You are on page 1of 24

Übung aus ISM3

IT-Grundschutz für KMUs
und
Hilfsmittel zum Grundschutz

Manuel Faux Marion Haller

20. Dezember 2009

FH Hagenberg

Inhaltsverzeichnis
1. Vorstellung des Dokuments 4
1.1. Allgemeine Vorgehensweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.2. Denition des IT-Verbunds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3. Angepasste GS-Vorgehensmodellschritte . . . . . . . . . . . . . . . . . . . . . . 5
1.4. Beispiel Sicherheits-Leitlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

2. Anpassung der Schritte aus dem GS-Vorgehensmodell 5
2.1. Initiierung des Sicherheitsprozesses . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.1.1. Übernahme von Verantwortung durch die Leitungsebene . . . . . . . . . 7
2.1.2. Konzeption und Planung des Sicherheitsprozesses . . . . . . . . . . . . . 7
2.1.3. Erstellung einer Leitlinie zur Informationssicherheit . . . . . . . . . . . . 8
2.1.4. Organisation des Sicherheitsprozesses . . . . . . . . . . . . . . . . . . . . 9
2.2. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz . . . . . . . . . . . 9
2.2.1. Denition des Geltungsbereichs . . . . . . . . . . . . . . . . . . . . . . . 9
2.2.2. Strukturanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2.3. Schutzbedarfsfeststellung . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2.4. Auswahl und Anpassung von Maÿnahmen . . . . . . . . . . . . . . . . . 11
2.2.5. Basis-Sicherheitscheck . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.2.6. Ergänzende Sicherheitsanalyse . . . . . . . . . . . . . . . . . . . . . . . 11
2.3. Umsetzung der Sicherheitskonzeption . . . . . . . . . . . . . . . . . . . . . . . . 11
2.4. Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit 12
2.4.1. Überprüfung des Informationssicherheitsprozesses in allen Ebenen . . . . 12
2.4.2. Informationsuss im Informationssicherheitssystem . . . . . . . . . . . . 13
2.5. Zertizierung nach ISO 27 001 auf der Basis von IT-Grundschutz . . . . . . . . 13

3. Beurteilung der Anwendbarkeit des Grundschutzprols 14

4. Hilfsmittel zur Erstellung einer Sicherheitsrichtlinie 14
4.1. Leitfaden IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.2. Webkurs Grundschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4.3. Zielgruppendenition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

A. Vergleich: Firmenprol für eine kleine Institution 19
A.1. Anpassung der Schritte aus dem GS-Vorgehensmodell . . . . . . . . . . . . . . 19
A.1.1. Initiierung des Sicherheitsprozesses . . . . . . . . . . . . . . . . . . . . . 19
A.1.2. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz . . . . . . . 21
A.1.3. Umsetzung der Sicherheitskonzeption . . . . . . . . . . . . . . . . . . . . 22
A.1.4. Aufrechterhaltung und kontinuierliche Verbesserung der Informationssi-
cherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
A.1.5. Zertizierung nach ISO 27001 auf der Basis von IT-Grundschutz . . . . 23
A.2. Beurteilung der Anwendbarkeit des Grundschutzprols . . . . . . . . . . . . . . 23

2

Abkürzungsverzeichnis BSI Bundesamt für Sicherheit in der Informationstechnik BSISIPOL Sample policy and sample concepts. BSI GS Grundschutz GSHB IT-Grundschutzhandbuch IS Informationssicherheit ITGS IT-Grundschutz KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich MURI Dokument Musterrichtlinien und Beispielkonzepte des BSI TK Telekommunikation 3 .

Phase 2. Standorte und laufenden Anwendungen. BSI].1. welches jedoch seit 2005 in IT-Grundschutz-Kataloge und BSI-Standards aufgeteilt ist. 2 Eine Ausnahme stellt hier Phase 2. Da das Dokument im November 2004 er- stellt wurde und der IT-Grundschutz im Jahr 2005 umstruktuiert wurde [SB09. Diese Aufgaben werden normalerweise vom IT-Sicherheitsbeauftragten durchgeführt. Dies geschieht in der Regel durch enge Zusammenarbeit mit den IT-Benutzern. eine IT-Sicherheits-Richtlinie erstellt. Durchführung einer IT-Strukturanalyse Die Phase 2 dient der Erfassung der Kom- ponenten des IT-Verbundes. deren Benutzer. Es wird die Notwendigkeit der Existenz eines Sicherheitskonzepts dargestellt sowie eine kurze Einführung in den GS gegeben. Abbildung 1: Übersicht der Umsetzungsphasen Phase 1. Initiierung des IT-Sicherheitsprozesses In der Phase 1 wird der zu betrachtende IT- Verbund deniert. Phase 4. welche bereits vor Beendigung der Phase 1 begonnen werden kann. die zeitlich nacheinander ausgeführt werden2 . referen- ziert das Dokument immer wieder das IT-Grundschutzhandbuch. Zuerst wird die allgemeine Vorgehensweise zur Erstellung eines IT-Sicherheitsprozesses vorgestellt. sowie das IT-Sicherheitsmanage- ment eingerichtet. 4 . wie zum Beispiel eine Auistung aller IT-Systeme. Als Ergebnis dieser Phase erhält man eine Dokumentation der IT-Stuktur der Institution. Die Erstellung einer Sicherheitsrichtlinie nach GSHB verläuft im Allgemeinen in sieben Pha- sen1 . Durchführung einer Schutzbedarfsfeststellung In der Phase 3 wird für jede in Pha- se 2 denierte Komponente.1. ein Schutzbedarf festgelegt. welcher im Zuge dieser Phase von der Institutionsleitung bestimmt wird. Modellierung nach IT-Grundschutz In dieser Phase wird der IT-Verbund durch Bau- steine des GSHBs nachgebildet. 1. diese ist optionaler Bestandteil einer Sicherheitsrichtlinienerstellung. Phase 3. Vorstellung des Dokuments Das Dokument IT-Grundschutz für den Mittelstand ist ein vom BSI veröentlichtes Dokument das anhand einer ktiven Insitution mittlerer Gröÿe die Etablierung eines funktionierenden IT- Sicherheitsprozesses nach ITGS erläutern soll. 1 Phase 7 umfasst die Zertizierung der grundschutzkonformen Erstellung des Sicherheitskonzepts. Allgemeine Vorgehensweise Im ersten Teil des Dokuments IT-Grundschutz für den Mittelstand wird allgemein die Vor- gehensweise bei der Erstellung eines Sicherheitskonzepts nach GSHB erläutert.

