You are on page 1of 19

Seite |1

IT-Grundschutz modellieren (166)


IT-Grundschutzhandbuch

Ziel des IT-Grundschutzes ist es, durch standardisierte Sicherheitsmassnahmen ein standardisiertes
Sicherheitsniveau für IT-Systeme aufzubauen, das für sensible Bereiche weiter ausbaufähig ist. Das
IT-Grundschutzhandbuch behandelt Sicherheitsbestimmungen, die ein mittleres bis hohes Mass an
Schutz gewährleisten.

Kataloge mit Sicherheitsmassnahmen:


Infrastruktur, Organisation, Personal, Hard- und Software, Kommunikation, Notfallvorsorge

Empfohlene Vorgehensweise für Aufbau des IT-Grundschutz


1. IT-Strukturanalyse 4. Basis-Sicherheitscheck
2. Feststellung des Schutzbedarfs 5. Ergänzende Sicherheitsanalyse
3. Modellierung des Grundschutzes 6. Realisierung von IT-Sicherheitsmassnahmen

ISO/IEC 17799

Eine umfassende Sammlung von Massnahmen, die dem „Best-Practice-Ansatz“ der


Informationssicherheit genügen

Betrachtet werden folgende Aspekte:


Sicherheitspolitik Management der Kommunikation und des Betriebs
Organisation der Sicherheit Zugangskontrollen
Einstufung Systementwicklung und Wartung
Kontrolle der Werte Management des kontinuierlichen Geschäftsbetriebs
Personelle Sicherheit Einhaltung von Verpflichtungen
Physisches und umgebungsbezogene Sicherheit

Datenschutzgesetz (DSG)

Der Grundgedanke des Datenschutzes liegt im Schutz des Persönlichkeitsrechts.

Überall dort, wo nach Personen erschlossene oder erschliessbare Datensammlungen geschäftlich


gespeichert oder bearbeitet werden, sind die Regeln des DSG zu beachten. Dabei bezieht sich das
DSG auf alle Personendaten, unabhängig von ihrem Speichermedium (elektronisch, auf Papier).

Datensammlung
Der Begriff wird vom DSG als Bestand von Personendaten definiert, der so aufgebaut ist, dass die
Daten nach betroffenen Personen erschliessbar sind.

Informationen einer Datensammlung


Religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
Gesundheit
Intimsphäre
Rassenzugehörigkeit
Massnahmen der sozialen Hilfe
Administrative oder strafrechtliche Verfolgung

Anmeldung einer Datensammlung


Der Eidgenössische Datenschutzbeauftragte führt ein Register der Datensammlungen.
Private Personen oder Unternehmen, die entsprechende Daten benutzen, müssen Datensammlungen
anmelden.
Bundesorgane müssen sämtliche Bestände anmelden.
Die Datensammlung muss nicht angemeldet werden, wenn die Betroffenen angefragt wurden, ob die
Informationen verwendet werden dürfen.
Seite |2

Datenverarbeitung
Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Datenbeschaffung
angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.

Rechte des Betroffenen


Jeder Betroffene hat das Recht, seine Daten anzusehen, auch wenn diese nicht angemeldet werden
mussten. Weiter kann er eine Korrektur falscher Daten verlangen.

Schutz der Daten


• Zugangskontrolle
Unbefugten Personen ist der Zugang zu verwehren.

• Datenträgerkontrolle
Unbefugten Personen ist das Lesen, Kopieren, Verändern und Entfernen zu verunmöglichen

• Transportkontrolle
Bei Bekanntgabe von Personendaten sowie beim Transport von Datenträgern ist zu verhindern,
dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden.

• Bekanntgabekontrolle
Datenempfänger müssen identifiziert werden können.

• Speicherkontrolle
Unbefugte Eingabe in den Speicher sowie unbefugte Einsichtnahme, Veränderungen oder
Löschung gespeicherter Daten ist zu verhindern.

• Benutzerkontrolle
Die Benutzung von automatisierten Datenverarbeitungssystemen durch unbefugte Personen ist zu
verhindern.

• Zugriffskontrolle
Zugriff ist nur auf diejenigen Personendaten zu beschränken, die berechtigte Personen zur
Erfüllung ihrer Aufgabe benötigen.

• Eingabekontrolle
In automatisierten Systemen muss nachträglich überprüft werden können, welche Personendaten
zu welcher Zeit und von welcher Person eingegeben wurden.

Strafgesetzbuch

Damit eine strafrechtliche Verfolgung eingeleitet werden kann, muss der Geschädigte meist
nachweisen können, dass er Schutzmassnahmen angewendet hat und dass er die Sorgfaltspflicht
wahrgenommen hat.

Weiterhin gibt das Strafgesetzbuch auch Hinweise auf die rechtliche Verantwortung bei der
Verarbeitung und Aufbewahrung von Informationen (Beweisführung).

Merkmale der IT-Sicherheit

Vertraulichkeit
Nur berechtigte Personen haben Zugriff auf vertrauliche Daten.
Gilt auch für prozessbezogene Informationen, wie sie z.B. in der Logdatei vorhanden sind.

Verfügbarkeit
Beispielsweise die Wartezeit auf eine Systemfunktion oder die Verarbeitungsgeschwindigkeit.

Integrität
Integrität bedeutet, dass eine Information vollständig, unverfälscht und korrekt ist.
Das heisst, dass man der Information trauen kann.

Aktualität der Daten


Seite |3

Authentizität
Daten kommen von der Person, von der ich sie erwarte.

Integrität von Programmen und Funktionen


Programm macht das, was ich von ihm erwarte. Bsp. Besteht die Gefahr, dass im Hintergrund eine
Funktion ausgeführt wird, die nicht erwartet wird (z.B. Trojaner).

Verbindlichkeit
Beide Parteien müssen sich an die Abmachung halten.

