Mit <kes>+ lesen

Neuerungen im IT-Grundschutz-Kompendium 2021

Anfang Februar hat das BSI sein IT-Grundschutz-Kompendium in der aktuellen Edition 2021veröffentlicht. Die Änderungen des Kompendiums betreffen alle Organisationen, die sich nach dem BSI IT-Grundschutz zertifizieren lassen möchten, ihre Zertifizierung aufrechterhalten wollen oder sich freiwillig an dem BSI-Standard 200-2 orientieren.

Lesezeit 10 Min.

Mitte September 2020 hatte das BSI bereits schwerpunktmäßig eine Aufwandsreduzierung bei der Erfüllung von Anforderungen sowie der Umsetzung von Maßnahmen durch Entfernung von Redundanzen in den Bausteinen in Aussicht gestellt. Welche Änderungen sich schlussendlich in der Neuauflage ergeben haben und wie sich diese auf den Aufwand in der Umsetzung des IT-Grundschutz-Kompendiums beziehungsweise bei der Migration auf die aktuelle Edition auswirken, beleuchtet der vorliegende Artikel.

Die jetzt veröffentlichte Edition des IT-Grundschutz-Kompendiums ist zertifizierungsrelevant und löst damit die Edition 2020 ab – Letztere kann aber noch bis zum 30. September 2021 für aktuelle Zertifizierungsprozesse genutzt werden.

Änderungen im Überblick:

Das neue IT-Grundschutz-Kompendium enthält insgesamt 97 Bausteine – zwei sind neu hinzugekommen: CON.10 „Entwicklung von Webanwendungen“ und INF.11 „Allgemeines Fahrzeug“. Sechs IT-Grundschutz-Bausteine wurden umbenannt (siehe Tabelle 1) – einer davon wurde aus zwei früheren Bausteinen zusammengefasst – und 79 Bausteine haben sich geändert.

Bei den Umbenennungen fällt auf, dass die ehemaligen Prozess-Bausteine CON.4 „Auswahl und Einsatz von Standardsoftware“ sowie CON.5 „Entwicklung und Einsatz von Individualsoftware“ in System-Bausteine umgewandelt wurden: in APP.6 „Allgemeine Software“ und APP.7 „Entwicklung von Individualsoftware“. Somit sind die Bausteine nicht wie bisher auf den gesamten Informationsverbund anzuwenden, sondern grundsätzlich für jede Software, die darin eingesetzt wird. Anwendungen lassen sich allerdings auch gruppieren, sodass der Baustein dann nur einmal pro Anwendungsgruppe angewendet werden muss. Die Bausteine geben auch nähere Informationen zur Abgrenzung und Modellierung. Da sie als System-Bausteine nun voraussichtlich häufiger Anwendung finden werden, erhöht sich der Aufwand bei der Erhebung von IT-Grundschutz-Checks des Informationsverbunds je nach Anzahl der erhobenen Anwendungen (bzw. Anwendungsgruppen).

Das BSI stellt im Internet eine umfangreiche Änderungsdokumentation bereit (www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/FD_Aenderungen2021.html), die allerdings ausschließlich „umfangreiche Änderungen“ behandelt, die gegebenenfalls Auswirkungen auf Zertifizierungsverfahren oder bestehende Sicherheitskonzeptionen haben könnten – das betrifft 85 Bausteine. „Geringfügige Änderungen“, die nur sprachliche oder redaktionelle Änderungen umfassen, werden von dem Dokument nicht erfasst – dies betrifft 10 Bausteine, die in Tabelle 2 aufgeführt sind.

Als übergreifende Veränderung wurden sämtliche Rollen, die für die Umsetzung der Anforderungen verantwortlich sind, konsolidiert und verallgemeinert. Tabelle 3 zeigt die Zuordnung der Rollen aus dem alten IT-Grundschutz-Kompendium zur neuen Systematik. Gemäß dieser Rollenänderungen ist nun beispielsweise nicht mehr explizit der Leiter des Personals, sondern die Personalabteilung als Ganzes für die Messung und Auswertung des Lernerfolgs bei Schulungs- und Sensibilisierungsmaßnahmen verantwortlich.