kann ein IT-Grundschutz-Zertikat durch einen lizenzierten IT- Grundschutz-Auditor ausgestellt werden. Dieses Vorgehen besteht  um ein systematisches Vorgehen zu erleichtern  aus vier Phasen. Denition des IT-Verbunds Im nächsten Teil des Dokuments wird der IT-Verbund der beispielhaften Institution näher beschrieben. jedoch mit Anpassungen in Bezug auf das GSHB. Beispiel Sicherheits-Leitlinie Es wird eine Sicherheits-Leitlinie aus MURI auf ein mittelständisches Unternehmen umgesetzt. Zusätz- lich hat jeder Mitarbeiter ein eigenes Telefon am Arbeitsplatz. 1. Durchführung des Basis-Sicherheitschecks Der Basis-Sicherheitscheck dient der Er- mittlung der aktuell umgesetzten Maÿnahmen. Zertizierung Anschlieÿend. IT-Grundschutz-Vorgehensweise. 1. Der BSI-Standard 100-2. welche auch im Dokument 5 . Abbildung 2 zeigt schematisch den Aufbau der IT-Infrastruktur der Institution auf. Anpassung der Schritte aus dem GS-Vorgehensmodell Im folgenden Abschnitt wird erläutert. an die Umsetzung der Maÿnahmen und die Erstellung des Sicherheitskonzepts. welche sich aus der Modellierung der Pha- se 4 ergeben haben. Bis auf einige wenige. es gibt jedoch zwei Netzwerkdrucker. um den Ansprüchen eines mittelständischen Unternehmens gerecht zu werden.Phase 5. Alle PCs und Server hängen an einem Switch und sind somit miteinander vernetzt. sowie eine einheitliche einzusetzen. Die einzige Verbindung nach auÿen ist die Anbindung der TK-Anlage mit der Telefon.3. sind alle Drucker direkt mit den PCs verbunden. welches auch von anderen Unternehmen benutzt wird. Hervorgehobene Textpassagen können individuell angepasst werden.und Internetgesellschaft.4. Angepasste GS-Vorgehensmodellschritte Der Groÿteil des Dokuments befasst sich mit der Erstellung einer Sicherheitsrichtlinie nach GS- HB. Zunächst wird eine Beschreibung des IT-Verbundes aus Sicht des Institutionsleiters gegeben. um den ad- ministrativen Aufwand zu minimieren. wie die einzelnen Phasen der Erstellung einer Sicher- heitskonzeption nach dem GSHB für die beispielhafte Institution angepasst oder interpretiert wurden. später erfolgt eine Beschreibung aus Sicht des GSHBs. benden sich im dritten Stockwerk eines Bürogebäudes. alle Telefone sowie das DSL-Modem sind mit der TK-Anlage gekoppelt. welche sowohl als Büroräume wie auch zur Unterbringung der IT-Infrastuktur dienen. Phase 6. 2. Es wird versucht alle Systeme mit Windows 2000 Oce-Lösung zu betreiben. 1. Die Räumlichkeiten der Institution.2. Realisierung von IT-Sicherheitsmaÿnahmen Die Phase 6 dient der eigentlichen Um- setzung der erforderlichen Sicherheitsmaÿnahmen nach GSHB. Hierfür werden die sieben Phasen erneut aufgelistet und erläutert. Phase 7. beschreibt wie bei der Umsetzung eines Managementsystems nach dem IT-Grundschutz vorzugehen ist.

Abbildung 2: Netzplan des beispielhaften IT-Verbunds 6 .

sowie gewisse Prinzipien die bei der Umsetzung des Managementsystems vom Management beachtet werden sollen. Im Dokument IT-Grundschutz für den Mittelstand wird weder die Erstellung der IS-Stra- tegie erwähnt. Daher muss die Leitungsebene den Sicherheitsprozess initiieren. 2.2. bei der Erstel- lung des eigentlichen Sicherheitskonzepts. Diese Strategie basiert auf den Geschäftszielen beziehungsweise dem Auftrag der Institution. Zuerst wird erklärt wieso es so wichtig ist. der die weitere Umsetzung des Managementsystems reali- siert. Diesem Teil der Umsetzung wird im Dokument IT-Grundschutz für den Mittelstandnur sehr wenig Inhalt zugesprochen.1. 2. Übernahme von Verantwortung durch die Leitungsebene Die oberste Leitungsebene jeder Institution ist dafür verantwortlich. Der BSI-Standard biete eine sehr genaue Auistung von Informationen die dem Management nicht vorenthalten werden dürfen. die Aufgabe der Informationssicherheit wird jedoch an den IT-Sicherheitsbeauftragten delegiert. Deswei- teren muss für jeden Geschäftsprozess und jeder Fachaufgabe von einem fachlichen Ansprech- partner ein Sicherheitsniveau zum Schutz der Informationen festgelegt und von der Geschäfts- leitung zugestimmt werden. Später. entsprechen die im Dokument referenzierten Phasen nicht mehr genau den Phasen aus dem BSI-Standard. Hierbei muss eine angemessene IS-Strategie vom Management festgelegt werden.1.3 Da diese Phasen aus dem BSI- Standard sehr allgemein gehalten sind. wie bereits erläutert.1. 7 . um sowohl kleine Unternehmen wie auch mittlere und groÿe Institutionen zu berücksichtigen. aus denen zunächst nur allgemeine Sicherheitsziele abgeleitet werden. Hierzu bietet der BSI-Standard einen Art Kontrollfragenkatalog zur Überprüfung dieser Rahmenbedingungen.IT-Grundschutz für den Mittelstand aufgegrien werden. steuern und kontrollieren. noch das Festlegen des Sicherheitsniveaus oder die Ausarbeitung der Informati- onssicherheitsziele. werden daraus konkrete Sicherheitsanforderungen gebildet. dass die oberste Leitungsebene trotz Delegie- rung der Aufgabe der Informationssicherheit an den IT-Sicherheitsbeauftragten.0 als Referenz herangezogen. dass die Geschäftsführung einen IT- Sicherheitsbeauftragten bestimmt. es wird lediglich erwähnt. 3 Da. Es werden im folgenden die Phasen des BSI-Standards 100-2 Version 2. werden diese leicht angepasst um den Ansprüchen der ktiven Institution zu genügen. Hier bietet der BSI-Standard eine Auistung möglicher Sicherheitsziele. dass alle Geschäftsbe- reiche ordnungsgemäÿ funktionieren und Risiken frühzeitig erkannt werden. dennoch aus- schlaggebend am Managementprozess Informationssicherheitbeteiligt ist. der BSI-Grundschutz seit Verfassen des Dokuments konzeptionell überarbeitet wur- de.1. Die Verantwortung selbst bleibt beim Management. Konzeption und Planung des Sicherheitsprozesses Ein wichtiger Teil der Initiierung des Sicherheitsprozesses ist auch die Planung des Prozesses selbst. Zu Beginn jedes Sicherheitsprozesses sollte man die Informationssicherheitsziele bestimmen. Initiierung des Sicherheitsprozesses 2.

