Übung aus ISM3

IT-Grundschutz für KMUs

und
Hilfsmittel zum Grundschutz

Manuel Faux Marion Haller

20. Dezember 2009

FH Hagenberg
Inhaltsverzeichnis
1. Vorstellung des Dokuments 4
1.1. Allgemeine Vorgehensweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.2. Denition des IT-Verbunds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3. Angepasste GS-Vorgehensmodellschritte . . . . . . . . . . . . . . . . . . . . . . 5
1.4. Beispiel Sicherheits-Leitlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

2. Anpassung der Schritte aus dem GS-Vorgehensmodell 5

2.1. Initiierung des Sicherheitsprozesses . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.1.1. Übernahme von Verantwortung durch die Leitungsebene . . . . . . . . . 7
2.1.2. Konzeption und Planung des Sicherheitsprozesses . . . . . . . . . . . . . 7
2.1.3. Erstellung einer Leitlinie zur Informationssicherheit . . . . . . . . . . . . 8
2.1.4. Organisation des Sicherheitsprozesses . . . . . . . . . . . . . . . . . . . . 9
2.2. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz . . . . . . . . . . . 9
2.2.1. Denition des Geltungsbereichs . . . . . . . . . . . . . . . . . . . . . . . 9
2.2.2. Strukturanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2.3. Schutzbedarfsfeststellung . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2.4. Auswahl und Anpassung von Maÿnahmen . . . . . . . . . . . . . . . . . 11
2.2.5. Basis-Sicherheitscheck . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.2.6. Ergänzende Sicherheitsanalyse . . . . . . . . . . . . . . . . . . . . . . . 11
2.3. Umsetzung der Sicherheitskonzeption . . . . . . . . . . . . . . . . . . . . . . . . 11
2.4. Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit 12
2.4.1. Überprüfung des Informationssicherheitsprozesses in allen Ebenen . . . . 12
2.4.2. Informationsuss im Informationssicherheitssystem . . . . . . . . . . . . 13
2.5. Zertizierung nach ISO 27 001 auf der Basis von IT-Grundschutz . . . . . . . . 13

3. Beurteilung der Anwendbarkeit des Grundschutzprols 14

4. Hilfsmittel zur Erstellung einer Sicherheitsrichtlinie 14

4.1. Leitfaden IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.2. Webkurs Grundschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4.3. Zielgruppendenition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

A. Vergleich: Firmenprol für eine kleine Institution 19

A.1. Anpassung der Schritte aus dem GS-Vorgehensmodell . . . . . . . . . . . . . . 19
A.1.1. Initiierung des Sicherheitsprozesses . . . . . . . . . . . . . . . . . . . . . 19
A.1.2. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz . . . . . . . 21
A.1.3. Umsetzung der Sicherheitskonzeption . . . . . . . . . . . . . . . . . . . . 22
A.1.4. Aufrechterhaltung und kontinuierliche Verbesserung der Informationssi-
cherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
A.1.5. Zertizierung nach ISO 27001 auf der Basis von IT-Grundschutz . . . . 23
A.2. Beurteilung der Anwendbarkeit des Grundschutzprols . . . . . . . . . . . . . . 23

2
Abkürzungsverzeichnis
BSI Bundesamt für Sicherheit in der Informationstechnik

BSISIPOL Sample policy and sample concepts, BSI

GS Grundschutz

GSHB IT-Grundschutzhandbuch

IS Informationssicherheit

ITGS IT-Grundschutz

KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

MURI Dokument Musterrichtlinien und Beispielkonzepte des BSI

TK Telekommunikation

3
1. Vorstellung des Dokuments
Das Dokument IT-Grundschutz für den Mittelstand ist ein vom BSI veröentlichtes Dokument
das anhand einer ktiven Insitution mittlerer Gröÿe die Etablierung eines funktionierenden IT-
Sicherheitsprozesses nach ITGS erläutern soll. Zuerst wird die allgemeine Vorgehensweise zur
Erstellung eines IT-Sicherheitsprozesses vorgestellt. Da das Dokument im November 2004 er-
stellt wurde und der IT-Grundschutz im Jahr 2005 umstruktuiert wurde [SB09, BSI], referen-
ziert das Dokument immer wieder das IT-Grundschutzhandbuch, welches jedoch seit 2005 in
IT-Grundschutz-Kataloge und BSI-Standards aufgeteilt ist.

1.1. Allgemeine Vorgehensweise

Im ersten Teil des Dokuments IT-Grundschutz für den Mittelstand wird allgemein die Vor-
gehensweise bei der Erstellung eines Sicherheitskonzepts nach GSHB erläutert. Es wird die
Notwendigkeit der Existenz eines Sicherheitskonzepts dargestellt sowie eine kurze Einführung
in den GS gegeben.
Die Erstellung einer Sicherheitsrichtlinie nach GSHB verläuft im Allgemeinen in sieben Pha-
sen1 , die zeitlich nacheinander ausgeführt werden2 .

Abbildung 1: Übersicht der Umsetzungsphasen

Phase 1, Initiierung des IT-Sicherheitsprozesses In der Phase 1 wird der zu betrachtende IT-
Verbund deniert, eine IT-Sicherheits-Richtlinie erstellt, sowie das IT-Sicherheitsmanage-
ment eingerichtet. Diese Aufgaben werden normalerweise vom IT-Sicherheitsbeauftragten
durchgeführt, welcher im Zuge dieser Phase von der Institutionsleitung bestimmt wird.

Phase 2, Durchführung einer IT-Strukturanalyse Die Phase 2 dient der Erfassung der Kom-
ponenten des IT-Verbundes. Als Ergebnis dieser Phase erhält man eine Dokumentation
der IT-Stuktur der Institution, wie zum Beispiel eine Auistung aller IT-Systeme, deren
Benutzer, Standorte und laufenden Anwendungen.

Phase 3, Durchführung einer Schutzbedarfsfeststellung In der Phase 3 wird für jede in Pha-
se 2 denierte Komponente, ein Schutzbedarf festgelegt. Dies geschieht in der Regel durch
enge Zusammenarbeit mit den IT-Benutzern.

Phase 4, Modellierung nach IT-Grundschutz In dieser Phase wird der IT-Verbund durch Bau-
steine des GSHBs nachgebildet.

1
Phase 7 umfasst die Zertizierung der grundschutzkonformen Erstellung des Sicherheitskonzepts; diese ist
optionaler Bestandteil einer Sicherheitsrichtlinienerstellung.
2
Eine Ausnahme stellt hier Phase 2, welche bereits vor Beendigung der Phase 1 begonnen werden kann.

4
Phase 5, Durchführung des Basis-Sicherheitschecks Der Basis-Sicherheitscheck dient der Er-
mittlung der aktuell umgesetzten Maÿnahmen, welche sich aus der Modellierung der Pha-
se 4 ergeben haben.

Phase 6, Realisierung von IT-Sicherheitsmaÿnahmen Die Phase 6 dient der eigentlichen Um-
setzung der erforderlichen Sicherheitsmaÿnahmen nach GSHB.

Phase 7, Zertizierung Anschlieÿend, an die Umsetzung der Maÿnahmen und die Erstellung
des Sicherheitskonzepts, kann ein IT-Grundschutz-Zertikat durch einen lizenzierten IT-
Grundschutz-Auditor ausgestellt werden.

