Beruflich Dokumente
Kultur Dokumente
FH Hagenberg
Inhaltsverzeichnis
1. Vorstellung des Dokuments 4
1.1. Allgemeine Vorgehensweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.2. Denition des IT-Verbunds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3. Angepasste GS-Vorgehensmodellschritte . . . . . . . . . . . . . . . . . . . . . . 5
1.4. Beispiel Sicherheits-Leitlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2
Abkürzungsverzeichnis
BSI Bundesamt für Sicherheit in der Informationstechnik
GS Grundschutz
GSHB IT-Grundschutzhandbuch
IS Informationssicherheit
ITGS IT-Grundschutz
TK Telekommunikation
3
1. Vorstellung des Dokuments
Das Dokument IT-Grundschutz für den Mittelstand ist ein vom BSI veröentlichtes Dokument
das anhand einer ktiven Insitution mittlerer Gröÿe die Etablierung eines funktionierenden IT-
Sicherheitsprozesses nach ITGS erläutern soll. Zuerst wird die allgemeine Vorgehensweise zur
Erstellung eines IT-Sicherheitsprozesses vorgestellt. Da das Dokument im November 2004 er-
stellt wurde und der IT-Grundschutz im Jahr 2005 umstruktuiert wurde [SB09, BSI], referen-
ziert das Dokument immer wieder das IT-Grundschutzhandbuch, welches jedoch seit 2005 in
IT-Grundschutz-Kataloge und BSI-Standards aufgeteilt ist.
Phase 1, Initiierung des IT-Sicherheitsprozesses In der Phase 1 wird der zu betrachtende IT-
Verbund deniert, eine IT-Sicherheits-Richtlinie erstellt, sowie das IT-Sicherheitsmanage-
ment eingerichtet. Diese Aufgaben werden normalerweise vom IT-Sicherheitsbeauftragten
durchgeführt, welcher im Zuge dieser Phase von der Institutionsleitung bestimmt wird.
Phase 2, Durchführung einer IT-Strukturanalyse Die Phase 2 dient der Erfassung der Kom-
ponenten des IT-Verbundes. Als Ergebnis dieser Phase erhält man eine Dokumentation
der IT-Stuktur der Institution, wie zum Beispiel eine Auistung aller IT-Systeme, deren
Benutzer, Standorte und laufenden Anwendungen.
Phase 3, Durchführung einer Schutzbedarfsfeststellung In der Phase 3 wird für jede in Pha-
se 2 denierte Komponente, ein Schutzbedarf festgelegt. Dies geschieht in der Regel durch
enge Zusammenarbeit mit den IT-Benutzern.
Phase 4, Modellierung nach IT-Grundschutz In dieser Phase wird der IT-Verbund durch Bau-
steine des GSHBs nachgebildet.
1
Phase 7 umfasst die Zertizierung der grundschutzkonformen Erstellung des Sicherheitskonzepts; diese ist
optionaler Bestandteil einer Sicherheitsrichtlinienerstellung.
2
Eine Ausnahme stellt hier Phase 2, welche bereits vor Beendigung der Phase 1 begonnen werden kann.
4
Phase 5, Durchführung des Basis-Sicherheitschecks Der Basis-Sicherheitscheck dient der Er-
mittlung der aktuell umgesetzten Maÿnahmen, welche sich aus der Modellierung der Pha-
se 4 ergeben haben.
Phase 6, Realisierung von IT-Sicherheitsmaÿnahmen Die Phase 6 dient der eigentlichen Um-
setzung der erforderlichen Sicherheitsmaÿnahmen nach GSHB.
Phase 7, Zertizierung Anschlieÿend, an die Umsetzung der Maÿnahmen und die Erstellung
des Sicherheitskonzepts, kann ein IT-Grundschutz-Zertikat durch einen lizenzierten IT-
Grundschutz-Auditor ausgestellt werden.
5
Abbildung 2: Netzplan des beispielhaften IT-Verbunds
6
IT-Grundschutz für den Mittelstand aufgegrien werden.3 Da diese Phasen aus dem BSI-
Standard sehr allgemein gehalten sind, um sowohl kleine Unternehmen wie auch mittlere und
groÿe Institutionen zu berücksichtigen, werden diese leicht angepasst um den Ansprüchen der
ktiven Institution zu genügen.
Die oberste Leitungsebene jeder Institution ist dafür verantwortlich, dass alle Geschäftsbe-
reiche ordnungsgemäÿ funktionieren und Risiken frühzeitig erkannt werden. Daher muss die
Leitungsebene den Sicherheitsprozess initiieren, steuern und kontrollieren. Die Verantwortung
selbst bleibt beim Management, die Aufgabe der Informationssicherheit
wird jedoch an den
IT-Sicherheitsbeauftragten delegiert.
Zuerst wird erklärt wieso es so wichtig ist, dass die oberste Leitungsebene trotz Delegie-
rung der Aufgabe der Informationssicherheit an den IT-Sicherheitsbeauftragten, dennoch aus-
schlaggebend am Managementprozess Informationssicherheitbeteiligt ist. Der BSI-Standard
biete eine sehr genaue Auistung von Informationen die dem Management nicht vorenthalten
werden dürfen, sowie gewisse Prinzipien die bei der Umsetzung des Managementsystems vom
Management beachtet werden sollen.
