You are on page 1of 24

Übung aus ISM3

IT-Grundschutz für KMUs
und
Hilfsmittel zum Grundschutz

Manuel Faux Marion Haller

20. Dezember 2009

FH Hagenberg

Inhaltsverzeichnis
1. Vorstellung des Dokuments 4
1.1. Allgemeine Vorgehensweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.2. Denition des IT-Verbunds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3. Angepasste GS-Vorgehensmodellschritte . . . . . . . . . . . . . . . . . . . . . . 5
1.4. Beispiel Sicherheits-Leitlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

2. Anpassung der Schritte aus dem GS-Vorgehensmodell 5
2.1. Initiierung des Sicherheitsprozesses . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.1.1. Übernahme von Verantwortung durch die Leitungsebene . . . . . . . . . 7
2.1.2. Konzeption und Planung des Sicherheitsprozesses . . . . . . . . . . . . . 7
2.1.3. Erstellung einer Leitlinie zur Informationssicherheit . . . . . . . . . . . . 8
2.1.4. Organisation des Sicherheitsprozesses . . . . . . . . . . . . . . . . . . . . 9
2.2. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz . . . . . . . . . . . 9
2.2.1. Denition des Geltungsbereichs . . . . . . . . . . . . . . . . . . . . . . . 9
2.2.2. Strukturanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2.3. Schutzbedarfsfeststellung . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2.4. Auswahl und Anpassung von Maÿnahmen . . . . . . . . . . . . . . . . . 11
2.2.5. Basis-Sicherheitscheck . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.2.6. Ergänzende Sicherheitsanalyse . . . . . . . . . . . . . . . . . . . . . . . 11
2.3. Umsetzung der Sicherheitskonzeption . . . . . . . . . . . . . . . . . . . . . . . . 11
2.4. Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit 12
2.4.1. Überprüfung des Informationssicherheitsprozesses in allen Ebenen . . . . 12
2.4.2. Informationsuss im Informationssicherheitssystem . . . . . . . . . . . . 13
2.5. Zertizierung nach ISO 27 001 auf der Basis von IT-Grundschutz . . . . . . . . 13

3. Beurteilung der Anwendbarkeit des Grundschutzprols 14

4. Hilfsmittel zur Erstellung einer Sicherheitsrichtlinie 14
4.1. Leitfaden IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.2. Webkurs Grundschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4.3. Zielgruppendenition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

A. Vergleich: Firmenprol für eine kleine Institution 19
A.1. Anpassung der Schritte aus dem GS-Vorgehensmodell . . . . . . . . . . . . . . 19
A.1.1. Initiierung des Sicherheitsprozesses . . . . . . . . . . . . . . . . . . . . . 19
A.1.2. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz . . . . . . . 21
A.1.3. Umsetzung der Sicherheitskonzeption . . . . . . . . . . . . . . . . . . . . 22
A.1.4. Aufrechterhaltung und kontinuierliche Verbesserung der Informationssi-
cherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
A.1.5. Zertizierung nach ISO 27001 auf der Basis von IT-Grundschutz . . . . 23
A.2. Beurteilung der Anwendbarkeit des Grundschutzprols . . . . . . . . . . . . . . 23

2

Abkürzungsverzeichnis BSI Bundesamt für Sicherheit in der Informationstechnik BSISIPOL Sample policy and sample concepts. BSI GS Grundschutz GSHB IT-Grundschutzhandbuch IS Informationssicherheit ITGS IT-Grundschutz KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich MURI Dokument Musterrichtlinien und Beispielkonzepte des BSI TK Telekommunikation 3 .

ein Schutzbedarf festgelegt. welcher im Zuge dieser Phase von der Institutionsleitung bestimmt wird. Als Ergebnis dieser Phase erhält man eine Dokumentation der IT-Stuktur der Institution. die zeitlich nacheinander ausgeführt werden2 . Phase 2. deren Benutzer. Diese Aufgaben werden normalerweise vom IT-Sicherheitsbeauftragten durchgeführt. Allgemeine Vorgehensweise Im ersten Teil des Dokuments IT-Grundschutz für den Mittelstand wird allgemein die Vor- gehensweise bei der Erstellung eines Sicherheitskonzepts nach GSHB erläutert. sowie das IT-Sicherheitsmanage- ment eingerichtet. welches jedoch seit 2005 in IT-Grundschutz-Kataloge und BSI-Standards aufgeteilt ist. Da das Dokument im November 2004 er- stellt wurde und der IT-Grundschutz im Jahr 2005 umstruktuiert wurde [SB09. Durchführung einer Schutzbedarfsfeststellung In der Phase 3 wird für jede in Pha- se 2 denierte Komponente. Die Erstellung einer Sicherheitsrichtlinie nach GSHB verläuft im Allgemeinen in sieben Pha- sen1 . 2 Eine Ausnahme stellt hier Phase 2. Phase 3. Initiierung des IT-Sicherheitsprozesses In der Phase 1 wird der zu betrachtende IT- Verbund deniert. eine IT-Sicherheits-Richtlinie erstellt. Modellierung nach IT-Grundschutz In dieser Phase wird der IT-Verbund durch Bau- steine des GSHBs nachgebildet. referen- ziert das Dokument immer wieder das IT-Grundschutzhandbuch. Dies geschieht in der Regel durch enge Zusammenarbeit mit den IT-Benutzern. 1. Durchführung einer IT-Strukturanalyse Die Phase 2 dient der Erfassung der Kom- ponenten des IT-Verbundes. Phase 4. Vorstellung des Dokuments Das Dokument IT-Grundschutz für den Mittelstand ist ein vom BSI veröentlichtes Dokument das anhand einer ktiven Insitution mittlerer Gröÿe die Etablierung eines funktionierenden IT- Sicherheitsprozesses nach ITGS erläutern soll. Standorte und laufenden Anwendungen.1. 1 Phase 7 umfasst die Zertizierung der grundschutzkonformen Erstellung des Sicherheitskonzepts. Es wird die Notwendigkeit der Existenz eines Sicherheitskonzepts dargestellt sowie eine kurze Einführung in den GS gegeben. Abbildung 1: Übersicht der Umsetzungsphasen Phase 1. 4 .1. Zuerst wird die allgemeine Vorgehensweise zur Erstellung eines IT-Sicherheitsprozesses vorgestellt. welche bereits vor Beendigung der Phase 1 begonnen werden kann. diese ist optionaler Bestandteil einer Sicherheitsrichtlinienerstellung. BSI]. wie zum Beispiel eine Auistung aller IT-Systeme.