1.2. Denition des IT-Verbunds

Im nächsten Teil des Dokuments wird der IT-Verbund der beispielhaften Institution näher
beschrieben. Zunächst wird eine Beschreibung des IT-Verbundes aus Sicht des Institutionsleiters
gegeben, später erfolgt eine Beschreibung aus Sicht des GSHBs.
Abbildung 2 zeigt schematisch den Aufbau der IT-Infrastruktur der Institution auf. Zusätz-
lich hat jeder Mitarbeiter ein eigenes Telefon am Arbeitsplatz. Es wird versucht alle Systeme
mit Windows 2000 Oce-Lösung
zu betreiben, sowie eine einheitliche einzusetzen, um den ad-
ministrativen Aufwand zu minimieren. Bis auf einige wenige, sind alle Drucker direkt mit den
PCs verbunden; es gibt jedoch zwei Netzwerkdrucker. Alle PCs und Server hängen an einem
Switch und sind somit miteinander vernetzt; alle Telefone sowie das DSL-Modem sind mit der
TK-Anlage gekoppelt. Die einzige Verbindung nach auÿen ist die Anbindung der TK-Anlage
mit der Telefon- und Internetgesellschaft.
Die Räumlichkeiten der Institution, welche sowohl als Büroräume wie auch zur Unterbringung
der IT-Infrastuktur dienen, benden sich im dritten Stockwerk eines Bürogebäudes, welches
auch von anderen Unternehmen benutzt wird.

1.3. Angepasste GS-Vorgehensmodellschritte

Der Groÿteil des Dokuments befasst sich mit der Erstellung einer Sicherheitsrichtlinie nach GS-
HB. Hierfür werden die sieben Phasen erneut aufgelistet und erläutert, jedoch mit Anpassungen
in Bezug auf das GSHB, um den Ansprüchen eines mittelständischen Unternehmens gerecht zu
werden.

1.4. Beispiel Sicherheits-Leitlinie

Es wird eine Sicherheits-Leitlinie aus MURI auf ein mittelständisches Unternehmen umgesetzt.
Hervorgehobene Textpassagen können individuell angepasst werden.

2. Anpassung der Schritte aus dem GS-Vorgehensmodell

Im folgenden Abschnitt wird erläutert, wie die einzelnen Phasen der Erstellung einer Sicher-
heitskonzeption nach dem GSHB für die beispielhafte Institution angepasst oder interpretiert
wurden.
Der BSI-Standard 100-2, IT-Grundschutz-Vorgehensweise, beschreibt wie bei der Umsetzung
eines Managementsystems nach dem IT-Grundschutz vorzugehen ist. Dieses Vorgehen besteht
 um ein systematisches Vorgehen zu erleichtern  aus vier Phasen, welche auch im Dokument

5
Abbildung 2: Netzplan des beispielhaften IT-Verbunds

6
IT-Grundschutz für den Mittelstand aufgegrien werden.3 Da diese Phasen aus dem BSI-
Standard sehr allgemein gehalten sind, um sowohl kleine Unternehmen wie auch mittlere und
groÿe Institutionen zu berücksichtigen, werden diese leicht angepasst um den Ansprüchen der
ktiven Institution zu genügen.

2.1. Initiierung des Sicherheitsprozesses

2.1.1. Übernahme von Verantwortung durch die Leitungsebene

Die oberste Leitungsebene jeder Institution ist dafür verantwortlich, dass alle Geschäftsbe-
reiche ordnungsgemäÿ funktionieren und Risiken frühzeitig erkannt werden. Daher muss die
Leitungsebene den Sicherheitsprozess initiieren, steuern und kontrollieren. Die Verantwortung
selbst bleibt beim Management, die Aufgabe der Informationssicherheit
wird jedoch an den
IT-Sicherheitsbeauftragten delegiert.
Zuerst wird erklärt wieso es so wichtig ist, dass die oberste Leitungsebene trotz Delegie-
rung der Aufgabe der Informationssicherheit an den IT-Sicherheitsbeauftragten, dennoch aus-
schlaggebend am Managementprozess Informationssicherheitbeteiligt ist. Der BSI-Standard
biete eine sehr genaue Auistung von Informationen die dem Management nicht vorenthalten
werden dürfen, sowie gewisse Prinzipien die bei der Umsetzung des Managementsystems vom
Management beachtet werden sollen.

Diesem Teil der Umsetzung wird im Dokument IT-Grundschutz für den Mittelstandnur
sehr wenig Inhalt zugesprochen; es wird lediglich erwähnt, dass die Geschäftsführung einen IT-
Sicherheitsbeauftragten bestimmt, der die weitere Umsetzung des Managementsystems reali-
siert.

2.1.2. Konzeption und Planung des Sicherheitsprozesses

Ein wichtiger Teil der Initiierung des Sicherheitsprozesses ist auch die Planung des Prozesses
selbst. Hierbei muss eine angemessene IS-Strategie
vom Management festgelegt werden. Diese
Strategie basiert auf den Geschäftszielen beziehungsweise dem Auftrag der Institution. Deswei-
teren muss für jeden Geschäftsprozess und jeder Fachaufgabe von einem fachlichen Ansprech-
partner ein Sicherheitsniveau zum Schutz der Informationen festgelegt und von der Geschäfts-
leitung zugestimmt werden. Hierzu bietet der BSI-Standard einen Art Kontrollfragenkatalog
zur Überprüfung dieser Rahmenbedingungen.
Zu Beginn jedes Sicherheitsprozesses sollte man die Informationssicherheitsziele bestimmen,
aus denen zunächst nur allgemeine Sicherheitsziele abgeleitet werden. Später, bei der Erstel-
lung des eigentlichen Sicherheitskonzepts, werden daraus konkrete Sicherheitsanforderungen
gebildet. Hier bietet der BSI-Standard eine Auistung möglicher Sicherheitsziele.

Im Dokument IT-Grundschutz für den Mittelstand wird weder die Erstellung der IS-Stra-
tegie erwähnt, noch das Festlegen des Sicherheitsniveaus oder die Ausarbeitung der Informati-
onssicherheitsziele.

3
Da, wie bereits erläutert, der BSI-Grundschutz seit Verfassen des Dokuments konzeptionell überarbeitet wur-
de, entsprechen die im Dokument referenzierten Phasen nicht mehr genau den Phasen aus dem BSI-Standard.
Es werden im folgenden die Phasen des BSI-Standards 100-2 Version 2.0 als Referenz herangezogen.

7
 Der BSI-Standard empelt zum besseren Verständnis der IS-Ziele, dass das angestrebte Si-
cherheitsniveau für einzelne Geschäftsprozesse in Bezug zu den Grundwerte der Informations-
sicherheit gebracht wird, um so ein angemessenes Sicherheitsniveau besonders hervorgehobener
Geschäftsprozesse bestimmen zu können. Hierbei muss die Leitungsebene unbedingt ausschlag-
gebend an der Formulierung dieser IS-Ziele beteiligt sein.

Auch zu diesen Punkten sind im IT-Grundschutz für den Mittelstand keine Maÿnahmen
vorgesehen.