Diesem Teil der Umsetzung wird im Dokument IT-Grundschutz für den Mittelstandnur
sehr wenig Inhalt zugesprochen; es wird lediglich erwähnt, dass die Geschäftsführung einen IT-
Sicherheitsbeauftragten bestimmt, der die weitere Umsetzung des Managementsystems reali-
siert.
Ein wichtiger Teil der Initiierung des Sicherheitsprozesses ist auch die Planung des Prozesses
selbst. Hierbei muss eine angemessene IS-Strategie
vom Management festgelegt werden. Diese
Strategie basiert auf den Geschäftszielen beziehungsweise dem Auftrag der Institution. Deswei-
teren muss für jeden Geschäftsprozess und jeder Fachaufgabe von einem fachlichen Ansprech-
partner ein Sicherheitsniveau zum Schutz der Informationen festgelegt und von der Geschäfts-
leitung zugestimmt werden. Hierzu bietet der BSI-Standard einen Art Kontrollfragenkatalog
zur Überprüfung dieser Rahmenbedingungen.
Zu Beginn jedes Sicherheitsprozesses sollte man die Informationssicherheitsziele bestimmen,
aus denen zunächst nur allgemeine Sicherheitsziele abgeleitet werden. Später, bei der Erstel-
lung des eigentlichen Sicherheitskonzepts, werden daraus konkrete Sicherheitsanforderungen
gebildet. Hier bietet der BSI-Standard eine Auistung möglicher Sicherheitsziele.
Im Dokument IT-Grundschutz für den Mittelstand wird weder die Erstellung der IS-Stra-
tegie erwähnt, noch das Festlegen des Sicherheitsniveaus oder die Ausarbeitung der Informati-
onssicherheitsziele.
3
Da, wie bereits erläutert, der BSI-Grundschutz seit Verfassen des Dokuments konzeptionell überarbeitet wur-
de, entsprechen die im Dokument referenzierten Phasen nicht mehr genau den Phasen aus dem BSI-Standard.
Es werden im folgenden die Phasen des BSI-Standards 100-2 Version 2.0 als Referenz herangezogen.
7
Der BSI-Standard empelt zum besseren Verständnis der IS-Ziele, dass das angestrebte Si-
cherheitsniveau für einzelne Geschäftsprozesse in Bezug zu den Grundwerte der Informations-
sicherheit gebracht wird, um so ein angemessenes Sicherheitsniveau besonders hervorgehobener
Geschäftsprozesse bestimmen zu können. Hierbei muss die Leitungsebene unbedingt ausschlag-
gebend an der Formulierung dieser IS-Ziele beteiligt sein.
Auch zu diesen Punkten sind im IT-Grundschutz für den Mittelstand keine Maÿnahmen
vorgesehen.
Ein zentraler Punkt der Sicherheitsprozessinitiierung ist die Erstellung einer schriich xierten
Leitlinie zur Informationssicherheit. Diese beschreibt allgemeinverständlich für welche Zwecke,
mit welchen Mitteln und mit welchen Strukturen die Informationssicherheit innerhalb der Insti-
tution hergestellt werden soll. In ihr sollen die angestrebten IS-Ziele genau beschrieben werden.
Mit der IS-Leitlinie wird auch festgelegt, mit welchen strategischen Mitteln die Geschäftslei-
tung zur Erreichung der IS-Ziele beiträgt. Die Institutionsleitung sollte ihr formell zugestimmt
haben.
Wesentlicher Bestandteil der IS-Leitlinie ist der Geltungsbereich. Die Leitlinie kann Insti-
tutionsweit gültig sein oder auch nur auf Teile der Institution zutreen. Eine IS-Leitlinie soll
nicht mehr als 20 Seiten aufweisen, jedoch mindestens aus Geltungsbereich IS-Zielen Sicher-
, ,
heitsstrategie und der für die Umsetzung etablierten Organisationsstruktur bestehen. Sollte
die Leitlinie vertrauliche Informationen beinhalten, sollten diese an das Ende des Dokuments
verlagert werden und explizit als vertraulich gekennzeichnet werden.
Der BSI-Standard sieht es vor, dass ein IS-Management-Team sofern bereits im Unterneh-
men vorhanden die Informationen der IS-Leitlinie ausarbeitet. Sollte es so ein Team noch
nicht geben, wird empfohlen eine Entwicklungsgruppe zur Erarbeitung der Sicherheitsleitlinie
zu gründen, die dann im Laufe der weiteren Phasen der Einrichtung des Sicherheitsprozesses
zum IT-Management-Team übergeht.
Die IS-Leitlinie sollte für jeden Mitarbeiter leicht zugängig zur Verfügung gestellt werden.