Phase 6. Alle PCs und Server hängen an einem Switch und sind somit miteinander vernetzt. wie die einzelnen Phasen der Erstellung einer Sicher- heitskonzeption nach dem GSHB für die beispielhafte Institution angepasst oder interpretiert wurden. welches auch von anderen Unternehmen benutzt wird. 2. um den ad- ministrativen Aufwand zu minimieren. welche auch im Dokument 5 . Denition des IT-Verbunds Im nächsten Teil des Dokuments wird der IT-Verbund der beispielhaften Institution näher beschrieben. Hierfür werden die sieben Phasen erneut aufgelistet und erläutert. an die Umsetzung der Maÿnahmen und die Erstellung des Sicherheitskonzepts. Beispiel Sicherheits-Leitlinie Es wird eine Sicherheits-Leitlinie aus MURI auf ein mittelständisches Unternehmen umgesetzt. 1. Abbildung 2 zeigt schematisch den Aufbau der IT-Infrastruktur der Institution auf. Zunächst wird eine Beschreibung des IT-Verbundes aus Sicht des Institutionsleiters gegeben. Bis auf einige wenige. Durchführung des Basis-Sicherheitschecks Der Basis-Sicherheitscheck dient der Er- mittlung der aktuell umgesetzten Maÿnahmen. 1. Die einzige Verbindung nach auÿen ist die Anbindung der TK-Anlage mit der Telefon. kann ein IT-Grundschutz-Zertikat durch einen lizenzierten IT- Grundschutz-Auditor ausgestellt werden. Angepasste GS-Vorgehensmodellschritte Der Groÿteil des Dokuments befasst sich mit der Erstellung einer Sicherheitsrichtlinie nach GS- HB. es gibt jedoch zwei Netzwerkdrucker. Hervorgehobene Textpassagen können individuell angepasst werden.Phase 5. Phase 7. sowie eine einheitliche einzusetzen.4. jedoch mit Anpassungen in Bezug auf das GSHB. 1. sind alle Drucker direkt mit den PCs verbunden.und Internetgesellschaft. IT-Grundschutz-Vorgehensweise. Anpassung der Schritte aus dem GS-Vorgehensmodell Im folgenden Abschnitt wird erläutert. später erfolgt eine Beschreibung aus Sicht des GSHBs. um den Ansprüchen eines mittelständischen Unternehmens gerecht zu werden. Realisierung von IT-Sicherheitsmaÿnahmen Die Phase 6 dient der eigentlichen Um- setzung der erforderlichen Sicherheitsmaÿnahmen nach GSHB.3. Es wird versucht alle Systeme mit Windows 2000 Oce-Lösung zu betreiben. beschreibt wie bei der Umsetzung eines Managementsystems nach dem IT-Grundschutz vorzugehen ist. welche sich aus der Modellierung der Pha- se 4 ergeben haben. welche sowohl als Büroräume wie auch zur Unterbringung der IT-Infrastuktur dienen. benden sich im dritten Stockwerk eines Bürogebäudes. alle Telefone sowie das DSL-Modem sind mit der TK-Anlage gekoppelt. Zertizierung Anschlieÿend.2. Der BSI-Standard 100-2. Dieses Vorgehen besteht  um ein systematisches Vorgehen zu erleichtern  aus vier Phasen. Zusätz- lich hat jeder Mitarbeiter ein eigenes Telefon am Arbeitsplatz. Die Räumlichkeiten der Institution.

Abbildung 2: Netzplan des beispielhaften IT-Verbunds 6 .

Deswei- teren muss für jeden Geschäftsprozess und jeder Fachaufgabe von einem fachlichen Ansprech- partner ein Sicherheitsniveau zum Schutz der Informationen festgelegt und von der Geschäfts- leitung zugestimmt werden.1. Diesem Teil der Umsetzung wird im Dokument IT-Grundschutz für den Mittelstandnur sehr wenig Inhalt zugesprochen. Daher muss die Leitungsebene den Sicherheitsprozess initiieren. entsprechen die im Dokument referenzierten Phasen nicht mehr genau den Phasen aus dem BSI-Standard. bei der Erstel- lung des eigentlichen Sicherheitskonzepts.IT-Grundschutz für den Mittelstand aufgegrien werden. sowie gewisse Prinzipien die bei der Umsetzung des Managementsystems vom Management beachtet werden sollen. Hierzu bietet der BSI-Standard einen Art Kontrollfragenkatalog zur Überprüfung dieser Rahmenbedingungen. der die weitere Umsetzung des Managementsystems reali- siert. 7 . 2. der BSI-Grundschutz seit Verfassen des Dokuments konzeptionell überarbeitet wur- de. werden daraus konkrete Sicherheitsanforderungen gebildet. Diese Strategie basiert auf den Geschäftszielen beziehungsweise dem Auftrag der Institution. Hier bietet der BSI-Standard eine Auistung möglicher Sicherheitsziele.0 als Referenz herangezogen. Der BSI-Standard biete eine sehr genaue Auistung von Informationen die dem Management nicht vorenthalten werden dürfen. dennoch aus- schlaggebend am Managementprozess Informationssicherheitbeteiligt ist. Später. 2.1. 3 Da. Initiierung des Sicherheitsprozesses 2. dass die Geschäftsführung einen IT- Sicherheitsbeauftragten bestimmt.2.1. noch das Festlegen des Sicherheitsniveaus oder die Ausarbeitung der Informati- onssicherheitsziele. Zuerst wird erklärt wieso es so wichtig ist. Konzeption und Planung des Sicherheitsprozesses Ein wichtiger Teil der Initiierung des Sicherheitsprozesses ist auch die Planung des Prozesses selbst. wie bereits erläutert.3 Da diese Phasen aus dem BSI- Standard sehr allgemein gehalten sind. Es werden im folgenden die Phasen des BSI-Standards 100-2 Version 2. Im Dokument IT-Grundschutz für den Mittelstand wird weder die Erstellung der IS-Stra- tegie erwähnt. Zu Beginn jedes Sicherheitsprozesses sollte man die Informationssicherheitsziele bestimmen. die Aufgabe der Informationssicherheit wird jedoch an den IT-Sicherheitsbeauftragten delegiert. dass die oberste Leitungsebene trotz Delegie- rung der Aufgabe der Informationssicherheit an den IT-Sicherheitsbeauftragten. werden diese leicht angepasst um den Ansprüchen der ktiven Institution zu genügen. steuern und kontrollieren. Die Verantwortung selbst bleibt beim Management.1. es wird lediglich erwähnt. Hierbei muss eine angemessene IS-Strategie vom Management festgelegt werden. aus denen zunächst nur allgemeine Sicherheitsziele abgeleitet werden. Übernahme von Verantwortung durch die Leitungsebene Die oberste Leitungsebene jeder Institution ist dafür verantwortlich. dass alle Geschäftsbe- reiche ordnungsgemäÿ funktionieren und Risiken frühzeitig erkannt werden. um sowohl kleine Unternehmen wie auch mittlere und groÿe Institutionen zu berücksichtigen.