2.1.3. Erstellung einer Leitlinie zur Informationssicherheit

Ein zentraler Punkt der Sicherheitsprozessinitiierung ist die Erstellung einer schriich xierten
Leitlinie zur Informationssicherheit. Diese beschreibt allgemeinverständlich für welche Zwecke,
mit welchen Mitteln und mit welchen Strukturen die Informationssicherheit innerhalb der Insti-
tution hergestellt werden soll. In ihr sollen die angestrebten IS-Ziele genau beschrieben werden.
Mit der IS-Leitlinie wird auch festgelegt, mit welchen strategischen Mitteln die Geschäftslei-
tung zur Erreichung der IS-Ziele beiträgt. Die Institutionsleitung sollte ihr formell zugestimmt
haben.
Wesentlicher Bestandteil der IS-Leitlinie ist der Geltungsbereich. Die Leitlinie kann Insti-
tutionsweit gültig sein oder auch nur auf Teile der Institution zutreen. Eine IS-Leitlinie soll
nicht mehr als 20 Seiten aufweisen, jedoch mindestens aus Geltungsbereich IS-Zielen Sicher-
, ,
heitsstrategie und der für die Umsetzung etablierten Organisationsstruktur bestehen. Sollte
die Leitlinie vertrauliche Informationen beinhalten, sollten diese an das Ende des Dokuments
verlagert werden und explizit als vertraulich gekennzeichnet werden.
Der BSI-Standard sieht es vor, dass ein IS-Management-Team  sofern bereits im Unterneh-
men vorhanden  die Informationen der IS-Leitlinie ausarbeitet. Sollte es so ein Team noch
nicht geben, wird empfohlen eine Entwicklungsgruppe zur Erarbeitung der Sicherheitsleitlinie
zu gründen, die dann im Laufe der weiteren Phasen der Einrichtung des Sicherheitsprozesses
zum IT-Management-Team übergeht.
Die IS-Leitlinie sollte für jeden Mitarbeiter leicht zugängig zur Verfügung gestellt werden.
In regelmäÿigen Abständen soll die Leitlinie überarbeitet werden und auf Aktualität über-
prüft werden. Es soll besonders auf Änderungen in den Geschäftszielen, den Geschäftsprozessen
selbst oder der Organisationsstruktur geachtet werden. Auch die Einführung von neuen IT-
Geräten muss in die Überarbeitung miteinieÿen. Das BSI empehlt eine zwei-jährliche Über-
arbeitung.

Für eine mittlere Institution sieht das BSI im Groÿen und Ganzen die gleichen Inhalte der
Leitlinie vor. Das Dokument IT-Grundschutz für den Mittelstand"beschreibt diese Inhalte
jedoch nicht sehr genau, sondern eher überblicksmäÿig. Ein Hinweis wie vertrauliche Teile zu
handhaben sind, fehlt zum Beispiel gänzlich. Auch wird im Dokument nicht auf die Verteilung
der Leitlinie eingegangen.
Für die Erstellung der Leitlinie, ist kein eigenes Team oder eigene Gruppe zuständig, sondern
der IT-Sicherheitsbeauftragte. Es wird stattdessen empfohlen, dass dieser in Workshops mit
Vertretern der Institutionsleitern die wesentlichen Eckpunkte dieser Leitlinie ausarbeitet. Das
BSI Dokument beinhaltet keinen Hinweis zur regelmäÿigen Überarbeitung der IS-Leitlinie.

8
2.1.4. Organisation des Sicherheitsprozesses

Ferner beschreibt der BSI-Standard die Organisation des Sicherheitsprozesses. Um den IS-
Prozess institutionsweit umzusetzen, ist es unabdingbar Rollen innerhalb der Institution fest-
zulegen und diesen einzelne Aufgaben zuzuordnen. Die genaue Organisationsstruktur hängt
von der Gröÿe und genauen Beschaenheit der Institutionsstruktur ab. Auf jeden Fall soll ein
IT-Sicherheitsbeauftragter als zentraler Ansprechpartner benannt werden. In gröÿeren Insti-
tutionen wird es üblicherweise weitere Personen geben, denen Teilaufgaben zugeteilt werden;
das IS-Management-Team koordiniert deren Tätigkeiten. Diese Rollen sollen als Stabsstellen
organisiert sein, um den direkten Zugang zur Institutionsleitung sicherzustellen.
Die Gesamtverantwortung bleibt weiterhin bei der Institutionsleitung, jedoch ist mindestens
eine Person zu ernennen, die den IS-Prozess fördert und koordiniert; dies ist zumeist der IT-
Sicherheitsbeauftragte. Dennoch ist jeder Mitarbeiter gleichermaÿen für seine eigentliche Auf-
gabe wie auch für die Aufrechterhaltung der Informationssicherheit an seinem Arbeisplatz und
seiner näheren Umgebung verantwortlich.
Desweiteren beschreibt der Standard einige Integrationsstrategien der IS-Organisation in die
bestehende Institutionsstruktur. Auch die genauen Aufgaben, Verantwortungen und Kompe-
tenzen in der IS-Organisation sowie des IT-Sicherheitsbeauftragten, des IS-Management-Teams
sowie anderen Rollen in der IS-Organisation werden genauer deniert.

Im GS-Prol für eine mittlere Institution sind weder Inhalte von der Organisation des
Sicherheitsprozesses, noch deren Rollen zu nden. Die einzige Rolle der IS-Organisation ist der
IT-Sicherheitsbeauftragte.

2.2. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz

Ein Ziel des IT-Grundschutzes ist es, eine Vorgehensweise zur Erzielung eines normalen Sicher-
heitsniveaus anzubieten. Dies kann auch als Basis für ein höheres Sicherheitsniveau dienen. Auf-
grund dessen werden Standard-Sicherheitsmaÿnahmen empfohlen; diese sind in Bausteine unter-
teilt, sodass sie aufeinander aufsetzen können (siehe Abbildungrefg:sicherheitskonzeption.pnh).
Unter anderem wird die Methodik des IT-Grundschutzes beschrieben und die Gliederung
in die Denition des Geltungsbereiches, die Strukturanalyse, die Schutzbedarfsfeststellung, die
Auswahl und die Anpassung von Maÿnahmen, der Basis-Sicherheitscheck sowie weiterführende
Maÿnahmen.

2.2.1. Denition des Geltungsbereichs

Oft Erfolgversprechender sind viele kleine Schritte und ein langfristiger und kontinuierlicher
Verbesserungsprozess. Es muss zunächst der Bereich festgelegt werden, für den die Konzeption
erstellt wird. Im IT-Grundschutz wird der Geltungsbereich als IT-Verbund bezeichnet.

Es wird im GS-Prol nur kurz das IT-Sicherheitskonzept angeführt. Die beiden Sicherheits-
konzeptionen unterscheiden sich nicht grundlegend. Die Punkte sind anders strukturiert, so
werden zum Beispiel im Prol für mittlere Institutionen die Basis-Sicherheitschecks nicht auf-
geteilt.

9
 Abbildung 3: Erstellung der Sicherheitskonzeption im Informationssicherheitsmanagement

2.2.2. Strukturanalyse

Das Zusammenspiel der typischen Geschäftsprozesse, deren Anwendung und die Analyse bezieh-
gungsweise Dokumentation der Informationstechnik tragen zu der Strukturanalyse bei. Heute
ist eine starke Vernetzung von IT-Systemen üblich, daher bietet sich ein Netztopologieplan als
Ausgangsbasis für die weitere technische Analyse an.

Die Strukturanalyse ist im GS-Prol für mittelständige Unternehmen kurz gehalten. Der
erste Schritt beginnt mit der Auswertung des Netzplans, der zweite Schritt wäre die Erhebung
der IT-Systeme und der dritte Schritt die anschlieÿende Erfassung der IT-Anwendungen und
der zugehörigen Informationen.