In regelmäÿigen Abständen soll die Leitlinie überarbeitet werden und auf Aktualität über-
prüft werden. Es soll besonders auf Änderungen in den Geschäftszielen, den Geschäftsprozessen
selbst oder der Organisationsstruktur geachtet werden. Auch die Einführung von neuen IT-
Geräten muss in die Überarbeitung miteinieÿen. Das BSI empehlt eine zwei-jährliche Über-
arbeitung.
Für eine mittlere Institution sieht das BSI im Groÿen und Ganzen die gleichen Inhalte der
Leitlinie vor. Das Dokument IT-Grundschutz für den Mittelstand"beschreibt diese Inhalte
jedoch nicht sehr genau, sondern eher überblicksmäÿig. Ein Hinweis wie vertrauliche Teile zu
handhaben sind, fehlt zum Beispiel gänzlich. Auch wird im Dokument nicht auf die Verteilung
der Leitlinie eingegangen.
Für die Erstellung der Leitlinie, ist kein eigenes Team oder eigene Gruppe zuständig, sondern
der IT-Sicherheitsbeauftragte. Es wird stattdessen empfohlen, dass dieser in Workshops mit
Vertretern der Institutionsleitern die wesentlichen Eckpunkte dieser Leitlinie ausarbeitet. Das
BSI Dokument beinhaltet keinen Hinweis zur regelmäÿigen Überarbeitung der IS-Leitlinie.
8
2.1.4. Organisation des Sicherheitsprozesses
Ferner beschreibt der BSI-Standard die Organisation des Sicherheitsprozesses. Um den IS-
Prozess institutionsweit umzusetzen, ist es unabdingbar Rollen innerhalb der Institution fest-
zulegen und diesen einzelne Aufgaben zuzuordnen. Die genaue Organisationsstruktur hängt
von der Gröÿe und genauen Beschaenheit der Institutionsstruktur ab. Auf jeden Fall soll ein
IT-Sicherheitsbeauftragter als zentraler Ansprechpartner benannt werden. In gröÿeren Insti-
tutionen wird es üblicherweise weitere Personen geben, denen Teilaufgaben zugeteilt werden;
das IS-Management-Team koordiniert deren Tätigkeiten. Diese Rollen sollen als Stabsstellen
organisiert sein, um den direkten Zugang zur Institutionsleitung sicherzustellen.
Die Gesamtverantwortung bleibt weiterhin bei der Institutionsleitung, jedoch ist mindestens
eine Person zu ernennen, die den IS-Prozess fördert und koordiniert; dies ist zumeist der IT-
Sicherheitsbeauftragte. Dennoch ist jeder Mitarbeiter gleichermaÿen für seine eigentliche Auf-
gabe wie auch für die Aufrechterhaltung der Informationssicherheit an seinem Arbeisplatz und
seiner näheren Umgebung verantwortlich.
Desweiteren beschreibt der Standard einige Integrationsstrategien der IS-Organisation in die
bestehende Institutionsstruktur. Auch die genauen Aufgaben, Verantwortungen und Kompe-
tenzen in der IS-Organisation sowie des IT-Sicherheitsbeauftragten, des IS-Management-Teams
sowie anderen Rollen in der IS-Organisation werden genauer deniert.
Im GS-Prol für eine mittlere Institution sind weder Inhalte von der Organisation des
Sicherheitsprozesses, noch deren Rollen zu nden. Die einzige Rolle der IS-Organisation ist der
IT-Sicherheitsbeauftragte.
Oft Erfolgversprechender sind viele kleine Schritte und ein langfristiger und kontinuierlicher
Verbesserungsprozess. Es muss zunächst der Bereich festgelegt werden, für den die Konzeption
erstellt wird. Im IT-Grundschutz wird der Geltungsbereich als IT-Verbund bezeichnet.
Es wird im GS-Prol nur kurz das IT-Sicherheitskonzept angeführt. Die beiden Sicherheits-
konzeptionen unterscheiden sich nicht grundlegend. Die Punkte sind anders strukturiert, so
werden zum Beispiel im Prol für mittlere Institutionen die Basis-Sicherheitschecks nicht auf-
geteilt.
9
Abbildung 3: Erstellung der Sicherheitskonzeption im Informationssicherheitsmanagement
2.2.2. Strukturanalyse
Das Zusammenspiel der typischen Geschäftsprozesse, deren Anwendung und die Analyse bezieh-
gungsweise Dokumentation der Informationstechnik tragen zu der Strukturanalyse bei. Heute
ist eine starke Vernetzung von IT-Systemen üblich, daher bietet sich ein Netztopologieplan als
Ausgangsbasis für die weitere technische Analyse an.
Die Strukturanalyse ist im GS-Prol für mittelständige Unternehmen kurz gehalten. Der
erste Schritt beginnt mit der Auswertung des Netzplans, der zweite Schritt wäre die Erhebung
der IT-Systeme und der dritte Schritt die anschlieÿende Erfassung der IT-Anwendungen und
der zugehörigen Informationen.
2.2.3. Schutzbedarfsfeststellung
Es wird ermittelt, welcher Schutz für die Geschäftsprozesse, die verarbeiteten Informationen
und die eingesetzte Informationstechnik ausreichend und angemessen ist. Folgeschäden müs-
sen realistisch eingeschätzt werden; es hat sich die Einteilung in drei Schutzbedarfskategorien
bewährt.
