Neue Mindeststandards für die IT-Sicherheit des Bundes
Das BSI als die nationale Cybersicherheitsbehörde erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes – Grundlage dafür ist der § 8 Abs. 1 BSI-Gesetz. Die Definition erfolgt auf Basis der fachlichen Expertise des BSI in der Überzeugung, dass dieses Mindestniveau in der Bundesverwaltung nicht unterschritten werden darf. Aktuelle Entwicklungen in der Informationstechnik erfordern dabei, die Standards immer wieder zu aktualisieren oder neue zu entwickeln.
Von Dominique Hader und Philipp Deuster, BSI
Im Jahr 2014 veröffentlichte das BSI den Mindeststandard für den Einsatz des SSL/TLS-Protokolls als erstes Dokument seiner Art – seitdem hat sich viel getan. Unter anderem wurde die Aufgabe, Mindeststandards zu erstellen, durch das IT-Sicherheitsgesetz von 2015 weiter gestärkt. Das zentrale Ziel dieser gesetzlich verankerten Vorgabe besteht darin, ein konkretes Mindestniveau an Informationssicherheit für die Stellen des Bundes zu definieren. Natürlich können auch weitere Anwender aus Staat, Wirtschaft und Gesellschaft die Vorgaben als Maßstab für die Sicherheit ihrer eigenen Systeme heranziehen.
Zum heutigen Zeitpunkt existieren Mindeststandards zu den folgenden sechs Themen (www.bsi.bund.de/mindeststandards):
- Einsatz des SSL/TLS-Protokolls
- Schnittstellenkontrollen
- Sichere Webbrowser
- Nutzung externer Clouddienste
- Mobile-Device-Management
- Anwendung des „HV-Benchmark kompakt 3.0“
Standardisierte Vorgehensweise
IT-Systeme sind in der Regel komplex und in ihren individuellen Anwendungsbereichen durch die unterschiedlichsten Rahmenbedingungen und Anforderungen gekennzeichnet. Dadurch entstehen nicht nur Herausforderungen bei den Anwendern, ihre IT zu sichern – auch das BSI muss sich der Aufgabe stellen, für diese umfangreiche Thematik angemessene Vorgaben zu erarbeiten.
Der Entwicklungspfad der bisher erarbeiteten Mindeststandards zeigt bereits die fachliche Vielfalt der Themenbereiche auf. Jedem Mindeststandard sind daher unterschiedliche Fachreferate und Expertenkreise im BSI zugeordnet. Aus diesem Grund erfordert der Erstellungsprozess ein hohes Maß an Kooperation zwischen allen beteiligten Experten, einschließlich der Anwenderseite in der Bundesverwaltung.
Um die Effektivität und Effizienz in der Erstellung und Betreuung von Mindeststandards sicherzustellen, wird dieser Prozess in einer standardisierten Vorgehensweise genau beschrieben (vgl. Abb. 1). Im Rahmen der Qualitätssicherung durchläuft jeder Mindeststandard mehrere Prüfungszyklen:
- Die Ideensammlung (PRE-α): Nicht nur das BSI entwickelt Themenvorschläge, sondern auch die Anwender können ihre Wünsche und Ideen einbringen. Dies bietet die Möglichkeit, die Zielgruppe bereits von Anfang an mit ihrer fachlichen Kompetenz einzubinden.
- Die BSI-interne Abstimmung (α): Wurde aus der Ideensammlung ein Thema für einen neuen Mindeststandard ausgewählt, wird der erste Entwurf zunächst im BSI abgestimmt. Dabei bringt sich nicht nur das entsprechende Fachreferat ein, sondern alle Abteilungen haben die Möglichkeit, an diesem Entwurf mitzuwirken.
- Das Konsultationsverfahren (β): Angelehnt an die Beta-Phase in der Softwareentwicklung, werden die Anwender eingeladen, die β-Version des Mindeststandards zu „testen“. Dazu wird ihnen der Entwurf zur Kommentierung übermittelt und sie können ihre eigenen Erfahrungen erneut mit einbringen.
- Die finale Abstimmung (Release-Candidate): Nachdem auch die externen Kommentierungen zur Qualitätssicherung einbezogen wurden, wird der Mindeststandard zur Veröffentlichung (Release) freigegeben.
- Nutzungs- und Betriebsphase (Δ): In dieser Phase werden die Anwender unterstützt (Support) und die Effektivität und Effizienz des Mindeststandards wird beobachtet (Monitoring). Eventuelle Änderungen (Request for Change) werden aufgenommen und gegebenenfalls eingearbeitet.
Ein solch umfangreicher, qualitätsorientierter Prozess benötigt natürlich seine Zeit. Je nach Umfang des Themas, Verfügbarkeit von Experten und diversen anderen Faktoren vergeht vom Beginn der Entwicklung bis zur Fertigstellung eines neuen Mindeststandards in etwa ein halbes Jahr.
So wichtig die Mindeststandards auch sind: Sie sind immer nur eine Absicherung nach unten. In der Praxis ergeben sich regelmäßig höhere Anforderungen an die Informationssicherheit, als sie in den Mindeststandards beschrieben werden. Aufbauend auf den Mindeststandards müssen die Anwender diese individuellen Anforderungen in der Planung, der Etablierung und im Betrieb der IT-Systeme zusätzlich berücksichtigen, um dem jeweiligen Bedarf an Informationssicherheit zu genügen. Die Vorgehensweise dazu beschreiben die IT-Grundschutz-Standards des BSI.
Abbildung 1: Entwicklungs- und Prüfungszyklen bei der Erstellung von Mindeststandards
Cybersicherheitsstrategie
Mindeststandards sind ein wesentlicher Bestandteil der Cybersicherheitsstrategie für Deutschland. In den strategischen Handlungsfeldern „sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung“, „gemeinsamer Auftrag von Staat und Wirtschaft“ sowie „leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur“ ermöglichen sie durch klar definierte Vorgaben, ein Mindestsicherheitsniveau für die Informationstechnik des Bundes zu erreichen.
Außerdem stellen sie in zweierlei Hinsicht ein verbindendes Element dar: Zum einen werden sie nicht als isolierte Veröffentlichungen erarbeitet, sondern es wird Wert darauf gelegt, sie zu anderen Veröffentlichungen des BSI in Bezug zu setzen (zum Beispiel zum „Anforderungskatalog C5“). Zum anderen wird durch die Beteiligung der verschiedenen Stellen im Erstellungsprozess ein zielgerichteter Abgleich gefördert.
Aktuell erarbeitet das BSI Mindeststandards zur Mitnutzung von Clouddienstleistungen, zur Protokollierung und Detektion von Cyberangriffen, zu Nutzerpflichten im Rahmen der Sicherung der ressortübergreifenden Kommunikationsinfrastruktur sowie zur Anwendung des modernisierten IT-Grundschutzes.