2.2.3. Schutzbedarfsfeststellung

Es wird ermittelt, welcher Schutz für die Geschäftsprozesse, die verarbeiteten Informationen
und die eingesetzte Informationstechnik ausreichend und angemessen ist. Folgeschäden müs-
sen realistisch eingeschätzt werden; es hat sich die Einteilung in drei Schutzbedarfskategorien
bewährt.

Dieser Punkt ist bei den mittleren Unternehmen gut aufgegliedert. Es wird anhand des
Beispiels veranschaulicht, wie die Geschäftsprozesse mittels dem GS-Tool verarbeitet werden.

10
2.2.4. Auswahl und Anpassung von Maÿnahmen

Nachdem die Strukturanalyse und die Schutzbedarfsfeststellung vorliegen, wird der IT-Verbund
mit Hilfe der vorhanden Bausteine abgebildet. Das Ergebnis ist ein IT-Grundschutz-Modell des
Informationsverbunds aus mehreren Bausteinen. Unter diesem Kapitel werden noch genauer
die Bausteine, die Gefährdungskataloge sowie die Maÿnahmenkataloge erläutert. Es folgt die
anschlieÿende Modellierung eines Informationsverbunds; Sicherheitsaspekte werden dabei nach
Themen gruppiert betrachtet. Anschlieÿend wird mittels Aktionspunkten die Auswahl und
Anpassung der Maÿnahmen behandelt.

Im Gegensatz zum BSI-Standard nennt sich das Kapitel jetzt Modellierung. Die Genera-
lisierung ist verschwunden. Es werden modellhaft die Schichten gemäÿ des GSHB dargestellt
und kurz beschrieben. Je nach Verwendung der betrachteten Bausteine können die Objekte
von unterschiedlicher Art sein: einzelne Komponenten, Gruppen von Komponenten, Gebäude,
Liegschaften oder Organisationseinheiten. Zuerst werden in dem Prol der mittleren Unterneh-
men die übergeordneten Aspekte beziehungsweise Bausteine verwendet, dann Bausteine der
Infrastruktur, der IT-Systeme, IT-Netze und IT-Andwendungen.

2.2.5. Basis-Sicherheitscheck

Der Basis-Sicherheitscheck besteht im Standard aus der organisatorischen Vorarbeit und den
dazugehörigen Aktionspunkten. Die Durchführung des Soll-Ist-Vergleichs dient, wieder inklu-
sive der Aktionspunkte, zur Ermittlung des Umsetzungsstatus. Es darf keinenfalls auf die Do-
kumentation vergessen werden.

Im Prol des Unternehmens deckt sich dieser Punkt, bis auf die Aktionspunkte, mit dem
Standard. Der Umsetzungsstatus wird nicht extra erwähnt.

2.2.6. Ergänzende Sicherheitsanalyse

Für die typischen Geschäftsprozesse, Anwendungen und IT-Systeme sind die Standard-Sicher-
heitsmaÿnahmen in der Regel ausreichend. Es wird der zweistuge Ansatz der IT-Grundschutz-
Vorgehensweise und die Vorgehensweise zur ergänzenden Sicherheitsanalyse genauer be-
schrieben und mit einem Beispiel versehen. Es folgt die Risikoanalyse auf der Basis des IT-
Grundschutzes.

Im Dokument GS-Prol für mittelständische Unternehmen gibt es einen Exkurs zu dem

Thema Ergänzende Sicherheitsanalyse. Es gibt eine kurze Beschreibung, aber es werden keine
Vorgehensweisen aufgelistet.

2.3. Umsetzung der Sicherheitskonzeption

Die im BSI-Standard angeführte Umsetzung erfolgt zuerst mit einer Sichtung der Untersu-
chungsergebnisse. Es werden alle fehlenden beziehungsweise nur teilweise umgesetzten Maÿ-
nahmen tabellarisch erfasst. Anschlieÿend wird die Konsolidierung der Maÿnahmen, woraus ein

11
eventuelles Entfallen der Umsetzung einhergeht, mit Beispielen angeführt. Wichtig ist die ent-
sprechende Dokumentation. Es folgt eine Kosten- und Aufwandschätzung, wobei das Risiko für
die Nicht-Realisierung einer Maÿnahme deutlich wird, zum Beispiel durch nicht ausreichendes
Budget.

Ident zu dem BSI-Standard werden bei den mittelständischen GS-Prol die Untersuchungs-
ergebnisse ebenfalls gesichtet. Es werden alle teilweisen oder nicht umgesetzten Ergebnisse aus
dem Basis-Sicherheitscheck übernommen und in einer Tabelle aufgelistet.
Bei der Kosten- und Aufwandschätzung wird bei den mittelständischen Unternehmen zwi-
schen einmaligen und wiederkehrenden Investitionskosten beziehungsweise Personalaufwänden
unterschieden. Es ist von Vorteil die jeweiligen Kosten- und Aufwandschätzungen gemeinsam
mit einem IT-Verantwortlichen durchzuführen.

Es folgt die Festlegung der Umsetzungsreihenfolge der Maÿnahmen. Aufgrund von zu we-
nig Budget oder personeller Ressourcenknappheit muss eine Reihenfolge für die Umsetzung
die Maÿnahmen festgelegt werden. Anschlieÿend werden die Aufgaben und die Verantwortun-
gen ausgearbeitet. Es wird bestimmt, wer wann welche Maÿnahme zu realisieren hat und wer
für die Überwachung der Realisierung zuständig ist. Realisierungsbegleitende Maÿnahmen, im
Speziellen Sensibilisierungsmaÿnahmen werden eingeplant um betroene Mitarbeiter über die
Notwendigkeit und die Konsequenzen der Maÿnahmen zu unterrichten.

Gleichwertiger Ablauf ndet sich auch bei der Umsetzungsreihenfolge, sowie bei der Festle-
gung der Verantwortlichkeiten im Dokument des Mittelstands. Es ist darauf zu achten, dass
der Verantwortliche über ausreichend Kompetenzen für die Umsetzung der Maÿnahmen besitzt.
Realisierungsbegleitende Maÿnahmen werden im Grundschutzprol eines mittelständischen Un-
ternehmens ähnlich wie im Standard umgesetzt.

2.4. Aufrechterhaltung und kontinuierliche Verbesserung der

Informationssicherheit
2.4.1. Überprüfung des Informationssicherheitsprozesses in allen Ebenen

Methoden für eine Überprüfung des Informationssicherheitsprozesses werden erläutert. Es folgt

auch die Überprüfung der Sicherheitsmaÿnahmen, sowie die Prüfung ob die Sicherheitsziele
mit dem Einsatz der Sicherheitsstrategie auch wirklich errreicht werden können. Alle diese
Ergebnisse werden in den Informationssicherheitsprozess übernommen.

Der Aufrechterhaltung und der kontinuierlichen Verbesserung der Informationssicherheit ist

im Grundschutzprol nur ein kurzer Absatz gewidmet.
Unter anderem wird angemerkt, dass es wesentlich ist, dass der IT-Beauftragte sich um die
Aufrechterhaltung des Prozesses kümmern und die Umsetzung der Maÿnahmen sowie die Ein-
haltung der Richtlinien überwachen muss. Weiters ist ein Sicherheitsprozess dargestellt (siehe
Abbildung 4).