Erstellung einer Leitlinie zur Informationssicherheit Ein zentraler Punkt der Sicherheitsprozessinitiierung ist die Erstellung einer schriich xierten Leitlinie zur Informationssicherheit. die dann im Laufe der weiteren Phasen der Einrichtung des Sicherheitsprozesses zum IT-Management-Team übergeht. Für eine mittlere Institution sieht das BSI im Groÿen und Ganzen die gleichen Inhalte der Leitlinie vor. Wesentlicher Bestandteil der IS-Leitlinie ist der Geltungsbereich. sondern eher überblicksmäÿig. 8 . Das BSI empehlt eine zwei-jährliche Über- arbeitung. In ihr sollen die angestrebten IS-Ziele genau beschrieben werden. Sollte es so ein Team noch nicht geben. jedoch mindestens aus Geltungsbereich IS-Zielen Sicher- . Die IS-Leitlinie sollte für jeden Mitarbeiter leicht zugängig zur Verfügung gestellt werden. Auch zu diesen Punkten sind im IT-Grundschutz für den Mittelstand keine Maÿnahmen vorgesehen. Auch wird im Dokument nicht auf die Verteilung der Leitlinie eingegangen. Der BSI-Standard empelt zum besseren Verständnis der IS-Ziele. Eine IS-Leitlinie soll nicht mehr als 20 Seiten aufweisen. Es wird stattdessen empfohlen. sondern der IT-Sicherheitsbeauftragte. Mit der IS-Leitlinie wird auch festgelegt.3. sollten diese an das Ende des Dokuments verlagert werden und explizit als vertraulich gekennzeichnet werden. dass das angestrebte Si- cherheitsniveau für einzelne Geschäftsprozesse in Bezug zu den Grundwerte der Informations- sicherheit gebracht wird. . Es soll besonders auf Änderungen in den Geschäftszielen. um so ein angemessenes Sicherheitsniveau besonders hervorgehobener Geschäftsprozesse bestimmen zu können. wird empfohlen eine Entwicklungsgruppe zur Erarbeitung der Sicherheitsleitlinie zu gründen. fehlt zum Beispiel gänzlich. dass ein IS-Management-Team  sofern bereits im Unterneh- men vorhanden  die Informationen der IS-Leitlinie ausarbeitet. heitsstrategie und der für die Umsetzung etablierten Organisationsstruktur bestehen. Hierbei muss die Leitungsebene unbedingt ausschlag- gebend an der Formulierung dieser IS-Ziele beteiligt sein. dass dieser in Workshops mit Vertretern der Institutionsleitern die wesentlichen Eckpunkte dieser Leitlinie ausarbeitet. 2. ist kein eigenes Team oder eigene Gruppe zuständig. Das BSI Dokument beinhaltet keinen Hinweis zur regelmäÿigen Überarbeitung der IS-Leitlinie. Das Dokument IT-Grundschutz für den Mittelstand"beschreibt diese Inhalte jedoch nicht sehr genau. mit welchen Mitteln und mit welchen Strukturen die Informationssicherheit innerhalb der Insti- tution hergestellt werden soll. Sollte die Leitlinie vertrauliche Informationen beinhalten. Für die Erstellung der Leitlinie. den Geschäftsprozessen selbst oder der Organisationsstruktur geachtet werden. Ein Hinweis wie vertrauliche Teile zu handhaben sind. Die Leitlinie kann Insti- tutionsweit gültig sein oder auch nur auf Teile der Institution zutreen. In regelmäÿigen Abständen soll die Leitlinie überarbeitet werden und auf Aktualität über- prüft werden. Diese beschreibt allgemeinverständlich für welche Zwecke. mit welchen strategischen Mitteln die Geschäftslei- tung zur Erreichung der IS-Ziele beiträgt. Auch die Einführung von neuen IT- Geräten muss in die Überarbeitung miteinieÿen. Der BSI-Standard sieht es vor.1. Die Institutionsleitung sollte ihr formell zugestimmt haben.

Die genaue Organisationsstruktur hängt von der Gröÿe und genauen Beschaenheit der Institutionsstruktur ab.2. der Basis-Sicherheitscheck sowie weiterführende Maÿnahmen. Um den IS- Prozess institutionsweit umzusetzen. Auf jeden Fall soll ein IT-Sicherheitsbeauftragter als zentraler Ansprechpartner benannt werden.4. Die Gesamtverantwortung bleibt weiterhin bei der Institutionsleitung.pnh). Denition des Geltungsbereichs Oft Erfolgversprechender sind viele kleine Schritte und ein langfristiger und kontinuierlicher Verbesserungsprozess. die Strukturanalyse. jedoch ist mindestens eine Person zu ernennen. eine Vorgehensweise zur Erzielung eines normalen Sicher- heitsniveaus anzubieten.2.2. so werden zum Beispiel im Prol für mittlere Institutionen die Basis-Sicherheitschecks nicht auf- geteilt. Im GS-Prol für eine mittlere Institution sind weder Inhalte von der Organisation des Sicherheitsprozesses. noch deren Rollen zu nden. Dennoch ist jeder Mitarbeiter gleichermaÿen für seine eigentliche Auf- gabe wie auch für die Aufrechterhaltung der Informationssicherheit an seinem Arbeisplatz und seiner näheren Umgebung verantwortlich. denen Teilaufgaben zugeteilt werden. Verantwortungen und Kompe- tenzen in der IS-Organisation sowie des IT-Sicherheitsbeauftragten. Organisation des Sicherheitsprozesses Ferner beschreibt der BSI-Standard die Organisation des Sicherheitsprozesses. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz Ein Ziel des IT-Grundschutzes ist es. Auf- grund dessen werden Standard-Sicherheitsmaÿnahmen empfohlen. Die Punkte sind anders strukturiert. Es wird im GS-Prol nur kurz das IT-Sicherheitskonzept angeführt. das IS-Management-Team koordiniert deren Tätigkeiten. 2. sodass sie aufeinander aufsetzen können (siehe Abbildungrefg:sicherheitskonzeption. Diese Rollen sollen als Stabsstellen organisiert sein. um den direkten Zugang zur Institutionsleitung sicherzustellen. diese sind in Bausteine unter- teilt. Auch die genauen Aufgaben. Die beiden Sicherheits- konzeptionen unterscheiden sich nicht grundlegend. die Schutzbedarfsfeststellung. Unter anderem wird die Methodik des IT-Grundschutzes beschrieben und die Gliederung in die Denition des Geltungsbereiches. 2. dies ist zumeist der IT- Sicherheitsbeauftragte. Im IT-Grundschutz wird der Geltungsbereich als IT-Verbund bezeichnet. die Auswahl und die Anpassung von Maÿnahmen. Es muss zunächst der Bereich festgelegt werden.1. die den IS-Prozess fördert und koordiniert. ist es unabdingbar Rollen innerhalb der Institution fest- zulegen und diesen einzelne Aufgaben zuzuordnen.1. In gröÿeren Insti- tutionen wird es üblicherweise weitere Personen geben. Die einzige Rolle der IS-Organisation ist der IT-Sicherheitsbeauftragte. Desweiteren beschreibt der Standard einige Integrationsstrategien der IS-Organisation in die bestehende Institutionsstruktur. Dies kann auch als Basis für ein höheres Sicherheitsniveau dienen. des IS-Management-Teams sowie anderen Rollen in der IS-Organisation werden genauer deniert. 9 . für den die Konzeption erstellt wird.

es hat sich die Einteilung in drei Schutzbedarfskategorien bewährt. Abbildung 3: Erstellung der Sicherheitskonzeption im Informationssicherheitsmanagement 2. daher bietet sich ein Netztopologieplan als Ausgangsbasis für die weitere technische Analyse an.2.3. Schutzbedarfsfeststellung Es wird ermittelt. Dieser Punkt ist bei den mittleren Unternehmen gut aufgegliedert. der zweite Schritt wäre die Erhebung der IT-Systeme und der dritte Schritt die anschlieÿende Erfassung der IT-Anwendungen und der zugehörigen Informationen. deren Anwendung und die Analyse bezieh- gungsweise Dokumentation der Informationstechnik tragen zu der Strukturanalyse bei. Die Strukturanalyse ist im GS-Prol für mittelständige Unternehmen kurz gehalten.2. Heute ist eine starke Vernetzung von IT-Systemen üblich. welcher Schutz für die Geschäftsprozesse. die verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.2. Es wird anhand des Beispiels veranschaulicht. 2. wie die Geschäftsprozesse mittels dem GS-Tool verarbeitet werden. Strukturanalyse Das Zusammenspiel der typischen Geschäftsprozesse. Folgeschäden müs- sen realistisch eingeschätzt werden. 10 . Der erste Schritt beginnt mit der Auswertung des Netzplans.