Das BSI Dokument beinhaltet keinen Hinweis zur regelmäÿigen Überarbeitung der IS-Leitlinie. sollten diese an das Ende des Dokuments verlagert werden und explizit als vertraulich gekennzeichnet werden.1. sondern eher überblicksmäÿig. die dann im Laufe der weiteren Phasen der Einrichtung des Sicherheitsprozesses zum IT-Management-Team übergeht.3. Auch wird im Dokument nicht auf die Verteilung der Leitlinie eingegangen. Die Leitlinie kann Insti- tutionsweit gültig sein oder auch nur auf Teile der Institution zutreen. Sollte es so ein Team noch nicht geben. In ihr sollen die angestrebten IS-Ziele genau beschrieben werden. wird empfohlen eine Entwicklungsgruppe zur Erarbeitung der Sicherheitsleitlinie zu gründen. 2. sondern der IT-Sicherheitsbeauftragte. dass das angestrebte Si- cherheitsniveau für einzelne Geschäftsprozesse in Bezug zu den Grundwerte der Informations- sicherheit gebracht wird. Der BSI-Standard sieht es vor. mit welchen Mitteln und mit welchen Strukturen die Informationssicherheit innerhalb der Insti- tution hergestellt werden soll. Das BSI empehlt eine zwei-jährliche Über- arbeitung. Wesentlicher Bestandteil der IS-Leitlinie ist der Geltungsbereich. Der BSI-Standard empelt zum besseren Verständnis der IS-Ziele. Diese beschreibt allgemeinverständlich für welche Zwecke. dass dieser in Workshops mit Vertretern der Institutionsleitern die wesentlichen Eckpunkte dieser Leitlinie ausarbeitet. ist kein eigenes Team oder eigene Gruppe zuständig. Für eine mittlere Institution sieht das BSI im Groÿen und Ganzen die gleichen Inhalte der Leitlinie vor. . 8 . Ein Hinweis wie vertrauliche Teile zu handhaben sind. Für die Erstellung der Leitlinie. In regelmäÿigen Abständen soll die Leitlinie überarbeitet werden und auf Aktualität über- prüft werden. Auch die Einführung von neuen IT- Geräten muss in die Überarbeitung miteinieÿen. Auch zu diesen Punkten sind im IT-Grundschutz für den Mittelstand keine Maÿnahmen vorgesehen. Die Institutionsleitung sollte ihr formell zugestimmt haben. dass ein IS-Management-Team  sofern bereits im Unterneh- men vorhanden  die Informationen der IS-Leitlinie ausarbeitet. Es wird stattdessen empfohlen. Eine IS-Leitlinie soll nicht mehr als 20 Seiten aufweisen. Mit der IS-Leitlinie wird auch festgelegt. Erstellung einer Leitlinie zur Informationssicherheit Ein zentraler Punkt der Sicherheitsprozessinitiierung ist die Erstellung einer schriich xierten Leitlinie zur Informationssicherheit. den Geschäftsprozessen selbst oder der Organisationsstruktur geachtet werden. Die IS-Leitlinie sollte für jeden Mitarbeiter leicht zugängig zur Verfügung gestellt werden. Das Dokument IT-Grundschutz für den Mittelstand"beschreibt diese Inhalte jedoch nicht sehr genau. fehlt zum Beispiel gänzlich. um so ein angemessenes Sicherheitsniveau besonders hervorgehobener Geschäftsprozesse bestimmen zu können. mit welchen strategischen Mitteln die Geschäftslei- tung zur Erreichung der IS-Ziele beiträgt. heitsstrategie und der für die Umsetzung etablierten Organisationsstruktur bestehen. Hierbei muss die Leitungsebene unbedingt ausschlag- gebend an der Formulierung dieser IS-Ziele beteiligt sein. jedoch mindestens aus Geltungsbereich IS-Zielen Sicher- . Sollte die Leitlinie vertrauliche Informationen beinhalten. Es soll besonders auf Änderungen in den Geschäftszielen.

In gröÿeren Insti- tutionen wird es üblicherweise weitere Personen geben. Auf jeden Fall soll ein IT-Sicherheitsbeauftragter als zentraler Ansprechpartner benannt werden. Die Punkte sind anders strukturiert. sodass sie aufeinander aufsetzen können (siehe Abbildungrefg:sicherheitskonzeption. Es wird im GS-Prol nur kurz das IT-Sicherheitskonzept angeführt. Im GS-Prol für eine mittlere Institution sind weder Inhalte von der Organisation des Sicherheitsprozesses. ist es unabdingbar Rollen innerhalb der Institution fest- zulegen und diesen einzelne Aufgaben zuzuordnen. Diese Rollen sollen als Stabsstellen organisiert sein. Die beiden Sicherheits- konzeptionen unterscheiden sich nicht grundlegend. jedoch ist mindestens eine Person zu ernennen. die Schutzbedarfsfeststellung. Dies kann auch als Basis für ein höheres Sicherheitsniveau dienen. um den direkten Zugang zur Institutionsleitung sicherzustellen.2. Organisation des Sicherheitsprozesses Ferner beschreibt der BSI-Standard die Organisation des Sicherheitsprozesses. Auch die genauen Aufgaben. Dennoch ist jeder Mitarbeiter gleichermaÿen für seine eigentliche Auf- gabe wie auch für die Aufrechterhaltung der Informationssicherheit an seinem Arbeisplatz und seiner näheren Umgebung verantwortlich. dies ist zumeist der IT- Sicherheitsbeauftragte. die Auswahl und die Anpassung von Maÿnahmen. 2. denen Teilaufgaben zugeteilt werden. Um den IS- Prozess institutionsweit umzusetzen. die den IS-Prozess fördert und koordiniert.4. der Basis-Sicherheitscheck sowie weiterführende Maÿnahmen. so werden zum Beispiel im Prol für mittlere Institutionen die Basis-Sicherheitschecks nicht auf- geteilt. Die Gesamtverantwortung bleibt weiterhin bei der Institutionsleitung. Desweiteren beschreibt der Standard einige Integrationsstrategien der IS-Organisation in die bestehende Institutionsstruktur. 2. Im IT-Grundschutz wird der Geltungsbereich als IT-Verbund bezeichnet.1. die Strukturanalyse. Denition des Geltungsbereichs Oft Erfolgversprechender sind viele kleine Schritte und ein langfristiger und kontinuierlicher Verbesserungsprozess.2. Die einzige Rolle der IS-Organisation ist der IT-Sicherheitsbeauftragte.1. das IS-Management-Team koordiniert deren Tätigkeiten.pnh). Auf- grund dessen werden Standard-Sicherheitsmaÿnahmen empfohlen. Unter anderem wird die Methodik des IT-Grundschutzes beschrieben und die Gliederung in die Denition des Geltungsbereiches. Es muss zunächst der Bereich festgelegt werden. noch deren Rollen zu nden. Die genaue Organisationsstruktur hängt von der Gröÿe und genauen Beschaenheit der Institutionsstruktur ab. für den die Konzeption erstellt wird.2. Verantwortungen und Kompe- tenzen in der IS-Organisation sowie des IT-Sicherheitsbeauftragten. des IS-Management-Teams sowie anderen Rollen in der IS-Organisation werden genauer deniert. diese sind in Bausteine unter- teilt. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz Ein Ziel des IT-Grundschutzes ist es. 9 . eine Vorgehensweise zur Erzielung eines normalen Sicher- heitsniveaus anzubieten.

10 . deren Anwendung und die Analyse bezieh- gungsweise Dokumentation der Informationstechnik tragen zu der Strukturanalyse bei. Abbildung 3: Erstellung der Sicherheitskonzeption im Informationssicherheitsmanagement 2. Strukturanalyse Das Zusammenspiel der typischen Geschäftsprozesse.3. es hat sich die Einteilung in drei Schutzbedarfskategorien bewährt.2. 2. Der erste Schritt beginnt mit der Auswertung des Netzplans.2. Heute ist eine starke Vernetzung von IT-Systemen üblich. Folgeschäden müs- sen realistisch eingeschätzt werden. welcher Schutz für die Geschäftsprozesse. Schutzbedarfsfeststellung Es wird ermittelt. Dieser Punkt ist bei den mittleren Unternehmen gut aufgegliedert. Es wird anhand des Beispiels veranschaulicht. Die Strukturanalyse ist im GS-Prol für mittelständige Unternehmen kurz gehalten. der zweite Schritt wäre die Erhebung der IT-Systeme und der dritte Schritt die anschlieÿende Erfassung der IT-Anwendungen und der zugehörigen Informationen. wie die Geschäftsprozesse mittels dem GS-Tool verarbeitet werden.2. daher bietet sich ein Netztopologieplan als Ausgangsbasis für die weitere technische Analyse an. die verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.

wieder inklu- sive der Aktionspunkte. Es darf keinenfalls auf die Do- kumentation vergessen werden. Auswahl und Anpassung von Maÿnahmen Nachdem die Strukturanalyse und die Schutzbedarfsfeststellung vorliegen. Anschlieÿend wird die Konsolidierung der Maÿnahmen. Das Ergebnis ist ein IT-Grundschutz-Modell des Informationsverbunds aus mehreren Bausteinen. Umsetzung der Sicherheitskonzeption Die im BSI-Standard angeführte Umsetzung erfolgt zuerst mit einer Sichtung der Untersu- chungsergebnisse. Die Genera- lisierung ist verschwunden. Es folgt die Risikoanalyse auf der Basis des IT- Grundschutzes. 2. Liegschaften oder Organisationseinheiten. Unter diesem Kapitel werden noch genauer die Bausteine. Ergänzende Sicherheitsanalyse Für die typischen Geschäftsprozesse.2. Im Prol des Unternehmens deckt sich dieser Punkt. Der Umsetzungsstatus wird nicht extra erwähnt. 2. 2. mit dem Standard. Sicherheitsaspekte werden dabei nach Themen gruppiert betrachtet. Im Dokument GS-Prol für mittelständische Unternehmen gibt es einen Exkurs zu dem Thema Ergänzende Sicherheitsanalyse. Anwendungen und IT-Systeme sind die Standard-Sicher- heitsmaÿnahmen in der Regel ausreichend. zur Ermittlung des Umsetzungsstatus. aber es werden keine Vorgehensweisen aufgelistet. IT-Netze und IT-Andwendungen. Die Durchführung des Soll-Ist-Vergleichs dient. woraus ein 11 . Es wird der zweistuge Ansatz der IT-Grundschutz- Vorgehensweise und die Vorgehensweise zur ergänzenden Sicherheitsanalyse genauer be- schrieben und mit einem Beispiel versehen. Gebäude. Im Gegensatz zum BSI-Standard nennt sich das Kapitel jetzt Modellierung. die Gefährdungskataloge sowie die Maÿnahmenkataloge erläutert. bis auf die Aktionspunkte. Anschlieÿend wird mittels Aktionspunkten die Auswahl und Anpassung der Maÿnahmen behandelt. Basis-Sicherheitscheck Der Basis-Sicherheitscheck besteht im Standard aus der organisatorischen Vorarbeit und den dazugehörigen Aktionspunkten. Je nach Verwendung der betrachteten Bausteine können die Objekte von unterschiedlicher Art sein: einzelne Komponenten.4.2.2. Gruppen von Komponenten. Es gibt eine kurze Beschreibung.6. Es folgt die anschlieÿende Modellierung eines Informationsverbunds. der IT-Systeme.2. dann Bausteine der Infrastruktur. Es werden modellhaft die Schichten gemäÿ des GSHB dargestellt und kurz beschrieben. Zuerst werden in dem Prol der mittleren Unterneh- men die übergeordneten Aspekte beziehungsweise Bausteine verwendet. wird der IT-Verbund mit Hilfe der vorhanden Bausteine abgebildet.3. Es werden alle fehlenden beziehungsweise nur teilweise umgesetzten Maÿ- nahmen tabellarisch erfasst.5.

und Aufwandschätzung. Ident zu dem BSI-Standard werden bei den mittelständischen GS-Prol die Untersuchungs- ergebnisse ebenfalls gesichtet. wobei das Risiko für die Nicht-Realisierung einer Maÿnahme deutlich wird. Der Aufrechterhaltung und der kontinuierlichen Verbesserung der Informationssicherheit ist im Grundschutzprol nur ein kurzer Absatz gewidmet. Es folgt die Festlegung der Umsetzungsreihenfolge der Maÿnahmen. Es ist darauf zu achten. Wichtig ist die ent- sprechende Dokumentation. wer wann welche Maÿnahme zu realisieren hat und wer für die Überwachung der Realisierung zuständig ist. dass es wesentlich ist. Realisierungsbegleitende Maÿnahmen.4. Bei der Kosten.und Aufwandschätzung wird bei den mittelständischen Unternehmen zwi- schen einmaligen und wiederkehrenden Investitionskosten beziehungsweise Personalaufwänden unterschieden. Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit 2. 12 .1. dass der IT-Beauftragte sich um die Aufrechterhaltung des Prozesses kümmern und die Umsetzung der Maÿnahmen sowie die Ein- haltung der Richtlinien überwachen muss. zum Beispiel durch nicht ausreichendes Budget. Überprüfung des Informationssicherheitsprozesses in allen Ebenen Methoden für eine Überprüfung des Informationssicherheitsprozesses werden erläutert. sowie die Prüfung ob die Sicherheitsziele mit dem Einsatz der Sicherheitsstrategie auch wirklich errreicht werden können. sowie bei der Festle- gung der Verantwortlichkeiten im Dokument des Mittelstands. Alle diese Ergebnisse werden in den Informationssicherheitsprozess übernommen.eventuelles Entfallen der Umsetzung einhergeht. Unter anderem wird angemerkt. Aufgrund von zu we- nig Budget oder personeller Ressourcenknappheit muss eine Reihenfolge für die Umsetzung die Maÿnahmen festgelegt werden. Es werden alle teilweisen oder nicht umgesetzten Ergebnisse aus dem Basis-Sicherheitscheck übernommen und in einer Tabelle aufgelistet. Anschlieÿend werden die Aufgaben und die Verantwortun- gen ausgearbeitet. 2. Realisierungsbegleitende Maÿnahmen werden im Grundschutzprol eines mittelständischen Un- ternehmens ähnlich wie im Standard umgesetzt. Es folgt auch die Überprüfung der Sicherheitsmaÿnahmen. Es folgt eine Kosten. Gleichwertiger Ablauf ndet sich auch bei der Umsetzungsreihenfolge.und Aufwandschätzungen gemeinsam mit einem IT-Verantwortlichen durchzuführen. Es ist von Vorteil die jeweiligen Kosten. dass der Verantwortliche über ausreichend Kompetenzen für die Umsetzung der Maÿnahmen besitzt. im Speziellen Sensibilisierungsmaÿnahmen werden eingeplant um betroene Mitarbeiter über die Notwendigkeit und die Konsequenzen der Maÿnahmen zu unterrichten. Weiters ist ein Sicherheitsprozess dargestellt (siehe Abbildung 4). Es wird bestimmt. mit Beispielen angeführt.4.