12
 Abbildung 4: Darstellung des Sicherheitsprozesses

2.4.2. Informationsuss im Informationssicherheitssystem

Im Standard ist festgehalten, wie der Informationsuss im Informationssicherheitsprozess aus-

zusehen hat. Unter anderem werden Berichte an die Leitungsebene, Dokumentationen, sowie
die Meldewege behandelt.

Im Dokument für die mittelständischen Unternehmen wird der Informationsuss an sich nicht
behandelt. Der IT-Sicherheitsbeauftragte ist in jedem Fall zu informieren, denn er leitet den
ganzen Prozess.

2.5. Zertizierung nach ISO 27 001 auf der Basis von IT-Grundschutz
Der BSI-Standard 100-2 beinhaltet die verschiedenen Interessen an einer ISO 27 001-Zertizie-
rung. Die Grundlage für die Vergabe eines ISO 27 001-Zertikats auf der Basis des IT-Grund-
schutz, ist die Durchführung eines Audits mittels einem externen Auditors. Angemerkt sind die
Vorteile von Zertikatsträgern gegenüber Mitbewerbern ohne durchgeführter Zertizierung. Es
werden nachfolgend die Aktionspunkte für eine Zertizierung aufgezeigt.

In dem Prol des Grundschutzes für mittlere Unternehmen werden keinerlei Aussagen, grund-
legend über die Zertizierung, getätigt, nur dass ein durch das BSI lizenzierter IT-Grundschutz-
Auditor die Plausibilität und die Realisierung der Maÿnahmen prüft.

13
 Dennoch wird detailiert beschrieben, welche Stufen erreicht werden können, wie lange deren
Gültigkeit ist und ob diese Stufen verlängerbar sind.
Die zu erreichende Qualizierungsstufe ist davon abhängig, wie die Umsetzung der Standard-
sicherheitsmaÿnahmen geschah. Dazu gibt es im GSHB die Prioritäten A,B,C und Z; diese sind
ein Hinweis auf die Umsetzungsreihenfolge der Standardsicherheitsmaÿnahmen.

3. Beurteilung der Anwendbarkeit des Grundschutzprols

Dieser Teilbereich besteht aus der Aufgabe das Dokument mit dem Titel Ein IT-Grundschutz-
prol für den Mittelstand auf die zwei PunkteVerständlichkeit Praxisbezug
und zu analysieren
und den dritten Punkt Verbesserungs- beziehungsweise Weiterentwicklungsvorschlägezu erar-
beiten.

Verständlichkeit Grundsätzlich ist die Verständlichkeit des Dokumentes gegeben. Dennoch ist
es von Vorteil, sich mit den Dokumenten Leitfaden IT-Sicherheit und "BSI-Standard 100-2
beschäftigt zu haben. Der Leitfaden dient hier sozusagen als Basis für die Verständlichkeit
des Dokumentes und der Standard 100-2 als Erweiterung, da dieser für jedes Unternehmen
anwendbar sein muss und detailiertere Informationen enthält.

Praxisbezug Im Dokument IT-Grundschutz für den Mittelstand ndet sich ein durchgän-
giges Anwendungsbeispiel, daher ist der Praxisbezug gegeben. Durch das Anwendungsbeispiel
kann man den IT-Grundschutz ohne gröÿere Probleme in die Praxis umsetzen, trotzdem ist der
IT-Grundschutz für den Mittelstrand recht allgemein, hinsichtlich des Standards, forumliert.

Verbesserungs- beziehungsweise Weiterentwicklungsvorschläge Es wäre hilfreich etwas de-

tailierter auf das Anwendungsbeispiel für den Mittelstand einzugehen. Anfangs wird das mittel-
ständische Unternehmen gut erläutert, anschlieÿend jedoch nur sehr kurz behandelt. Man ndet
auch keinerlei Checklisten, wie im Leitfaden oder im Grundschutzprol für Kleinunternehmen.

4. Hilfsmittel zur Erstellung einer Sicherheitsrichtlinie

Das BSI stellt gewisse Hilfsmittel zur Erstellung einer individuellen Sicherheitsrichtlinie nach
dem GSHB zur Verfügung. Zwei dieser Tools werden nun kurz vorgestellt.

4.1. Leitfaden IT-Sicherheit

Analog zu der Entwicklung in der Informationstechnik steigen auch die Anforderungen an die
Informationssicherheit. Im Gegensatz zu der steigenden Komplexität der IT-Sicherheitsproduk-
te sind jedoch fehlende Ressourcen und zu knappe Budgets alltäglich.
Der IT-Sicherheits Leitfaden des BSI bietet daher eine kompakte Sammlung der wichtigsten
Maÿnahmen für Fachverantwortliche und Administratoren in kleinen und mittelständischen
Unternehmen sowie in Behörden. Mittels Checklisten wird die Analyse der eigenen Situati-
on vereinfacht. Praxisbezogene Beispiele im Bereich Informationssicherheit unterstützen die

14
wichtigsten organisatorischen, infrastrukturellen und technischen Maÿnahmen, sowie die Ver-
anschaulichung von Gefahren. Auf technische Details wird bewusst verzichtet.
Durch die Anwendung des Leitfadens kann ein vertrauenswürdiges Informationssicherheits-
niveau gelegt werden.

Informationssicherheit im Fokus Das zweite Kapitel beschäftigt sich ausschlieÿlich mit dem
Begri Informationssicherheit, dessen Erläuterung, der Wichtigkeit und den auftretenden Ne-
beneekten.

Wichtige Begrie rund um die Informationssicherheit Aufbauend auf den drei Grundwer-
te der Informationssicherheit: Vertraulichkeit, Verfügbarkeit und Integrität werden weitere
wichtige Begrie erläutert.

Vorschriften und Gesetzesanforderungen Es wird, im vierten Kapitel, ein Überblick über

gesetzliche Regelungen mit Bezug zur Informationssicherheit gegeben. Es wird unter anderem
angemerkt, dass es mehrere neue Rechtsvorschriften gibt, die der Öentlichkeit noch nicht
hinreichend bekannt sind, wie zum Beispiel auf das Artikelgesetz KonTraG. Hinsichtlich Da-
tenschutz gibt es für bestimmte Berufsgruppen Sonderregelungen.

So nicht: Schadensfälle als warnendes Beispiel Kapitel fünf enthält fünf Szenarien die als
warnende Beispiele fungieren sollen. Es sind unter jedem Szenario Maÿnahmen aufgelistet, die
bei Anwendung, diese Schadensfälle verhindern sollen.

Die häugsten Versäumnisse Häuge Versäumnisse und deren Ursachen ndet man im sechs-
ten Kapitel. Diese Versäumnisse sind für jedes Unternehmen natürlich separat zu betrachen
und somit sind die Sachverhalte auch unterschiedlich zu bewerten. Über eine unzureichende
Informationssicherheitsstrategie bis hin zum mangelhaften Schutz vor Einbrechern und Ele-
mentarschäden werden sieben Punkte behandelt, deren Ursachen erläutert und im folgenden
Kapitel angemessene Maÿnahmen gesetzt.

Wichtige Sicherheitsmaÿnahmen Um den im Kapitel sechs ausgearbeiteten Versäumnissen

und Ursachen entgegenzuwirken werden im siebten Kapitel wichtige Sicherheitsmaÿnahmen
detailiert erklärt. Im Hauptteil des Leitfadens wird klar, dass es sich um kein starres Sicher-
heitskonzept handelt, sondern das Informationssicherheit ein Prozess ist, der ständig auf dem
Laufenden gehalten werden muss. Es wird zu jeder Maÿnahme eine anschlieÿende Begründung
angefügt, warum diese durchgeführt werden sollte. Beachtung sollte man auch den zwischen-
durch angeführten, wichtigen Anmerkungen schenken.

