Neues in der 12. Ergänzungslieferung der IT-Grundschutz-Kataloge
Bedarfsorientierte Weiterentwicklung
Aufgrund der jährlichen Bedarfsabfrage bei registrierten Anwendern wurden die IT-Grundschutz-Kataloge bedarfsorientiert weiterentwickelt. Die neuen und überarbeiteten Bausteine befassen sich mit folgenden Themen:
Internet-Nutzung
Die Internet-Nutzung in Behörden und Unternehmen sollte auf einem soliden und durchdachten Konzept beruhen, dass mit der allgemeinen Sicherheitsstrategie der Institution abgestimmt ist. Dazu gehört unter anderem, Rechte und Pflichten aller Mitarbeiter bei der Internet-Nutzung klar zu regeln und die verwendeten IT-Komponenten sicher zu konfigurieren und zu betreiben. Im Baustein B 5.19 Internet-Nutzung wird aufgezeigt, wie eine geeignete Vorgehensweise hierfür aussieht.
Überarbeitung Webserver
Ein Webserver ist eine Software-Komponente, mit der Web-Angebote über HTTP und HTTPS bereitgestellt werden können. Der Baustein B 5.4 Webserver wurde an aktuelle Standards und Entwicklungen angepasst.
Bluetooth
Der Baustein B 4.8 Bluetooth behandelt den sicheren Einsatz von Endgeräten, die den Bluetooth-Spezifikationen der Bluetooth Special Interest Group (SIG) entsprechen. Der Baustein liefert einen Überblick über die Sicherheitsmechanismen von Bluetooth und zeigt typische Gefährdungen beim Einsatz von Bluetooth auf. Die Sicherheitsempfehlungen hinsichtlich Secure Simple Pairing und der sicheren Konfiguration der Bluetooth-Komponenten liefern die Grundlage für eine sichere Verwendung von Bluetooth.
DNS-Server
Im Baustein B 5.18 DNS-Server werden die grundsätzlichen Sicherheitseigenschaften des Domain Name System (DNS) und der hierfür benötigten Server betrachtet. DNS ist ein Netzdienst, um Hostnamen von IT-Systemen in IP -Adressen umzuwandeln.
Groupware
Im Baustein B 5.3 Groupware werden allgemeine Sicherheitsaspekte von Groupware-Systemen unabhängig vom eingesetzten Produkt betrachtet. Der Funktionsumfang von Groupware-Systemen kann sehr unterschiedlich sein, eine der Grundfunktionen aller Groupware-Systeme ist aber E-Mail. Daher wurde der bisherige Baustein B 5.3 E-Mail in diesen Baustein integriert, allgemeine Sicherheitsanforderungen an E-Mail-Systeme und Maßnahmen zum sicheren Einsatz von E-Mail werden hier mitbehandelt.
Terminalserver
Terminalserver stellen zentral Ressourcen bereit, die Clients über ein Netz nutzen können. Diese Ressourcen können Bestandteile des Server-Betriebssystems, Standard-Anwendungen oder Kommandozeilen sein. Im Baustein B 3.305 Terminalserver wird ein systematischer Weg aufgezeigt, wie ein Konzept zum sicheren Einsatz von Terminalservern innerhalb einer Institution erstellt werden kann. Im Weiterem wird in dem Baustein vorgestellt, wie Terminalserver-Dienste in Informationsverbünden umgesetzt und eingebettet werden können.
Virtualisierung
Die Virtualisierung von IT-Systemen bietet vielfältige Vorteile für den IT-Betrieb in einem Informationsverbund. Es können Kosten für Hardwarebeschaffung, Strom und Klimatisierung eingespart werden, wenn die Ressourcen der IT-Systeme effizienter genutzt werden. Im Baustein B 3.304 Virtualisierung wird beschrieben, wie die Virtualisierung von IT-Systemen in einen Informationsverbund eingeführt werden kann und unter welchen Voraussetzungen virtuelle Infrastrukturen in einem Informationsverbund sicher betrieben werden können.
Überarbeitung TK-Anlage
Der Baustein B 3.401 TK-Anlage wurde an aktuelle Standards und Entwicklungen angepasst. Mit einer TK-Anlage können die Telefone einer Institution intern verbunden und extern an ein öffentliches Telefonnetz angeschlossen werden. Neben der Sprachtelefonie können, abhängig von den angeschlossenen Endgeräten, weitere Dienste genutzt werden. So ist es möglich, mittels TK-Anlagen Daten, Texte, Grafiken und Bewegtbilder zu übertragen. In diesem Baustein werden vor allem die für klassische TK-Anlagen spezifischen Gefährdungen und Maßnahmen betrachtet.