grund- legend über die Zertizierung. Es werden nachfolgend die Aktionspunkte für eine Zertizierung aufgezeigt. Der IT-Sicherheitsbeauftragte ist in jedem Fall zu informieren. denn er leitet den ganzen Prozess.2. ist die Durchführung eines Audits mittels einem externen Auditors. In dem Prol des Grundschutzes für mittlere Unternehmen werden keinerlei Aussagen. Die Grundlage für die Vergabe eines ISO 27 001-Zertikats auf der Basis des IT-Grund- schutz. wie der Informationsuss im Informationssicherheitsprozess aus- zusehen hat. nur dass ein durch das BSI lizenzierter IT-Grundschutz- Auditor die Plausibilität und die Realisierung der Maÿnahmen prüft. Im Dokument für die mittelständischen Unternehmen wird der Informationsuss an sich nicht behandelt.5. sowie die Meldewege behandelt. Unter anderem werden Berichte an die Leitungsebene. Informationsuss im Informationssicherheitssystem Im Standard ist festgehalten. Zertizierung nach ISO 27 001 auf der Basis von IT-Grundschutz Der BSI-Standard 100-2 beinhaltet die verschiedenen Interessen an einer ISO 27 001-Zertizie- rung. getätigt. 2.4. Dokumentationen. Abbildung 4: Darstellung des Sicherheitsprozesses 2. 13 . Angemerkt sind die Vorteile von Zertikatsträgern gegenüber Mitbewerbern ohne durchgeführter Zertizierung.

Im Gegensatz zu der steigenden Komplexität der IT-Sicherheitsproduk- te sind jedoch fehlende Ressourcen und zu knappe Budgets alltäglich. anschlieÿend jedoch nur sehr kurz behandelt.beziehungsweise Weiterentwicklungsvorschlägezu erar- beiten. Praxisbezogene Beispiele im Bereich Informationssicherheit unterstützen die 14 . Der Leitfaden dient hier sozusagen als Basis für die Verständlichkeit des Dokumentes und der Standard 100-2 als Erweiterung. da dieser für jedes Unternehmen anwendbar sein muss und detailiertere Informationen enthält. 3. forumliert. Mittels Checklisten wird die Analyse der eigenen Situati- on vereinfacht. Anfangs wird das mittel- ständische Unternehmen gut erläutert. wie im Leitfaden oder im Grundschutzprol für Kleinunternehmen. Dennoch wird detailiert beschrieben. 4. Dazu gibt es im GSHB die Prioritäten A.1. Hilfsmittel zur Erstellung einer Sicherheitsrichtlinie Das BSI stellt gewisse Hilfsmittel zur Erstellung einer individuellen Sicherheitsrichtlinie nach dem GSHB zur Verfügung. Dennoch ist es von Vorteil. sich mit den Dokumenten Leitfaden IT-Sicherheit und "BSI-Standard 100-2 beschäftigt zu haben. Durch das Anwendungsbeispiel kann man den IT-Grundschutz ohne gröÿere Probleme in die Praxis umsetzen. trotzdem ist der IT-Grundschutz für den Mittelstrand recht allgemein. Verbesserungs. Beurteilung der Anwendbarkeit des Grundschutzprols Dieser Teilbereich besteht aus der Aufgabe das Dokument mit dem Titel Ein IT-Grundschutz- prol für den Mittelstand auf die zwei PunkteVerständlichkeit Praxisbezug und zu analysieren und den dritten Punkt Verbesserungs. Leitfaden IT-Sicherheit Analog zu der Entwicklung in der Informationstechnik steigen auch die Anforderungen an die Informationssicherheit.beziehungsweise Weiterentwicklungsvorschläge Es wäre hilfreich etwas de- tailierter auf das Anwendungsbeispiel für den Mittelstand einzugehen.B. Zwei dieser Tools werden nun kurz vorgestellt. Verständlichkeit Grundsätzlich ist die Verständlichkeit des Dokumentes gegeben.C und Z. welche Stufen erreicht werden können. Die zu erreichende Qualizierungsstufe ist davon abhängig. diese sind ein Hinweis auf die Umsetzungsreihenfolge der Standardsicherheitsmaÿnahmen. Der IT-Sicherheits Leitfaden des BSI bietet daher eine kompakte Sammlung der wichtigsten Maÿnahmen für Fachverantwortliche und Administratoren in kleinen und mittelständischen Unternehmen sowie in Behörden. Praxisbezug Im Dokument IT-Grundschutz für den Mittelstand ndet sich ein durchgän- giges Anwendungsbeispiel. daher ist der Praxisbezug gegeben. wie die Umsetzung der Standard- sicherheitsmaÿnahmen geschah. wie lange deren Gültigkeit ist und ob diese Stufen verlängerbar sind. hinsichtlich des Standards. 4. Man ndet auch keinerlei Checklisten.

diese Schadensfälle verhindern sollen. 15 . Wichtige Begrie rund um die Informationssicherheit Aufbauend auf den drei Grundwer- te der Informationssicherheit: Vertraulichkeit.wichtigsten organisatorischen. Durch die Anwendung des Leitfadens kann ein vertrauenswürdiges Informationssicherheits- niveau gelegt werden. im vierten Kapitel. sowie eine gewisse Praxistauglichkeit und Kom- fortabilität. Es wird unter anderem angemerkt. der Wichtigkeit und den auftretenden Ne- beneekten. Als Unterpunkte werden der IT-Grundschutz des BSI als Grundlage eines professionellen Sicherheitskonzeptes und dessen Vorteile für die Benutzer. sondern das Informationssicherheit ein Prozess ist. deren Ursachen erläutert und im folgenden Kapitel angemessene Maÿnahmen gesetzt. Der IT-Grundschutz des BSI Ein für sein Unternehmen spezisches Sicherheitskonzept be- darf der Umsetzung bei vertretbaren Kosten. So nicht: Schadensfälle als warnendes Beispiel Kapitel fünf enthält fünf Szenarien die als warnende Beispiele fungieren sollen. Verfügbarkeit und Integrität werden weitere wichtige Begrie erläutert. die Struktur der IT-Grundschutz- Katalaoge und anschlieÿend die Durchführung einer Grundschutzanalyse näher behandelt. Im Hauptteil des Leitfadens wird klar. wichtigen Anmerkungen schenken. referenziert. dass es mehrere neue Rechtsvorschriften gibt. Diese Versäumnisse sind für jedes Unternehmen natürlich separat zu betrachen und somit sind die Sachverhalte auch unterschiedlich zu bewerten. Vorschriften und Gesetzesanforderungen Es wird. wie zum Beispiel auf das Artikelgesetz KonTraG. Auf technische Details wird bewusst verzichtet. infrastrukturellen und technischen Maÿnahmen. warum diese durchgeführt werden sollte. Es wird zu jeder Maÿnahme eine anschlieÿende Begründung angefügt. sowie die Ver- anschaulichung von Gefahren. zeigt das Kapitel acht eine prinzipielle Vorgehens- weise. das GS-Tool. ein Überblick über gesetzliche Regelungen mit Bezug zur Informationssicherheit gegeben. Die häugsten Versäumnisse Häuge Versäumnisse und deren Ursachen ndet man im sechs- ten Kapitel. dass es sich um kein starres Sicher- heitskonzept handelt. Beachtung sollte man auch den zwischen- durch angeführten. Über eine unzureichende Informationssicherheitsstrategie bis hin zum mangelhaften Schutz vor Einbrechern und Ele- mentarschäden werden sieben Punkte behandelt. die der Öentlichkeit noch nicht hinreichend bekannt sind. der ständig auf dem Laufenden gehalten werden muss. dessen Erläuterung. sowie die Vorteile durch die Orientierung an der IT-Grundschutz-Vorgehensweise des BSI. Es sind unter jedem Szenario Maÿnahmen aufgelistet. Informationssicherheit im Fokus Das zweite Kapitel beschäftigt sich ausschlieÿlich mit dem Begri Informationssicherheit. Zu- sätzlich zu den Dokumenten wird auch eine spezielle Software. Wichtige Sicherheitsmaÿnahmen Um den im Kapitel sechs ausgearbeiteten Versäumnissen und Ursachen entgegenzuwirken werden im siebten Kapitel wichtige Sicherheitsmaÿnahmen detailiert erklärt. Da dieses nicht ganz einfach ist. Hinsichtlich Da- tenschutz gibt es für bestimmte Berufsgruppen Sonderregelungen. die bei Anwendung.