2. Im Prol des Unternehmens deckt sich dieser Punkt. woraus ein 11 . Umsetzung der Sicherheitskonzeption Die im BSI-Standard angeführte Umsetzung erfolgt zuerst mit einer Sichtung der Untersu- chungsergebnisse. Sicherheitsaspekte werden dabei nach Themen gruppiert betrachtet. Die Durchführung des Soll-Ist-Vergleichs dient. zur Ermittlung des Umsetzungsstatus. Auswahl und Anpassung von Maÿnahmen Nachdem die Strukturanalyse und die Schutzbedarfsfeststellung vorliegen.3. aber es werden keine Vorgehensweisen aufgelistet. 2. mit dem Standard. Es gibt eine kurze Beschreibung. Zuerst werden in dem Prol der mittleren Unterneh- men die übergeordneten Aspekte beziehungsweise Bausteine verwendet. Es werden modellhaft die Schichten gemäÿ des GSHB dargestellt und kurz beschrieben.2. dann Bausteine der Infrastruktur. bis auf die Aktionspunkte.2. Der Umsetzungsstatus wird nicht extra erwähnt. Es folgt die Risikoanalyse auf der Basis des IT- Grundschutzes. der IT-Systeme. Gruppen von Komponenten. wird der IT-Verbund mit Hilfe der vorhanden Bausteine abgebildet. Anschlieÿend wird mittels Aktionspunkten die Auswahl und Anpassung der Maÿnahmen behandelt. Gebäude. IT-Netze und IT-Andwendungen. wieder inklu- sive der Aktionspunkte. Das Ergebnis ist ein IT-Grundschutz-Modell des Informationsverbunds aus mehreren Bausteinen. Im Dokument GS-Prol für mittelständische Unternehmen gibt es einen Exkurs zu dem Thema Ergänzende Sicherheitsanalyse. Es darf keinenfalls auf die Do- kumentation vergessen werden. Die Genera- lisierung ist verschwunden.6.5. 2.4. die Gefährdungskataloge sowie die Maÿnahmenkataloge erläutert. Im Gegensatz zum BSI-Standard nennt sich das Kapitel jetzt Modellierung. Je nach Verwendung der betrachteten Bausteine können die Objekte von unterschiedlicher Art sein: einzelne Komponenten. Unter diesem Kapitel werden noch genauer die Bausteine. Liegschaften oder Organisationseinheiten. Anschlieÿend wird die Konsolidierung der Maÿnahmen. Es werden alle fehlenden beziehungsweise nur teilweise umgesetzten Maÿ- nahmen tabellarisch erfasst. Es folgt die anschlieÿende Modellierung eines Informationsverbunds. Anwendungen und IT-Systeme sind die Standard-Sicher- heitsmaÿnahmen in der Regel ausreichend. Basis-Sicherheitscheck Der Basis-Sicherheitscheck besteht im Standard aus der organisatorischen Vorarbeit und den dazugehörigen Aktionspunkten. 2.2. Es wird der zweistuge Ansatz der IT-Grundschutz- Vorgehensweise und die Vorgehensweise zur ergänzenden Sicherheitsanalyse genauer be- schrieben und mit einem Beispiel versehen. Ergänzende Sicherheitsanalyse Für die typischen Geschäftsprozesse.

4. wobei das Risiko für die Nicht-Realisierung einer Maÿnahme deutlich wird. Es folgt auch die Überprüfung der Sicherheitsmaÿnahmen. Aufgrund von zu we- nig Budget oder personeller Ressourcenknappheit muss eine Reihenfolge für die Umsetzung die Maÿnahmen festgelegt werden.und Aufwandschätzung. Es folgt eine Kosten. dass der Verantwortliche über ausreichend Kompetenzen für die Umsetzung der Maÿnahmen besitzt. Ident zu dem BSI-Standard werden bei den mittelständischen GS-Prol die Untersuchungs- ergebnisse ebenfalls gesichtet. Es wird bestimmt. mit Beispielen angeführt. Realisierungsbegleitende Maÿnahmen. Der Aufrechterhaltung und der kontinuierlichen Verbesserung der Informationssicherheit ist im Grundschutzprol nur ein kurzer Absatz gewidmet.und Aufwandschätzung wird bei den mittelständischen Unternehmen zwi- schen einmaligen und wiederkehrenden Investitionskosten beziehungsweise Personalaufwänden unterschieden. wer wann welche Maÿnahme zu realisieren hat und wer für die Überwachung der Realisierung zuständig ist. zum Beispiel durch nicht ausreichendes Budget. sowie die Prüfung ob die Sicherheitsziele mit dem Einsatz der Sicherheitsstrategie auch wirklich errreicht werden können. 12 .1. Es ist darauf zu achten. Es werden alle teilweisen oder nicht umgesetzten Ergebnisse aus dem Basis-Sicherheitscheck übernommen und in einer Tabelle aufgelistet.eventuelles Entfallen der Umsetzung einhergeht.4. dass es wesentlich ist. 2. Gleichwertiger Ablauf ndet sich auch bei der Umsetzungsreihenfolge. Anschlieÿend werden die Aufgaben und die Verantwortun- gen ausgearbeitet. Alle diese Ergebnisse werden in den Informationssicherheitsprozess übernommen. im Speziellen Sensibilisierungsmaÿnahmen werden eingeplant um betroene Mitarbeiter über die Notwendigkeit und die Konsequenzen der Maÿnahmen zu unterrichten. Weiters ist ein Sicherheitsprozess dargestellt (siehe Abbildung 4). Wichtig ist die ent- sprechende Dokumentation. Bei der Kosten. Überprüfung des Informationssicherheitsprozesses in allen Ebenen Methoden für eine Überprüfung des Informationssicherheitsprozesses werden erläutert. Realisierungsbegleitende Maÿnahmen werden im Grundschutzprol eines mittelständischen Un- ternehmens ähnlich wie im Standard umgesetzt. Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit 2.und Aufwandschätzungen gemeinsam mit einem IT-Verantwortlichen durchzuführen. Unter anderem wird angemerkt. Es folgt die Festlegung der Umsetzungsreihenfolge der Maÿnahmen. dass der IT-Beauftragte sich um die Aufrechterhaltung des Prozesses kümmern und die Umsetzung der Maÿnahmen sowie die Ein- haltung der Richtlinien überwachen muss. Es ist von Vorteil die jeweiligen Kosten. sowie bei der Festle- gung der Verantwortlichkeiten im Dokument des Mittelstands.