Dieser Punkt ist bei den mittleren Unternehmen gut aufgegliedert. Es wird anhand des
Beispiels veranschaulicht, wie die Geschäftsprozesse mittels dem GS-Tool verarbeitet werden.
10
2.2.4. Auswahl und Anpassung von Maÿnahmen
Nachdem die Strukturanalyse und die Schutzbedarfsfeststellung vorliegen, wird der IT-Verbund
mit Hilfe der vorhanden Bausteine abgebildet. Das Ergebnis ist ein IT-Grundschutz-Modell des
Informationsverbunds aus mehreren Bausteinen. Unter diesem Kapitel werden noch genauer
die Bausteine, die Gefährdungskataloge sowie die Maÿnahmenkataloge erläutert. Es folgt die
anschlieÿende Modellierung eines Informationsverbunds; Sicherheitsaspekte werden dabei nach
Themen gruppiert betrachtet. Anschlieÿend wird mittels Aktionspunkten die Auswahl und
Anpassung der Maÿnahmen behandelt.
Im Gegensatz zum BSI-Standard nennt sich das Kapitel jetzt Modellierung. Die Genera-
lisierung ist verschwunden. Es werden modellhaft die Schichten gemäÿ des GSHB dargestellt
und kurz beschrieben. Je nach Verwendung der betrachteten Bausteine können die Objekte
von unterschiedlicher Art sein: einzelne Komponenten, Gruppen von Komponenten, Gebäude,
Liegschaften oder Organisationseinheiten. Zuerst werden in dem Prol der mittleren Unterneh-
men die übergeordneten Aspekte beziehungsweise Bausteine verwendet, dann Bausteine der
Infrastruktur, der IT-Systeme, IT-Netze und IT-Andwendungen.
2.2.5. Basis-Sicherheitscheck
Der Basis-Sicherheitscheck besteht im Standard aus der organisatorischen Vorarbeit und den
dazugehörigen Aktionspunkten. Die Durchführung des Soll-Ist-Vergleichs dient, wieder inklu-
sive der Aktionspunkte, zur Ermittlung des Umsetzungsstatus. Es darf keinenfalls auf die Do-
kumentation vergessen werden.
Im Prol des Unternehmens deckt sich dieser Punkt, bis auf die Aktionspunkte, mit dem
Standard. Der Umsetzungsstatus wird nicht extra erwähnt.
Für die typischen Geschäftsprozesse, Anwendungen und IT-Systeme sind die Standard-Sicher-
heitsmaÿnahmen in der Regel ausreichend. Es wird der zweistuge Ansatz der IT-Grundschutz-
Vorgehensweise und die Vorgehensweise zur ergänzenden Sicherheitsanalyse genauer be-
schrieben und mit einem Beispiel versehen. Es folgt die Risikoanalyse auf der Basis des IT-
Grundschutzes.
11
eventuelles Entfallen der Umsetzung einhergeht, mit Beispielen angeführt. Wichtig ist die ent-
sprechende Dokumentation. Es folgt eine Kosten- und Aufwandschätzung, wobei das Risiko für
die Nicht-Realisierung einer Maÿnahme deutlich wird, zum Beispiel durch nicht ausreichendes
Budget.
Ident zu dem BSI-Standard werden bei den mittelständischen GS-Prol die Untersuchungs-
ergebnisse ebenfalls gesichtet. Es werden alle teilweisen oder nicht umgesetzten Ergebnisse aus
dem Basis-Sicherheitscheck übernommen und in einer Tabelle aufgelistet.
Bei der Kosten- und Aufwandschätzung wird bei den mittelständischen Unternehmen zwi-
schen einmaligen und wiederkehrenden Investitionskosten beziehungsweise Personalaufwänden
unterschieden. Es ist von Vorteil die jeweiligen Kosten- und Aufwandschätzungen gemeinsam
mit einem IT-Verantwortlichen durchzuführen.
Es folgt die Festlegung der Umsetzungsreihenfolge der Maÿnahmen. Aufgrund von zu we-
nig Budget oder personeller Ressourcenknappheit muss eine Reihenfolge für die Umsetzung
die Maÿnahmen festgelegt werden. Anschlieÿend werden die Aufgaben und die Verantwortun-
gen ausgearbeitet. Es wird bestimmt, wer wann welche Maÿnahme zu realisieren hat und wer
für die Überwachung der Realisierung zuständig ist. Realisierungsbegleitende Maÿnahmen, im
Speziellen Sensibilisierungsmaÿnahmen werden eingeplant um betroene Mitarbeiter über die
Notwendigkeit und die Konsequenzen der Maÿnahmen zu unterrichten.
Gleichwertiger Ablauf ndet sich auch bei der Umsetzungsreihenfolge, sowie bei der Festle-
gung der Verantwortlichkeiten im Dokument des Mittelstands. Es ist darauf zu achten, dass
der Verantwortliche über ausreichend Kompetenzen für die Umsetzung der Maÿnahmen besitzt.
