2 Schichtenmodell und Modellierung

2.1 Modellierung nach IT-Grundschutz

Bei der Umsetzung von IT-Grundschutz muss der betrachtete Informationsverbund mit Hilfe der vorhandenen Bausteine nachgebildet werden, also die relevanten Sicherheitsmaßnahmen aus den IT-Grundschutz-Katalogen zusammengetragen werden. Dafür müssen die Strukturanalyse und eine Schutzbedarfsfeststellung vorliegen. Darauf aufbauend wird ein IT-Grundschutz-Modell des Informationsverbunds erstellt, das aus verschiedenen, gegebenenfalls auch mehrfach verwendeten IT-Grundschutz-Bausteinen besteht und eine Abbildung zwischen den Bausteinen und den sicherheitsrelevanten Aspekten des Informationsverbunds beinhaltet.

Das erstellte IT-Grundschutz-Modell ist unabhängig davon, ob der Informationsverbund aus bereits im Einsatz befindlichen IT-Systemen besteht oder ob es sich um einen Informationsverbund handelt, der sich erst im Planungsstadium befindet. Jedoch kann das Modell unterschiedlich verwendet werden:

Die Einordnung der Modellierung und die möglichen Ergebnisse verdeutlicht das folgende Bild:

Ergebnis der Modellierung nach IT-GrundschutzAbbildung: Ergebnis der Modellierung nach IT-Grundschutz

Typischerweise wird ein im Einsatz befindlicher Informationsverbund sowohl realisierte als auch in Planung befindliche Anteile besitzen. Das resultierende IT-Grundschutz-Modell beinhaltet dann sowohl einen Prüfplan wie auch Anteile eines Entwicklungskonzepts.

Für die Abbildung eines im Allgemeinen komplexen Informationsverbunds auf die Bausteine der IT-Grundschutz-
Kataloge bietet es sich an, die Sicherheitsaspekte gruppiert nach bestimmten Themen zu betrachten.

Schichten des IT-Grundschutz-ModellsAbbildung: Schichten des IT-Grundschutz-Modells

Die Sicherheitsaspekte eines Informationsverbunds werden wie folgt den einzelnen Schichten
zugeordnet:

Die Aufgabenstellung bei der Modellierung nach IT-Grundschutz besteht nun darin, für die Bausteine einer jeden Schicht zu entscheiden, ob und wie sie zur Abbildung des Informationsverbunds herangezogen werden können. Je nach betrachtetem Baustein können die Zielobjekte dieser Abbildung von unterschiedlicher Art sein: einzelne Geschäftsprozesse oder Komponenten, Gruppen von Komponenten, Gebäude, Liegenschaften, Organisationseinheiten, usw.

Nachfolgend wird die Vorgehensweise der Modellierung für einen Informationsverbund detailliert beschrieben. Dabei wird besonderer Wert auf die Randbedingungen gelegt, wann ein einzelner Baustein sinnvollerweise eingesetzt werden soll und auf welche Zielobjekte er anzuwenden ist.

Bei der Modellierung eines Informationsverbunds nach IT-Grundschutz kann das Problem auftreten, dass es Zielobjekte gibt, die mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet werden können. In diesem Fall sollte eine ergänzende Sicherheitsanalyse durchgeführt werden, wie in der IT-Grundschutz-Vorgehensweise beschrieben.

2.2 Zuordnung anhand Schichtenmodell

Bei der Modellierung eines Informationsverbunds ist es zweckmäßig, die Zuordnung der Bausteine anhand des Schichtenmodells vorzunehmen. Daran anschließend folgt schließlich die Vollständigkeitsprüfung.

zu Schicht 1: Übergreifende Aspekte der Informationssicherheit

In dieser Schicht werden alle Aspekte des Informationsverbunds modelliert, die den technischen Komponenten übergeordnet sind. Im Vordergrund stehen dabei Konzepte und die von diesen Konzepten abgeleiteten Regelungen. Diese Aspekte sollten für den gesamten Informationsverbund einheitlich geregelt sein, so dass die entsprechenden Bausteine in den meisten Fällen nur einmal für den gesamten Informationsverbund anzuwenden sind. Dem Informationssicherheitsmanagement, der Organisation des IT-Betriebs sowie der Schulung und Sensibilisierung des Personals kommt dabei eine besondere Bedeutung zu. Die Umsetzung der diesbezüglichen Maßnahmen ist von grundlegender Bedeutung für den sicheren Umgang mit geschäftsrelevanten Informationen und die sichere Nutzung von Informations- und Kommunikationstechnik. Unabhängig von den eingesetzten technischen Komponenten sind die entsprechenden Bausteine daher immer anzuwenden.

zu Schicht 2: Sicherheit der Infrastruktur

Die für den vorliegenden Informationsverbund relevanten baulichen Gegebenheiten werden mit Hilfe der Bausteine aus Schicht 2 "Sicherheit der Infrastruktur" modelliert. Jedem Gebäude, Raum oder Schutzschrank (bzw. Gruppen dieser Komponenten) wird dabei der entsprechende Baustein aus den IT-Grundschutz-Katalogen zugeordnet.

zu Schicht 3: Sicherheit der IT-Systeme

Sicherheitsaspekte, die sich auf IT-Systeme beziehen, werden in dieser Schicht abgedeckt. Diese Schicht ist zur Übersichtlichkeit nach Servern, Clients, Netzkomponenten und Sonstiges sortiert.