Zertizierung nach ISO 27 001 auf der Basis von IT-Grundschutz Der BSI-Standard 100-2 beinhaltet die verschiedenen Interessen an einer ISO 27 001-Zertizie- rung. Es werden nachfolgend die Aktionspunkte für eine Zertizierung aufgezeigt. Angemerkt sind die Vorteile von Zertikatsträgern gegenüber Mitbewerbern ohne durchgeführter Zertizierung. denn er leitet den ganzen Prozess. Unter anderem werden Berichte an die Leitungsebene. wie der Informationsuss im Informationssicherheitsprozess aus- zusehen hat. 13 . grund- legend über die Zertizierung. sowie die Meldewege behandelt. In dem Prol des Grundschutzes für mittlere Unternehmen werden keinerlei Aussagen. nur dass ein durch das BSI lizenzierter IT-Grundschutz- Auditor die Plausibilität und die Realisierung der Maÿnahmen prüft.5. Im Dokument für die mittelständischen Unternehmen wird der Informationsuss an sich nicht behandelt. 2.4. Dokumentationen. Die Grundlage für die Vergabe eines ISO 27 001-Zertikats auf der Basis des IT-Grund- schutz. Abbildung 4: Darstellung des Sicherheitsprozesses 2. Der IT-Sicherheitsbeauftragte ist in jedem Fall zu informieren. getätigt. Informationsuss im Informationssicherheitssystem Im Standard ist festgehalten.2. ist die Durchführung eines Audits mittels einem externen Auditors.

beziehungsweise Weiterentwicklungsvorschlägezu erar- beiten. Verbesserungs. Anfangs wird das mittel- ständische Unternehmen gut erläutert. Dazu gibt es im GSHB die Prioritäten A. 3. diese sind ein Hinweis auf die Umsetzungsreihenfolge der Standardsicherheitsmaÿnahmen. daher ist der Praxisbezug gegeben. Dennoch ist es von Vorteil. anschlieÿend jedoch nur sehr kurz behandelt. da dieser für jedes Unternehmen anwendbar sein muss und detailiertere Informationen enthält. Hilfsmittel zur Erstellung einer Sicherheitsrichtlinie Das BSI stellt gewisse Hilfsmittel zur Erstellung einer individuellen Sicherheitsrichtlinie nach dem GSHB zur Verfügung. Beurteilung der Anwendbarkeit des Grundschutzprols Dieser Teilbereich besteht aus der Aufgabe das Dokument mit dem Titel Ein IT-Grundschutz- prol für den Mittelstand auf die zwei PunkteVerständlichkeit Praxisbezug und zu analysieren und den dritten Punkt Verbesserungs. wie im Leitfaden oder im Grundschutzprol für Kleinunternehmen. Man ndet auch keinerlei Checklisten. Praxisbezug Im Dokument IT-Grundschutz für den Mittelstand ndet sich ein durchgän- giges Anwendungsbeispiel. trotzdem ist der IT-Grundschutz für den Mittelstrand recht allgemein. wie die Umsetzung der Standard- sicherheitsmaÿnahmen geschah. Der Leitfaden dient hier sozusagen als Basis für die Verständlichkeit des Dokumentes und der Standard 100-2 als Erweiterung.1. Durch das Anwendungsbeispiel kann man den IT-Grundschutz ohne gröÿere Probleme in die Praxis umsetzen. Praxisbezogene Beispiele im Bereich Informationssicherheit unterstützen die 14 . Zwei dieser Tools werden nun kurz vorgestellt. Der IT-Sicherheits Leitfaden des BSI bietet daher eine kompakte Sammlung der wichtigsten Maÿnahmen für Fachverantwortliche und Administratoren in kleinen und mittelständischen Unternehmen sowie in Behörden. 4.beziehungsweise Weiterentwicklungsvorschläge Es wäre hilfreich etwas de- tailierter auf das Anwendungsbeispiel für den Mittelstand einzugehen. Im Gegensatz zu der steigenden Komplexität der IT-Sicherheitsproduk- te sind jedoch fehlende Ressourcen und zu knappe Budgets alltäglich.C und Z. welche Stufen erreicht werden können. Dennoch wird detailiert beschrieben. Leitfaden IT-Sicherheit Analog zu der Entwicklung in der Informationstechnik steigen auch die Anforderungen an die Informationssicherheit.B. Verständlichkeit Grundsätzlich ist die Verständlichkeit des Dokumentes gegeben. 4. sich mit den Dokumenten Leitfaden IT-Sicherheit und "BSI-Standard 100-2 beschäftigt zu haben. Mittels Checklisten wird die Analyse der eigenen Situati- on vereinfacht. hinsichtlich des Standards. Die zu erreichende Qualizierungsstufe ist davon abhängig. forumliert. wie lange deren Gültigkeit ist und ob diese Stufen verlängerbar sind.

wichtigen Anmerkungen schenken. Der IT-Grundschutz des BSI Ein für sein Unternehmen spezisches Sicherheitskonzept be- darf der Umsetzung bei vertretbaren Kosten. referenziert. warum diese durchgeführt werden sollte. Im Hauptteil des Leitfadens wird klar. deren Ursachen erläutert und im folgenden Kapitel angemessene Maÿnahmen gesetzt. sowie die Vorteile durch die Orientierung an der IT-Grundschutz-Vorgehensweise des BSI. Als Unterpunkte werden der IT-Grundschutz des BSI als Grundlage eines professionellen Sicherheitskonzeptes und dessen Vorteile für die Benutzer. Diese Versäumnisse sind für jedes Unternehmen natürlich separat zu betrachen und somit sind die Sachverhalte auch unterschiedlich zu bewerten. Wichtige Begrie rund um die Informationssicherheit Aufbauend auf den drei Grundwer- te der Informationssicherheit: Vertraulichkeit. diese Schadensfälle verhindern sollen. Vorschriften und Gesetzesanforderungen Es wird. der Wichtigkeit und den auftretenden Ne- beneekten. Hinsichtlich Da- tenschutz gibt es für bestimmte Berufsgruppen Sonderregelungen. Die häugsten Versäumnisse Häuge Versäumnisse und deren Ursachen ndet man im sechs- ten Kapitel. Informationssicherheit im Fokus Das zweite Kapitel beschäftigt sich ausschlieÿlich mit dem Begri Informationssicherheit. die Struktur der IT-Grundschutz- Katalaoge und anschlieÿend die Durchführung einer Grundschutzanalyse näher behandelt. 15 . Durch die Anwendung des Leitfadens kann ein vertrauenswürdiges Informationssicherheits- niveau gelegt werden. dass es mehrere neue Rechtsvorschriften gibt. wie zum Beispiel auf das Artikelgesetz KonTraG. die bei Anwendung.wichtigsten organisatorischen. im vierten Kapitel. Auf technische Details wird bewusst verzichtet. zeigt das Kapitel acht eine prinzipielle Vorgehens- weise. das GS-Tool. ein Überblick über gesetzliche Regelungen mit Bezug zur Informationssicherheit gegeben. Wichtige Sicherheitsmaÿnahmen Um den im Kapitel sechs ausgearbeiteten Versäumnissen und Ursachen entgegenzuwirken werden im siebten Kapitel wichtige Sicherheitsmaÿnahmen detailiert erklärt. Es wird unter anderem angemerkt. Es wird zu jeder Maÿnahme eine anschlieÿende Begründung angefügt. Verfügbarkeit und Integrität werden weitere wichtige Begrie erläutert. Beachtung sollte man auch den zwischen- durch angeführten. Über eine unzureichende Informationssicherheitsstrategie bis hin zum mangelhaften Schutz vor Einbrechern und Ele- mentarschäden werden sieben Punkte behandelt. sowie eine gewisse Praxistauglichkeit und Kom- fortabilität. Zu- sätzlich zu den Dokumenten wird auch eine spezielle Software. sondern das Informationssicherheit ein Prozess ist. dass es sich um kein starres Sicher- heitskonzept handelt. sowie die Ver- anschaulichung von Gefahren. Da dieses nicht ganz einfach ist. die der Öentlichkeit noch nicht hinreichend bekannt sind. So nicht: Schadensfälle als warnendes Beispiel Kapitel fünf enthält fünf Szenarien die als warnende Beispiele fungieren sollen. infrastrukturellen und technischen Maÿnahmen. der ständig auf dem Laufenden gehalten werden muss. Es sind unter jedem Szenario Maÿnahmen aufgelistet. dessen Erläuterung.