Der IT-Grundschutz des BSI Ein für sein Unternehmen spezisches Sicherheitskonzept be-
darf der Umsetzung bei vertretbaren Kosten, sowie eine gewisse Praxistauglichkeit und Kom-
fortabilität. Da dieses nicht ganz einfach ist, zeigt das Kapitel acht eine prinzipielle Vorgehens-
weise, sowie die Vorteile durch die Orientierung an der IT-Grundschutz-Vorgehensweise des
BSI. Als Unterpunkte werden der IT-Grundschutz des BSI als Grundlage eines professionellen
Sicherheitskonzeptes und dessen Vorteile für die Benutzer, die Struktur der IT-Grundschutz-
Katalaoge und anschlieÿend die Durchführung einer Grundschutzanalyse näher behandelt. Zu-
sätzlich zu den Dokumenten wird auch eine spezielle Software, das GS-Tool, referenziert.

15
Standards und Zertizierung der eigenen Informationssicherheit Ist ein Unternehmen bis
hierher vorgedrungen, also hat es ein Sicherheitskonzept erfolgreich durchgesetzt, dann möchte
es sich unter Umständen zertizieren lassen. Das letzte Kapitel gibt einen Einblick, nach welchen
Standards Zertizierungen möglich sind. Hier kann es oft zu Verwechslungen kommen, da einige
bekannte Standards keine Zertizierung in diesem Bereich unterstützen.

Anhang Im Anhang des Leitfaden IT-Sicherheit nden sich die oben erwähnten Checklisten.
Es handelt sich dabei um zirka 50 Fragen, die den Inhalt der Maÿnahmen zusammenfassen
und so einen schnellen Überblick ermöglichen. Durch die Abarbeitung der Checkliste wird
klar, welche Maÿnahmen noch ausständig sind. Anschlieÿend folgt ein kurzes Beispiel über ein
Sicherheitskonzept und dessen Inhalt für eine TK-Anlage, sowie weiterführende Informationen
zu den behandelten Themen.

4.2. Webkurs Grundschutz

Der Webkurs bietet einen, mit Bildern veranschaulichten, mit Beispielen untermalten, leichten
Einstieg in den IT-Grundschutz. Mittels Übungsfragen werden Zusammenhänge werden ver-
deutlicht und Gelerntes wiederholt. Der Aufbau des Webkurses besteht grundlegend aus den
Inhalten GS-Vorgehensmodells und somit auch aus Teilen des IT-Leitfadens. Es werden zu
jedem Punkt weitere Dokumente bzw. Softwarelösungen des BSI referenziert.

Warum IT-Grundschutz Am Beginn des Webkurses erhält man einen Überblick, warum es
wichtig ist IT-Grundschutz einzusetzen. Im zweiten Teil des ersten Kapitels wird die Hilfestel-
lung aus dem IT-Grundschutz erklärt und anschlieÿend eine Einführung in den Aufbau des
Kurses gegeben.
Durchgezogen wird das Unternehmen RECPLAST GmbH. als Beispiel verwendet.

IT-Sicherheitsmanagement In dem zweiten Kapitel des Webkurses wird erklärt, wer für das
Management der Informations- und IT-Sicherheit zuständig ist und mit welchen Strukturen und
Maÿnahmen man ein eektives IT-Sicherheitsmanagement erzielen und dieses aufrechterhalten
kann. Es wird die IT-Grundschutz-Vorgehensweise referenziert, diese sich mit Abbildung 5
deckt.

IT-Strukturanalyse Im dritten Kapitel wird zuerst festgelegt welcher Bereich der Informa-
tionstechnik in einer Organisation betrachtet werden soll, dieser Bereich wird als IT-Verbund
festgelegt, weiterführend werden die notwendigen Informationen über den IT-Verbund und des-
sen Komponenten gesammelt. Diese Sammlung wird als Strukturanalyse bezeichnet.

Schutzbedarfsfeststellung Zuerst wird im vierten Kapitel geklärt, welche Komponenten zu

einer Schutzbedarfsfeststellung gehören. Anschlieÿend wird das Verfahren zur Wertefestlegung
beschrieben. Nach den Schutzbedarfskategorien erfolgt die Schutzbedarfsfeststellung der ein-
zelnen Komponenten. Das Ziel ist es, den Schutzbedarf der Informationstechnik zu bestimmen
um damit angemessene Sicherheitsmaÿnahmen auswählen zu können.

16
 Abbildung 5: Vorgehensweise bei der Umsetzung von IT-Grundschutz

Modellierung nach IT-Grundschutz Es wird mit der Hilfe des IT-Grundschutz-Katalogs als
Bausteinsystem, im sechsten Kapitel, ein realer IT-Verbund modelliert. Das Kapitel beschreibt,
das Bausteine aus teils technische Komponenten, teils organisatorischen Verfahren und teils
besonderen Einsatzformen bestehen, sowie die Vorgehensweise bei nicht passenden Bausteinen.
Vorab müssen die Strukturanalyse und die Schutzbedarfsfeststellung durchgeführt werden (siehe
Abbildung 6).

Abbildung 6: Modellierung nach IT-Grundschutz

Basis-Sicherheitscheck Im sechsten Kapitel wird überprüft ob die Informationstechnik aus-

reichend gesichert ist, oder ob noch einige Maÿnahmen nicht umgesetzt wurden. Am Beginn
erfolgen einige Hinweise zu den Maÿnahmen, dann das Vorgehen des Sicherheitschecks, an-
schlieÿend wird ein Beispiel, sowie ein kurzer Test angeführt.

Risikoanalyse Das siebten Kapitel beschreibt die Durchführung einer Risikoanalyse, wie man
die notwendigen Interaktionen bei erhöhtem Schutzbedarf oder bei Informationstechnik, die
mit IT-Grundschutz-Bausteinen, nicht ausreichend oder gar nicht, abgebildet werden können,
prüft. Bieten einzelne Objekte unter Umständen keine hinreichende Sicherheit so kommt ein
Entscheidungsprozess, die ergänzende Sicherheitsanalyse, zum Zug (siehe Abbildung 7).

17
 Abbildung 7: Ergänzende Sicherheitsanalyse

Realisierungsplanung Wichtige Aspekte, für die Umsetzung fehlender Maÿnahmen, werden

im achten Kapitel genauer erläutert. Es ist sinnvoll wenn sich die Realisierungsplanung an die
Reihenfolge von Abbildung 8 hält.

Abbildung 8: Ablauf der Realisierungsplanung

Zertizerung des IT-Sicherheitsmanagements Das letzte Kapitel bietet einen Überblick,

wie das gewonnene Sicherheitsniveau auch mittels einem IT-Grundschutz-Zertikat nachgewie-
sen werden kann. Es werden unter anderem die Vorteile, sowie der Prozess der Zertizierung
erläutert.

4.3. Zielgruppendenition
Ein weiterer Unterpunkt der Teilaufgabenstellung ist die Bewertung der Zielgruppe der beiden
oben behandelten Dokumente. Welche Zielgruppe wird mit dem Leitfaden IT-Sicherheit und

18
dem Webkurs Grundkurs angesprochen und wie lautet die Begründung?