Tabelle 1

Tabelle 1: Umbenannte IT-Grundschutz-Bausteine

Tabelle 2

Tabelle 2: IT-Grundschutz-Bausteine ohne oder mit nur geringfügigen Änderungen

Tabelle 3

Tabelle 3: Mapping der alten zu den neuen IT-Grundschutz-Rollen

Neue Bausteine:

CON.10 Entwicklung von Webanwendungen

Der neue Prozess-Baustein CON.10 „Entwicklung von Webanwendungen“ beschäftigt sich, in Abgrenzung zum Baustein APP.3.1 „Webanwendungen“, mit der Entwicklungsphase von Webanwendungen – daher wird als Umsetzungsverantwortlicher ausschließlich der Entwickler aufgeführt. Alle entwicklungsbezogenen Anforderungen aus APP.3.1 wurden in CON.10 aufgenommen. Des Weiteren wurden zwei neue Anforderungen hinzugefügt (CON.10.A5 und CON.10.A16) und die aus APP.3.1 übernommene Anforderung (CON.10.A11) an die Anwendungsarchitektur der Softwareentwicklung angepasst.

  • CON.10.A5 Upload-Funktionen: Die Anforderung CON.10.A5 Upload-Funktionen besteht aus Teilanforderungen des alten Bausteins APP.3.1 und einer neu hinzugekommenen Teilanforderung, welche die Integration von Funktionen verlangt, mit denen die späteren Betreiber der Webanwendung Uploads konfigurieren können. Diese Anforderung ist eine Basis-Anforderung und muss daher bei einer Zertifizierung voll erfüllt werden – dies sollte bereits bei Antragstellung gegeben sein.
  • CON.10.A16 Mehr-Faktor-Authentisierung: Da Anwender häufig zu schwache, unsichere Passwörter wählen oder das gleiche Passwort auf unterschiedlichen Portalen mehrfach wiederverwenden, verlangt die zweite neue Anforderung, dass Entwickler eine Mehr-Faktor-Authentifizierung (MFA) implementieren sollten. Dabei ist jegliche Art der Umsetzung ausreichend, um
    diese Anforderung zu erfüllen, da sie nicht weiter präzisiert wurde.
  • CON.10.A11 Softwarearchitektur einer Webanwendung: Hier geht es darum, die Dokumentation der gesamten Softwarearchitektur mit allen Bestandteilen und Abhängigkeiten bereits während der Entwicklung einer Webanwendung vorzugeben. Neben formalen Anforderungen, wie solch eine Dokumentation aussehen soll (z. B. verständlich formuliert etc.), werden auch konkrete Inhalte genannt, die darin enthalten sein sollten: Dazu gehört eine Liste aller Komponenten und ihrer Funktionalität – außerdem soll beschrieben werden, wie eine Webanwendung in die bestehende Infrastruktur integriert wird und welche kryptografischen Verfahren zum Einsatz kommen, um sie zu schützen.

Der Aufwand, entsprechende Vorgaben zu formulieren und gegebenenfalls eine bereits existierende Richtlinie mit den hier verlangten Vorgaben zu ergänzen, ist als eher gering einzuschätzen. Da sich an dieser Stelle allerdings etwas am Prozess ändert, der so eventuell noch nicht gelebt wird, sollte CON.10.A11 so schnell wie möglich als Vorgabe aufgenommen und an die Mitarbeiter (Entwickler) kommuniziert werden, sodass der zugehörige Prozess bis zur Zertifizierung angemessen etabliert ist.

Zwischenfazit: Der neue Baustein CON.10 „Entwicklung von Webanwendungen“ umfasst hauptsächlich verschobene Anforderungen, daher ist der Aufwand zur Umsetzung des neuen Bausteins verhältnismäßig gering einzuschätzen.