diese sich mit Abbildung 5 deckt. Es werden zu jedem Punkt weitere Dokumente bzw. Der Aufbau des Webkurses besteht grundlegend aus den Inhalten GS-Vorgehensmodells und somit auch aus Teilen des IT-Leitfadens. den Schutzbedarf der Informationstechnik zu bestimmen um damit angemessene Sicherheitsmaÿnahmen auswählen zu können. Softwarelösungen des BSI referenziert. dann möchte es sich unter Umständen zertizieren lassen. nach welchen Standards Zertizierungen möglich sind. Durch die Abarbeitung der Checkliste wird klar. mit Bildern veranschaulichten. Im zweiten Teil des ersten Kapitels wird die Hilfestel- lung aus dem IT-Grundschutz erklärt und anschlieÿend eine Einführung in den Aufbau des Kurses gegeben. da einige bekannte Standards keine Zertizierung in diesem Bereich unterstützen. mit Beispielen untermalten. Es wird die IT-Grundschutz-Vorgehensweise referenziert. Hier kann es oft zu Verwechslungen kommen. Das Ziel ist es. wer für das Management der Informations. Schutzbedarfsfeststellung Zuerst wird im vierten Kapitel geklärt. 16 . Warum IT-Grundschutz Am Beginn des Webkurses erhält man einen Überblick. 4. warum es wichtig ist IT-Grundschutz einzusetzen. dieser Bereich wird als IT-Verbund festgelegt. IT-Strukturanalyse Im dritten Kapitel wird zuerst festgelegt welcher Bereich der Informa- tionstechnik in einer Organisation betrachtet werden soll. Anschlieÿend wird das Verfahren zur Wertefestlegung beschrieben.Standards und Zertizierung der eigenen Informationssicherheit Ist ein Unternehmen bis hierher vorgedrungen. also hat es ein Sicherheitskonzept erfolgreich durchgesetzt. Es handelt sich dabei um zirka 50 Fragen. welche Komponenten zu einer Schutzbedarfsfeststellung gehören. Webkurs Grundschutz Der Webkurs bietet einen. Diese Sammlung wird als Strukturanalyse bezeichnet.2. sowie weiterführende Informationen zu den behandelten Themen. Mittels Übungsfragen werden Zusammenhänge werden ver- deutlicht und Gelerntes wiederholt. leichten Einstieg in den IT-Grundschutz. welche Maÿnahmen noch ausständig sind. Nach den Schutzbedarfskategorien erfolgt die Schutzbedarfsfeststellung der ein- zelnen Komponenten. Anschlieÿend folgt ein kurzes Beispiel über ein Sicherheitskonzept und dessen Inhalt für eine TK-Anlage. IT-Sicherheitsmanagement In dem zweiten Kapitel des Webkurses wird erklärt. Durchgezogen wird das Unternehmen RECPLAST GmbH. die den Inhalt der Maÿnahmen zusammenfassen und so einen schnellen Überblick ermöglichen. Das letzte Kapitel gibt einen Einblick. weiterführend werden die notwendigen Informationen über den IT-Verbund und des- sen Komponenten gesammelt.und IT-Sicherheit zuständig ist und mit welchen Strukturen und Maÿnahmen man ein eektives IT-Sicherheitsmanagement erzielen und dieses aufrechterhalten kann. Anhang Im Anhang des Leitfaden IT-Sicherheit nden sich die oben erwähnten Checklisten. als Beispiel verwendet.

Am Beginn erfolgen einige Hinweise zu den Maÿnahmen. das Bausteine aus teils technische Komponenten. Abbildung 5: Vorgehensweise bei der Umsetzung von IT-Grundschutz Modellierung nach IT-Grundschutz Es wird mit der Hilfe des IT-Grundschutz-Katalogs als Bausteinsystem. teils organisatorischen Verfahren und teils besonderen Einsatzformen bestehen. sowie die Vorgehensweise bei nicht passenden Bausteinen. zum Zug (siehe Abbildung 7). Abbildung 6: Modellierung nach IT-Grundschutz Basis-Sicherheitscheck Im sechsten Kapitel wird überprüft ob die Informationstechnik aus- reichend gesichert ist. oder ob noch einige Maÿnahmen nicht umgesetzt wurden. Das Kapitel beschreibt. die mit IT-Grundschutz-Bausteinen. Bieten einzelne Objekte unter Umständen keine hinreichende Sicherheit so kommt ein Entscheidungsprozess. Risikoanalyse Das siebten Kapitel beschreibt die Durchführung einer Risikoanalyse. prüft. Vorab müssen die Strukturanalyse und die Schutzbedarfsfeststellung durchgeführt werden (siehe Abbildung 6). an- schlieÿend wird ein Beispiel. wie man die notwendigen Interaktionen bei erhöhtem Schutzbedarf oder bei Informationstechnik. die ergänzende Sicherheitsanalyse. nicht ausreichend oder gar nicht. dann das Vorgehen des Sicherheitschecks. abgebildet werden können. ein realer IT-Verbund modelliert. 17 . im sechsten Kapitel. sowie ein kurzer Test angeführt.

Abbildung 7: Ergänzende Sicherheitsanalyse Realisierungsplanung Wichtige Aspekte. Es ist sinnvoll wenn sich die Realisierungsplanung an die Reihenfolge von Abbildung 8 hält. sowie der Prozess der Zertizierung erläutert. Zielgruppendenition Ein weiterer Unterpunkt der Teilaufgabenstellung ist die Bewertung der Zielgruppe der beiden oben behandelten Dokumente. Es werden unter anderem die Vorteile. wie das gewonnene Sicherheitsniveau auch mittels einem IT-Grundschutz-Zertikat nachgewie- sen werden kann. Welche Zielgruppe wird mit dem Leitfaden IT-Sicherheit und 18 . werden im achten Kapitel genauer erläutert. Abbildung 8: Ablauf der Realisierungsplanung Zertizerung des IT-Sicherheitsmanagements Das letzte Kapitel bietet einen Überblick.3. 4. für die Umsetzung fehlender Maÿnahmen.