Verbindlichkeit umfasst folgende Aspekte:


• Einhaltung gesetzlicher und vertraglicher Bedingungen
• Problem der Anerkennung des Empfangs von Informationen
• Nachweisbarkeit von Kommunikationsvorgängen
• Juristische Akzeptanz von Rechtsgeschäften, die mittels EDV-Systemen zustande gekommen
sind

Weitere Begriffe rund um IT-Sicherheit

Bedrohung
• Menschliches Versagen, menschliche Fehler oder Irrtümer:
Falsche Parametrierung, Fallenlassen von Werkzeugen etc.
• Vorsätzliche Handlung:
Bewusste Handlungen durch unbefugte Dritte oder interne Mitarbeiter
• Technisches Versagen:
Mängel an den Verarbeitungsmitteln (Hardware, Software, Netzwerk, Datenträger)
• Höhere Gewalt:
Einflüsse der Umwelt oder Elementarereignisse
• Organisatorische Mängel:
Fehlende Konzepte, fehlende Verantwortung => Menschliches Versagen

Verletzbarkeit
Mangel an Objekt oder Anfälligkeit.

Risiko
Ein Risiko ist eine Kombination aus Bedrohung und Verletzbarkeit.

Schaden
• Direkte Schäden:
Maschinen, Programme, Datenträger, Daten
• Indirekte Schäden:
Kosten für Rekonstruktion von Daten oder Programmen, Backup-Anlage, Ersatzbeschaffung,
Personalaufwand.

• Folgekosten:
Ausfall von Forderungen, Entgangene Gewinne infolge Betriebsunterbruch und
Produktionsausfall, Schadenersatzansprüche Dritter wegen Nichterfüllung von Verträgen

Eintrittswahrscheinlichkeiten
• Objektive, messbare und kalkulierbare Wahrscheinlichkeit:
z.B. Ausgang eines Münzwurfs
• Subjektive, nicht messbare und geschätzte Wahrscheinlichkeit:
z.B. Eintritt einer Krankheit aufgrund der Diagnose von Symptomen.
• Objektive Unmöglichkeit, eine Wahrscheinlichkeit zu ermitteln
Seite |4

Sicherheitsmassnahmen
Sicherheitsmassnahmen dienen zur Abwehr und Minderung eines möglichen Schadens.
Sicherheitsmassnahmen kosten jedoch sehr viel Geld und müssen daher dem Risiko bzw. dessen
Eintrittswahrscheinlichkeit angepasst werden.

Bedrohung durch Computerkriminalität

Computerkriminalität
Jede Straftat bei welcher der Computer das Werkzeug oder das Ziel der Tat ist.
Meistens Vermögensverletzungen bei denen Daten verändert, zerstört, erlangt oder verwertet oder
zusammen mit Hardware genutzt werden.

Computerbetrug
Als Computerbetrug versteht man das unbefugte Beeinflussen des Ergebnisses eines
Datenverarbeitungsvorganges.

Computerspionage
Unberechtigte Aneignung oder Verwendung von Daten und Programmen.

Computersabotage
Vorsätzliche Beeinträchtigung oder Zerstörung eines Datenverarbeitungs-Systems oder Teilen davon.

Computermissbrauch: Erschleichen einer Leistung


Unbefugte Nutzung von Systemen (Hardware, Software, Netzwerke) mit der Absicht, sich oder einen
Dritten einen Vermögensvorteil zu verschaffen.

Bestimmungen aus dem Strafrecht


• Urkundenfälschung
StGB 251
• Unbefugte Datenbeschaffung / Datenspionage
StGB 143 / Datendiebstahl, Datenspionage
• Unbefugtes Eindringen in ein Datenverarbeitungssystem
StGB 143 / Hacking
• Datenbeschädigung
StGB 144 / Sachbeschädigung, Viren
• Betrügerischer Missbrauch einer Datenverarbeitungsanlage
StGB 147 / Computerbetrug, Computermanipulation
• Erschleichen einer Leistung
StGB 150 / Unerlaubte Nutzung eines DV-Systems für eigene Zwecke

Grundprinzip einer Risikoanalyse

Systemabgrenzung (alle Komponenten)


• Organisation Systeme
• Personen Netzwerke
• Applikationen
Bestimmung des Datenbestandes innerhalb der Systemgrenze
Bedrohungsform Verletzbarkeit
• Menschliches Versagen • Verfügbarkeit
• Vorsätzliche Handlung • Vertraulichkeit
• Technisches Versagen • Integrität
• Elementarereignisse (Höhere Gewalt)
• Organisatorische Mängel
Risiko
Schaden pro Ereignisfall Eintrittswahrscheinlichkeit
Schaden (CHF) x Wahrscheinlichkeit (%) = Schadenausmass
Relevante Komponenten für das Risiko
Massnahmen
Seite |5

Systemabgrenzung

Als erstes wird das gesamte IT-System in einzelne Bereiche unterteilt und deren Komponenten
beschrieben. Grund für die Aufteilung ist die Reduktion der Komplexität und der evt. unterschiedlichen
sicherheitsrelevanten Aspekte.

Definition des Datenbestandes

Innerhalb des untersuchten Bereichs sind Datenbestände vorhanden. Die Risikoanalyse betrachtet
vorwiegend die Gefährdung dieser Bestände.

Definition der Verletzbarkeit

Die Datenbestände werden den Grundbedrohungen der Informatik gegenübergestellt. Überall wo


Verletzbarkeiten entstehen, werden diese markiert und nummeriert.

Daten / Mitarbeiterdaten Geschäftszahlen Kundendaten


Grundbedrohungen
Vertraulichkeit Verletzbarkeit 1 Keine Verletzbarkeit Verletzbarkeit 2
Verfügbarkeit Keine Verletzbarkeit Verletzbarkeit 3 Verletzbarkeit 4
Integrität Keine Verletzbarkeit Verletzbarkeit 5 Verletzbarkeit 6
Verbindlichkeit Keine Verletzbarkeit Keine Verletzbarkeit Keine Verletzbarkeit

Definition der Bedrohungen

Es wird ein Bedrohungskatalog erstellt, der auf den abgegrenzten Informatikbereich einwirkt. Als
mögliche Bedrohungen können z.B. Stromausfall, Festplattenausfall, Hackerangriff etc. genannt
werden.

Risikoanalyse

Überall dort wo eine Bedrohung auf eine Verletzbarkeit trifft, entsteht ein Risiko.

Verletzbarkeit Bedrohung
Nr. Stromausfall Festplattenausfall Hackerangriff
Verletzbarkeit 1 Kein Risiko Kein Risiko Risiko A
Verletzbarkeit 2 Kein Risiko Kein Risiko Risiko B
Verletzbarkeit 3 Risiko C Risiko D Risiko E

Schadenausmass und Eintrittswahrscheinlichkeit

Das wahrscheinliche Schadenausmass pro Jahr gibt Aufschluss über die Höhe der
Sicherheitsmassnahmen. Wenn kein Frankenbetrag genannt werden kann, kann auch eine qualitative
Aussage gemacht werden (z.B. niedrig, mittel, hoch, existenzbedrohend).

Nr. Definition der Schadengrösse Wahrscheinlichkeit Schaden


Risiken
A Risiko A Mittel Klein Klein
B Risiko B Gross Gross Gross
C Risiko C Klein Gross Klein

Seite |6

Sicherheitsmassnahmen

Zum Schluss werden die einzelnen Komponenten ermittelt, die beim entsprechenden Risiko eine Rolle
spielen.

Risiko Nr. Schaden Komponente Definition der


Sicherheitsmassnahmen
A Klein Applikation 1 Benutzer-ID und PW
Server 1 Passwortschutz
Router 1 Physischer Zugriffsschutz
B Gross Server 2 Firewall

Allgemeine Gefährdungen (Bedrohungen)

Höhere Gewalt
Alle Gefährdungen die nicht oder nur bedingt beeinflusst werden können. Im Vordergrund stehen hier
Naturkatastrophen.
Massnahmen in den meisten Fällen im Infrastrukturbereich.

Menschliches Versagen
Hauptursachen für menschliches Versagen sind Unwissenheit, Unachtsamkeit und zu grosse
Komplexität. Es wird davon ausgegangen, dass keine vorsätzliche Absicht hinter der Fehlhandlung
steht.

Technisches Versagen
Gefährdungen, die im Zusammenhang mit dem unerwarteten Ausfalls eines gesamten Systems oder
Systemkomponenten stehen.

Vorsätzliche Handlung
Das bewusste Zuführen von Schaden an einem System.

Organisatorische Mängel
Wenn Tätigkeiten oder Aufgaben in einem Unternehmen zu verrichten sind, diese aber keiner
Organisation zugeordnet sind, spricht man von organisatorischen Mängeln. Ebenso wenn Aufgaben
und Tätigkeiten zwar definiert, aber nicht wahrgenommen oder kontrolliert werden.
Hinter einer organisatorischen Mangel steht immer menschliches Versagen.

Sicherheitsmassnahmen im Überblick

Infrastruktur
Bauliche Massnahmen, Zutrittsschutz, Überwachung.

Personal
Schulung und Weisungen.

Organisation
Strategien, Abläufe und Konzepte.

Hardware und Software


Zugriffsverfahren, Rechtvergabe Redundanz, Betrieb.

Kommunikation
Protokolle, Kryptographie, Netzwerkdienste.
Seite |7

IT-Grundschutz-Bausteine

Schichtenmodell
Übergreifende Aspekte Infrastruktur IT-Systeme Netze IT-Anwedungen
IT-Sicherheitsmanagement Gebäude DOS-PC (ein Heterogene Netze Datenträgeraustausch
Benutzer)
Organisation Verkabelung UNIX-System Netz- und E-Mail
Systemmanagement
Personal Büroraum Tragbarer PC Modem WWW-Server
Notfallvorsorgekonzept Serverraum PC mit Firewall Lotus-Notes
wechselnden
Benutzern
Datensicherungskonzept Datenträgerarchiv PC unter Remote Access Fax-Server
Windows NT
Computervirenschutzkonzept Raum für PC mit Windows LAN-Anbindung Datenbanken
technische 95 eines IT-Systems
Infrastruktur über ISDN
Kryptokonzept Schutzschränke Allgemeines
nicht vernetztes
IT-System
Behandlung von Häuslicher Servergestütztes
Sicherheitsvorfällen Arbeitsplatz Netz
Hard- und Rechenzentrum UNIX-Netz
Softwaremanagement
Standartsoftware Peer-To-Peer-
Netz
Windows-NT-
Netz
Novell Netware
3.x
Novell Netware
4.x
TK-Anlage
Faxgerät
Anrufbeantworter
Mobiltelefon
Telearbeit

Schicht 1: Übergreifende Aspekte


Umfasst alle übergreifenden IT-Sicherheitsaspekte, die für ein Unternehmen einheitlich geregelt
werden müssen.

Schicht 2: Infrastruktur
Befasst sich mit örtlichen baulichen Gegebenheiten.

Schicht 3: IT-Systeme
Betrifft einzelne IT-Systeme der Infrastruktur.

Schicht 4: Netze
Betrachtet die Vernetzung der IT-Systeme.

Schicht 5: IT-Anwendungen
Die eigentlichen IT-Anwendungen. In dieser Schicht können unter anderem die Bausteine E-Mail,
WWW-Server, Faxserver und Datenbanken zur Modellierung verwendet werden.
Seite |8

Sicherheitsprozess

Initialisierung des Prozesses


Gefährdungsanalyse
Leitlinien (Policy)
IT-Strukturanalyse
Schutzbedarfsfeststellung
Modellierung Sicherheitskonzept
Ergänzende Sicherheitsanalyse
Basis-Sicherheitscheck
Realisierungsplan
Realisierung
Sicherheitsstellung im Betrieb (Monitoring)

Definition der Verantwortlichkeiten

Bevor ein Sicherheitskonzept eingeführt werden kann, muss eine Person nominiert werden, die sich
um die Sicherheit innerhalb der Informatik kümmert. Dieser IT-Sicherheitsbeauftragte ist

• Verantwortlich für die Wahrnehmung aller Belange punkto IT-Sicherheit innerhalb einer
Organisation
• Koordiniert die Erstellung des IT-Sicherheitskonzepts, des Notfallkonzepts etc.
• Erstellt den Realisierungsplan für IT-Sicherheitsmassnahmen
• Prüft die Realisierung
• Stellt den Informationsfluss zur Leitungsebene und zu den IT-Verantwortlichen sicher

Gefährdungsanalyse und Leitlinien

Zunächst wird das für ein Unternehmen notwendige „IT-Sicherheitsniveau“ bestimmt.

