Neues in der 13. Ergänzungslieferung der IT-Grundschutz-Kataloge
Bedarfsorientierte Weiterentwicklung
Aufgrund der jährlichen Bedarfsabfrage bei registrierten Anwendern wurden die IT-Grundschutz-Kataloge bedarfsorientiert weiterentwickelt. Die neuen und überarbeiteten Bausteine befassen sich mit folgenden Themen:
Allgemeines Gebäude
Der Baustein B 2.1 Allgemeines Gebäude wurde auf Basis des Vorgängerbaustein komplett überarbeitet, so dass er jetzt als grundlegender Baustein im Bereich Infrastruktur der Ausgangspunkt für alle anderen Bausteine der Schicht 2 darstellt. Der Baustein umfasst den Schutz von allen Bauwerken, die einen äußeren Rahmen bilden, um Geschäftsprozesse durchführen zu können. Ein Gebäude umgibt die stationären Arbeitsplätze, die verarbeiteten Informationen, die anderen Ressourcen einer Institution inklusive der aufgestellten Informationstechnik und muss für diese einen angemessenen äußeren Schutz gewährleisten.
Überarbeitung Lokaler Arbeitsplatz
Zusammen mit dem Baustein B 2.1 Allgemeines Gebäude wurde mit derselben Ausrichtung auch der Baustein B 2.3 Büroraum / Lokaler Arbeitsplatz überarbeitet. Im Fokus stehen hier nicht nur Büroräume, lokale Arbeitsplätze sind die, je nach Institution sehr unterschiedlichen Bereiche, in denen sich Mitarbeiter aufhalten, um dort ihre Aufgaben zu erledigen. Dies können auch Produktionsumgebungen oder Verkaufsbereiche sein.
Windows Server 2008
Windows Server 2008 von Microsoft kann als Betriebssystem für Server mit unterschiedlichen Aufgaben eingesetzt werden, vom Windows-Domänencontroller über Active Directory Server und Datenbankserver bis hin zu Anwendungsservern oder Infrastrukturdiensten wie DHCP, DNS oder VPN. Im Baustein B 3.109 Windows Server 2008 wird ein systematischer Weg aufgezeigt, wie ein Konzept zum sicheren Betrieb von Servern unter Windows 2008 innerhalb einer Institution erstellt werden kann.
Client unter MAC OS X
Der Baustein B 3.211 Client unter Mac OS X behandelt das Client-Betriebssystem Mac OS X der Firma Apple. Die Grundlage dieses Bausteins ist die Client-Version "Snow Leopard" (Mac OS 10.6), jedoch kann er auf alle Versionen von Mac OS X angewendet werden, in denen die behandelten Softwarekomponenten (z. B. FileVault ab Version 10.3, Dashboard ab Version 10.4 oder Time Machine ab Version 10.5) vertreten sind.
Client unter Windows 7
Der Baustein B 3.212 Client unter Windows 7 ergänzt die Reihe von Bausteinen, die sich mit dem sicheren Einsatz von Windows-Betriebssystemen auf Client-PCs beschäftigen. Der vorliegende Baustein behandelt das Client-Betriebssystem Windows 7. Hier wird der Anwender auf konzeptionelle Sicherheitsaspekte, aber auch auf Sicherheitsempfehlungen zu konkreten Konfigurationseinstellungen hingewiesen.
Überarbeitung Lotus Notes/Domino
Lotus Notes stellt eine Groupware-Plattform zur Kommunikation, Zusammenarbeit und zum Informationsmanagement dar. Der Baustein B 5.5 Lotus Notes/Domino wurde überarbeitet. Dabei wurde den Änderungen der Software Rechnung getragen und insbesondere die Releases 8.0.x und 8.5.x in den Fokus genommen. Die meisten Betrachtungen sind jedoch auch für frühere Releasestände anwendbar.
Überarbeitung Microsoft Exchange/Outlook
Microsoft Exchange ist ein Groupware-System, das zusammen mit dem E-Mail-Client Outlook den Kommunikationsaustausch in großen und kleinen Gruppen unterstützt. Der Baustein B 5.12 Microsoft Exchange/Outlook wurde überarbeitet. Die Empfehlungen dieses Bausteins fokussieren auf die Funktionen von Microsoft Exchange 2010 bzw. Microsoft Outlook 2010 beziehen, können in ähnlicher Form aber auch für Vor- und Nachgängerversionen verwendet werden.
OpenLDAP
Im Baustein B 5.20 OpenLDAP werden die grundsätzlichen Sicherheitseigenschaften von OpenLDAP betrachtet. OpenLDAP ist ein frei verfügbarer Verzeichnisdienst, der in einem IT-Netz Informationen über beliebige Objekte, beispielsweise Benutzer oder Computer, in einer definierten Art zur Verfügung stellt.
