt die Rahmenbedingungen eines ISMS im Allgemeinen sowie den Umgang mit weiteren Standards der Reihe. Im Zuge der Modernisierung wurden die Begrifflichkeiten und Vorgehensweisen in diesem Übersichts-Standard angepasst, um den Neuerungen der weiteren Standards gerecht zu werden.

Vorgehensweise

Der neue BSI-Standard 200-2 „Vorgehensweise“ bildet die Basis der bewährten BSI-IT-Grundschutz-Methodik zum Aufbau eines ISMS. Verantwortliche für Informationssicherheit können auf Basis der in diesem Standard definierten Methodik und den im neu entwickelten IT-Grundschutz-Kompendium konsolidierten Bausteinen ein neues ISMS aufbauen oder ein bereits bestehendes überprüfen und/oder erweitern.

Prozess zum Aufbau eines ISMS

Der Sicherheitsprozess wurde überarbeitet und erweitert: Während der BSI-Standard 100-2 aus vier Hauptschritten bestand, wurde das Vorgehen jetzt um zwei Aspekte erweitert. Zwar sind die Schritte 2 und 3 des neuen Prozesses nicht grundlegend neu (im Vorgänger-Standard sind sie Teil der Initiierung des Sicherheitsprozesses), jedoch verdeutlicht ihre exponierte Position die besondere Relevanz dieser Themen (vgl. Tab. 1).

Tabelle 1: Vergleich des Sicherheitsprozesses

Rollenbezeichnung des Verantwortlichen für Informationssicherheit

Bislang wurde der Verantwortliche für Informationssicherheit in Dokumenten des BSI als IT-Sicherheitsbeauftragter (IT-SiBe) bezeichnet. Diese Bezeichnung suggeriert Außenstehenden jedoch, dass der Handlungsschwerpunkt auf der Absicherung der technischen Infrastruktur liegt. Da die entsprechende Person aber für die Absicherung aller Arten von Informationen verantwortlich ist, wurde der bislang verwendete Titel durch die Bezeichnung Informationssicherheits-Beauftragter ersetzt, um ein ganzheitliches Rollenverständnis zu schaffen.

Vorgehensweisen

Die Unterscheidung mehrerer Vorgehensweisen zur Einführung eines ISMS stellt die wichtigste Neuerung der BSI-Standards dar: Anders als bisher gibt es nicht mehr die Vorgehensweise zum Aufbau und Betrieb eines ISMS – der Anwender kann sich jetzt zwischen einer Basis-, Kern- oder Standard-Absicherung entscheiden. Die Vorgehen unterscheiden sich vor allem durch die Komplexität der jeweiligen Prozesse, die Auswahl der Zielobjekte und die Tiefe der Betrachtung.

Im Rahmen der Basis-Absicherung wird die grundlegende Absicherung der Geschäftsprozesse und Ressourcen betrachtet. Das Vorgehen ermöglicht einen schnellen Einstieg in den Sicherheitsprozess, um zeitnah zentrale und im Ergebnis schwerwiegende Risiken zu reduzieren. In einem nachgelagerten Schritt werden die tatsächlichen Sicherheitsanforderungen im Detail analysiert. Das Vorgehen eignet sich besonders für kleinere Institutionen, die am Anfang des Sicherheitsprozesses stehen.

Die Kern-Absicherung ist eine Alternative zur Basis-Absicherung, wobei der Fokus auf dem Schutz der kritischen Geschäftsprozesse und Ressourcen liegt. Im Gegensatz zum klassischen IT-Grundschutz werden nur die wichtigsten Aspekte – die so genannten Kronjuwelen – betrachtet und abgesichert. Das Vorgehen bietet sich an, wenn bereits einige wenige Geschäftsprozesse identifiziert wurden, die wesentlich für den Fortbestand einer Institution sind und vorrangig abgesichert werden müssen.

Die dritte – und vom BSI bevorzugte – Absicherungsvariante bildet die Standard-Absicherung: Sie entspricht in den Grundzügen der klassischen IT-Grundschutz- Vorgehensweise. Hier wird weiterhin ein normaler Schutzbedarf adressiert; dazu sind die Basis- und Standard-Anforderungen der relevanten IT-Grundschutz-Bausteine umzusetzen.

IT-Grundschutz-Kompendium

Der IT-Grundschutz-Katalog wurde in IT-Grundschutz-Kompendium umbenannt und enthält für verschiedene Vorgehensweisen, Komponenten und IT-Systeme die Gefährdungslage, Sicherheitsanforderungen und weiterführende Informationen, die jeweils in einem Baustein konsolidiert sind. Das Ergebnis ist ein IT-Grundschutz-Modell des Informationsverbunds, das aus verschiedenen, gegebenenfalls auch mehrfach verwendeten Bausteinen besteht und somit die sicherheitsrelevanten Anforderungen an den Informationsverbund umfasst.