INF.11 Allgemeines Fahrzeug

Der neue Baustein INF.11 „Allgemeines Fahrzeug“ ist ein System-Baustein und einmal auf jedes von der anwendenden Institution eingesetzte Land-, Luft- und Wasserfahrzeug anzuwenden. Ausgenommen sind autonom fahrende oder ferngesteuerte Fahrzeuge sowie Schienen- und Raumfahrzeuge. Der Baustein adressiert dazu sowohl Benutzer als auch Betreiber von (Dienst-)Fahrzeugen.

Im Folgenden soll anhand einer fiktiven Polizeidienststelle konkretisiert werden, welche Anforderungen der neue Baustein stellt. Der beispielhafte fiktive Polizeieinsatzwagen ist in der Lage, Meldungen der Leitstelle entgegenzunehmen und zu beantworten. Hierfür ist ein Funkgerät im Einsatzfahrzeug fest verbaut, das alle Meldungen über Digitalfunk austauscht. Des Weiteren ist es mit der neuesten Signaltechnik und einem Multifunktions-PC ausgestattet, der notwendige Polizeianwendungen bereitstellt. Zur Eigensicherung der Mitarbeiter sind Kameras installiert, die Anhalte- und Kontrollvorgänge aufzeichnen können.

Die folgenden Anforderungen sind Basis-Anforderungen und müssen vorrangig erfüllt werden:

  • INF.11.A1 „Planung und Beschaffung“ verlangt die Planung des Einsatzzwecks des Fahrzeugs und die Erhebung funktionaler Anforderungen bezüglich Informationssicherheit und Datenschutz der verbauten Komponenten. Um diese Anforderung zu erfüllen, können Fachverantwortliche, in diesem Fall der Zentraldienst der Polizei, vor der Beschaffung eine Anforderungsanalyse durchführen, die sich auf der Basis von Einsatzszenarien des Fahrzeugs erheben lässt. Informationssicherheitsrelevante Anforderungen sollten mit den Verantwortlichen für Informationssicherheit, datenschutzrechtliche Anforderungen mit dem Datenschutzbeauftragten abgestimmt werden. Hierbei ist sowohl der Einsatz von Schließsystemen zu berücksichtigen als auch, dass die im Fahrzeug implementierten IT-Komponenten Telemetriedaten an den Fahrzeug- und/oder Komponentenhersteller übermitteln könnten. Eine Dokumentation der Anforderungsanalyse wird nicht explizit erwähnt, ist aber sinnvoll, um sie als Nachweis in einem Audit vorlegen zu können.
  • Für INF.11.A2 „Wartung, Inspektion und Updates“ ist zu berücksichtigen, dass Intervalle der herkömmlichen Wartung und die Updates der integrierten IT-Komponenten voneinander abweichen können. Um einen Überblick der Wartungsfenster zu behalten, nutzt die fiktive Polizeidienststelle einen zentral eingesetzten Wartungsplaner. Zudem hat sie klare Regelungen zu Wartungs- und Reparaturarbeiten, zum Patch- und Updatemanagement sowie zum Umgang mit Fremdfirmen definiert. Mittels einer vorab erstellten Checkliste kann sie bei Wiederintegration in den Einsatzbetrieb prüfen, ob alle eventuellen Mängel behoben wurden und die vorhandenen IT-Komponenten einsatzfähig sind.
  • INF.11.A3 „Regelungen für die Fahrzeugnutzung“ erfordert eine besondere Berücksichtigung von Tätigkeiten, die sich auf die Sicherheit der in den Fahrzeugen verarbeiteten Informationen auswirken können. Es ist ebenfalls zu definieren, welche Informationen transportiert und bearbeitet werden dürfen und welche Schutzvorkehrungen dabei zu treffen sind. Ein Beispielszenario wäre, beim Verlassen des Autos zu fordern, den verbauten Multifunktions-PC, auf dem personenbezogene Daten verarbeitet werden, in den Standby-Modus zu versetzen. Für jede Art von Information, ob in digitaler, schriftlicher oder mündlicher Form sind analoge Regelungen zu treffen. Weiterhin verlangt die Anforderung Vorgaben dazu, in welchem Umfang Infotainmentsysteme, Anwendungen und sonstige Services der Fahrzeuge genutzt sowie mitgeführte IT-Systeme in den Fahrzeugen verwendet und aufbewahrt werden dürfen und wie Schnittstellen abzusichern sind. Diese Regelungen sollten in Geschäfts- beziehungsweise Dienstanweisungen definiert sein.