Vom Gesetz her werden für kritische Datensammlungen spezielle Sicherheitsmassnahmen verlangt.
Das Ergebnis wird in einer Sicherheitslinie festgelegt (Security Police).

Erstellung des IT-Sicherheitskonzeptes

1. IT-Strukturanalyse
2. Schutzbedarfsfeststellung Schutzbedarf der einzelnen Komponenten
3. Modellierung
Benötigte Sicherheitsmassnahmen
4. Ergänzende Sicherheitsanalyse
5. Basis-Sicherheitscheck
6. Ausstehende Massnahmen = Realisierungsplan

IT-Strukturanalyse
Hier werden alle Komponenten einer IT-Infrastruktur systematisch aufgeteilt. Weiter wird versucht
Gruppen zu bilden.

Schutzbedarfsfeststellung
Für jede vorhandene, unternehmensrelevante Applikation wird geprüft, wie wichtig sie für den
Fortgang des Geschäftsprozesses ist. Dies definiert das Mass an benötigten Schutz.

Modellierung
Die Vorhandenen Komponenten werden denjenigen aus dem Grundschutzhandbuch
gegenübergestellt und die vorgeschlagenen Massnahmen festgehalten.

Sicherheitsanalyse
Entspricht einer Risikoanalyse. Komponenten mit hohem Schutzbedarf, z.B. Server mit kritischen
Daten, müssen einer separaten Sicherheitsanalyse unterworfen werden.
Seite |9

Basis-Sicherheitscheck
Diese Modellierung nach IT-Grundschutz wird als Prüfplan benutzt, um anhand eines Soll/Ist-
Vergleichs herauszufinden, welche Standardsicherheitsmassnahmen ausreichend oder nur
unzureichend umgesetzt sind. Das Resultat ist ein Realisierungsplan.

Realisierungsplan
Gleiche Tätigkeiten werden zusammengefasst.

Die Ergebnisse aus dem Basis-Sicherheitscheck, der allfälligen Sicherheitsanalyse und der
Realisierungsplan sind das Kommunikationsmittel mit der Leitung und stellen das Sicherheitskonzept
dar.

Umsetzung

Security Awareness – Sensibilisierung und Bekanntmachung sämtlicher Mitarbeiter mit den


Sicherheitsvorschriften.

Strukturanalyse

Aufgabe der Strukturanalyse ist es, Informationen zu erheben, die für das IT-Sicherheitskonzept
benötigt werden.

Netzplanerhebung Erstellen einer gültigen grafischen Übersicht der


betroffenen Komponenten
Gruppenbildung Vereinfachen der Informationen durch
Zusammenfassen gleicher Komponenten
Erhebung Komponenten Ableiten der relevanten Komponenten
Erhebung Applikationen Erfassen aller geschäftsrelevanten Applikationen
Erhebung Systeme pro Applikation Übersicht, welche Komponenten für welche
Applikation nötig sind

Netzplanerhebung
Ein Netzplan stellt alle sicherheitsrelevanten Komponenten einer IT-Struktur in einer grafischen
Übersicht dar.

• Client- und Server-Computer, Netzkomponenten, Netzdrucker etc.


• Netzverbindungen zwischen diesen Systemen, d.h. LAN-Verbindungen wie Ethernet,
Weitstreckenverbindungen wie ATM etc.
• Verbindungen des betrachteten Bereichs nach aussen

Zu jeder Komponente gehören folgende Informationen, die auch separat erfasst werden können:

• Eine eindeutige Bezeichnung: Hostname oder eine Identifikationsnummer


• Typ und Funktion: Datenbankserver für Anwendung X
• Die zugrunde liegende Plattform: Hardware-Plattform und Betriebssystem
• Der Standort: Gebäude- und Raumnummer
• Der zuständige Administrator
• Die Art der Netzanbindung und die Netzadresse

Gruppenbildung
Gleichartige Komponenten zu einer Gruppe zusammenfassen. Komponenten können dann ein- und
derselben Gruppe zugeordnet werden, wenn alle Komponenten…

• vom gleichen Typ sind


• gleich oder nahezu gleich konfiguriert sind
• gleich oder nahezu gleich in das Netz eingebunden sind (z.B. am gleichen Switch)
• den gleichen Rahmenbedingungen unterliegen und
• die gleichen Anwendungen bedienen
S e i t e | 10

Erhebung Komponenten
Als nächster Schritt wird eine Liste der IT-Systeme in tabellarischer Form vom Netzplan abgeleitet.
Der Begriff IT-System umfasst auch aktive Netzkomponenten, Netzdrucker etc. Zu erfassen sind die
vernetzten als auch die nicht vernetzten IT-Systeme.

Nr. Beschreibung Plattform Anz. Ort Status Anwender/Admin


S1 Server 1 Windows 1 Bern In Betrieb Personalreferat
NT
S2 Server 2 Windows 1 Bern In Betrieb Alle IT-Anwender
NT
C6 Gruppe der Windows 2 Zürich In Betrieb Alle IT-Anwender
Laptops für 95
den Standort
Zürich

Erhebung Applikationen
Nun erfolgt die Erfassung der unternehmenswichtigen Applikationen. In der Regel werden folgende
Anwendungen erfasst.

• Anwendungen, deren Daten den höchstens Bedarf an Geheimhaltung besitzen


• Anwendungen, deren Daten den höchsten Bedarf an Korrektheit und Unverfälschtheit besitzen
• Anwendungen, welche die kürzeste tolerierbare Ausfallzeit haben

Anwendungsnummer IT-Anwendung / Personenbezogene Daten


Informationen
A1 Personaldatenverarbeitung X
A4 Benutzer-Authentisierung X
A5 Systemmanagement

Erhebung Komponenten pro Applikationen


Sobald die geschäftsrelevanten Applikationen bestimmt sind, wird beschrieben, welche Applikation
konkret auf welchen Systemen laufen.

Beschreibung der IT-Anwendungen IT-Systeme


Anw.-Nr. IT-Anwendung / Personenbezogene S1 S2 S3 S4 S5 S6 S7
Informationen Daten
A1 Personaldatenverarbei X X
tung
A4 Benutzer- X X X
Authentisierung
A5 Systemmanagement X
A7 Zentrale X
Dokumentenverwaltun
g

Schutzbedarfsfeststellung

Die Schutzbedarfsfeststellung der in der Strukturanalyse erfassten IT-Struktur erfolgt in vier Schritten.