Realisierungsbegleitende Maÿnahmen werden im Grundschutzprol eines mittelständischen Un-
ternehmens ähnlich wie im Standard umgesetzt.
12
Abbildung 4: Darstellung des Sicherheitsprozesses
Im Dokument für die mittelständischen Unternehmen wird der Informationsuss an sich nicht
behandelt. Der IT-Sicherheitsbeauftragte ist in jedem Fall zu informieren, denn er leitet den
ganzen Prozess.
2.5. Zertizierung nach ISO 27 001 auf der Basis von IT-Grundschutz
Der BSI-Standard 100-2 beinhaltet die verschiedenen Interessen an einer ISO 27 001-Zertizie-
rung. Die Grundlage für die Vergabe eines ISO 27 001-Zertikats auf der Basis des IT-Grund-
schutz, ist die Durchführung eines Audits mittels einem externen Auditors. Angemerkt sind die
Vorteile von Zertikatsträgern gegenüber Mitbewerbern ohne durchgeführter Zertizierung. Es
werden nachfolgend die Aktionspunkte für eine Zertizierung aufgezeigt.
In dem Prol des Grundschutzes für mittlere Unternehmen werden keinerlei Aussagen, grund-
legend über die Zertizierung, getätigt, nur dass ein durch das BSI lizenzierter IT-Grundschutz-
Auditor die Plausibilität und die Realisierung der Maÿnahmen prüft.
13
Dennoch wird detailiert beschrieben, welche Stufen erreicht werden können, wie lange deren
Gültigkeit ist und ob diese Stufen verlängerbar sind.
Die zu erreichende Qualizierungsstufe ist davon abhängig, wie die Umsetzung der Standard-
sicherheitsmaÿnahmen geschah. Dazu gibt es im GSHB die Prioritäten A,B,C und Z; diese sind
ein Hinweis auf die Umsetzungsreihenfolge der Standardsicherheitsmaÿnahmen.
Verständlichkeit Grundsätzlich ist die Verständlichkeit des Dokumentes gegeben. Dennoch ist
es von Vorteil, sich mit den Dokumenten Leitfaden IT-Sicherheit und "BSI-Standard 100-2
beschäftigt zu haben. Der Leitfaden dient hier sozusagen als Basis für die Verständlichkeit
des Dokumentes und der Standard 100-2 als Erweiterung, da dieser für jedes Unternehmen
anwendbar sein muss und detailiertere Informationen enthält.
Praxisbezug Im Dokument IT-Grundschutz für den Mittelstand ndet sich ein durchgän-
giges Anwendungsbeispiel, daher ist der Praxisbezug gegeben. Durch das Anwendungsbeispiel
kann man den IT-Grundschutz ohne gröÿere Probleme in die Praxis umsetzen, trotzdem ist der
IT-Grundschutz für den Mittelstrand recht allgemein, hinsichtlich des Standards, forumliert.
14
wichtigsten organisatorischen, infrastrukturellen und technischen Maÿnahmen, sowie die Ver-
anschaulichung von Gefahren. Auf technische Details wird bewusst verzichtet.
Durch die Anwendung des Leitfadens kann ein vertrauenswürdiges Informationssicherheits-
niveau gelegt werden.
Informationssicherheit im Fokus Das zweite Kapitel beschäftigt sich ausschlieÿlich mit dem
Begri Informationssicherheit, dessen Erläuterung, der Wichtigkeit und den auftretenden Ne-
beneekten.
Wichtige Begrie rund um die Informationssicherheit Aufbauend auf den drei Grundwer-
te der Informationssicherheit: Vertraulichkeit, Verfügbarkeit und Integrität werden weitere
wichtige Begrie erläutert.
So nicht: Schadensfälle als warnendes Beispiel Kapitel fünf enthält fünf Szenarien die als
warnende Beispiele fungieren sollen. Es sind unter jedem Szenario Maÿnahmen aufgelistet, die
bei Anwendung, diese Schadensfälle verhindern sollen.
Die häugsten Versäumnisse Häuge Versäumnisse und deren Ursachen ndet man im sechs-
ten Kapitel. Diese Versäumnisse sind für jedes Unternehmen natürlich separat zu betrachen
und somit sind die Sachverhalte auch unterschiedlich zu bewerten. Über eine unzureichende
Informationssicherheitsstrategie bis hin zum mangelhaften Schutz vor Einbrechern und Ele-
mentarschäden werden sieben Punkte behandelt, deren Ursachen erläutert und im folgenden
Kapitel angemessene Maÿnahmen gesetzt.
Der IT-Grundschutz des BSI Ein für sein Unternehmen spezisches Sicherheitskonzept be-
darf der Umsetzung bei vertretbaren Kosten, sowie eine gewisse Praxistauglichkeit und Kom-
fortabilität. Da dieses nicht ganz einfach ist, zeigt das Kapitel acht eine prinzipielle Vorgehens-
weise, sowie die Vorteile durch die Orientierung an der IT-Grundschutz-Vorgehensweise des
BSI. Als Unterpunkte werden der IT-Grundschutz des BSI als Grundlage eines professionellen
Sicherheitskonzeptes und dessen Vorteile für die Benutzer, die Struktur der IT-Grundschutz-
Katalaoge und anschlieÿend die Durchführung einer Grundschutzanalyse näher behandelt. Zu-
sätzlich zu den Dokumenten wird auch eine spezielle Software, das GS-Tool, referenziert.
