Schulungsunterlagen IT-Grundschutz nach BSI

Robert M. AlbrechtCreative Commons by-nc-sa

The audience is listening.

IT-Grundschutz nach BSI

Robert M. Albrecht

Agenda

• Was ist das BSI ?

• Warum IT-Grundschutz ?

• Was kann IT-Grundschutz und was nicht ?

• Systematik und Vorgehen

• Ein wichtiges Hilfsmittel: Das GS Tool

Was ist das BSI ?

• Bundesamt für Sicherheit in der Informationstechnik heute angesiedelt im Bundesministerium des Innern früher im Bundesnachrichtendienst

• Nachfolger der Zentralstelle für das Chiffrierwesen und der Zentralstelle für Sicherheit in der Informationstechnik

• 400 Leute1991 Gegründet

• http://www.bsi.bund.dehttp://www.bsi-fuer-buerger.de/http://www.buerger-cert.de/

Zum Begriff des IT-Sicherheitskonzeptes

• Sicherheit ist integraler Bestandteil des gesamten Lebenszyklus: Entwurf / Architektur, Entwicklung, Betrieb und Stilllegung

• Keine Trennung zwischen Betriebskonzept und Sicherheitskonzept !

• Merke: Es gibt nur einen sicheren Betrieb !

• Wenn man die beiden trennt, zieht man eine künstliche Mauer und schafft zusätzliche Probleme.

• Datenschutz und IT-Sicherheit sind nicht das gleiche, manchmal stimmen deren Ziele und Methoden überein, manchmal aber auch nicht. Das BSI arbeitet an der Integration des Datenschutzes.

Die Ausgangslage

Beobachtung

IT-Sicherheit wird üblicherweise vernachlässigt.

Frage

Warum ?

These

Es ist zu kompliziert.

Beweis

SUSI: Wo sind die Sicherheitskonzepte ?

All show no go ?

These

Wird es einfacher, wird es mehr gemacht und das Niveau steigt insgesamt. Lieber viele Systeme mit einem

tatsächlich umgesetzten Grundschutz, als viele Systeme mit anspruchsvollen, aber nicht umgesetzten Zielen.

Die Lösung

Vereinfachung

Mehr Schutz durch Vereinfachung

• Basis eines IT-Grundschutzkonzepts ist der initiale Verzicht auf eine detaillierte Risikoanalyse. Es wird von pauschalen Gefährdungen ausgegangen und dabei auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit verzichtet.

• Das IT-Grundschutzhandbuch bietet ein Kochrezept für ein normales Schutzniveau (der Grundschutz). Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt. Durch die Verwendung des Grundschutzhandbuches entfällt eine aufwändige Sicherheitsanalyse, die Expertenwissen erfordert, da anfangs mit pauschalisierten Gefährdungen gearbeitet wird. Auch als Laie ist es möglich die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.

Ziel des IT-Grundschutzes

• Durch Standard-Maßnahmen in den Bereichen Organisation, Personal, Technik und Übergreifendes wird Gefährdungen begegnet und dadurch ein Standard-Sicherheitsniveau (IT-Grundschutz) erreicht.

• Für sensiblere Bereiche wird eine stabile Basis gelegt. Das notwendige Vorgehen wird durch eine ergänzende Sicherheitsanalyse ermittelt (BSI-Standard 100-3).

• Einhalten gesetzlicher Vorgaben.

Sic

her

hei

tsn

ivea

u

Sicherheitsaspekte

normaler

Schutzbedarf

Beispiele: Gesetzliche Vorgaben

• Gesetz zur Kontrolle und Transparenz im Unternehmens-bereich (KonTraG §91)

• BundesdatenschutzgesetzSchutz von personenbezogenen Daten durch technische und organisatorische Maßnahmen z.B. durch Kontrolle von Zutritt, Zugang, Zugriff, Wiedergabe, Eingabe, Auftrag, Verfügbarkeit

• FernmeldegeheimnissGrundgesetz Artikel 10

• Telekommunikationsgesetz (TKG) §81 Absatz 1 Schutz von Telekommunikationsanlagen

• Telemediengesetz (TMG) §13Gegen Kentnissnahme Dritter geschützte Inanspruchnahme. Speicherung nur für Ab-rechnungszwecke, Verbot der Auswertung von Pseudonymen

• Kreditwesengesetz (KWG) §44

• Basel II

Beispiele: Gesetzliche Vorgaben

• Handelsgesetzbuch (HGB) §238Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS); Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterschriften (GDPdU)

• Vorsteuerabzug: Seit dem 01.01.2002 berechtigen elektronisch ausgestellte Rechnung dann zum Vorsteuerabzug, wenn sie mit einer qualifizierten elektronischen Signatur versehen sind.