1. Definition der Schutzbedarfskategorien


2. Definition der Schadenszenario
3. Schutzbedarf der Komponenten ableiten
4. Schutzbedarf der Übertragungsstrecken und Räume
S e i t e | 11

Schutzbedarfskategorien

Kategorie Beschreibung
Niedrig bis mittel Schadenauswirkungen sind begrenzt und
überschaubar
Hoch Schadenauswirkungen können beträchtlich sein
Sehr hoch Schadenauswirkungen können ein existenziell
bedrohliches, katastrophales Ausmass erreichen

Schutzbedarfsfeststellung für Anwendungen (IT-Applikationen)

IT-Anwendung Schutzbedarfsfeststellung
Nr. Bezeichnung Pers. Grundwert Schutz Begründung
Daten bedarf
A1 Personaldatenverarbeitung X Vertraulichkeit Hoch Das bekanntwerden kann
die Betroffenen erheblich
beeinträchtigen.
Integrität Mittel Ein Fehler kann rasch
erkannt und die Daten
nachträglich korrigiert
werden.
Verfügbarkeit Mittel …

A2 Sozialabgaben X Vertraulichkeit Hoch …

Integrität Mittel …

Verfügbarkeit Mittel …

Schutzbedarfsfeststellung für IT-Systeme

IT-System Schutzbedarfsfeststellung
Nr. Beschreibung Grundwert Schutzwert Begründung
S1 Server Vertraulichkeit Hoch Maximumprinzip
Integrität Mittel Maximumprinzip
Verfügbarkeit Mittel Maximumprinzip
S2 Domäne Vertraulichkeit Mittel Maximumprinzip
Integrität Hoch Maximumprinzip
Verfügbarkeit Mittel …

Schutzbedarfsfeststellung für Kommunikationsverbindungen

Zur Identifikation der kritischen Verbindungen dient folge Betrachtungsweise:

• Verbindungen, die Aussenverbindungen darstellen, d.h. Verbindungen, die über „unsicheren,


öffentlichen Grund“ laufen.
• Verbindungen mit hoch schutzbedürftigen Informationen
• Zentrale Verbindung. Der Ausfall einer solchen Verbindung kann die Funktionsfähigkeit
wesentlicher Teile der gesamten Informatik beeinträchtigen

Pro Kommunikationsverbindung werden folgende Informationen in einer Schlusstabelle eingetragen:

• Verbindungsstrecke
• Ob es sich um eine Aussenverbindung handelt
• Ob der Schutzbedarf aus der Vertraulichkeit, Integrität oder Verfügbarkeit resultiert.
S e i t e | 12

Kritisch aufgrund
Verbindung 1 2 hohe 3 hohe Integrität 4 hohe
Aussenverbindung Vertraulichkeit Verfügbarkeit
N1 – Internet X
N5 – N6 x
S1 – N4 X

Schutzbedarfsfeststellung für Räume

Raum IT Schutzbedarf
Bezeichnung Art Lokatio IT- Vertraulichke Integrität Verfügba
n Systeme/Datenträg it rkeit
er
R U.02 Archiv Bern Backup-Daten- Hoch Hoch Mittel
träger
R 1.01 Serverra Bern S1, N4 Hoch Hoch mittel
um

Interpretation der Ergebnisse

Kategorie Beschreibung
Niedrig Standard-Sicherheitsmassnahmen nach IT-Grundschutz sind im Allgemeinen
ausreichend und angemessen.
Hoch Standard-Sicherheitsmassnahmen nach IT-Grundschutz bilden einen Basisschutz,
sind aber unter Umständen alleine nicht ausreichend. Weitergehende Massnahmen
können auf Basis einer ergänzenden Sicherheitsanalyse ermittelt werden.
Sehr hoch Standard-Sicherheitsmassnahmen nach IT-Grundschutz bilden einen Basisschutz,
reichen aber alleine nicht aus.

Grundschutz-Modellierung

Jeder Baustein aus dem IT-Grundschutz wird einzeln betrachtet und entschieden, wann er für welche
IT-Komponenten angewendet werden kann.

Sicherheitsanalyse

Bei der Sicherheitsanalyse werden IT-Komponenten mit hohem bis sehr hohem Schutzbedarf separat
analysiert. Das Ergebnis der Sicherheitsanalyse sind besondere Bedrohungen und besondere
Massnahmen. Diese werden als separater Baustein in das Grundschutzhandbuch bzw.
Sicherheitskonzept eingefügt.

Basis-Sicherheitscheck

Der Basis-Sicherheitscheck überprüft die IT-Komponenten in Bezug auf die bereits vorhandenen
Sicherheitsmassnahmen (Soll/Ist-Vergleich). Die Abweichungen gegenüber den empfohlenen
Massnahmen werden in Realisierungsplan festgehalten.

Internet-Dienste

Die verschiedenen Internetdienste basieren auf dem Übertragungsprotokoll TCP/IP. Wenn man von
TCP/IP spricht, ist nicht nur das Protokoll selbst gemeint. Es existieren Zusatzdienste wie SMTP
(Simple Mail Transport Protocol) oder SNMP (Simple Network Management Protocol), die zusammen
mit dem TCP/IP Protokoll die so genannte TCP/IP Protokollsuite bilden.

Web-Dienste: HTTP (Hypertext Transfer Protocol)


Mail-Dienste: basierend auf SMTP
S e i t e | 13

WWW-Server

WWW-Server dienen zum Publizieren von Informationen, basierend auf TCP/IP.