also hat es ein Sicherheitskonzept erfolgreich durchgesetzt. diese sich mit Abbildung 5 deckt. dann möchte es sich unter Umständen zertizieren lassen. Es werden zu jedem Punkt weitere Dokumente bzw. Anschlieÿend wird das Verfahren zur Wertefestlegung beschrieben. Nach den Schutzbedarfskategorien erfolgt die Schutzbedarfsfeststellung der ein- zelnen Komponenten. den Schutzbedarf der Informationstechnik zu bestimmen um damit angemessene Sicherheitsmaÿnahmen auswählen zu können. dieser Bereich wird als IT-Verbund festgelegt. Durchgezogen wird das Unternehmen RECPLAST GmbH. Hier kann es oft zu Verwechslungen kommen. Es wird die IT-Grundschutz-Vorgehensweise referenziert. Im zweiten Teil des ersten Kapitels wird die Hilfestel- lung aus dem IT-Grundschutz erklärt und anschlieÿend eine Einführung in den Aufbau des Kurses gegeben. weiterführend werden die notwendigen Informationen über den IT-Verbund und des- sen Komponenten gesammelt. IT-Strukturanalyse Im dritten Kapitel wird zuerst festgelegt welcher Bereich der Informa- tionstechnik in einer Organisation betrachtet werden soll. welche Komponenten zu einer Schutzbedarfsfeststellung gehören. Das letzte Kapitel gibt einen Einblick. wer für das Management der Informations. Der Aufbau des Webkurses besteht grundlegend aus den Inhalten GS-Vorgehensmodells und somit auch aus Teilen des IT-Leitfadens.und IT-Sicherheit zuständig ist und mit welchen Strukturen und Maÿnahmen man ein eektives IT-Sicherheitsmanagement erzielen und dieses aufrechterhalten kann. 16 . Diese Sammlung wird als Strukturanalyse bezeichnet.Standards und Zertizierung der eigenen Informationssicherheit Ist ein Unternehmen bis hierher vorgedrungen. nach welchen Standards Zertizierungen möglich sind. 4. mit Bildern veranschaulichten. Webkurs Grundschutz Der Webkurs bietet einen. warum es wichtig ist IT-Grundschutz einzusetzen. die den Inhalt der Maÿnahmen zusammenfassen und so einen schnellen Überblick ermöglichen. Durch die Abarbeitung der Checkliste wird klar. Anschlieÿend folgt ein kurzes Beispiel über ein Sicherheitskonzept und dessen Inhalt für eine TK-Anlage. Mittels Übungsfragen werden Zusammenhänge werden ver- deutlicht und Gelerntes wiederholt. Das Ziel ist es. Softwarelösungen des BSI referenziert. welche Maÿnahmen noch ausständig sind. da einige bekannte Standards keine Zertizierung in diesem Bereich unterstützen. sowie weiterführende Informationen zu den behandelten Themen. IT-Sicherheitsmanagement In dem zweiten Kapitel des Webkurses wird erklärt. mit Beispielen untermalten.2. Schutzbedarfsfeststellung Zuerst wird im vierten Kapitel geklärt. leichten Einstieg in den IT-Grundschutz. als Beispiel verwendet. Warum IT-Grundschutz Am Beginn des Webkurses erhält man einen Überblick. Anhang Im Anhang des Leitfaden IT-Sicherheit nden sich die oben erwähnten Checklisten. Es handelt sich dabei um zirka 50 Fragen.

Abbildung 5: Vorgehensweise bei der Umsetzung von IT-Grundschutz Modellierung nach IT-Grundschutz Es wird mit der Hilfe des IT-Grundschutz-Katalogs als Bausteinsystem. zum Zug (siehe Abbildung 7). 17 . an- schlieÿend wird ein Beispiel. oder ob noch einige Maÿnahmen nicht umgesetzt wurden. Am Beginn erfolgen einige Hinweise zu den Maÿnahmen. Bieten einzelne Objekte unter Umständen keine hinreichende Sicherheit so kommt ein Entscheidungsprozess. teils organisatorischen Verfahren und teils besonderen Einsatzformen bestehen. dann das Vorgehen des Sicherheitschecks. sowie ein kurzer Test angeführt. Vorab müssen die Strukturanalyse und die Schutzbedarfsfeststellung durchgeführt werden (siehe Abbildung 6). nicht ausreichend oder gar nicht. sowie die Vorgehensweise bei nicht passenden Bausteinen. abgebildet werden können. prüft. die mit IT-Grundschutz-Bausteinen. Das Kapitel beschreibt. Risikoanalyse Das siebten Kapitel beschreibt die Durchführung einer Risikoanalyse. das Bausteine aus teils technische Komponenten. wie man die notwendigen Interaktionen bei erhöhtem Schutzbedarf oder bei Informationstechnik. Abbildung 6: Modellierung nach IT-Grundschutz Basis-Sicherheitscheck Im sechsten Kapitel wird überprüft ob die Informationstechnik aus- reichend gesichert ist. im sechsten Kapitel. ein realer IT-Verbund modelliert. die ergänzende Sicherheitsanalyse.

Zielgruppendenition Ein weiterer Unterpunkt der Teilaufgabenstellung ist die Bewertung der Zielgruppe der beiden oben behandelten Dokumente. wie das gewonnene Sicherheitsniveau auch mittels einem IT-Grundschutz-Zertikat nachgewie- sen werden kann. Abbildung 8: Ablauf der Realisierungsplanung Zertizerung des IT-Sicherheitsmanagements Das letzte Kapitel bietet einen Überblick. für die Umsetzung fehlender Maÿnahmen. werden im achten Kapitel genauer erläutert.3. Welche Zielgruppe wird mit dem Leitfaden IT-Sicherheit und 18 . Es werden unter anderem die Vorteile. 4. Abbildung 7: Ergänzende Sicherheitsanalyse Realisierungsplanung Wichtige Aspekte. sowie der Prozess der Zertizierung erläutert. Es ist sinnvoll wenn sich die Realisierungsplanung an die Reihenfolge von Abbildung 8 hält.