Neue Maßnahmen und Gefährdungen
Außerdem sind verschiedene neue Maßnahmen und Gefährdungen aufgenommen worden, beispielsweise zu den Themen
- M 2.460 Geregelte Nutzung von externen Dienstleistungen
- M 2.475 Vertragsgestaltung bei Bestellung eines externen IT-Sicherheitsbeauftragten
- M 3.83 Analyse sicherheitsrelevanter personeller Faktoren
Bausteine entfernt
Neben verschiedenen Bausteinen, die der 12. Ergänzungslieferung hinzugefügt wurden, wurden auch Bausteine entfernt, und zwar die Bausteine B 5.10 Internet Information Server und B 5.11 Apache Webserver, da hier Versionen dieser Webserver-Dienste betrachtet wurden, die sich mittlerweile kaum noch in Institutionen im Einsatz befinden. Versions- und herstellerunabhängige Empfehlungen zu Webservern, die auch den Internet Information Server und Apache betreffen, sind im Baustein B 5.4 Webserver zu finden. Ebenso entfallen ist der Baustein B 3.403 Anrufbeantworter. Die Inhalte dieses Bausteins sind in die Überarbeitung des Baustein B 3.401 TK-Anlage eingeflossen und Anrufbeantworter werden ab sofort als Bestandteil einer TK-Anlage verstanden. Für Anwender, die diese alten Versionen noch einsetzen oder diese als Grundlage für die Erstellung von Sicherheitsbetrachtungen der neueren Versionen nutzen wollen, werden die Bausteine weiterhin zum Download unter den Hilfsmitteln zum IT-Grundschutz zur Verfügung stehen.
Elementare Gefährdungen
Die in den IT-Grundschutz-Katalogen enthaltenen Gefährdungskataloge bilden ein wichtiges Fundament für die Anwendung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) und der Risikoanalyse auf der Basis von IT-Grundschutz (BSI-Standard 100-3). Die fünf Gefährdungskataloge enthalten zusammen eine Vielzahl von Einzelgefährdungen. Davon sind einige so allgemein gültig, dass sie in fast jedem Baustein zitiert werden, andere aber wiederum so spezifisch, dass sie nur für einen Aspekt in einem einzelnen Baustein relevant sind. Dies erschwert die Behandlung und das Durcharbeiten sämtlicher Gefährdungen bei Risikoanalysen. Daher hat das BSI aus diesen Gefährdungen die generellen Aspekte herausgearbeitet und 46 elementare Gefährdungen erarbeitet.
Da die elementaren Gefährdungen hauptsächlich die effiziente Durchführung von Risikoanalysen ermöglichen sollen, wurde der Fokus darauf gelegt, tatsächliche Gefahren zu benennen. Gefährdungen, die überwiegend die fehlende oder unzureichende Umsetzung von Sicherheitsmaßnahmen thematisieren und somit auf indirekte Gefahren verweisen, wurden bewusst vermieden. Die elementaren Gefährdungen sollen die vorhandenen Gefährdungskataloge nicht ersetzen und werden daher in einem separaten Gefährdungskatalog zur Verfügung gestellt.
Prüffragen
Bisher wurden am Ende vieler Maßnahmen ergänzende Kontrollfragen angeführt, die das behandelte Thema abrunden und nochmals einen kritischen Blick auf die Umsetzung der Maßnahmen bewirken sollten. Diese ergänzenden Kontrollfragen sollten Denkanstösse geben, aber keine Prüffragen ersetzen. Sie können also beispielsweise nicht bei Revisionen oder Audits eingesetzt werden, um den Umsetzungsgrad einer Maßnahme zu bestimmen. Sie erhoben auch nie einen Anspruch auf Vollständigkeit.
Da dies immer wieder zu Verwirrungen führte, werden die ergänzenden Kontrollfragen in neuen Bausteinen jetzt durch Prüffragen abgelöst. Diese sind so formuliert, dass sie als letzte Checkliste benutzt werden können, um die Umsetzung der Maßnahmen kontrollieren zu können. Sie geben Ziel und Grundrichtung der Sicherheitsempfehlungen vor und können damit als Grundlage für Revisionen und Zertifizierungsaudits benutzt werden.
Aktualisierung und Überarbeitung
Da der Begriff "Informationssicherheit" umfassender ist als der Ausdruck "IT-Sicherheit", wird ersterer zunehmend verwendet. IT-Grundschutz verfolgt schon lange einen ganzheitlichen Ansatz, bei dem auch geschäftsrelevante Informationen und Geschäftsprozesse geschützt werden sollen, die nicht oder nur teilweise durch IT unterstützt werden. Der Begriff "IT-Sicherheit" ist eingeführt und weit verbreitet, daher wird er in dieser sowie in anderen Publikationen des IT-Grundschutzes weiterhin häufig verwendet, allerdings werden die Texte sukzessive stärker auf die Betrachtung von Informationssicherheit ausgerichtet.
Darüber hinaus wurden zahlreiche einzelne Gefährdungen und Maßnahmen an neue technische Entwicklungen, neue Bedrohungsszenarien und neue Entwicklungen in der Informationssicherheit angepasst.
Weitere strukturelle Veränderungen wurden in der aktualisierten Ausgabe nicht durchgeführt. Die Nummerierung bestehender Gefährdungen und Maßnahmen blieb erhalten, sodass ein im Vorjahr auf Basis der IT-Grundschutz-Kataloge erstelltes Sicherheitskonzept fortgeschrieben werden kann. Es empfiehlt sich dennoch, die ausgewählten Maßnahmen bei der Bearbeitung komplett zu lesen, um Ergänzungen berücksichtigen zu können und um das Wissen zur Informationssicherheit aufzufrischen.