• Rechnungssignatur: Nach Umsatzsteuergesetz §14 Absatz 3 müssen elektronisch übermittelte Rechnungen die Echtheit der Herkunft und die Unversehrtheit gewährleisten. Hier ist die qualifizierte elektronische Signatur unbedingt erforderlich.

• Sarbanes-Oxley Act (SOX)Unternehmensberichterstattung für an US-Börsen gehandelte Unternehmen und deren Töchter

Beispiele: Gefährdungen

• Höhere Gewalt: Feuer, Wasser, Blitz, Grippewellen, Gotteszorn

• Organisatorische Probleme: Unklare Zuständigkeiten,

• Menschen (unabsichtlich): Fehlbedienung, mangelnde Ausbildung, wenig Erfahrung, Zeitdruck,

• Menschen (absichtlich): Sabotage, Spionage, …

• Technisches Versagen: Soft- und Hardware-Defekte

Bedeutung der Gefahrenbereiche (KES 2006)

Beispiel: Fehlende Software-Tests

• Informationweek, April 2001Chaos bei British AirwaysEin Fehler beim Software-Update führte zum Systemabsturz: Weltweit mussten Fluggäste warten.

• Das British Airways Booking-System (BABS) brach am 13. März 2001 zusammen. Bildschirme flackerten – Flüge fielen aus. Das Bodenpersonal war gezwungen, die Tickets per Hand auszustellen.

Beispiel: Phising

• Ein speziell entwickelter Trojaner wurde an Salesforce.com und einige Banken per Mail geschickt.

• Das Öffnen dieser Mail eines einziges Anwenders führte zu einem „Verlust“ der Kundendatenbank.

• http://trust.salesforce.com/security.html

Beispiel: Menschliche Fehler

Mangelhafte Administration

Das Grundschutzhandbuch

Das Grundschutzhandbuch

• http://www.bsi.de/gshb/

• Erstmals erschienen 1995 mit 200 Seiten. Heute 3600 Seiten, A4, 4 Ordner.

• Drei große Kapitel (BSI-Standards):100-1: Managementsysteme für Informationssicherheit (ISO27001)100-2: Vorgehensweise nach IT-Grundschutz 100-3: Risikoanalyse auf der Basis von IT-Grundschutz100-4: Notfallmanagement (ISO20000 / Basel II; noch in Arbeit)

BSI-Standard 100-1

• Beschreibt, wie ein Information Security Management System (ISMS) aussieht:

• Welche Rollen gibt es ?

• Welche Aufgaben gibt es ?

• Wer trägt welche Verantwortung wofür ?

• Welche Dokumente gibt es ?

BSI-Standard 100-2

• Beschreibt, wie das in BSI 100-1 beschriebene ISMS in die Praxis umgesetzt wird:

• Aufgaben des IT-SicherheitsmanagementsEtablierung einer IT-Sicherheitsorganisation

• Erstellung eines IT-Sicherheitskonzepts Auswahl angemessener IT-Sicherheitsmaßnahmen

• IT-Sicherheit aufrecht erhalten und verbessern

• Hinweise zur Umsetzung mit Hintergrund Know-how und BeispielenVerweis auf IT-Grundschutz-Kataloge zur detaillierten (auch technischen) Umsetzung

BSI-Standard 100-3

• Beschreibt, wie man eine Risikoanalyse für Systeme mit erhöhten Anforderungen erstellt.

• Für diese Systeme stellt der BSI IT-Grundschutz nur die Grundlage dar.

IT-Grundschutz in der Praxis

• Einmalig BSI 100-1: Teilweise von der Unternehmenssicherheit vorgegeben. Einige Dinge existieren normalerweise: - Virenschutzkonzept - WLAN-Konzept - Firewall-Policy Eine ganze Menge fehlt aber häufig auch.

• Tägliche Arbeit: BSI 100-2 und später mal 100-4

• BSI 100-3 (Risikoanalyse für besonders gefährdete IT-Systeme) ist für viele Betriebe nicht interessant, da üblicherweise keine IT-Anwendungen existieren, deren Ausfall (objektiv) existenzbedrohende Folgen hat.

BSI-Standard 100-2: Ablauf

Normal Sehr / Hoch

BSI-Standard 100-2

• Teilaufgaben- Erstellung bzw. Aktualisierung eines Netzplans- Erhebung der IT-Systeme (Tabelle)- Erfassung der IT-Anwendungen und der zugehörigen Informationen (Tabelle)

• Gleichartige Komponenten sollten zu einer Gruppe zusammengefasst werden:- gleicher Typ- gleiche oder nahezu gleiche Konfiguration- gleiche oder nahezu gleiche Netzanbindung- gleiche Rahmenbedingungen- gleiche Anwendungen

BSI-Standard 100-2

• IT-Systeme sind nicht nur Computer, sondern auch- aktive Netzkomponenten- Netzdrucker- TK-Anlagen etc.

• Insbesondere sind auch nicht vernetzte IT-Systeme und IT-Systeme, die nicht im Netzplan enthalten sind, zu berücksichtigen.

• Diejenigen IT-Anwendungen des jeweiligen IT-Systems,- deren Daten bzw. Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen,- deren Daten bzw. Informationen und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) besitzen,- die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben, müssen erfasst werden.

BSI-Standard 100-2: Schutzbedarfsfeststellung

• Schutzbedarf ist meist nicht quantifizierbar, daher Beschränkung auf drei Kategorien

Schutzbedarfskategorie

Normal Die Schadensauswirkungen sind begrenzt und überschaubar.

Hoch Die Schadensauswirkungen können beträchtlich sein.

Sehr hoch Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

BSI-Standard 100-2

• MaximumprinzipAuf einem IT-System können mehrere Anwendungen laufen. Im Wesentlichen bestimmt der Schaden mit den schwerwiegendsten Auswirkungen den Schutzbedarf des IT-Systems.

• KumulationseffektDurch Kumulation mehrerer (z.B. kleinerer) Schäden entsteht ein insgesamt höherer Gesamtschaden. Der Schutzbedarf des IT-Systems erhöht sich dann entsprechend.

• VerteilungseffektEine IT-Anwendung überträgt ihren hohen Schutzbedarf nicht auf ein IT-System, weil auf diesem IT-System nur unwesentliche Teile der IT-Anwendung laufen. Bei redundanter Systemauslegung ist der Schutzbedarf der Einzelkomponenten niedriger als der Schutzbedarf der Gesamtanwendung.

BSI 100-2 Schichtenmodell

SCHICHT V

ÜBERGREIFENDE ASPEKTE

INFRASTRUKTUR

IT-SYSTEME

NETZE

ANWENDUNGEN

SCHICHT IV

SCHICHT III

SCHICHT II

SCHICHT I

BSI-Standard 100-2: Struktur & Modellierung

• Beispiel für einen Baustein: Client Windows XP

• http://www.bsi.de/gshb/deutsch/baust/b03209.htm

• Beispiel für eine Gefährdung:

• http://www.bsi.de/gshb/deutsch/g/g04023.htm

• Beispiel für eine Maßnahme:

• http://www.bsi.de/gshb/deutsch/m/m04057.htm

BSI-Standard 100-2: Maßnahmen-Status

• Entbehrlich: Umsetzung ist nicht notwendig, da Gefährdungen durch andere adäquate Maßnahmen entgegengewirkt wird. Oder ist nicht relevant, weil z. B. Dienste nicht aktiv sind.

• Ja: Alle Empfehlungen sind vollständig und wirksam umgesetzt.

• Teilweise

• Nein: Keine Zertifizierung möglich.

Das GS Tool

GS Tool

• Das GSTOOL ist eine Software zur Unterstützung bei der Anwendung des IT-Grundschutzes:

• Erfassung von IT-Systemen, Anwendungen usw.

• Auswahl der Bausteine (Modellierung)

• Basis-Sicherheitscheck, unterstützt dieIT-Grundschutz Zertifizierung

• Revisionsunterstützung, Berichterstellung

GS Tool

Robert M. Albrechtromal@gmx.de