Es folgen Standard-Anforderungen, die grundsätzlich erfüllt werden sollten:

  • INF.11.A4 erwartet eine für Mitarbeiter verpflichtende Sicherheitsrichtlinie, in der alle relevanten Sicherheitsanforderungen für die IT innerhalb des Fahrzeugs dokumentiert und eindeutige Zuständigkeiten für einzelne Aufgaben klar geregelt sind. Um diese Anforderung zu erfüllen, lässt in unserem Beispiel die Polizeidienststelle ihren Mitarbeitern die Sicherheitsrichtlinie zukommen und sich deren Kenntnisnahme bestätigen.
  • In INF.11.A5 geht es um die Erstellung einer Inventarliste für jedes Fahrzeug. Hierbei müssen sämtliche zum Fahrzeug gehörenden IT-Komponenten (etwa Handfunkgeräte), die dazugehörigen Fachverfahren (z. B. das Melden von Vorfällen über das Handfunkgerät) und eine Betriebsdokumentation beziehungsweise Handlungsanweisungen (in diesem Beispiel zur Handhabung des Handfunkgeräts) inventarisiert werden. Die Inventarliste sorgt für einen Überblick über alle vorhandenen IT-Komponenten und soll sicherstellen, dass unerlaubt gekoppelte Geräte (bspw. USB-Sticks) umgehend erkannt werden können.
  • Anforderung INF.11.A6 behandelt die Ausarbeitung von Handlungsanweisungen für vorhersehbare Szenarien. Diese sollen auch als Checklisten in den Fahrzeugen verfügbar sein, sodass man im Bedarfsfall darauf zurückgreifen kann. Insbesondere sollen darin verschiedene Szenarien behandelt werden, wie der Ausfall einzelner IT-Komponenten, Unfälle, unerlaubtes Betreten des Fahrzeuges und Diebstahl. Auch Notfallkontakte und Zuständigkeiten sollen in den Checklisten dokumentiert werden, damit ein zeitnahes Handeln möglich ist. Solche Checklisten sind bereits aus dem Notfallmanagement bekannt und können als Vorbild dienen.
  • INF.11.A7 verlangt nochmals konkreter den sachgerechten Umgang mit Fahrzeugen und den darin verarbeiteten schützenswerten Informationen. Dazu gehört sicherzustellen, dass Unbefugte von außerhalb des Fahrzeugs keine Daten einsehen, mithören oder entwenden können.
  • INF.11.A8 „Schutz vor witterungsbedingten Einflüssen“ fordert, je nach Fahrzeugart, Einsatzort und Einsatzumgebung entsprechende Schutzmaßnahmen zu treffen.
  • INF.11.A9 „Sicherstellung der Versorgung“ behandelt die Planung zu Betriebsstoffen – beispielsweise wann und wie man Benzin nachtanken soll.
  • INF.11.A10 befasst sich mit der Aussonderung (Stilllegung) von Fahrzeugen. Zuvor muss – wie bei allen anderen Assets – darauf geachtet werden, alle schützenswerten Informationen aus dem Fahrzeug zu entfernen. Die Inventarliste sollte als Checkliste verwendet werden, um zu identifizieren, ob relevante Gegenstände zurückgelassen worden sind.

Sieben weitere Anforderungen werden bei erhöhtem Schutzbedarf empfohlen beziehungsweise vorgeschlagen:

  • INF.11.A11 empfiehlt Ersatzvorkehrungen bei Ausfällen zu treffen, etwa für die Nichtverfügbarkeit von Fahrzeug oder Fahrzeugführer. Ein Rahmenvertrag mit einem geeigneten Dienstleister kann hierbei Abhilfe schaffen.
  • INF.11.A12 „Diebstahlsicherung bzw. Bewachung“ verlangt eine Alarmanlage und eine Wegfahrsperre, die beim Verlassen des Fahrzeugs aktiviert werden sollten – alternativ sollte man Fahrzeuge bewachen.