Leitfaden IT-Sicherheit Der Leitfaden ist, wie oben schon erwähnt auf Fachpersonal und
Administratoren für klein und mittlere Unternehmen oder Behörden ausgelegt. Da der Leit-
faden sehr kurz gehalten ist, dient dieser zur Ausarbeitung und Implementierung eines IT-
Sicherheitskonzeptes.

Webkurs Grundschutz Dieser Kurs ist im Gegensatz zum Leitfaden detailierter und auf-
grund beinhalteter Bilder und Beispiele, sowie Tests eher für Personen, die vom Grundschutz-
konzept betroen sind. Ihnen wird mittels den Beispielen der Grundschutz näher gebracht und
die Wichtigkeit dessen Einhaltung mittels Schadensfällen verdeutlicht.

A. Vergleich: Firmenprol für eine kleine Institution

A.1. Anpassung der Schritte aus dem GS-Vorgehensmodell
Im folgenden Abschnitt wird erläutert wie die einzelnen Phasen der Erstellung einer Sicher-
heitskonzeption nach dem GSHB für die beispielhafte Institution angepasst oder interpretiert
wurden.

A.1.1. Initiierung des Sicherheitsprozesses

Im BSI-Standard wird detailiert erklärt, wieso es wichtig ist dass die Leitungsebene den Si-
cherheitsprozess steuert und warum das Management alle Informationen erhalten muss. Es
wird unter anderem erwähnt, wie die Umsetzung des Managementsystems vom Management
beachtet werden muss.

Diesem Teil wird im Dokument IT-Grundschutzprol für kleine Institutionen keine Beach-
tung geschenkt.
Es wird lediglich angemerkt, dass die Geschäftsführung den Part des IT-Sicherheitsbeauf-
tragten übernimmt, da er aufgrund der Gröÿe der Institution nur wenig Möglichkeiten für die
Delegation der Mitarbeiter hat.

19
Konzeption und Planung des Sicherheitsprozesses Die Planung des Sicherheitsprozesses
selbst und eine angemessene IS-Strategie sind ebenso im BSI-Standard 100-2 angeführt, wie die
Bestimmung der Informationssicherheitsziele und die daraus folgenden konkreten Sicherheits-
anforderungen.

Im Prol für die Kleinunternehmen wurde die IS-Strategie nicht erwähnt. Es fehlen ebenfalls
die Informationsziele und die daraus resultierenden Sicherheitsanforderungen.

Es wird vom BSI-Standard empfohlen, das angestrebte Sicherheitsniveau in Bezug auf die
Grundwerte der Informationssicherheit zu bringen, um so ein angemessenes Sicherheitsniveau
für besonders hervorgehobene Geschäftsprozesse bestimmen zu können.

Im Firmenprol für eine kleine Institution sind zu diesem Punkt, keine Maÿnahmen vorge-
sehen.

Erstellung einer Leitlinie zur Informationssicherheit Im Standard wird die schriftliche Fi-
xierung einer Leitlinie als zentraler Punkt gesehen. Unter anderem beschreibt diese zu welchem
Zwecke und mit welchen Mitteln und mit Strukturen die Informationssicherheit innerhalb der
Institution hergestellt werden soll. Es sollen die IS-Ziele genau beschrieben werden und mit
welchen strategischen Mitteln diese erreicht werden wollen.
Der Geltungsbereich spielt bei der Leitlinie eine wesentliche Rolle, da diese Insitutionsweit
oder nur auf wesentliche Teile der Insitution zutreen kann. Die Leitlinie sollte nicht mehr als
20 Seiten umfassen, jedoch mindestens aus einem Geltungsbereich, Zielen, Sicherheitsstrategie
und einer Organisationsstruktur bestehen. Vertrauliche Informationen, in der Leitlinie, müssen
als vertraulich gekennzeichnet werden.
Im Standard scheint ein IS-Management-Team auf, das Informationen der IS-Leitlinie aus-
arbeitet. Die Leitlinie soll für jeden Mitarbeiter zugänglich sein.
Die Leitlinie sollte kontinuierlich überarbeitet und aktualisiert werden. Auf Änderungen in
den Geschäftszielen und -prozessen sollte besonders geachtet werden. Wichtig sind auch Ände-
rungen, die die Organisationsstruktur betreen, sowie die Einführung von neuen IT-Geräten.
Es wird eine zwei-jährliche Überarbeitung empfohlen.

Es wird für eine kleine Institutionen kurz der Begri Sicherheitsleitlinie erläutert. Anschlie-
ÿend erfolgt eine Referenz zum Dokument BSISIPOL, um eine Sicherheitsleitlinie zu erstellen.
Weiters wird noch ein kurzes Beispiel genannt um die praktische Umsetzung zu verstehen.
Keine weiteren Aussagen werdem im Punkto Sicherheitslinie getätigt.

Organisation des Sicherheitsprozesses Der BSI-Standard beschreibt detailiert die Organi-

sation des Sicherheitsprozesses und wie wichtig es ist, genaue Rollen innerhalb der Institution
zu denieren. Es werden zwar Teilaufgaben verteilt, dennoch bleibt die Gesamtverantwortung
bei der Institutionsleitung. Es ndet sich im Standard eine genaue Aufgabenverteilung für die
verschiedenen Rollen.

20
 Im Firmenprol für eine kleine Institution sind weder Inhalte von der Organisation des
Sicherheitsprozesses noch deren Rollen zu nden. Es wird lediglich auf Beispiele und Checklisten
verwiesen.

A.1.2. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz

Ein Ziel des IT-Grundschutzes ist es, eine Vorgehensweise zur Erzielung eines normalen Si-
cherheitsniveaus anzubieten. Dies kann auch als Basis für ein höheres Sicherheitsniveau dienen.
Aufgrund dessen werden Standard-Sicherheitsmaÿnahmen empfohlen; diese sind in Bausteine
unterteilt, so dass sie aufeinander aufsetzen können.

Es ist in dem Prol für kleine Institutionen nur das wesentlichste Zusammengefasst. Anbei
ndet man auch die Abbildung 9.

Abbildung 9: Sicherheitskonzeption

Denition des Geltungsbereichs Oft erfolgversprechend sind viele kleine Schritte und ein
langfristiger und kontinuierlicher Verbesserungsprozess. Es muss zunächst der Bereich festgelegt
werden, für den die Konzeption erstellt wird. Im IT-Grundschutz wird der Geltungsbereich als
IT-Verbund bezeichnet.

Die Denition des Geltungsbereiches wird in dem Prol für kleine Insitutionen vernachlässigt.

Strukturanalyse Das Zusammenspiel der typischen Geschäftsprozesse, deren Anwendung und

die Analyse beziehungsweise Dokumentation der Informationstechnik tragen zu der Struktur-
analyse bei. Heute ist eine starke Vernetzung von IT-Systemen üblich, daher bietet sich ein
Netztopologieplan als Ausgangsbasis für die weitere technische Analyse an.

21
 Dieses Kapitel wird sehr kurz gehalten. Es wird als Beispiel ein Pass verwendet, der individuell
angepasst werden kann.

Schutzbedarfsfeststellung Es wird ermittelt, welcher Schutz für die Geschäftsprozesse, die

verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und ange-
messen ist. Folgeschäden müssen realistisch eingesetzt werden; es hat sich die Einteilung in drei
Schutzbedarfskategorien bewährt.