1. Initiierung des Sicherheitsprozesses Im BSI-Standard wird detailiert erklärt. Es wird unter anderem erwähnt. wie die Umsetzung des Managementsystems vom Management beachtet werden muss. Es wird lediglich angemerkt.1. A. wieso es wichtig ist dass die Leitungsebene den Si- cherheitsprozess steuert und warum das Management alle Informationen erhalten muss. Diesem Teil wird im Dokument IT-Grundschutzprol für kleine Institutionen keine Beach- tung geschenkt. Da der Leit- faden sehr kurz gehalten ist. da er aufgrund der Gröÿe der Institution nur wenig Möglichkeiten für die Delegation der Mitarbeiter hat. Anpassung der Schritte aus dem GS-Vorgehensmodell Im folgenden Abschnitt wird erläutert wie die einzelnen Phasen der Erstellung einer Sicher- heitskonzeption nach dem GSHB für die beispielhafte Institution angepasst oder interpretiert wurden. wie oben schon erwähnt auf Fachpersonal und Administratoren für klein und mittlere Unternehmen oder Behörden ausgelegt. dient dieser zur Ausarbeitung und Implementierung eines IT- Sicherheitskonzeptes. Ihnen wird mittels den Beispielen der Grundschutz näher gebracht und die Wichtigkeit dessen Einhaltung mittels Schadensfällen verdeutlicht. 19 .dem Webkurs Grundkurs angesprochen und wie lautet die Begründung? Leitfaden IT-Sicherheit Der Leitfaden ist. die vom Grundschutz- konzept betroen sind. A. dass die Geschäftsführung den Part des IT-Sicherheitsbeauf- tragten übernimmt. Vergleich: Firmenprol für eine kleine Institution A.1. sowie Tests eher für Personen. Webkurs Grundschutz Dieser Kurs ist im Gegensatz zum Leitfaden detailierter und auf- grund beinhalteter Bilder und Beispiele.

in der Leitlinie. dennoch bleibt die Gesamtverantwortung bei der Institutionsleitung. Im Prol für die Kleinunternehmen wurde die IS-Strategie nicht erwähnt. um eine Sicherheitsleitlinie zu erstellen. keine Maÿnahmen vorge- sehen. Keine weiteren Aussagen werdem im Punkto Sicherheitslinie getätigt. sowie die Einführung von neuen IT-Geräten. Vertrauliche Informationen. wie die Bestimmung der Informationssicherheitsziele und die daraus folgenden konkreten Sicherheits- anforderungen. Die Leitlinie soll für jeden Mitarbeiter zugänglich sein. Wichtig sind auch Ände- rungen. Die Leitlinie sollte kontinuierlich überarbeitet und aktualisiert werden. Es wird vom BSI-Standard empfohlen. Es werden zwar Teilaufgaben verteilt. Anschlie- ÿend erfolgt eine Referenz zum Dokument BSISIPOL. Der Geltungsbereich spielt bei der Leitlinie eine wesentliche Rolle. Es fehlen ebenfalls die Informationsziele und die daraus resultierenden Sicherheitsanforderungen. Im Standard scheint ein IS-Management-Team auf. Es wird eine zwei-jährliche Überarbeitung empfohlen. jedoch mindestens aus einem Geltungsbereich. das angestrebte Sicherheitsniveau in Bezug auf die Grundwerte der Informationssicherheit zu bringen. Erstellung einer Leitlinie zur Informationssicherheit Im Standard wird die schriftliche Fi- xierung einer Leitlinie als zentraler Punkt gesehen. Es sollen die IS-Ziele genau beschrieben werden und mit welchen strategischen Mitteln diese erreicht werden wollen. die die Organisationsstruktur betreen. Es wird für eine kleine Institutionen kurz der Begri Sicherheitsleitlinie erläutert. Auf Änderungen in den Geschäftszielen und -prozessen sollte besonders geachtet werden. Unter anderem beschreibt diese zu welchem Zwecke und mit welchen Mitteln und mit Strukturen die Informationssicherheit innerhalb der Institution hergestellt werden soll. um so ein angemessenes Sicherheitsniveau für besonders hervorgehobene Geschäftsprozesse bestimmen zu können. müssen als vertraulich gekennzeichnet werden. Zielen. Es ndet sich im Standard eine genaue Aufgabenverteilung für die verschiedenen Rollen.Konzeption und Planung des Sicherheitsprozesses Die Planung des Sicherheitsprozesses selbst und eine angemessene IS-Strategie sind ebenso im BSI-Standard 100-2 angeführt. 20 . da diese Insitutionsweit oder nur auf wesentliche Teile der Insitution zutreen kann. Im Firmenprol für eine kleine Institution sind zu diesem Punkt. das Informationen der IS-Leitlinie aus- arbeitet. Weiters wird noch ein kurzes Beispiel genannt um die praktische Umsetzung zu verstehen. Sicherheitsstrategie und einer Organisationsstruktur bestehen. Organisation des Sicherheitsprozesses Der BSI-Standard beschreibt detailiert die Organi- sation des Sicherheitsprozesses und wie wichtig es ist. genaue Rollen innerhalb der Institution zu denieren. Die Leitlinie sollte nicht mehr als 20 Seiten umfassen.

21 . Es wird lediglich auf Beispiele und Checklisten verwiesen. Aufgrund dessen werden Standard-Sicherheitsmaÿnahmen empfohlen. Es ist in dem Prol für kleine Institutionen nur das wesentlichste Zusammengefasst. so dass sie aufeinander aufsetzen können. Die Denition des Geltungsbereiches wird in dem Prol für kleine Insitutionen vernachlässigt. Im IT-Grundschutz wird der Geltungsbereich als IT-Verbund bezeichnet. Heute ist eine starke Vernetzung von IT-Systemen üblich. eine Vorgehensweise zur Erzielung eines normalen Si- cherheitsniveaus anzubieten. daher bietet sich ein Netztopologieplan als Ausgangsbasis für die weitere technische Analyse an. Dies kann auch als Basis für ein höheres Sicherheitsniveau dienen. Es muss zunächst der Bereich festgelegt werden. deren Anwendung und die Analyse beziehungsweise Dokumentation der Informationstechnik tragen zu der Struktur- analyse bei.2. Im Firmenprol für eine kleine Institution sind weder Inhalte von der Organisation des Sicherheitsprozesses noch deren Rollen zu nden. A. Abbildung 9: Sicherheitskonzeption Denition des Geltungsbereichs Oft erfolgversprechend sind viele kleine Schritte und ein langfristiger und kontinuierlicher Verbesserungsprozess. Strukturanalyse Das Zusammenspiel der typischen Geschäftsprozesse.1. diese sind in Bausteine unterteilt. Anbei ndet man auch die Abbildung 9. für den die Konzeption erstellt wird. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz Ein Ziel des IT-Grundschutzes ist es.

die verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und ange- messen ist. Sicherheitsaspekte werden dabei nach Themen gruppiert betrachtet. Dieses Kapitel wird sehr kurz gehalten. Es folgt die anschlieÿende Modellierung eines Informations- verbunds. die Gefährdungskataloge sowie die Maÿnahmenkataloge erläutert. Es folgt die Risikoanalyse auf der Basis des IT-Grundschutzes. Auswahl und Anpassung von Maÿnahmen Nachdem die Strukturanalyse und die Schutzbe- darfsfeststellung vorliegen. ein Teil der IT-Sicherheitskonzeption. Einen Basis-Sicherheitscheck gibt es für die kleinen Institutionen nicht. Das Ergebnis ist ein IT-Grundschutz-Modell des Informationsverbunds aus mehreren Bau- steinen. Auch bei der Schutzbedarfsfeststellung wird nur ein sehr kleiner Einblick in die Materie gegeben. welcher Schutz für die Geschäftsprozesse. der individuell angepasst werden kann. Basis-Sicherheitscheck Organisatorische Vorarbeit und die dazugehörigen Aktionspunkte de- nieren den Sicherheitscheck im Standard. Es wird hier eine Selbstüberprüfung angemerkt. Ein Soll-Ist-Vergleich dient zur Ermittlung des Um- setzungsstatus. Ergänzende Sicherheitsanalyse Die Standard-Sicherheitsmaÿnahmen sind in der Regel für normale Geschäftsprozesse. Anschlieÿend wird eine Kosten- 22 . Schutzbedarfsfeststellung Es wird ermittelt. Es wird als Beispiel ein Pass verwendet. es wird durch Beispiele erläutert. Anschlieÿend wird mittels Aktionspunkten die Auswahl und Anpassung der Maÿnahmen behandelt. wird der IT-Verbund mit Hilfe der vorhandenen Bausteine abgebil- det. Fehlende oder nur teilweise umge- setzte Maÿnahmen werden tabellarisch festgehalten und anschlieÿend konsolidiert. In diesem Kapitel werden noch genauer die Bausteine. Andwendungen und IT-Systeme ausreichend. Anbei ist die Erläuterung durch Beispiele gegeben. Eine ent- sprechende Dokumentation ist für den Erfolg auschlaggebend. Dieses Kapitel wird Modellierung genannt. Umsetzung der Sicherheitskonzeption Untersuchungsergebnisse werden gesammelt und gesichtet. Die Schutzbedarfskategorien bestehen nur aus normalen und hohen Schutzbedarf. wie im Standard angeführt. es hat sich die Einteilung in drei Schutzbedarfskategorien bewährt. wie die Bausteine anzuwenden sind.1. Folgeschäden müssen realistisch eingesetzt werden. Das Ergebnis ist. Wichtig und als eigener Punkt aufgeführt ist die Dokumentation.3. Unter anderem wird im Standard der zweistuge Ansatz der IT-Grundschutz-Vorgehensweise und die Vorgehens- weise zur ergänzenden Sicherheitsanalyse genauer beschrieben und mit einem Beispiel verse- hen. A. Die Auswahl und Anpassung der Maÿnahmen ist nicht detailiert beschrieben.

Dennoch ist es von Vorteil. Der Leitfaden dient hier sozusagen als Basis für die Verständlichkeit des Dokumentes und der Standard 100-2 als Erweiterung. 23 . Es folgt die Festlegung der Umsetzungsreihenfolge der Maÿnahmen. Zum Thema Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit sind keine Angaben in dem Prol für kleine Insitutionen. Verständlichkeit Grundsätzlich ist die Verständlichkeit des Dokuments gegeben.1.2.Aufwandschätzung getätigt. wie der Informationsuss in der Institution auszusehen hat. Es folgt die Überprüfung der Sicherheitsmaÿnahmen. sowie die der Sicherheitsziele.5. A. die für eine Überprüfung des Informationssicherheitsprozesses wichtig sind. wobei das Risiko einer nicht oder nur teilweise umgesetzten Maÿ- nahme ersichtlich ist. da dieser für jedes Unternehmen anwendbar sein muss und detailiertere Informationen enthält.1. realisierungsbegleitende Maÿnahmen und eventuelle Sensibilisierungsmaÿnahmen. Zertizierung nach ISO 27001 auf der Basis von IT-Grundschutz Im BSI-Standard 100-2 beinhaltet die Vorteile einer ISO 27001-Zertizierung. Der ergänzenden Sicherheitsanalyse. sowie der Umsetzung der Sicherheitskonzeption wird hier wenig Beachtung geschenkt. A. Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit Überprüfung des Informationssicherheitsprozesses in allen Ebenen Es werden Methoden angeführt. Unter anderem wie Berichte und Do- kumentation gehandhabt werden oder wie die Meldewege aussehen müssen. Die Zertizierung wird bei den kleinen Institutionen völlig auÿer Acht gelassen. Die Grundlage auf der Basis des IT-Grundschutz bildet die Durchführung eines Audits.4. Diese Ergebnisse werden in den Informationsprozess übernommen.beziehungsweise Weiterentwicklungsvorschläge zu erarbeiten. Beurteilung der Anwendbarkeit des Grundschutzprols Dieser Teilbereich besteht aus der Aufgabe das Dokument mit dem Titel Ein IT-Grundschutzprol für eine kleine Institution auf die zwei Punkte Verständlichkeit und Praxisbezug zu analy- sieren und den dritten Punkt Verbesserungs. sich mit den Dokumenten Leitfaden IT-Sicherheit und BSI-Standard 100-2 beschäftigt zu haben. Informationsuss im Informationssicherheitssystem Auch ist im Standard festgehalten. Man ndet stattdessen einige Umsetzungsbeispiele. A. Es werden zusätzlich die Aktionspunkte für eine Zertizierung aufgezeigt.

21 Literatur [BSI] BSI. . . . . . . .bsi. . . . . . . . . . . 13 5. . . . . . . . . 4 2. . . .bund. . . . Bundesamtfür Sicherheit in der Informationstechnik: IT-Grund- schutz . . . . Verbesserungs. . . Vorgehensweise bei der Umsetzung von IT-Grundschutz . . . Modellierung nach IT-Grundschutz . . . . . . 10 4. . . .beziehungsweise Weiterentwicklungsvorschläge Aus unserer Sicht gibt es keine Verbesserungsvorschläge. . . . . .: Informationssicherheitsmanagement / Sichere Infor- mationssysteme. . . . . . . . . .de/cln_183/DE/Themen/ITGrundschutz/ itgrundschutz_node.Praxisbezug Im Dokument IT-Grundschutz für eine kleine Institution ndet sich ein durch- gängiges Anwendungsbeispiel. . . 18 9. . . . . Erstellung der Sicherheitskonzeption im Informationssicherheitsmanagement . . . . . FH Hagenberg. 17 7. . . . . . . . .  Skriptum 24 . . . 17 6. Darstellung des Sicherheitsprozesses . . 2009. . . . . . Ablauf der Realisierungsplanung . Abruf: 18. 18 8. . . . . . . . Übersicht der Umsetzungsphasen . Sicherheitskonzeption . DI Dr. dieses wird am Anfang des Dokumentes recht gut erläutert. . Abbildungsverzeichnis 1. . . . . . . . . . . . . . . . . . . . . . . . . . mittels dieser ein Sicherheitskonzept für kleine Unternehmen sehr gut in die Praxis umsetzbar ist. . . . . . . . . . . . . . . . .html. . . . . . . . . . . Dezember 2009 [SB09] Schaumüller-Bichl. . . . . . . https://www. . . Netzplan des beispielhaften IT-Verbunds . . . . . Ergänzende Sicherheitsanalyse . . 6 3. . . . . . . . . . . . . . . I. . . . . . . . . . . . . . Das Anwendungsbeispiel wird laufend als Beispiel herangezogen und am Ende des Dokuments be- nden sich eine Checkliste und Maÿnahmen. . . . . .