15
Standards und Zertizierung der eigenen Informationssicherheit Ist ein Unternehmen bis
hierher vorgedrungen, also hat es ein Sicherheitskonzept erfolgreich durchgesetzt, dann möchte
es sich unter Umständen zertizieren lassen. Das letzte Kapitel gibt einen Einblick, nach welchen
Standards Zertizierungen möglich sind. Hier kann es oft zu Verwechslungen kommen, da einige
bekannte Standards keine Zertizierung in diesem Bereich unterstützen.
Anhang Im Anhang des Leitfaden IT-Sicherheit nden sich die oben erwähnten Checklisten.
Es handelt sich dabei um zirka 50 Fragen, die den Inhalt der Maÿnahmen zusammenfassen
und so einen schnellen Überblick ermöglichen. Durch die Abarbeitung der Checkliste wird
klar, welche Maÿnahmen noch ausständig sind. Anschlieÿend folgt ein kurzes Beispiel über ein
Sicherheitskonzept und dessen Inhalt für eine TK-Anlage, sowie weiterführende Informationen
zu den behandelten Themen.
Warum IT-Grundschutz Am Beginn des Webkurses erhält man einen Überblick, warum es
wichtig ist IT-Grundschutz einzusetzen. Im zweiten Teil des ersten Kapitels wird die Hilfestel-
lung aus dem IT-Grundschutz erklärt und anschlieÿend eine Einführung in den Aufbau des
Kurses gegeben.
Durchgezogen wird das Unternehmen RECPLAST GmbH. als Beispiel verwendet.
IT-Sicherheitsmanagement In dem zweiten Kapitel des Webkurses wird erklärt, wer für das
Management der Informations- und IT-Sicherheit zuständig ist und mit welchen Strukturen und
Maÿnahmen man ein eektives IT-Sicherheitsmanagement erzielen und dieses aufrechterhalten
kann. Es wird die IT-Grundschutz-Vorgehensweise referenziert, diese sich mit Abbildung 5
deckt.
IT-Strukturanalyse Im dritten Kapitel wird zuerst festgelegt welcher Bereich der Informa-
tionstechnik in einer Organisation betrachtet werden soll, dieser Bereich wird als IT-Verbund
festgelegt, weiterführend werden die notwendigen Informationen über den IT-Verbund und des-
sen Komponenten gesammelt. Diese Sammlung wird als Strukturanalyse bezeichnet.
16
Abbildung 5: Vorgehensweise bei der Umsetzung von IT-Grundschutz
Modellierung nach IT-Grundschutz Es wird mit der Hilfe des IT-Grundschutz-Katalogs als
Bausteinsystem, im sechsten Kapitel, ein realer IT-Verbund modelliert. Das Kapitel beschreibt,
das Bausteine aus teils technische Komponenten, teils organisatorischen Verfahren und teils
besonderen Einsatzformen bestehen, sowie die Vorgehensweise bei nicht passenden Bausteinen.
Vorab müssen die Strukturanalyse und die Schutzbedarfsfeststellung durchgeführt werden (siehe
Abbildung 6).
Risikoanalyse Das siebten Kapitel beschreibt die Durchführung einer Risikoanalyse, wie man
die notwendigen Interaktionen bei erhöhtem Schutzbedarf oder bei Informationstechnik, die
mit IT-Grundschutz-Bausteinen, nicht ausreichend oder gar nicht, abgebildet werden können,
prüft. Bieten einzelne Objekte unter Umständen keine hinreichende Sicherheit so kommt ein
Entscheidungsprozess, die ergänzende Sicherheitsanalyse, zum Zug (siehe Abbildung 7).
17
Abbildung 7: Ergänzende Sicherheitsanalyse
4.3. Zielgruppendenition
Ein weiterer Unterpunkt der Teilaufgabenstellung ist die Bewertung der Zielgruppe der beiden
oben behandelten Dokumente. Welche Zielgruppe wird mit dem Leitfaden IT-Sicherheit und
18
dem Webkurs Grundkurs angesprochen und wie lautet die Begründung?
Leitfaden IT-Sicherheit Der Leitfaden ist, wie oben schon erwähnt auf Fachpersonal und
Administratoren für klein und mittlere Unternehmen oder Behörden ausgelegt. Da der Leit-
faden sehr kurz gehalten ist, dient dieser zur Ausarbeitung und Implementierung eines IT-
Sicherheitskonzeptes.
Webkurs Grundschutz Dieser Kurs ist im Gegensatz zum Leitfaden detailierter und auf-
grund beinhalteter Bilder und Beispiele, sowie Tests eher für Personen, die vom Grundschutz-
konzept betroen sind. Ihnen wird mittels den Beispielen der Grundschutz näher gebracht und
die Wichtigkeit dessen Einhaltung mittels Schadensfällen verdeutlicht.