Die Bausteine sind hierbei übergreifend in prozess- und systemorientierte Aspekte gegliedert – diese unterteilen sich wiederum in inhaltliche Themenfelder. Damit weicht der neue BSI-Standard vom aktuell gültigen ab, der eine Unterteilung in fünf Schichten vorgibt (vgl. Tab. 2). Innerhalb der neuen Schichten existieren zudem weitere Unter-Schichten, denen wiederum weitere Bausteine zugeordnet sind – Abbildung 1 stellt diese weitere Unterteilung der einzelnen Schichten exemplarisch dar.

Tabelle 2: Vergleich Bausteinschichten

Jeder Baustein umfasst Sicherheitsanforderungen (früher: Maßnahmen), die für den Schutz des zu betrachtenden Aspekts (Zielobjekts) relevant sind. Sie beschreiben, was zum Schutz des betrachteten Zielobjektes umzusetzen ist. Hinweise auf das wie befinden sich nicht länger in den Bausteinen, sondern in so genannten Umsetzungshinweisen, die für viele Bausteine verfügbar sind. Diese Teilung von „was“ und „wie“ führt zu einer deutlichen Reduzierung des in der zuletzt verfügbaren 15. Ergänzungslieferung 5082 Seiten umfassenden IT-Grundschutz- Katalogs.

Sicherheitsanforderungen unterteilen sich in drei Kategorien:

  • Basis-Anforderungen: müssen vorrangig umgesetzt werden, da so mit vergleichsweise geringem Aufwand der größtmögliche Nutzen erzielt werden kann – diese obligatorischen Anforderungen bilden die Grundlage für die Vorgehensweise „Basis-Absicherung“.
  • Standard-Anforderungen: bauen auf den Basis-Anforderungen auf, adressieren den normalen Schutzbedarf und sollten grundsätzlich umgesetzt werden – ihre Umsetzung ist Voraussetzung für das Erreichen der Standard-Absicherung. Werden einzelne Anforderungen nicht umgesetzt, muss man sicherstellen, die Sicherheitsziele auf andere Weise zu erreichen.
  • Anforderungen für einen hohen Schutzbedarf: Auswahl von Vorschlägen für eine weitergehende Absicherung bei erhöhten Sicherheitsanforderungen oder unter bestimmten Rahmenbedingungen.

IT-Grundschutz-Check

Der bisherige Basis-Sicherheitscheck wurde in IT-Grundschutz- Check umbenannt. Hier wird untersucht, wie die Sicherheitsanforderungen zur Absicherung eines Zielobjektes erfüllt werden.

Diese Prüfung erfolgt in drei Schritten:

  • Organisatorische Vorbereitung: Dokumentenprüfung, Ermittlung der internen und externen Ansprechpartner
  • Durchführung des Soll-Ist- Vergleichs: Vergleich der Sicherheitsanforderungen mit ihrer Umsetzung innerhalb der Organisation
  • Dokumentation: Dokumentation der Ergebnisse in einer geeigneten Form (z. B. in einem dafür geeigneten ISMS-Tool)
Abbildung 1: Aufbau der neuen Bausteinschichten

Risikoanalyse

Der BSI-Standard 200-3 „Risikoanalyse“ bündelt erstmals alle Aspekte des Risikomanagements bei der Umsetzung des IT-Grundschutzes. Das bisherige Vorgehen wurde in ein vereinfachtes Gefährdungsmodell überführt.

Elementargefährdungen

Die rund 450 spezifischen Einzelgefährdungen der einzelnen Gefährdungskataloge wurden thematisch zusammenfasst und in 46 elementare Gefährdungen überführt. Diese Elementargefährdungen sind nicht weiter reduzierbar, sondern repräsentieren die Ursachen weiterer spezifischer Gefährdungen. Hierzu gehören unter anderem Feuer, Wasser, Ressourcenmangel, Personalausfall und Schadprogramme.

Elementargefährdungen sind

  • für die Verwendung bei der Risikoanalyse optimiert,
  • produkt- und technikneutral,
  • kompatibel mit vergleichbaren internationalen Standards und
  • nahtlos in den IT-Grundschutz integriert.