Webanwendungen
Um Webanwendung angemessen abzusichern, wurde der Baustein B 5.21 Webanwendungen unter Mitarbeit des German Chapter des Open Web Application Security Project (OWASP) entwickelt. Webanwendungen werden immer häufiger Ziele von Angriffen und zugleich werden immer mehr Services über Webanwendungen angeboten. Dieser von vielen IT-Grundschutz-Nutzern gewünschte Baustein gibt sehr konkrete und ausführliche Empfehlung zur Absicherung von Webanwendungen.
Protokollierung
Der Baustein B 5.22 Protokollierung beschreibt, was bei der Aufzeichnung von sicherheitsrelevanten Ereignissen beachtet werden muss. Ziel der Protokollierung ist es, wesentliche Veränderungen an IT-Systemen und Anwendungen beobachten zu können, um deren Sicherheit nachvollziehen zu können. Eine Protokollierung wird in vielen Informationsverbünden eingesetzt, um Hard- und Softwareprobleme sowie Ressourcenengpässe zeitnah entdecken zu können. Aber auch Sicherheitsprobleme und Angriffe auf die betriebenen Dienste können anhand von Protokolldaten nachvollzogen werden.
Neue Maßnahmen und Gefährdungen
Außerdem sind verschiedene neue Maßnahmen und Gefährdungen aufgenommen worden, beispielsweise zu den Themen
- M 1.74 EMV-taugliche Stromversorgung
- M 4.432 Sichere Konfiguration von Serverdiensten
- M 4.435 Selbstverschlüsselnde Festplatten
- M 5.173 Nutzung von Kurz-URLs und QR-Codes
Baustein B 1.5 Datenschutz
Der Baustein B 1.5 Datenschutz war bisher nicht unmittelbar in die IT-Grundschutz-Kataloge integriert, sondern konnte bei Bedarf ausgedruckt in die Lose-Blattsammlung einsortiert und als Modul in das GSTOOL geladen werden. Die Aufbereitung und Nutzung dieses Bausteins wird aber durch eine vollständige Integration in die IT-Grundschutz-Kataloge deutlich vereinfacht und wird daher mit dieser Ergänzungslieferung umgesetzt. Der Baustein ist aber weiterhin kein notwendiger Bestandteil einer Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz.
Bausteine entfernt
Neben verschiedenen Bausteinen, die der 13. Ergänzungslieferung hinzugefügt wurden, wurden auch Bausteine entfernt, und zwar die Bausteine B 3.105 Server unter Novell Netware Version 4.x, B 3.106 Server unter Windows 2000 und B 3.207 Client unter Windows 2000. Für Anwender, die diese alten Versionen noch einsetzen oder diese als Grundlage für die Erstellung von Sicherheitsbetrachtungen der neueren Versionen nutzen wollen, werden die Bausteine weiterhin zum Download unter den Hilfsmitteln zum IT-Grundschutz zur Verfügung stehen.
Prüffragen
Mit der 13. EL wurden durchgängig für alle Bausteine Prüffragen eingeführt. Am Ende der meisten Maßnahmen finden sich Prüffragen. Diese sind so formuliert, dass sie als letzte Checkliste benutzt werden können, um die Umsetzung der Maßnahmen kontrollieren zu können. Sie geben Ziel und Grundrichtung der Sicherheitsempfehlungen vor und können damit als Basis für Revisionen und Zertifizierungsaudits benutzt werden. Nach der Beantwortung der Prüffragen kann eine Aussage getroffen werden, in wieweit in der Institution die Ziele der einzelnen Bausteine erfüllt wurden.
Nicht alle Maßnahmen haben zwingend Prüffragen, da Prüffragen nicht dem Aufbau von Sicherheitskonzepten dienen, sondern bei der Überprüfung der umgesetzten Sicherheitsmaßnahmen eingesetzt werden sollen. So enthalten beispielsweise viele Maßnahmen aus der Lebenszyklusphase "Beschaffung" keine Prüffragen, da hier Sicherheitsempfehlungen formuliert wurden, die vor dem Kauf von Systemen beachtet werden sollten. Bei einem Audit kann aber nur geprüft werden, ob die vorhandenen Systeme sicher betrieben werden.
Aktualisierung und Überarbeitung
Darüber hinaus wurden zahlreiche einzelne Gefährdungen und Maßnahmen an neue technische Entwicklungen, neue Bedrohungsszenarien und neue Entwicklungen in der Informationssicherheit angepasst.
Weitere strukturelle Veränderungen wurden in der aktualisierten Ausgabe nicht durchgeführt. Die Nummerierung bestehender Gefährdungen und Maßnahmen blieb erhalten, sodass ein im Vorjahr auf Basis der IT-Grundschutz-Kataloge erstelltes Sicherheitskonzept fortgeschrieben werden kann. Es empfiehlt sich dennoch, die ausgewählten Maßnahmen bei der Bearbeitung komplett zu lesen, um Ergänzungen berücksichtigen zu können und um das Wissen zur Informationssicherheit aufzufrischen.