Im BSI-Standard wird detailiert erklärt, wieso es wichtig ist dass die Leitungsebene den Si-
cherheitsprozess steuert und warum das Management alle Informationen erhalten muss. Es
wird unter anderem erwähnt, wie die Umsetzung des Managementsystems vom Management
beachtet werden muss.
Diesem Teil wird im Dokument IT-Grundschutzprol für kleine Institutionen keine Beach-
tung geschenkt.
Es wird lediglich angemerkt, dass die Geschäftsführung den Part des IT-Sicherheitsbeauf-
tragten übernimmt, da er aufgrund der Gröÿe der Institution nur wenig Möglichkeiten für die
Delegation der Mitarbeiter hat.
19
Konzeption und Planung des Sicherheitsprozesses Die Planung des Sicherheitsprozesses
selbst und eine angemessene IS-Strategie sind ebenso im BSI-Standard 100-2 angeführt, wie die
Bestimmung der Informationssicherheitsziele und die daraus folgenden konkreten Sicherheits-
anforderungen.
Im Prol für die Kleinunternehmen wurde die IS-Strategie nicht erwähnt. Es fehlen ebenfalls
die Informationsziele und die daraus resultierenden Sicherheitsanforderungen.
Es wird vom BSI-Standard empfohlen, das angestrebte Sicherheitsniveau in Bezug auf die
Grundwerte der Informationssicherheit zu bringen, um so ein angemessenes Sicherheitsniveau
für besonders hervorgehobene Geschäftsprozesse bestimmen zu können.
Im Firmenprol für eine kleine Institution sind zu diesem Punkt, keine Maÿnahmen vorge-
sehen.
Erstellung einer Leitlinie zur Informationssicherheit Im Standard wird die schriftliche Fi-
xierung einer Leitlinie als zentraler Punkt gesehen. Unter anderem beschreibt diese zu welchem
Zwecke und mit welchen Mitteln und mit Strukturen die Informationssicherheit innerhalb der
Institution hergestellt werden soll. Es sollen die IS-Ziele genau beschrieben werden und mit
welchen strategischen Mitteln diese erreicht werden wollen.
Der Geltungsbereich spielt bei der Leitlinie eine wesentliche Rolle, da diese Insitutionsweit
oder nur auf wesentliche Teile der Insitution zutreen kann. Die Leitlinie sollte nicht mehr als
20 Seiten umfassen, jedoch mindestens aus einem Geltungsbereich, Zielen, Sicherheitsstrategie
und einer Organisationsstruktur bestehen. Vertrauliche Informationen, in der Leitlinie, müssen
als vertraulich gekennzeichnet werden.
Im Standard scheint ein IS-Management-Team auf, das Informationen der IS-Leitlinie aus-
arbeitet. Die Leitlinie soll für jeden Mitarbeiter zugänglich sein.
Die Leitlinie sollte kontinuierlich überarbeitet und aktualisiert werden. Auf Änderungen in
den Geschäftszielen und -prozessen sollte besonders geachtet werden. Wichtig sind auch Ände-
rungen, die die Organisationsstruktur betreen, sowie die Einführung von neuen IT-Geräten.
Es wird eine zwei-jährliche Überarbeitung empfohlen.
Es wird für eine kleine Institutionen kurz der Begri Sicherheitsleitlinie erläutert. Anschlie-
ÿend erfolgt eine Referenz zum Dokument BSISIPOL, um eine Sicherheitsleitlinie zu erstellen.
Weiters wird noch ein kurzes Beispiel genannt um die praktische Umsetzung zu verstehen.
Keine weiteren Aussagen werdem im Punkto Sicherheitslinie getätigt.
20
Im Firmenprol für eine kleine Institution sind weder Inhalte von der Organisation des
Sicherheitsprozesses noch deren Rollen zu nden. Es wird lediglich auf Beispiele und Checklisten
verwiesen.
Ein Ziel des IT-Grundschutzes ist es, eine Vorgehensweise zur Erzielung eines normalen Si-
cherheitsniveaus anzubieten. Dies kann auch als Basis für ein höheres Sicherheitsniveau dienen.
Aufgrund dessen werden Standard-Sicherheitsmaÿnahmen empfohlen; diese sind in Bausteine
unterteilt, so dass sie aufeinander aufsetzen können.
Es ist in dem Prol für kleine Institutionen nur das wesentlichste Zusammengefasst. Anbei
ndet man auch die Abbildung 9.
Abbildung 9: Sicherheitskonzeption
Denition des Geltungsbereichs Oft erfolgversprechend sind viele kleine Schritte und ein
langfristiger und kontinuierlicher Verbesserungsprozess. Es muss zunächst der Bereich festgelegt
werden, für den die Konzeption erstellt wird. Im IT-Grundschutz wird der Geltungsbereich als
IT-Verbund bezeichnet.
Die Denition des Geltungsbereiches wird in dem Prol für kleine Insitutionen vernachlässigt.
21
Dieses Kapitel wird sehr kurz gehalten. Es wird als Beispiel ein Pass verwendet, der individuell
angepasst werden kann.