Auch bei der Schutzbedarfsfeststellung wird nur ein sehr kleiner Einblick in die Materie
gegeben. Die Schutzbedarfskategorien bestehen nur aus normalen und hohen Schutzbedarf.
Anbei ist die Erläuterung durch Beispiele gegeben.

Auswahl und Anpassung von Maÿnahmen Nachdem die Strukturanalyse und die Schutzbe-
darfsfeststellung vorliegen, wird der IT-Verbund mit Hilfe der vorhandenen Bausteine abgebil-
det. Das Ergebnis ist ein IT-Grundschutz-Modell des Informationsverbunds aus mehreren Bau-
steinen. In diesem Kapitel werden noch genauer die Bausteine, die Gefährdungskataloge sowie
die Maÿnahmenkataloge erläutert. Es folgt die anschlieÿende Modellierung eines Informations-
verbunds; Sicherheitsaspekte werden dabei nach Themen gruppiert betrachtet. Anschlieÿend
wird mittels Aktionspunkten die Auswahl und Anpassung der Maÿnahmen behandelt.

Die Auswahl und Anpassung der Maÿnahmen ist nicht detailiert beschrieben. Dieses Kapitel
wird Modellierung genannt; es wird durch Beispiele erläutert, wie die Bausteine anzuwenden
sind. Das Ergebnis ist, wie im Standard angeführt, ein Teil der IT-Sicherheitskonzeption.

Basis-Sicherheitscheck Organisatorische Vorarbeit und die dazugehörigen Aktionspunkte de-

nieren den Sicherheitscheck im Standard. Ein Soll-Ist-Vergleich dient zur Ermittlung des Um-
setzungsstatus. Wichtig und als eigener Punkt aufgeführt ist die Dokumentation.

Einen Basis-Sicherheitscheck gibt es für die kleinen Institutionen nicht. Es wird hier eine
Selbstüberprüfung angemerkt.

Ergänzende Sicherheitsanalyse Die Standard-Sicherheitsmaÿnahmen sind in der Regel für

normale Geschäftsprozesse, Andwendungen und IT-Systeme ausreichend. Unter anderem wird
im Standard der zweistuge Ansatz der IT-Grundschutz-Vorgehensweise und die Vorgehens-
weise zur ergänzenden Sicherheitsanalyse genauer beschrieben und mit einem Beispiel verse-
hen. Es folgt die Risikoanalyse auf der Basis des IT-Grundschutzes.

A.1.3. Umsetzung der Sicherheitskonzeption

Untersuchungsergebnisse werden gesammelt und gesichtet. Fehlende oder nur teilweise umge-
setzte Maÿnahmen werden tabellarisch festgehalten und anschlieÿend konsolidiert. Eine ent-
sprechende Dokumentation ist für den Erfolg auschlaggebend. Anschlieÿend wird eine Kosten-

22
Aufwandschätzung getätigt, wobei das Risiko einer nicht oder nur teilweise umgesetzten Maÿ-
nahme ersichtlich ist.
Es folgt die Festlegung der Umsetzungsreihenfolge der Maÿnahmen, realisierungsbegleitende
Maÿnahmen und eventuelle Sensibilisierungsmaÿnahmen.

Der ergänzenden Sicherheitsanalyse, sowie der Umsetzung der Sicherheitskonzeption wird

hier wenig Beachtung geschenkt. Man ndet stattdessen einige Umsetzungsbeispiele.

A.1.4. Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit

Überprüfung des Informationssicherheitsprozesses in allen Ebenen Es werden Methoden

angeführt, die für eine Überprüfung des Informationssicherheitsprozesses wichtig sind. Es folgt
die Überprüfung der Sicherheitsmaÿnahmen, sowie die der Sicherheitsziele. Diese Ergebnisse
werden in den Informationsprozess übernommen.

Informationsuss im Informationssicherheitssystem Auch ist im Standard festgehalten, wie

der Informationsuss in der Institution auszusehen hat. Unter anderem wie Berichte und Do-
kumentation gehandhabt werden oder wie die Meldewege aussehen müssen.

Zum Thema Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit

sind keine Angaben in dem Prol für kleine Insitutionen.

A.1.5. Zertizierung nach ISO 27001 auf der Basis von IT-Grundschutz

Im BSI-Standard 100-2 beinhaltet die Vorteile einer ISO 27001-Zertizierung. Die Grundlage
auf der Basis des IT-Grundschutz bildet die Durchführung eines Audits. Es werden zusätzlich
die Aktionspunkte für eine Zertizierung aufgezeigt.

Die Zertizierung wird bei den kleinen Institutionen völlig auÿer Acht gelassen.

A.2. Beurteilung der Anwendbarkeit des Grundschutzprols

Dieser Teilbereich besteht aus der Aufgabe das Dokument mit dem Titel Ein IT-Grundschutzprol
für eine kleine Institution auf die zwei Punkte Verständlichkeit und Praxisbezug zu analy-
sieren und den dritten Punkt Verbesserungs- beziehungsweise Weiterentwicklungsvorschläge
zu erarbeiten.

Verständlichkeit Grundsätzlich ist die Verständlichkeit des Dokuments gegeben. Dennoch ist
es von Vorteil, sich mit den Dokumenten Leitfaden IT-Sicherheit und BSI-Standard 100-2
beschäftigt zu haben. Der Leitfaden dient hier sozusagen als Basis für die Verständlichkeit
des Dokumentes und der Standard 100-2 als Erweiterung, da dieser für jedes Unternehmen
anwendbar sein muss und detailiertere Informationen enthält.

23
Praxisbezug Im Dokument IT-Grundschutz für eine kleine Institution ndet sich ein durch-
gängiges Anwendungsbeispiel, dieses wird am Anfang des Dokumentes recht gut erläutert. Das
Anwendungsbeispiel wird laufend als Beispiel herangezogen und am Ende des Dokuments be-
nden sich eine Checkliste und Maÿnahmen, mittels dieser ein Sicherheitskonzept für kleine
Unternehmen sehr gut in die Praxis umsetzbar ist.

Verbesserungs- beziehungsweise Weiterentwicklungsvorschläge Aus unserer Sicht gibt es

keine Verbesserungsvorschläge.

Abbildungsverzeichnis
1. Übersicht der Umsetzungsphasen . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2. Netzplan des beispielhaften IT-Verbunds . . . . . . . . . . . . . . . . . . . . . . 6
3. Erstellung der Sicherheitskonzeption im Informationssicherheitsmanagement . . 10
4. Darstellung des Sicherheitsprozesses . . . . . . . . . . . . . . . . . . . . . . . . 13
5. Vorgehensweise bei der Umsetzung von IT-Grundschutz . . . . . . . . . . . . . 17
6. Modellierung nach IT-Grundschutz . . . . . . . . . . . . . . . . . . . . . . . . . 17
7. Ergänzende Sicherheitsanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
8. Ablauf der Realisierungsplanung . . . . . . . . . . . . . . . . . . . . . . . . . . 18
9. Sicherheitskonzeption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Literatur
[BSI] BSI, Bundesamtfür Sicherheit in der Informationstechnik: IT-Grund-
schutz
. https://www.bsi.bund.de/cln_183/DE/Themen/ITGrundschutz/
itgrundschutz_node.html, Abruf: 18. Dezember 2009
[SB09] Schaumüller-Bichl, DI Dr. I.: Informationssicherheitsmanagement / Sichere Infor-
mationssysteme, FH Hagenberg. 2009.  Skriptum

24