Vorwort
Aus der täglichen Arbeit des Bundesamtes für Sicherheit in der Informationstechnik wissen wir: Permanent finden in Deutschland Cyber-Attacken statt, die die Leistungsfähigkeit des Standortes massiv beeinträchtigen können. Die Art der Angriffe stellt sich dabei sehr unterschiedlich dar und es lassen sich Massenangriffe, gezielte sowie skalpellartige Angriffe verzeichnen. Informationstechnik, insbesondere Software, ist aufgrund ihrer Komplexität nicht fehlerlos. Schwachstellen und Verwundbarkeiten gehören daher zur Tagesordnung, auch solche, die aufgrund der Vernetzung der IT-Systeme aus der Ferne ausgenutzt werden können.
Die zunehmende Professionalisierung von Angreifern und Angriffsmethoden führt zudem zu einer dynamischen Gefährdungslage und zu einem permanenten Wettlauf zwischen Cyber-Angriffen und Cyber-Abwehr. Doch es gibt auch gute Nachrichten: Rund 80 Prozent der bekannten Angriffe lassen sich mit Standard-Schutzmaßnahmen abwehren, beispielsweise im Rahmen von IT-Grundschutz.
Daher bilden die regelmäßigen Aktualisierungen der IT-Grundschutz-Kataloge und deren Anpassung an den neuesten Stand der Technik eine zentrale Aufgabe des BSI. Nur so kann die Praxisnähe, auf die es beim IT-Grundschutz besonders ankommt, gewährleistet werden. Die 13. Ergänzungslieferung aktualisiert die IT-Grundschutz-Kataloge erneut im Hinblick auf aktuelle Entwicklungen in der IT, für die Behörden und Unternehmen Lösungen finden müssen, die Benutzerkomfort, Kosten und Sicherheit gleichermaßen berücksichtigen.
So wird im Baustein zum Windows Server 2008 ein systematischer Weg aufgezeigt, wie ein Konzept zum sicheren Betrieb von Servern unter Windows 2008 innerhalb einer Institution erstellt werden kann. In jeweils eigenen Bausteinen erfahren IT-Grundschutz-Anwender außerdem, wie Clients unter den Betriebssystemen Mac OS X und Windows 7 sicher konfiguriert werden können.
Aus zahlreichen Rückmeldungen von IT-Grunschutz-Anwendern wissen wir, dass für Organisationen der Bereich der Webanwendungen zunehmend an Bedeutung gewinnt. Immer mehr Services werden für Mitarbeiter, Kunden und Bürger über Webanwendungen bereitgestellt und werden folglich immer häufiger das Ziel von Angriffen. Um diese Angebote angemessen abzusichern, wurde der neue Baustein unter Mitarbeit des German Chapter des Open Web Application Security Project (OWASP) entwickelt. Dieser von vielen Nutzern gewünschte Baustein gibt sehr konkrete und ausführliche Empfehlungen zur Absicherung von Webanwendungen.
Zu diesen und vielen weiteren Themen bieten die aktualisierten IT-Grundschutz-Kataloge zahlreiche Anregungen für den technischen Schutz wie auch für organisatorische Maßnahmen. Wir wünschen viel Erfolg bei der praktischen Umsetzung und freuen uns, wenn Sie uns durch Ihre Rückmeldungen dabei helfen, den IT-Grundschutz auch in Zukunft stetig weiter zu entwickeln.
Bonn, im Juni 2013
Michael Hange, Präsident des BSI