Auch bei der Schutzbedarfsfeststellung wird nur ein sehr kleiner Einblick in die Materie
gegeben. Die Schutzbedarfskategorien bestehen nur aus normalen und hohen Schutzbedarf.
Anbei ist die Erläuterung durch Beispiele gegeben.
Auswahl und Anpassung von Maÿnahmen Nachdem die Strukturanalyse und die Schutzbe-
darfsfeststellung vorliegen, wird der IT-Verbund mit Hilfe der vorhandenen Bausteine abgebil-
det. Das Ergebnis ist ein IT-Grundschutz-Modell des Informationsverbunds aus mehreren Bau-
steinen. In diesem Kapitel werden noch genauer die Bausteine, die Gefährdungskataloge sowie
die Maÿnahmenkataloge erläutert. Es folgt die anschlieÿende Modellierung eines Informations-
verbunds; Sicherheitsaspekte werden dabei nach Themen gruppiert betrachtet. Anschlieÿend
wird mittels Aktionspunkten die Auswahl und Anpassung der Maÿnahmen behandelt.
Die Auswahl und Anpassung der Maÿnahmen ist nicht detailiert beschrieben. Dieses Kapitel
wird Modellierung genannt; es wird durch Beispiele erläutert, wie die Bausteine anzuwenden
sind. Das Ergebnis ist, wie im Standard angeführt, ein Teil der IT-Sicherheitskonzeption.
Einen Basis-Sicherheitscheck gibt es für die kleinen Institutionen nicht. Es wird hier eine
Selbstüberprüfung angemerkt.
Untersuchungsergebnisse werden gesammelt und gesichtet. Fehlende oder nur teilweise umge-
setzte Maÿnahmen werden tabellarisch festgehalten und anschlieÿend konsolidiert. Eine ent-
sprechende Dokumentation ist für den Erfolg auschlaggebend. Anschlieÿend wird eine Kosten-
22
Aufwandschätzung getätigt, wobei das Risiko einer nicht oder nur teilweise umgesetzten Maÿ-
nahme ersichtlich ist.
Es folgt die Festlegung der Umsetzungsreihenfolge der Maÿnahmen, realisierungsbegleitende
Maÿnahmen und eventuelle Sensibilisierungsmaÿnahmen.
A.1.5. Zertizierung nach ISO 27001 auf der Basis von IT-Grundschutz
Im BSI-Standard 100-2 beinhaltet die Vorteile einer ISO 27001-Zertizierung. Die Grundlage
auf der Basis des IT-Grundschutz bildet die Durchführung eines Audits. Es werden zusätzlich
die Aktionspunkte für eine Zertizierung aufgezeigt.
Die Zertizierung wird bei den kleinen Institutionen völlig auÿer Acht gelassen.
Verständlichkeit Grundsätzlich ist die Verständlichkeit des Dokuments gegeben. Dennoch ist
es von Vorteil, sich mit den Dokumenten Leitfaden IT-Sicherheit und BSI-Standard 100-2
beschäftigt zu haben. Der Leitfaden dient hier sozusagen als Basis für die Verständlichkeit
des Dokumentes und der Standard 100-2 als Erweiterung, da dieser für jedes Unternehmen
anwendbar sein muss und detailiertere Informationen enthält.
23
Praxisbezug Im Dokument IT-Grundschutz für eine kleine Institution ndet sich ein durch-
gängiges Anwendungsbeispiel, dieses wird am Anfang des Dokumentes recht gut erläutert. Das
Anwendungsbeispiel wird laufend als Beispiel herangezogen und am Ende des Dokuments be-
nden sich eine Checkliste und Maÿnahmen, mittels dieser ein Sicherheitskonzept für kleine
Unternehmen sehr gut in die Praxis umsetzbar ist.
Abbildungsverzeichnis
1. Übersicht der Umsetzungsphasen . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2. Netzplan des beispielhaften IT-Verbunds . . . . . . . . . . . . . . . . . . . . . . 6
3. Erstellung der Sicherheitskonzeption im Informationssicherheitsmanagement . . 10
4. Darstellung des Sicherheitsprozesses . . . . . . . . . . . . . . . . . . . . . . . . 13
5. Vorgehensweise bei der Umsetzung von IT-Grundschutz . . . . . . . . . . . . . 17
6. Modellierung nach IT-Grundschutz . . . . . . . . . . . . . . . . . . . . . . . . . 17
7. Ergänzende Sicherheitsanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
8. Ablauf der Realisierungsplanung . . . . . . . . . . . . . . . . . . . . . . . . . . 18
9. Sicherheitskonzeption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Literatur
[BSI] BSI, Bundesamtfür Sicherheit in der Informationstechnik: IT-Grund-
schutz
. https://www.bsi.bund.de/cln_183/DE/Themen/ITGrundschutz/
itgrundschutz_node.html, Abruf: 18. Dezember 2009
[SB09] Schaumüller-Bichl, DI Dr. I.: Informationssicherheitsmanagement / Sichere Infor-
mationssysteme, FH Hagenberg. 2009. Skriptum
24