Analog zum Bereich "Sicherheit der Infrastruktur" können die Bausteine des Bereichs "Sicherheit der IT-Systeme" sowohl auf einzelne IT-Systeme als auch auf Gruppen solcher IT-Systeme angewandt werden. Dies wird im Folgenden nicht mehr gesondert hervorgehoben.

Server

Hinweis: Für jeden Server (und auch jeden Großrechner) muss neben dem Betriebssystem-spezifischen Baustein immer auch Baustein B 3.101 Allgemeiner Server angewandt werden, da in diesem Baustein die plattformunabhängigen Sicherheitsaspekte für Server zusammengefasst sind.

Clients

Hinweis: Für jeden Client muss neben dem Betriebssystem-spezifischen Baustein immer auch entweder Baustein B 3.201 Allgemeiner Client oder Baustein B 3.202 Allgemeines nicht vernetztes IT-System angewandt werden, da in diesen Bausteinen die plattformunabhängigen Sicherheitsaspekte für Clients zusammengefasst sind.

Netzkomponenten

Sonstiges

zu Schicht 4: Sicherheit im Netz

In dieser Schicht werden Sicherheitsaspekte im Netz behandelt, die nicht an bestimmten IT-Systemen (z. B. Servern) festgemacht werden können. Vielmehr geht es um Sicherheitsaspekte, die sich auf die Netzverbindungen und die Kommunikation zwischen den IT-Systemen beziehen.

Um die Komplexität zu verringern, ist es sinnvoll, bei der Untersuchung statt des Gesamtnetzes Teilbereiche jeweils einzeln zu betrachten. Die hierzu erforderliche Aufteilung des Gesamtnetzes in Teilnetze sollte anhand der beiden folgenden Kriterien vorgenommen werden:

Falls diese beiden Kriterien nicht zu einer geeigneten Aufteilung des Gesamtnetzes führen (beispielsweise weil einige resultierende Teilnetze zu groß oder zu klein sind), kann die Aufteilung in Teilnetze alternativ auch auf organisatorischer Ebene erfolgen. Dabei werden die Zuständigkeitsbereiche der einzelnen Administratoren(-Teams) als Teilnetze betrachtet.

Es ist nicht möglich, eine grundsätzliche Empfehlung darüber zu geben, welche Aufteilung in Teilnetze zu bevorzugen ist, falls die oben angegebenen Anforderungen mit dem vorliegenden Informationsverbund grundsätzlich nicht vereinbar sind. Stattdessen sollte im Einzelfall entschieden werden, welche Aufteilung des Gesamtnetzes im Hinblick auf die anzuwendenden Bausteine der IT-Grundschutz-Kataloge am praktikabelsten ist.

zu Schicht 5: Sicherheit in Anwendungen

In der untersten Schicht des zu modellierenden Informationsverbunds erfolgt die Nachbildung der Anwendungen. Moderne Anwendungen beschränken sich nur selten auf ein einzelnes IT-System. Insbesondere behörden- bzw. unternehmensweite Kernanwendungen sind in der Regel als Client-Server-Applikationen realisiert. In vielen Fällen greifen Server selbst wieder auf andere, nachgeschaltete Server, z. B. Datenbank-Systeme, zu. Die Sicherheit der Anwendungen muss daher unabhängig von den IT-Systemen und Netzen betrachtet werden.

Prüfung auf Vollständigkeit

Abschließend muss überprüft werden, ob die Modellierung des Gesamtsystems vollständig ist und keine Lücken aufweist. Es wird empfohlen, hierzu erneut den Netzplan oder eine vergleichbare Übersicht über den Informationsverbund heranzuziehen und die einzelnen Komponenten systematisch durchzugehen. Jede Komponente muss entweder einer Gruppe zugeordnet oder einzeln modelliert worden sein.

Falls das Gesamtnetz in der Schicht 4 in Teilnetze aufgeteilt wurde, muss geprüft werden, ob

Wichtig ist, dass nicht nur alle Hard- und Software-Komponenten in technischer Hinsicht nachgebildet sind, sondern dass auch die zugehörigen organisatorischen, personellen und infrastrukturellen Aspekte vollständig abgedeckt sind.

Falls sich bei der Überprüfung Lücken in der Modellierung zeigen, sind die entsprechenden fehlenden Bausteine hinzuzufügen. Andernfalls besteht die Gefahr, dass wichtige Bestandteile des Gesamtsystems oder wichtige Sicherheitsaspekte bei der Anwendung des IT-Grundschutzes nicht berücksichtigt werden.