Webkurs Grundschutz Dieser Kurs ist im Gegensatz zum Leitfaden detailierter und auf- grund beinhalteter Bilder und Beispiele. wieso es wichtig ist dass die Leitungsebene den Si- cherheitsprozess steuert und warum das Management alle Informationen erhalten muss.1. A. Da der Leit- faden sehr kurz gehalten ist.1. Anpassung der Schritte aus dem GS-Vorgehensmodell Im folgenden Abschnitt wird erläutert wie die einzelnen Phasen der Erstellung einer Sicher- heitskonzeption nach dem GSHB für die beispielhafte Institution angepasst oder interpretiert wurden. Es wird unter anderem erwähnt. wie oben schon erwähnt auf Fachpersonal und Administratoren für klein und mittlere Unternehmen oder Behörden ausgelegt. da er aufgrund der Gröÿe der Institution nur wenig Möglichkeiten für die Delegation der Mitarbeiter hat.1. Initiierung des Sicherheitsprozesses Im BSI-Standard wird detailiert erklärt. sowie Tests eher für Personen. Es wird lediglich angemerkt. Diesem Teil wird im Dokument IT-Grundschutzprol für kleine Institutionen keine Beach- tung geschenkt. A. dass die Geschäftsführung den Part des IT-Sicherheitsbeauf- tragten übernimmt. Ihnen wird mittels den Beispielen der Grundschutz näher gebracht und die Wichtigkeit dessen Einhaltung mittels Schadensfällen verdeutlicht. 19 .dem Webkurs Grundkurs angesprochen und wie lautet die Begründung? Leitfaden IT-Sicherheit Der Leitfaden ist. wie die Umsetzung des Managementsystems vom Management beachtet werden muss. Vergleich: Firmenprol für eine kleine Institution A. die vom Grundschutz- konzept betroen sind. dient dieser zur Ausarbeitung und Implementierung eines IT- Sicherheitskonzeptes.

dennoch bleibt die Gesamtverantwortung bei der Institutionsleitung. Die Leitlinie sollte kontinuierlich überarbeitet und aktualisiert werden. sowie die Einführung von neuen IT-Geräten. das angestrebte Sicherheitsniveau in Bezug auf die Grundwerte der Informationssicherheit zu bringen. genaue Rollen innerhalb der Institution zu denieren. keine Maÿnahmen vorge- sehen. wie die Bestimmung der Informationssicherheitsziele und die daraus folgenden konkreten Sicherheits- anforderungen. Es sollen die IS-Ziele genau beschrieben werden und mit welchen strategischen Mitteln diese erreicht werden wollen. Im Firmenprol für eine kleine Institution sind zu diesem Punkt. Es wird für eine kleine Institutionen kurz der Begri Sicherheitsleitlinie erläutert. um so ein angemessenes Sicherheitsniveau für besonders hervorgehobene Geschäftsprozesse bestimmen zu können. Vertrauliche Informationen. in der Leitlinie. Es wird vom BSI-Standard empfohlen. um eine Sicherheitsleitlinie zu erstellen. Anschlie- ÿend erfolgt eine Referenz zum Dokument BSISIPOL. Wichtig sind auch Ände- rungen. Der Geltungsbereich spielt bei der Leitlinie eine wesentliche Rolle. Es werden zwar Teilaufgaben verteilt. Auf Änderungen in den Geschäftszielen und -prozessen sollte besonders geachtet werden. Es ndet sich im Standard eine genaue Aufgabenverteilung für die verschiedenen Rollen. Keine weiteren Aussagen werdem im Punkto Sicherheitslinie getätigt. Im Standard scheint ein IS-Management-Team auf. Sicherheitsstrategie und einer Organisationsstruktur bestehen. müssen als vertraulich gekennzeichnet werden. Organisation des Sicherheitsprozesses Der BSI-Standard beschreibt detailiert die Organi- sation des Sicherheitsprozesses und wie wichtig es ist. Weiters wird noch ein kurzes Beispiel genannt um die praktische Umsetzung zu verstehen. Im Prol für die Kleinunternehmen wurde die IS-Strategie nicht erwähnt. Zielen. jedoch mindestens aus einem Geltungsbereich. Es fehlen ebenfalls die Informationsziele und die daraus resultierenden Sicherheitsanforderungen.Konzeption und Planung des Sicherheitsprozesses Die Planung des Sicherheitsprozesses selbst und eine angemessene IS-Strategie sind ebenso im BSI-Standard 100-2 angeführt. Die Leitlinie soll für jeden Mitarbeiter zugänglich sein. 20 . Erstellung einer Leitlinie zur Informationssicherheit Im Standard wird die schriftliche Fi- xierung einer Leitlinie als zentraler Punkt gesehen. da diese Insitutionsweit oder nur auf wesentliche Teile der Insitution zutreen kann. Die Leitlinie sollte nicht mehr als 20 Seiten umfassen. das Informationen der IS-Leitlinie aus- arbeitet. Unter anderem beschreibt diese zu welchem Zwecke und mit welchen Mitteln und mit Strukturen die Informationssicherheit innerhalb der Institution hergestellt werden soll. die die Organisationsstruktur betreen. Es wird eine zwei-jährliche Überarbeitung empfohlen.

Abbildung 9: Sicherheitskonzeption Denition des Geltungsbereichs Oft erfolgversprechend sind viele kleine Schritte und ein langfristiger und kontinuierlicher Verbesserungsprozess. A. so dass sie aufeinander aufsetzen können. Heute ist eine starke Vernetzung von IT-Systemen üblich. Aufgrund dessen werden Standard-Sicherheitsmaÿnahmen empfohlen. für den die Konzeption erstellt wird. eine Vorgehensweise zur Erzielung eines normalen Si- cherheitsniveaus anzubieten. Dies kann auch als Basis für ein höheres Sicherheitsniveau dienen. diese sind in Bausteine unterteilt. Im IT-Grundschutz wird der Geltungsbereich als IT-Verbund bezeichnet.2. daher bietet sich ein Netztopologieplan als Ausgangsbasis für die weitere technische Analyse an. Es muss zunächst der Bereich festgelegt werden. 21 . deren Anwendung und die Analyse beziehungsweise Dokumentation der Informationstechnik tragen zu der Struktur- analyse bei. Im Firmenprol für eine kleine Institution sind weder Inhalte von der Organisation des Sicherheitsprozesses noch deren Rollen zu nden. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz Ein Ziel des IT-Grundschutzes ist es. Die Denition des Geltungsbereiches wird in dem Prol für kleine Insitutionen vernachlässigt. Es wird lediglich auf Beispiele und Checklisten verwiesen.1. Anbei ndet man auch die Abbildung 9. Es ist in dem Prol für kleine Institutionen nur das wesentlichste Zusammengefasst. Strukturanalyse Das Zusammenspiel der typischen Geschäftsprozesse.

In diesem Kapitel werden noch genauer die Bausteine. Das Ergebnis ist ein IT-Grundschutz-Modell des Informationsverbunds aus mehreren Bau- steinen.1. Es wird als Beispiel ein Pass verwendet. Eine ent- sprechende Dokumentation ist für den Erfolg auschlaggebend. A. Dieses Kapitel wird sehr kurz gehalten. Einen Basis-Sicherheitscheck gibt es für die kleinen Institutionen nicht. Fehlende oder nur teilweise umge- setzte Maÿnahmen werden tabellarisch festgehalten und anschlieÿend konsolidiert. Anbei ist die Erläuterung durch Beispiele gegeben. die verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und ange- messen ist. Andwendungen und IT-Systeme ausreichend. Auswahl und Anpassung von Maÿnahmen Nachdem die Strukturanalyse und die Schutzbe- darfsfeststellung vorliegen. Die Schutzbedarfskategorien bestehen nur aus normalen und hohen Schutzbedarf. welcher Schutz für die Geschäftsprozesse. Auch bei der Schutzbedarfsfeststellung wird nur ein sehr kleiner Einblick in die Materie gegeben. es hat sich die Einteilung in drei Schutzbedarfskategorien bewährt. wie im Standard angeführt. Dieses Kapitel wird Modellierung genannt. der individuell angepasst werden kann. Anschlieÿend wird mittels Aktionspunkten die Auswahl und Anpassung der Maÿnahmen behandelt. es wird durch Beispiele erläutert. die Gefährdungskataloge sowie die Maÿnahmenkataloge erläutert. Ergänzende Sicherheitsanalyse Die Standard-Sicherheitsmaÿnahmen sind in der Regel für normale Geschäftsprozesse. Es folgt die anschlieÿende Modellierung eines Informations- verbunds. Anschlieÿend wird eine Kosten- 22 . wie die Bausteine anzuwenden sind. Die Auswahl und Anpassung der Maÿnahmen ist nicht detailiert beschrieben. Es wird hier eine Selbstüberprüfung angemerkt.3. Wichtig und als eigener Punkt aufgeführt ist die Dokumentation. Es folgt die Risikoanalyse auf der Basis des IT-Grundschutzes. wird der IT-Verbund mit Hilfe der vorhandenen Bausteine abgebil- det. Basis-Sicherheitscheck Organisatorische Vorarbeit und die dazugehörigen Aktionspunkte de- nieren den Sicherheitscheck im Standard. ein Teil der IT-Sicherheitskonzeption. Folgeschäden müssen realistisch eingesetzt werden. Sicherheitsaspekte werden dabei nach Themen gruppiert betrachtet. Schutzbedarfsfeststellung Es wird ermittelt. Umsetzung der Sicherheitskonzeption Untersuchungsergebnisse werden gesammelt und gesichtet. Ein Soll-Ist-Vergleich dient zur Ermittlung des Um- setzungsstatus. Das Ergebnis ist. Unter anderem wird im Standard der zweistuge Ansatz der IT-Grundschutz-Vorgehensweise und die Vorgehens- weise zur ergänzenden Sicherheitsanalyse genauer beschrieben und mit einem Beispiel verse- hen.

Die Zertizierung wird bei den kleinen Institutionen völlig auÿer Acht gelassen.2. Zertizierung nach ISO 27001 auf der Basis von IT-Grundschutz Im BSI-Standard 100-2 beinhaltet die Vorteile einer ISO 27001-Zertizierung. Es folgt die Überprüfung der Sicherheitsmaÿnahmen. Unter anderem wie Berichte und Do- kumentation gehandhabt werden oder wie die Meldewege aussehen müssen.4. Es folgt die Festlegung der Umsetzungsreihenfolge der Maÿnahmen. Man ndet stattdessen einige Umsetzungsbeispiele.1. sowie die der Sicherheitsziele. realisierungsbegleitende Maÿnahmen und eventuelle Sensibilisierungsmaÿnahmen. Zum Thema Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit sind keine Angaben in dem Prol für kleine Insitutionen. da dieser für jedes Unternehmen anwendbar sein muss und detailiertere Informationen enthält. Verständlichkeit Grundsätzlich ist die Verständlichkeit des Dokuments gegeben.Aufwandschätzung getätigt. 23 . A. sich mit den Dokumenten Leitfaden IT-Sicherheit und BSI-Standard 100-2 beschäftigt zu haben. Der Leitfaden dient hier sozusagen als Basis für die Verständlichkeit des Dokumentes und der Standard 100-2 als Erweiterung. Der ergänzenden Sicherheitsanalyse. A.beziehungsweise Weiterentwicklungsvorschläge zu erarbeiten. wobei das Risiko einer nicht oder nur teilweise umgesetzten Maÿ- nahme ersichtlich ist.5. Es werden zusätzlich die Aktionspunkte für eine Zertizierung aufgezeigt. Diese Ergebnisse werden in den Informationsprozess übernommen. Informationsuss im Informationssicherheitssystem Auch ist im Standard festgehalten. Die Grundlage auf der Basis des IT-Grundschutz bildet die Durchführung eines Audits.1. sowie der Umsetzung der Sicherheitskonzeption wird hier wenig Beachtung geschenkt. Dennoch ist es von Vorteil. Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit Überprüfung des Informationssicherheitsprozesses in allen Ebenen Es werden Methoden angeführt. Beurteilung der Anwendbarkeit des Grundschutzprols Dieser Teilbereich besteht aus der Aufgabe das Dokument mit dem Titel Ein IT-Grundschutzprol für eine kleine Institution auf die zwei Punkte Verständlichkeit und Praxisbezug zu analy- sieren und den dritten Punkt Verbesserungs. A. wie der Informationsuss in der Institution auszusehen hat. die für eine Überprüfung des Informationssicherheitsprozesses wichtig sind.

. . . . . . . . . FH Hagenberg. . . . Vorgehensweise bei der Umsetzung von IT-Grundschutz . . . . . . . . . . https://www. . . . . . . . . . . . . . . . . . . . . . . Das Anwendungsbeispiel wird laufend als Beispiel herangezogen und am Ende des Dokuments be- nden sich eine Checkliste und Maÿnahmen. . . . . 6 3. . . . . . . . . . . . . . . . . . . . . . . . . . 21 Literatur [BSI] BSI. DI Dr. . . . . . . Ablauf der Realisierungsplanung . . . . . . . Sicherheitskonzeption . . . . . . . . . . . . . Dezember 2009 [SB09] Schaumüller-Bichl. . . mittels dieser ein Sicherheitskonzept für kleine Unternehmen sehr gut in die Praxis umsetzbar ist. Ergänzende Sicherheitsanalyse . . 4 2. . . Netzplan des beispielhaften IT-Verbunds . . 18 9. . . . .Praxisbezug Im Dokument IT-Grundschutz für eine kleine Institution ndet sich ein durch- gängiges Anwendungsbeispiel. . . .bsi.: Informationssicherheitsmanagement / Sichere Infor- mationssysteme. . . . . . . . .html. . Bundesamtfür Sicherheit in der Informationstechnik: IT-Grund- schutz . . . Abbildungsverzeichnis 1.  Skriptum 24 . . . . . . . . . . . . . . . . . . . 18 8. . . . . . Verbesserungs. . . . . . . . . . . . .de/cln_183/DE/Themen/ITGrundschutz/ itgrundschutz_node. . Abruf: 18. 17 7. Erstellung der Sicherheitskonzeption im Informationssicherheitsmanagement . . . . . . . Darstellung des Sicherheitsprozesses . . . . . . 2009. . . . dieses wird am Anfang des Dokumentes recht gut erläutert. . . . . . . Übersicht der Umsetzungsphasen . . 13 5. . . . . Modellierung nach IT-Grundschutz . . . 17 6. . 10 4. . . I. .beziehungsweise Weiterentwicklungsvorschläge Aus unserer Sicht gibt es keine Verbesserungsvorschläge.bund. . . .