Vorgehensmodell

Der aktualisierte BSI-Standard 200-3 beschreibt ein Vorgehen zur Durchführung einer Risikoanalyse, wobei folgende Schritte durchzuführen sind:

  • Vorbereitung zur Risikoanalyse
  • Erstellung der Gefährdungsübersicht
  • Ermittlung zusätzlicher Gefährdungen
  • Risikoeinstufung
  • Behandlung von Risiken
  • Risiken unter Beobachtung
  • Konsolidierung des Sicherheitskonzepts
  • Rückführung in den Sicherheitsprozess

Dieses ganzheitliche Vorgehen sorgt dafür, dass der Risikoanalyseprozess als integraler Bestandteil des Informationssicherheits-Managementprozesses angesehen und „gelebt“ wird.

Herausforderung Migration

Mit der Modernisierung des BSI IT-Grundschutzes stehen Anwender mit bestehendem ITGrundschutz- konformem Sicherheitskonzept vor der Herausforderung, dieses hin zum modernisierten IT-Grundschutz zu migrieren.

Auch wenn aktuell weder seitens des BSI noch von Toolherstellern entsprechende Methoden zur Umsetzung existieren, sind Anwender trotzdem angehalten, bereits jetzt den modernisierten IT-Grundschutz einzusetzen. Durch die vielschichtigen Änderungen im Zuge der Modernisierung ist es dabei erforderlich, bestehende IT-Sicherheitskonzepte zu migrieren, um den neuen Sicherheitsanforderungen gerecht zu werden.

Herausforderungen für Anwender sind der reibungslose Übergang vom klassischen zum modernisierten IT-Grundschutz, die Minimierung des Anpassungsaufwands innerhalb der Institution sowie die Vermeidung von Mehraufwand bei der Etablierung neuer Sicherheitsanforderungen.

Für eine effiziente Migration bereits bestehender IT-Sicherheitskonzepte unter Berücksichtigung der Anforderungen und Informationsverbünde der jeweiligen Institution sowie je nach gewählter IT-Grundschutz- Absicherungsvariante (Basis-, Kern- oder Standard-Absicherung) wird beim Anwender sehr viel Expertise vorausgesetzt.

Szenariendenken

Das BSI hat im Zuge der Modernisierung sowohl Inhalte aus dem klassischen IT-Grundschutz in ausgewählte neue Bausteine migriert als auch Inhalte verworfen oder sogar ohne Anpassung direkt übernommen. Migrationen verlaufen somit immer in gewissen Szenarien, die im ersten Schritt definiert werden müssen, um die Veränderungen nachzuvollziehen.

Um Anwendern die Migration bestehender IT-Sicherheitskonzepte zu erleichtern, hat das BSI Migrationstabellen entwickelt, die verdeutlichen, inwieweit eine Maßnahme aus dem klassischen IT-Grundschutz in eine neue Sicherheitsanforderung überführt wurde. Neben den hierin identifizierten Szenarien existieren jedoch noch weitere, die unberücksichtigt blieben.

Unterschiedliche Gegebenheiten bei der Überführung bisheriger Maßnahmen in neue Sicherheitsanforderungen können durch eine Kombinationen von „0“, „1“ und „n“ dargestellt werden, wobei

  • 0 = keine Maßnahme/Sicherheitsanforderung,
  • 1 = eine Maßnahme/Sicherheitsanforderung und
  • n = mehrere Maßnahmen/ Sicherheitsanforderungen bedeuten.

Demnach sind die folgenden Migrationsszenarien zu berücksichtigen:

  • 0:0 = lässt sich nicht nachweisen
  • 0:n = mehrere neue Sicherheitsanforderungen sind umzusetzen
  • n:0 = mehrere alte Maßnahmen wurden ersatzlos gestrichen
  • 1:1 = alte Maßnahmen und neue Sicherheitsanforderungen wurden 1:1 gemappt
  • 1:1+ = die neue Sicherheitsanforderung wurde um zusätzliche Aspekte ergänzt
  • 1:n = eine alte Maßnahme wurde auf mehrere neue Sicherheitsanforderungen gemappt
  • n:1 = mehrere alte Maßnahmen gehören zu einer neuen Sicherheitsanforderung
  • n:n = mehrere alte Maßnahmen mappen auf mehrere neue Sicherheitsanforderungen
  • 0:1 = eine neue Sicherheitsanforderung wurde ergänzt
  • 1:0 = die alte Maßnahme wurde ersatzlos gestrichen

Während der Betrachtung der einzelnen Szenarien können einige ohne weitere Prüfung gestrichen werden – denn das Vorgehen ist dabei bereits über andere Szenarien abgedeckt oder auszuschließen:

  • 0:0 – lässt sich nicht nachweisen
  • 0:n – mehrfache Anwendung des 0:1-Szenarios
  • n:0 – mehrfache Anwendung des 1:0-Szenarios
  • n:n – wird bereits durch die Szenarien n:1 und 1:n abgedeckt

Tabelle 3 führt alle relevanten Migrationsszenarien mit Beispielen auf und betrachtet darüber hinaus deren Erkennbarkeit in den vorhandenen Migrationstabellen. Damit können Anwender den Aufwand für die Migration identifizieren und gegebenenfalls minimieren.

Tabelle 3: Beispiele für Mapping-Szenarien

Bislang veröffentlichte Migrationstabellen enthalten jedoch Fehler innerhalb des Mappings von alten Baustein-Maßnahmen zu neuen Sicherheitsanforderungen und liefern somit keinen sicheren Migrationspfad. Darüber hinaus fehlen folgende Szenarien innerhalb der Betrachtung der Migrationstabellen:

  • Migration einer alten Baustein- Maßnahme aus einem anderen Baustein in den betrachteten Baustein als neue Sicherheitsanforderung(en)
  • Aufteilung von alten Bausteinen in mehrere neue Bausteine und Migration alter Maßnahmen und Maßnahmen-Inhalte in neue Bausteine und Sicherheitsanforderungen
  • Aufteilung von alten Bausteinen in mehrere neue Bausteine und Migration alter Maßnahmen und Maßnahmen-Inhalte in neue Bausteine und Sicherheitsanforderungen Streichung alter Maßnahmen nebst Überprüfung, ob diese in andere modernisierte Bausteine einfließen

Somit existiert noch keine vollständige und solide Dokumentation für eine zuverlässige Migration. Aus den genannten Szenarien wird deutlich, dass unter anderem auf bereits bestehende Maßnahmen des klassischen IT-Grundschutzes zurückgegriffen wird. Anwender könnten demzufolge auf Basis umgesetzter Maßnahmen des klassischen IT-Grundschutzes bereits bestehende Dokumentationen und Prozesse migrieren – zu diesem Aspekt gibt es jedoch ebenfalls keine frei verfügbaren Informationen, um Migrationsansätze zu strukturieren.

Fazit

Die Aktualisierung der BSIStandards ermöglicht es Institutionen aller Arten und Größen, ein angemessenes ISMS aufzubauen. Dazu tragen die neuen Vorgehensweisen „Basis-Absicherung“ und „Kern-Absicherung“ bei, in deren Rahmen Informationsverbünde zunächst grundlegend abgesichert oder zentrale Aspekte („Kronjuwelen“) vorrangig betrachtet werden. Trotz dieser Abkürzungen bleibt das Ziel bestehen, den jeweiligen Informationsverbund im Rahmen kontinuierlicher Verbesserungsmaßnahmen im Laufe der Zeit weiter abzusichern (vgl. „Standard-Absicherung“).

Die Trennung in prozess- und systemorientierte Bausteine trägt dazu bei, Informationssicherheit besser in die Unternehmensstruktur und -prozesse einzubinden, um das Thema Sicherheit als integralen Bestandteil aller unternehmerischen Tätigkeiten zu verankern.

Es bietet sich die Chance, alle beteiligten Parteien themenspezifisch in den Aufbau und Betrieb eines ISMS mit einzubeziehen. Das setzt eine Zusammenarbeit aller beteiligten Bereiche voraus und kann – je nach Unternehmensgröße und -aufbau – einen erheblichen Ressourcenaufwand nach sich ziehen.

Eine genaue Aufwandsschätzung ist bislang aufgrund der aktuell ausschließlich in Entwurfsversionen vorliegenden BSI-Standards und Bausteine nur bedingt möglich. Bis zur finalen Veröffentlichung können seitens des BSI weiterhin Änderungen vorgenommen werden, was ein zusätzliches Risiko darstellt. Darüber hinaus fehlt es aktuell an zentralen Vorgaben, wie einer Modellierungsvorschrift, einer zentralen Migrationsvorgehensweise sowie einem aktualisierten Zertifizierungs- und Auditierungsschema.

Sebastian Krüsmann und Tobias Goldschmidt sind Unternehmensberater im Bereich Information-Security-Management der HiSolutions AG.

Literatur

[1] BSI, Die Modernisierung des ITGrundschutzes, Portalseite, www.bsi.bund.de/DE/Themen/ITGrundschutz/IT-Grundschutz-Modernisierung/itgrundschutz_modernisierung_node.html

[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standards – Methoden, Verfahren und Prozesse zur Informationssicherheit, Community-Drafts, www.bsi.bund.de/DE/Themen/ITGrundschutz/IT-Grundschutz-Modernisierung/GS_Standards/gs_standards_node.html