Festlegung einer WWW-Sicherheitsstrategie


• Wer darf welche Informationen publizieren?
• Welche Dateien dürfen aufgrund ihres Inhaltes nicht auf dem WWW-Server publiziert werden?
• Welche Zugriffsbeschränkungen auf den WWW-Server sollen realisiert werden, das heisst, wer
darf auf welche Informationen zugreifen

WWW-Sicherheitsstrategie für die WWW-Nutzung


• Wer erhält WWW-Zugang?
• Die Browser der Benutzer müssen so vorkonfiguriert sein, dass sie das grösste Mass an
Sicherheit garantieren
• Aus rechtlichen Gründen dürfen keine anstössigen Dateien publiziert, gespeichert oder
nachgefragt werden. (White-List / Black-List)
• Nach dem Download von Dateien sind diese explizit auf Computer-Viren zu überprüfen

Sicherer Betrieb eines WWW-Servers


• Ein WWW-Server sollte keine unnötigen Netzdienste erhalten
• Kommunikation mit dem WWW-Server sollte durch einen Paketfilter auf ein Minimum beschränkt
werden
• Administration des WWW-Servers nur über eine sichere Verbindung
• Bei der Konfiguration eines HTTP-Servers sollte die Option „Verzeichnisinhalt auflisten“ deaktiviert
werden. Dies erlaubt dem Benutzer den ganzen Verzeichnisbaum mit Inhalt anzuzeigen.
• Die Option „Symbolische Links“ sollte ebenfalls deaktiviert werden, da über diese Links auf
Dateien ausserhalb des freigegebenen Webverzeichnisses zugegriffen werden kann.

Schutz der WWW-Dateien

• Eventuelle Programmfehler ermöglichen Skripten den Zugriff auf darunter liegende Dateien.
Um grösstmöglichen Schutz zu bieten, sollte das Skript nicht als Administrator laufen.

• Auf einem typischen WWW-Server ändern sich nur die Prototolldateien.


Um sicherzustellen, dass nicht unbemerkt Änderungen vorgenommen werden, werden
Prüfsummen gebildet. Hierfür gibt es Programme (Bsp. Tripwire)

• Der Zugriff kann auf frei wählbare IP-Adressen, Teilnetze oder Domänen beschränkt werden,
wobei nummerische IP-Adressen nicht den grössten Schutz bieten.
Ein Angreifer kann mittels IP-Spoofing IP-Pakete fälschen, um vorzugeben, von einem anderen
IT-System zu kommen. Mit einer Firewall kann dies jedoch verhindert werden.

• Es können benutzerspezifische IDs und Passwörter vergeben werden. Diese Kennwörter werden
ausserhalb des Webservers (docroot) in einer eigenen Datei abgelegt.

Sicherheit von WWW-Browsern

Laden von Dateien


Viren, Makro-Viren und trojanische Pferde stecken überall. Der Browser ist so zu konfigurieren, dass
bei Dateitypen, die Makroviren enthalten können, die zugehörigen Anwendungen nicht automatisch
gestartet werden.

Plug-Ins und Zusatzprogramme


Einige Dateiformate benötigen zusätzlich noch Plug-Ins.
Bei Plug-Ins handelt es sich um Bibliotheksdateien (z.B. DLL-Dateien), die ins Plug-In-Verzeichnis
geladen werden. Es dürfen keine Plug-Ins installiert werden, denen man nicht unbedingt vertrauen
kann.
S e i t e | 14

Cookies
In Cookie-Dateien werden auf dem Rechner des Benutzers Informationen über besuchte WWW-
Seiten, Passwörter und Benutzerverhalten gespeichert. Um das Anlegen von Cookie-Dateien zu
verhindern, kann lokal eine leere Cookie-Datei angelegt werden und mit einem Sicherheitsschutz
versehen werden.

Datensammlungen
Das WWW hinterlässt Spuren, die dem Datenschutzgesetz (DSG) unterliegen. Solche Dateien sind
auf Proxy-Servern (Zwischenspeicher) besonders sensibel, da auf Proxy-Servern die externen WWW-
Zugriff aller Mitarbeiter protokolliert werden, inkl. IP des Clients, der die Anfrage gestartet hat und der
nachgefragten URL.

Zugriff auf Client-Festplatte


Bei einigen Browsern wird die Möglichkeit gegeben, aktiv auf die Festplatte des Benutzers
zuzugreifen.

Regelungen
Jeder Benutzer sollte vor der Nutzung von Internet-Diensten durch entsprechende Anweisungen
verpflichtet werden, die aufgeführten Sicherheitsrichtlinien zu beachten.

E-Mail

Sicherheitspolitik festlegen
• Das E-Mail-Programm muss so konfiguriert sein, dass Maximale Sicherheit erreicht wird. Benutzer
dürfen diese Einstellungen nicht ändern.
• Vor Übermittlung der Daten, muss der Benutzer identifiziert werden.
• Zur Identifikation des Absenders werden „Signatures“ am Ende einer E-Mail eingefügt.
• Die Dateiübertragung wird meist zu Verrechnungs- und Revisionszwecken protokolliert. Dabei
sind die Datenschutzbestimmunen einzuhalten.

Regeln für Benutzer


• Wenn E-Mails an mehrere Empfänger verschickt werden, sollte nicht der „CC“-Eintrag benutzt
werden, sondern Verteilerlisten oder der „BCC“-Eintrag damit der Empfänger die anderen
Empfänger der Mail nicht sehen können.
• BCC = Blind Carbon Copy (Blindkopie)
• Die Eingabe des Betreffs sollte immer ausgefüllt werden. Dies ermöglicht eine bessere
Abgrenzung zu Spam-Mails.
• Für ein- bzw. ausgehende Dateien sollte ein Virenscanner eingesetzt werden.

E-Mail-Adressen, Alias-Dateien und Verteilerlisten


• Es muss eine Namenskonvention von E-Mailadressen erstellt werden, damit die Empfänger
eindeutig identifiziert werden können. Dies erleichtert die Adressierung, können aber erraten
werden und für Spam-Attacken eingesetzt werden.
• Verteilerlisten sollten regelmässig auf Korrektheit und Aktualität überprüft werden.

Schutz vor Attacken


• Mailbomben sind E-Mails, die absichtlich eingebaute Schadfunktionen beinhalten. Beispielsweise
kann eine als Attachment mitversandte, komprimierte Datei, enthalten sein, die nach dem
Auspacken Schaden zufügt.
• Archive (komprimierte Dateien) oder EXE-Dateien sollten niemals ohne Prüfung entpackt oder
geöffnet werden, bevor sie nicht in einer sicheren Umgebung geprüft wurden.
• Durch Überhäufung mit Werbe-Mails oder durch absichtliche Überlastung durch eingehende
Mails, kann das Mail-System blockiert werden.

