Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: 4 Neues - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

Neues in Version 2006 der IT-Grundschutz-Kataloge

Bedarfsorientierte Weiterentwicklung

Aufgrund der jährlichen Bedarfsabfrage bei registrierten Anwendern wurden die IT-Grundschutz-Kataloge bedarfsorientiert weiterentwickelt. Die neuen Bausteine befassen sich mit folgenden Themen:

Sicherheit in SAP Systemen

Der Baustein B 5.13 SAP System fokussiert auf die Grundabsicherung von SAP-basierten Applikationen für Geschäftsprozesse auf Ebene der Basis-Administration. Hier werden die wichtigsten technischen Aspekte genannt, die aus Sicht der IT-Sicherheit bei der Planung und beim Einsatz von SAP Systemen zu beachten sind. Auf versionsbezogene Unterschiede verzichtet der Baustein, so dass er für mySAP ERP Systeme und für SAP R/3 Systeme eingesetzt werden kann. Auf die existierende und sehr umfangreiche SAP Dokumentation wird im Baustein verwiesen. Ziel des Bausteines ist es jedoch nicht, diese zu reproduzieren, sondern empfohlene sicherheitsrelevante Vorgehensweisen und beachtenswerte Besonderheiten darzustellen.

Speichersysteme und Speichernetze

Thema des Bausteins B 3.303 Speichersysteme und Speichernetze sind Systeme und Netze, die zentralisierten Speicher für Applikationen zur Verfügung stellen. Der Baustein enthält Sicherheitsempfehlungen, die bei der Planung und beim Einsatz von Storage Area Networks (SAN) und Network Attached Storage (NAS) Systemen in der Organisation zu beachten sind.

Windows Server 2003

Der Baustein B 3.108 Windows Server 2003 ergänzt die Reihe von Bausteinen, die sich mit dem sicheren Einsatz von Windows-Betriebssystemen beschäftigen. Hier wird der Anwender auf konzeptionelle Sicherheitsaspekte, aber auch auf Sicherheitsempfehlungen zu konkreten Konfigurationseinstellungen hingewiesen.

Wireless LAN (WLAN)

Der Baustein B 4.6 WLAN behandelt den sicheren Einsatz von drahtlosen Netzen, die auf dem Standard IEEE 802.11 und dessen Erweiterungen basieren. Neben einem Überblick der Begrifflichkeiten bei WLANs werden Empfehlungen für Verschlüsselungs- und Authentisierungsmechanismen gegeben. Wichtige Teile sind die in der Planungsphase notwendige Konzeption eines WLANs und die Auswahl des richtigen WLAN-Standards. Darüber hinaus wurde auch an die Sensibilisierung und Schulung der Mitarbeiter und an eine Betreuung eines WLANs durch externe Dienstleister gedacht.

Voice over IP (VoIP)

Der Baustein B 4.7 VoIP beschäftigt sich mit dem sicheren Einsatz von VoIP in Netzen. Die in dem Baustein betrachteten Empfehlungen wirken den Problemen, die bei der Telefonie über ein Datennetz entstehen können, entgegen. Neben Grundlagen, wie einer Übersicht über die verbreiteten Signalisierungs- und Medientransportprotokolle, werden unter anderem Hinweise zur Integration von VoIP in vorhandene Datennetze sowie zur Administration und Konfiguration von VoIP-Komponenten gegeben.

Neue Maßnahmen und Gefährdungen

Außerdem sind verschiedene neue Maßnahmen und Gefährdungen aufgenommen worden, beispielsweise zu den Themen

Aktualisierung und Überarbeitung

Der Baustein B 5.7 Datenbanken wurde überarbeitet, um technische Entwicklungen in den letzten Jahren zu berücksichtigen. So wurden die betrachteten Datenbankmodelle um das Netzwerkdatenbankmodell und das objektrelationale Datenbankmodell ergänzt. Auch der Datenbank-Zugriff über mobile Endgeräte (Mobiltelefone und PDAs) findet in dem aktualisierten Baustein Beachtung. Um Risiken durch SQL-Injections zu reduzieren, bietet der Baustein eine dedizierte neue Maßnahme, die eine Reihe von Sicherheitsempfehlungen hierzu vorstellt.

Darüber hinaus wurden zahlreiche einzelne Gefährdungen und Maßnahmen an neue technische Entwicklungen, neue Bedrohungsszenarien und neue Entwicklungen in der IT-Sicherheit angepasst.

Weitere strukturelle Veränderungen wurden in der aktualisierten Ausgabe nicht durchgeführt. Die Nummerierung bestehender Gefährdungen und Maßnahmen blieb erhalten, sodass ein im Vorjahr auf Basis der IT-Grundschutz-Kataloge erstelltes Sicherheitskonzept fortgeschrieben werden kann. Es empfiehlt sich dennoch, die ausgewählten Maßnahmen bei der Bearbeitung komplett zu lesen, um Ergänzungen berücksichtigen zu können und um das Wissen zur IT-Sicherheit aufzufrischen.