  • INF.11.A13 betrachtet mögliche „schädigende Fremdeinwirkungen“ in der geplanten Einsatzumgebung, für die Gegenmaßnahmen ergriffen werden sollten. Dabei könnte es sich beispielsweise um elektromagnetische Strahlung handeln, welche die Kommunikation mit der Leitstelle stört und mithilfe einer Abschirmung oder Dämpfung abgewehrt werden könnte.
  • INF.11.A14 soll den Schutz sensibler Informationen vor unbefugtem Zugriff und Kenntnisnahme unterstützen und empfiehlt zusätzliche Maßnahmen, etwa mit Unterstützung der Hersteller, zu ergreifen.
  • INF.11.A15 behandelt die physische Absicherung der Schnittstellen (interne wie externe) der Fahrzeuge. Das kann beispielsweise Maßnahmen umfassen, die sicherstellen, dass IT-Komponenten fest mit dem Fahrzeug verbunden sind und nicht unerwartet bei Erschütterung die Verbindung verlieren.
  • Die Anforderung INF.11.A16 verlangt eine Brandlöschanlage oder andere geeignete Mittel zur Brandbekämpfung.
  • INF.11.A17 „Netztrennung des In-Vehicle-Network mit einem Sonderfahrzeugnetz über Gateways“ gibt vor, dass das In-Vehicle-Network (IVN), das an das Netz des Fahrzeugherstellers angebunden ist (oder sein könnte), keine Informationen mit einsatzspezifischen IT-Komponenten austauschen darf. Um dies gewährleisten zu können, sollten Gateways mit standardisierten Protokollen eingesetzt werden.

Zwischenfazit: Eine Sensibilisierung für die Informations-Sicherheit von und in Fahrzeugen muss erst noch geschaffen werden, sodass man dieses Thema mit Priorität angehen sollte. Der Aufwand zu Erfassung und Implementierung des neuen Bausteins ist im Vergleich zur Erfassung der Änderungen in einem anderen IT-Grundschutz-Baustein als hoch einzuschätzen.

Neue Anforderungen / Migration

In anderen Bausteinen sind zwar ebenfalls neue Anforderungen hinzugekommen – viele davon wurden jedoch nur aus anderen Bausteinen verschoben. Tabelle 4 listet alle neuen Anforderungen auf, die in der Edition 2020 nicht enthalten waren.

Um die Migration zum neuen IT-Grundschutz-Kompendium 2021 zu erleichtern, sollte man die Anforderungen der alten und neuen Fassung miteinander vergleichen und die Änderungen bewerten – das hilft dabei, den Umsetzungsaufwand der neuen Anforderungen einschätzen zu können. Tabelle 5 zeigt exemplarisch, wie solch ein Vergleich aussehen kann. In diesem Beispiel werden die Änderungen zwischen den Anforderungen als „gering“, „mittel“ oder „kritisch“ eingestuft, sodass sich ein rascher Überblick darüber erlangen lässt, wie umfangreich die Änderungen sind.

Für Institutionen, die ein GRC-Tool einsetzen, könnte gegebenenfalls dessen Nutzung bei der Migration zum neuen IT-Grundschutz-Kompendium unterstützen. Einige Hersteller bieten etwa – teils sogar kostenlos – Services an, durch die beispielsweise alle Änderungen bereits in einer Form erfasst wurden, welche die Modifikation sichtbar macht, wobei alte Umsetzungshinweise übernommen und nur noch angepasst oder ergänzt werden müssen.

Deniz Desti ist Beraterin der HiSolutions AG im Bereich Security Consulting

Tabelle 4

Tabelle 4: Neue Anforderungen im IT-Grundschutz-Kompendium 2021

Tabelle 5

Tabelle 5: Exemplarischer Abgleich von Anforderungen nach IT-Grundschutz-Kompendium 2020 gegenüber der Fassung von 2021

Diesen Beitrag teilen: