Neues in der 13. Ergänzungslieferung der IT-Grundschutz-Kataloge

Bedarfsorientierte Weiterentwicklung

Aufgrund der jährlichen Bedarfsabfrage bei registrierten Anwendern wurden die IT-Grundschutz-Kataloge bedarfsorientiert weiterentwickelt. Die neuen und überarbeiteten Bausteine befassen sich mit folgenden Themen:

Allgemeines Gebäude

Der Baustein B 2.1 Allgemeines Gebäude wurde auf Basis des Vorgängerbaustein komplett überarbeitet, so dass er jetzt als grundlegender Baustein im Bereich Infrastruktur der Ausgangspunkt für alle anderen Bausteine der Schicht 2 darstellt. Der Baustein umfasst den Schutz von allen Bauwerken, die einen äußeren Rahmen bilden, um Geschäftsprozesse durchführen zu können. Ein Gebäude umgibt die stationären Arbeitsplätze, die verarbeiteten Informationen, die anderen Ressourcen einer Institution inklusive der aufgestellten Informationstechnik und muss für diese einen angemessenen äußeren Schutz gewährleisten.

Überarbeitung Lokaler Arbeitsplatz

Zusammen mit dem Baustein B 2.1 Allgemeines Gebäude wurde mit derselben Ausrichtung auch der Baustein B 2.3 Büroraum / Lokaler Arbeitsplatz überarbeitet. Im Fokus stehen hier nicht nur Büroräume, lokale Arbeitsplätze sind die, je nach Institution sehr unterschiedlichen Bereiche, in denen sich Mitarbeiter aufhalten, um dort ihre Aufgaben zu erledigen. Dies können auch Produktionsumgebungen oder Verkaufsbereiche sein.

Windows Server 2008

Windows Server 2008 von Microsoft kann als Betriebssystem für Server mit unterschiedlichen Aufgaben eingesetzt werden, vom Windows-Domänencontroller über Active Directory Server und Datenbankserver bis hin zu Anwendungsservern oder Infrastrukturdiensten wie DHCP, DNS oder VPN. Im Baustein B 3.109 Windows Server 2008 wird ein systematischer Weg aufgezeigt, wie ein Konzept zum sicheren Betrieb von Servern unter Windows 2008 innerhalb einer Institution erstellt werden kann.

Client unter MAC OS X

Der Baustein B 3.211 Client unter Mac OS X behandelt das Client-Betriebssystem Mac OS X der Firma Apple. Die Grundlage dieses Bausteins ist die Client-Version "Snow Leopard" (Mac OS 10.6), jedoch kann er auf alle Versionen von Mac OS X angewendet werden, in denen die behandelten Softwarekomponenten (z. B. FileVault ab Version 10.3, Dashboard ab Version 10.4 oder Time Machine ab Version 10.5) vertreten sind.

Client unter Windows 7

Der Baustein B 3.212 Client unter Windows 7 ergänzt die Reihe von Bausteinen, die sich mit dem sicheren Einsatz von Windows-Betriebssystemen auf Client-PCs beschäftigen. Der vorliegende Baustein behandelt das Client-Betriebssystem Windows 7. Hier wird der Anwender auf konzeptionelle Sicherheitsaspekte, aber auch auf Sicherheitsempfehlungen zu konkreten Konfigurationseinstellungen hingewiesen.

Überarbeitung Lotus Notes/Domino

Lotus Notes stellt eine Groupware-Plattform zur Kommunikation, Zusammenarbeit und zum Informationsmanagement dar. Der Baustein B 5.5 Lotus Notes/Domino wurde überarbeitet. Dabei wurde den Änderungen der Software Rechnung getragen und insbesondere die Releases 8.0.x und 8.5.x in den Fokus genommen. Die meisten Betrachtungen sind jedoch auch für frühere Releasestände anwendbar.

Überarbeitung Microsoft Exchange/Outlook

Microsoft Exchange ist ein Groupware-System, das zusammen mit dem E-Mail-Client Outlook den Kommunikationsaustausch in großen und kleinen Gruppen unterstützt. Der Baustein B 5.12 Microsoft Exchange/Outlook wurde überarbeitet. Die Empfehlungen dieses Bausteins fokussieren auf die Funktionen von Microsoft Exchange 2010 bzw. Microsoft Outlook 2010 beziehen, können in ähnlicher Form aber auch für Vor- und Nachgängerversionen verwendet werden.

OpenLDAP

Im Baustein B 5.20 OpenLDAP werden die grundsätzlichen Sicherheitseigenschaften von OpenLDAP betrachtet. OpenLDAP ist ein frei verfügbarer Verzeichnisdienst, der in einem IT-Netz Informationen über beliebige Objekte, beispielsweise Benutzer oder Computer, in einer definierten Art zur Verfügung stellt.

Webanwendungen

Um Webanwendung angemessen abzusichern, wurde der Baustein B 5.21 Webanwendungen unter Mitarbeit des German Chapter des Open Web Application Security Project (OWASP) entwickelt. Webanwendungen werden immer häufiger Ziele von Angriffen und zugleich werden immer mehr Services über Webanwendungen angeboten. Dieser von vielen IT-Grundschutz-Nutzern gewünschte Baustein gibt sehr konkrete und ausführliche Empfehlung zur Absicherung von Webanwendungen.

Protokollierung

Der Baustein B 5.22 Protokollierung beschreibt, was bei der Aufzeichnung von sicherheitsrelevanten Ereignissen beachtet werden muss. Ziel der Protokollierung ist es, wesentliche Veränderungen an IT-Systemen und Anwendungen beobachten zu können, um deren Sicherheit nachvollziehen zu können. Eine Protokollierung wird in vielen Informationsverbünden eingesetzt, um Hard- und Softwareprobleme sowie Ressourcenengpässe zeitnah entdecken zu können. Aber auch Sicherheitsprobleme und Angriffe auf die betriebenen Dienste können anhand von Protokolldaten nachvollzogen werden.

Neue Maßnahmen und Gefährdungen

Außerdem sind verschiedene neue Maßnahmen und Gefährdungen aufgenommen worden, beispielsweise zu den Themen

Baustein B 1.5 Datenschutz

Der Baustein B 1.5 Datenschutz war bisher nicht unmittelbar in die IT-Grundschutz-Kataloge integriert, sondern konnte bei Bedarf ausgedruckt in die Lose-Blattsammlung einsortiert und als Modul in das GSTOOL geladen werden. Die Aufbereitung und Nutzung dieses Bausteins wird aber durch eine vollständige Integration in die IT-Grundschutz-Kataloge deutlich vereinfacht und wird daher mit dieser Ergänzungslieferung umgesetzt. Der Baustein ist aber weiterhin kein notwendiger Bestandteil einer Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz.

Bausteine entfernt

Neben verschiedenen Bausteinen, die der 13. Ergänzungslieferung hinzugefügt wurden, wurden auch Bausteine entfernt, und zwar die Bausteine B 3.105 Server unter Novell Netware Version 4.x, B 3.106 Server unter Windows 2000 und B 3.207 Client unter Windows 2000. Für Anwender, die diese alten Versionen noch einsetzen oder diese als Grundlage für die Erstellung von Sicherheitsbetrachtungen der neueren Versionen nutzen wollen, werden die Bausteine weiterhin zum Download unter den Hilfsmitteln zum IT-Grundschutz zur Verfügung stehen.

Prüffragen

Mit der 13. EL wurden durchgängig für alle Bausteine Prüffragen eingeführt. Am Ende der meisten Maßnahmen finden sich Prüffragen. Diese sind so formuliert, dass sie als letzte Checkliste benutzt werden können, um die Umsetzung der Maßnahmen kontrollieren zu können. Sie geben Ziel und Grundrichtung der Sicherheitsempfehlungen vor und können damit als Basis für Revisionen und Zertifizierungsaudits benutzt werden. Nach der Beantwortung der Prüffragen kann eine Aussage getroffen werden, in wieweit in der Institution die Ziele der einzelnen Bausteine erfüllt wurden.

Nicht alle Maßnahmen haben zwingend Prüffragen, da Prüffragen nicht dem Aufbau von Sicherheitskonzepten dienen, sondern bei der Überprüfung der umgesetzten Sicherheitsmaßnahmen eingesetzt werden sollen. So enthalten beispielsweise viele Maßnahmen aus der Lebenszyklusphase "Beschaffung" keine Prüffragen, da hier Sicherheitsempfehlungen formuliert wurden, die vor dem Kauf von Systemen beachtet werden sollten. Bei einem Audit kann aber nur geprüft werden, ob die vorhandenen Systeme sicher betrieben werden.

Aktualisierung und Überarbeitung

Darüber hinaus wurden zahlreiche einzelne Gefährdungen und Maßnahmen an neue technische Entwicklungen, neue Bedrohungsszenarien und neue Entwicklungen in der Informationssicherheit angepasst.

Weitere strukturelle Veränderungen wurden in der aktualisierten Ausgabe nicht durchgeführt. Die Nummerierung bestehender Gefährdungen und Maßnahmen blieb erhalten, sodass ein im Vorjahr auf Basis der IT-Grundschutz-Kataloge erstelltes Sicherheitskonzept fortgeschrieben werden kann. Es empfiehlt sich dennoch, die ausgewählten Maßnahmen bei der Bearbeitung komplett zu lesen, um Ergänzungen berücksichtigen zu können und um das Wissen zur Informationssicherheit aufzufrischen.