Massnahmen gegen ungewollte Werbe-Mails bzw. Spam.

• Auf dem Mail-Server bzw. der Firewall sollten Filter eingesetzt werden.
• Es sollte festgelegt werden, ob Mitarbeiter Artikel in Newsgruppen ablegen dürfen, da dort die E-
Mail-Accounts publik werden.
S e i t e | 15

Sicherer Betrieb eines Mail-Systems


• Der Mail-Server muss sicherstellen, dass lokale Mails der angeschlossenen Benutzer nur intern
weitergeleitet werden und nicht in das öffentliche Netz gelangen können.
• Nur der Eigentürmer der Mailbox darf Zugriff auf seine Mailbox haben.
• Eingehende Mails sollten an der Firewall oder am Mail-Server auf Viren überprüft werden.
• Über Filterregeln können der Empfang oder die Weiterleitung bestimmter Mails verhindert werden.
• Ein Mail-Server sollte davor geschützt sein, als Spam-Relay verwendet zu werden.
• Die Benutzer sind darauf hinzuweisen, dass sie die Konfiguration nicht selbständig ändern dürfen.

Firewall

Die Firewall dient dazu, Dienste und Zugänge zu Netzwerken gegen Dritte zu schützen.

Es werden folgende Arten von Firewalls unterschieden:

• Paket-Filter: Dies sind IT-Systeme mit spezieller Software, welche Informationen der unteren
Schichten des OSI-Modells filtern und nach speziellen Regeln Pakete weiterleiten oder abfangen.
• Application-Gateway: Der Application-Gateway schaut zusätzlich in die Pakete hinein und
analysiert Nutzdaten.

Voraussetzungen für einen wirkungsvollen Schutz:

• Jede Kommunikation muss ausnahmslos über die Firewall geführt werden


• Die Firewall darf ausschliesslich als schützender Übergang zum internen Netz eingesetzt werden
und auf der Firewall dürfen keine weiteren Dienste laufen (minimales Betriebssystem).
• Die Administration erfolgt ausschliesslich über einen gesicherten Weg
• Eine Firewall gestattet nur festgelegte Verbindungen.

Grenzen der Firewall:

• Die Filterung von aktiven Inhalten (ActiveX-Controls, Java-Applets oder Scripting-Programmen) ist
unter Umständen nur teilweise erfolgreich.
• Sobald ein Benutzer eine Kommunikation über die Firewall herstellen darf, kann er über das
verwendete Kommunikationsprotokoll beliebige andere Protokolle „tunneln“ (siehe Remote
Access).
• Filtersoftware ist häufig noch unausgereift.
• Firewalls schützen nicht vor allen Denial-of-Service (DoS)-Attacken. DoS-Attacken haben zum
Ziel, mit Überlastung oder falschen Protokolldaten ein System zu blockieren oder zum Absturz zu
bringen und den Service zu verhindern.
• Eine Firewall hat keinen Einfluss auf die Sicherheit der Kommunikation innerhalb eines Netzes.

Bestimmung der Sicherheitspolitik

• Welche Informationen und Dienste dürfen durch die Firewall nach aussen hindurch bzw. nach
innen hereingelassen werden.
• Welche Informationen soll die Firewall verdecken.
• Welche Authentisierungsverfahren sollen benutzt werden?
• Welcher Datendurchsatz ist zu erwarten?

Organisatorische Regelungen

• Es muss festgelegt werden, welche Informationen protokolliert werden und wer die Protokolle
auswertet.
• Benutzer müssen über ihre Rechte, insbesondere auch über den Umfang der Nutzdaten-Filterung
umfassend informiert werden.
• Angriffe auf die Firewall sollten nicht nur verhindert, sondern auch frühzeitig erkannt werden
können.
• Es ist zu klären, welche Aktionen bei einen Angriff gestartet werden
S e i t e | 16

Filterregeln aufstellen

• Die Regeln sollten so formuliert werden, dass alle Zugänge, die nicht explizit erlaubt werden,
verboten sind.
• Es müssen alle Rechner, die sich im inneren Netz befinden, berücksichtigt werden.
• Es muss festgelegt werden, welche Dienste zu welchen Zeiten zur Verfügung stehen sollen.

Auswahl einer geeigneten Firewall-Architektur

• Ausschliesslicher Einsatz eines Paket-Filters:


Diese Anordnung besteht aus einem Paket-Filter, die Informationen nach speziellen Regeln
weiterleitet oder abweist.

• Dual-homed-Gateway:
Besteht aus einem Application-Gateway, dass mit 2 Netz-Interface ausgerüstet ist und als
alleiniger Übergang zwischen zwei Netzen eingesetzt wird.

Problem: Wenn der Application-Gateway geknackt wird, steht das ganze Netz offen.

• Screened-Subnet:
Beim Screened-Subnet handelt es sich um ein Teilnetz zwischen dem zu schützendem Netz und
einem externen Netz, in dem Firewall-Komponenten für die Kontrolle der Verbindungen und
Pakete sorgen.

Konfiguration 1

Konfiguration 2

Konfiguration 3

Vorteil von Konfiguration 1 + 3 besteht darin, dass der Application-Gateway nicht ungeschützt im
Netz steht. Bei Konfiguration 2 wird der Schutz durch einen nachgeschalteten Paket-Filter erhöht,
wenn der Application-Gateway einem Angreifer zum Opfer fällt.

Kryptographie

Verschlüsselung
Verschlüsselung dient dazu, eine Information so unkenntlich zu machen, dass diese von aussen nicht
mehr eingesehen werden kann und auch keine Rückschlüsse auf deren Inhalt zulässt.

Dabei werden die einzelnen Zeichen eines Textes durch andere ausgetauscht (Substitution) und
gleichzeitig bei guten Verfahren in der Reihenfolge vertauscht (Transposition).
S e i t e | 17

Symmetrische Verschlüsselung
Dabei besitzen sowohl der Absender wie auch der Empfänger den gleichen Schlüssel und sind so in
der Lage eine Nachricht zu verschlüsseln und zu entschlüsseln. Dieses Verfahren ist extrem schnell
und bietet eine gute Sicherheit.

Nachteil: Erhält ein Dritter Zugriff auf den Schlüssel kann er das Verfahren manipulieren.

Asymmetrische Verschlüsselung
Dieses Verfahren besteht aus 2 verschiedenen Schlüsseln (A und B) die mit einem
Schlüsselgenerator erstellt wurden und voneinander abhängig sind.

Eine Nachricht kann mit Schlüssel A verschlüsselt und nur mit Schlüssel B entschlüsselt werden,
dasselbe ist auch umgekehrt möglich.

Schlüssel A: Privater Schlüssel


Schlüssel B: Öffentlicher Schlüssel

Nachteil: Das Verfahren ist um den Faktor 1000 langsamer als die symmetrische Verschlüsselung.

Kombiniertes Verfahren
Um Sicherheit und Performance zu vereinen, wird mit dem asymmetrischen Verfahren ein
„Sitzungsschlüssel“ ausgehandelt und dann auf das symmetrische verfahren gewechselt. So kann auf
sichere weise, der kritische symmetrische Schlüssel gewechselt werden.

Authentifikation
Bei der Authentifikation kommt ebenfalls das Prinzip der asymmetrischen Verschlüsselung zum
Tragen.

Elektronische Unterschrift

Um eine Nachricht elektronisch zu unterschreiben, gibt es die sogenannte Hash-Funktion. Diese


Funktion stellt eine Art von Prüfsumme (Hash-Wert) dar, die keinen Rückschluss auf den Inhalt der
Nachricht zulässt. Es wird niemals möglich sein, dass zwei verschiedene Nachrichten den gleichen
Hash-Wert ergeben.

Funktionsprinzip der elektronischen Unterschrift


1. Absender bildet eine Nachricht
2. Absender erzeugt den Hash-Wert
3. Absender verschlüsselt den Hash-Wert mit dem privaten Schlüssel
4. Absender verschickt die Nachricht mit dem verschlüsselten Hash-Wert als Anhang

5. Empfänger erhält die Nachricht


6. Empfänger entschlüsselt den Hash-Wert mit dem öffentlichen Schlüssel
7. Empfänger bildet den gleichen Hash-Wert zur Kontrolle
8. Stimmen die Werte überein, wurde die Nachricht nicht verändert

Zertifikate

Es gibt Zertifizierungsstellen (einige wenige Organisationen), die den eigenen öffentlichen Schlüssel
veröffentlichen. Die Stellen geben Zertifikate aus, worauf der öffentliche Schlüssel des Partners
enthalten ist und somit sicherstellen, dass es sich um den wirklichen Partner handelt. Das ganze
Zertifikat wird von der Zertifizierungsstelle elektronisch unterschrieben.

Remote Access System (Fernzugriff)

Das Remote Access System (RAS) ermöglicht den gesicherten Fernzugriff auf Netzwerkteile von
ausserhalb des Unternehmens. Dazu stehen prinzipiell folgende Möglichkeiten zur Verfügung:

• Anbindung einzelner Rechner an ein LAN


„Direct Dial-In“ (Direkte Einwahl). Die RAS-Software wird auf dem Rechner des entfernten
Benutzers installiert und er wählt sich auf den RAS-Server ein.
S e i t e | 18

• Anbindung eines Rechners oder eines LAN über Internet


Ein eigener RAS-Server ist im Ziel-LAN nicht erforderlich, jedoch eine Firewall und eine starke
Verschlüsselung.

• Anbindung eines Rechners oder eines LAN über einen Service Provider
Als Erweiterung kann die Anbindung eines Rechners oder eines LAN auch über eine spezielle
Zugangsnummer eines Service Providers erfolgen.

Anforderungen an ein RAS


• Benutzerführung
Einfache Installation und bereits aktivierte Sicherheitsmechanismen

• Protokollierung und Alarmierung


Das System muss Alarme bei Unregelmässigkeiten und Attacken auslösen können.

• Verschlüsselung
Unterstützung der gängigen Verschlüsselungsverfahren.

• Authentifikation
Unterstützung der gängigen Authentifizierungsverfahren.

Einsatz geeigneter Tunneling-Verfahren

Eine der gängigsten Varianten ist das so genannte Virtual Private Network (VPN). Im Rahmen des
VPN wird das Tunneling-Verfahren eingesetzt. Tunneling bedeutet, dass ein Protokoll in ein anderes
Protokoll verpackt wird.

Funktionsprinzip des Tunnelings

Normale Verschlüsselung

Tunneling

Dieser Abbildung kann man entnehmen, dass Router C das komplette Datenpaket von PC A
verschlüsselt und übers Internet an Router D schickt. Dieser packt das Datenpaket wieder aus und
sendet es unverschlüsselt an PC B. Von aussen wird sichtbar, dass Router C mit Router D
kommuniziert, aber nicht worüber gesprochen wird. Die beiden Router bilden den so genannten
„Tunnel“.

Tunneling bei
RAS

Dieser Abbildung kann man entnehmen, dass PC A das komplette Datenpaket von PC A verschlüsselt
und übers Internet an den RAS-Server C schickt. Dieser packt das Datenpaket wieder aus und sendet
es unverschlüsselt an PC B. Von aussen wird sichtbar, dass PC A über das Modem mit dem RAS-
Server kommuniziert, aber nicht worüber gesprochen wird.
S e i t e | 19

Telearbeit

Telearbeit umfasst betriebliche Tätigkeiten, die ausserhalb des Unternehmens (z.B. zu Hause)
durgeführt werden. Besondere Sicherheitsmassnehmen die zu beachten sind, sind folgende:

• Der Telearbeiter ist zu verpflichten, regelmässig eine Datensicherung durchzuführen.


• Es muss festgelegt werden, welche Daten auf welchem Weg übertragen werden bzw. welche
Daten nicht oder nur verschlüsselt elektronisch übermittelt werden dürfen. Dabei muss die
Integrität, Verfügbarkeit, Vertraulichkeit und Verbindlichkeit nachgewiesen werden können.
• Die Art und Absicherung des Aktentransports zwischen häuslichem Arbeitsplatz und Institution ist
zu regeln.
• Zugriffsrechte: Eine besonders restriktive Handhabung gilt beim Zugriffsrecht auf Dateien.
• Betriebsmittel, Akten, Backup-Datenträger etc. müssen im häuslichen Bereich verschlossenen
aufbewahrt werden.