Das IT-Grundschutz-Kompendium als Compliance-Werkzeug

15.04.2020

In seiner Ausgabe 5/2020 hat der Sicherheits-Berater ab Seite 85 anlässlich der Veröffentlichung der 3. Edition 2020 des IT-Grundschutz-Kompendiums die Vorgehensweise zur Absicherung eines Informationsverbunds dargestellt. Nachfolgender Text liefert nun einen Überblick über Aufbau und Struktur des IT-Grundschutz-Kompendiums. Dieses ist als Teil des IT-Grundschutzes ein Werkzeug zur Initiierung, Planung, Umsetzung und Überprüfung der Informationssicherheit und somit auch der Compliance (Einhaltung von Gesetzen, Richtlinien und freiwilligen Kodizes) eines Unternehmens. Zu finden ist das frei erhältliche Kompendium, Stand 2020, auf www.bsi.bund.de (Kurzlink: https://bit.ly/2Jgry14).

Das IT-Grundschutz-Kompendium ist sehr strukturiert aufgebaut. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat viel Wert darauf gelegt, das 818 Seiten starke Dokument selbsterklärend aufzubauen, was sehr gut gelungen ist. Zunächst wird der Stellenwert von Informationssicherheit, Ziel, Idee und Konzeption des IT-Grundschutzes sowie die Methodik zur Anwendung des Kompendiums erläutert. Im Anschluss daran sind die elementaren Gefährdungen aufgeführt, die es für die Durchführung der Risikoanalyse bedarf. Nach Lektüre dieser ersten 100 Seiten sowie etwas Übung und Erfahrung mit dem Kompendium ist man in der Lage, schnell auf Informationen zuzugreifen und die Inhalte der Bausteine richtig interpretieren und anwenden zu können.

Mit ebendiesen Bausteinen sind die letzten ca. 718 Seiten gefüllt. Diese stellen eine Beschreibung der betrachteten Komponenten, Vorgehensweisen und IT-Systemen dar, bieten einen Überblick über die für die jeweils zutreffenden Gefährdungen und weisen konkrete Anforderungen zur Absicherung aus.

Historisch betrachtet ist aus den IT-Grundschutz-Katalogen das IT-Grundschutz-Kompendium und aus dem Schichtenmodell sind nun Prozess- und Systembausteine geworden.

Bildquelle: VZM GmbH

Die Struktur des IT-Grundschutz-Kompendiums kann man sich wie ein Haus vorstellen, dass aus jeweils fünf Prozess- und Systembausteinen konstruiert ist. Das Fundament besteht aus den Bausteinen Detektion und Reaktion (DER), das Dach aus dem Baustein Informationssicherheitsmanagementsystem (ISMS). Unter dem Dach sind die drei weiteren Prozessbausteine Organisation und Personal (ORP), Konzepte und Vorgehensweise (CON) sowie Betrieb (OPS) angesiedelt. Das Erdgeschoss des Hauses besteht aus den Systembausteinen Anwendungen (APP), IT-Systeme (SYS), Industrielle IT (IND), Netze und Kommunikation (NET) sowie Infrastruktur (INF).

Ein Baustein umfasst in der Regel etwa 10 Seiten. Der Aufbau ist immer identisch:

  • Beschreibung
    mit Einleitung, Zielsetzung, Abgrenzung und Hinweisen zur Modellierung
  • Gefährdungslage
    mit spezifischen Bedrohungen und Schwachstellen
  • Anforderungen
    mit einer Darstellung der typischerweise zuständigen Rollen und Auflistung der Anforderungen, unterteilt in

    • Basis-Anforderungen
    • Standard-Anforderungen
    • Anforderungen bei erhöhtem Schutzbedarf

  • Weiterführende Informationen
  • Kreuzreferenztabelle zu elementaren Gefährdungen

Als Hilfestellung zur Etablierung und schnellen Umsetzung von Informationssicherheit und deren Management sind in Kapitel "Schichtenmodell und Modellierung" Hinweise für eine zeitliche Umsetzungspriorisierung von Bausteinen gegeben.

Des Weiteren ist es wichtig, die Modalverben MUSS / DARF NUR, DARF NICHT / DARF KEIN richtig zu interpretieren: Derart beschriebene Anforderungen sind uneingeschränkt umzusetzen bzw. sind uneingeschränkt verboten.

Anders verhält es sich bei den Modalverben SOLLTE / SOLLTE NICHT / SOLLTE KEIN. Solche Anforderungen sind nicht zwingend zu erfüllen, deren Umsetzung oder eben Nichtumsetzung ist sorgfältig abzuwägen und stichhaltig zu begründen.

Die in den Bausteinen beschriebenen Anforderungen dienen dazu, die Schutzziele der Informationssicherheit – Verfügbarkeit, Vertraulichkeit und Integrität – zu erhöhen, zielen aber oftmals nicht auf ein bestimmtes Schutzziel ab, sondern helfen dabei, mehrere Schutzziele zu erfüllen. Daher ist bei den Basis- und Standard-Anforderungen kein Hinweis zu finden, welche Schutzziele bedient werden. Anders verhält es sich bei den Anforderungen bei erhöhtem Schutzbedarf. Zu letztgenannten Anforderungen findet man in der Kreuzreferenztabelle am Ende eines jeden Bausteins einen Hinweis, welche Schutzziele durch die Anforderung bedient werden.

Interessant ist hier noch, dass die Schutzziele in englischer Sprache abgekürzt werden, obwohl BSI-Standards und IT-Grundschutz-Kompendium in Deutsch verfasst sind:

  • C – Confidentiality – Vertraulichkeit
  • I – Integrity – Integrität
  • A – Availability - Verfügbarkeit

Ergänzend zum IT-Grundschutz-Kompendium stellt das BSI auf dessen Internetseite zu vielen Bausteinen weitergehende Umsetzungshinweise bereit, die Maßnahmen für einzelne Phasen des Lebenszyklus näher erläutern:

  1. Planung und Konzeption
  2. Beschaffung
  3. Umsetzung
  4. Betrieb
  5. Aussonderung
  6. Notfallvorsorge

Diese Umsetzungshinweise bieten nochmals weitergehende Informationen zu alten IT-Grundschutz-Bausteinen, Studien, Herstellerdokumentation usw.

: : : Lutz Rossa : : :


Dieser Beitrag ist Bestandteil von: