Der neue IT-Grundschutz in der Praxis

Von Frank Rustemeyer, Berlin

„Probieren geht über Studieren“, sagt das Sprichwort – und im Sinne dieses Mottos hatte der Autor Gelegenheit, bei der Erarbeitung zweier Sicherheitskonzepte den „neuen“ IT-Grundschutz in der Praxis zu testen. Es ist vorauszuschicken, dass es sich um verfahrensbezogene Sicherheitskonzepte handelte, sodass der betrachtete Informationsverbund jeweils eng abgegrenzt war und auf übergreifende, behördenbezogene Sicherheitskonzepte aufsetzte. Dennoch sind die Erkenntnisse auch für größere Projekte nach der IT-Grundschutz-Methodik gültig.

Vertrauter Start

Die methodischen Änderungen im neuen Standard BSI 200-2 bedeuten zunächst keinen radikalen Bruch mit der vertrauten Vorgehensweise, gerade wenn man im Ansatz der Standard-Absicherung bleibt: Die Abgrenzung des Informationsverbunds und die Schutzbedarfsfeststellung erforderten keine Umstellung und konnten in gewohnter Art durchgeführt werden. Ähnliches gilt auch für die IT-Strukturanalyse, allerdings sind hier nun auch die relevanten Geschäftsprozesse verbindlich zu erfassen – das war durch die Fokussierung des Sicherheitskonzepts auf bestimmte Fachverfahren unproblematisch möglich. Bei komplexeren Betrachtungsgegenständen entsteht hier sicherlich zusätzlicher Analyseaufwand, der aber auch hilfreiche Erkenntnisse liefert, besonders für die Bestimmung des Schutzbedarfs.

Für die Sicherheitsbetrachtung der Fachanwendungen war es wichtig, auch relevante Kommunikationsverbindungen zu erfassen und in der Strukturanalyse zu dokumentieren, obwohl dieser Arbeitsschritt im Standard bei der Strukturanalyse nicht explizit vorgesehen ist. Ein später in Kapitel 8.2.8 aufgeführtes Beispiel für die Schutzbedarfsfeststellung zeigt jedoch, dass auch die Autoren des Standards davon ausgegangen sind, dass ein solcher Arbeitsschritt im Rahmen der Strukturanalyse sehr wohl erfolgt.

IT-Grundschutz-Check

Die größten Neuerungen ergeben sich erwartungsgemäß dort, wo man mit der neuen Bausteinstruktur arbeitet: im Basis-Sicherheitscheck (BSC), der im neuen Standard „IT-Grundschutz-Check“ heißt. Unter altgedienten Grundschutz-Anwendern scheint der „BSC“ als Begriff jedoch so etabliert zu sein, dass er sicher noch eine ganze Weile in Gebrauch bleiben wird.

Zur Vorbereitung des IT-Grundschutz-Checks hat das BSI Formulare (Checklisten) zum Download bereitgestellt. Nach kurzer Prüfung wurde deren Nutzung im Projekt aber verworfen: Zum einen besteht einer der wesentlichen Vorteile der neuen Bausteine darin, dass die zu erfüllenden Sicherheitsanforderungen sehr kompakt zusammengefasst und auf wenige Sätze verdichtet sind. Da bietet es sich an, im Formular die Anforderung vollständig aufzunehmen und den festgestellten Umsetzungsstand direkt darauf zu beziehen. Das erspart in der Erhebung wie auch beim späteren Lesen des Sicherheitskonzepts das Hin- und Herblättern zwischen Kompendium und Formular.

Zum anderen beschränkt der neue Standard BSI 200-2 den IT-Grundschutz-Check explizit auf die Basis- und Standardanforderungen, während die erweiterten Anforderungen als Input für die Risikoanalyse dienen sollen. In diesem Sinne können auch die Formulare entsprechend auf die Basis- und Standardanforderungen gekürzt werden.

Wo für die Sicherheitskonzepte Bausteine erforderlich waren, die im neuen Kompendium noch nicht enthalten waren, wurde auf entsprechende „alte“ Grundschutzbausteine zurückgegriffen – das wird im Kompendium auch explizit so vorgeschlagen und funktioniert in der Praxis problemlos. Die Mischung alter und neuer Bausteine führte in den betrachteten Projekten nicht zu Schwierigkeiten.

Spürbar weniger Redundanzen

Sehr positiv hat sich in der Durchführung des IT-Grundschutz-Checks die Bündelung der Sicherheitsanforderungen nach Themen erwiesen. Wo in den alten Bausteinen bestimmte Themen immer wieder unter anderem Blickwinkel in unterschiedlichen Maßnahmen im Lebenszyklus auftauchten, sodass befragte Administratoren aufgrund der sich wiederholenden Antworten schon einmal seufzend mit den Augen gerollt haben, lassen sich die wichtigen Punkte innerhalb eines Bausteins nun kompakt behandeln und dokumentieren.

Dies bedeutet aus Sicht des Autors eine ganz wesentliche Erleichterung bei gleichzeitiger Erhöhung der Lesbarkeit der Ergebnisse: Alle Beteiligten hatten im IT-Grundschutz-Check das Gefühl, die wesentlichen Themen fokussiert zu behandeln. In der vorliegenden Stichprobe wurde der Aufwand für die Erhebung des Umsetzungsgrads eines Bausteins um ungefähr ein Drittel geringer eingeschätzt als zuvor – ohne Abstriche bei der inhaltlichen Tiefe. Dazu trägt auch die Trennung der Anforderungen von den Umsetzungshinweisen bei, die jetzt nur noch konsultiert werden müssen, wenn Unsicherheiten über den Weg zur Erfüllung der Sicherheitsanforderungen bestehen.

Allerdings tauchen im IT-Grundschutz-Check leider auch mit den neuen Bausteinen noch redundante Fragestellungen auf: Zwar sind die einzelnen Bausteine in sich dahingehend bereinigt – aber bei der Kombination mehrerer Bausteine wiederholen sich die Anforderungen zum Teil. Hier wäre es wünschenswert, die Zuordnung von Anforderungen zu Bausteinen nach dem Schichtenmodell noch konsequenter einzuhalten, statt für jeden Baustein eine erschöpfende Behandlung der relevanten Sicherheitsanforderungen anzustreben.

So überschneiden sich beispielsweise jeweils folgende Anforderungen:

• SYS.3.1.A1 Regelungen zur mobilen Nutzung von Laptops und INF.9.A8 Sicherheitsrichtlinie für mobile Arbeitsplätze sowie
• SYS.3.1.A13 Verschlüsselung von Laptops und INF.9.A9 Verschlüsselung tragbarer IT-Systeme und Datenträger.

Dabei ist davon auszugehen, dass beim mobilen Einsatz von Laptops stets sowohl der Baustein SYS.3.1 „Laptop“ als auch der Baustein INF.9 „Mobiler Arbeitsplatz“ zu modellieren sind. Hier hätte es nach Meinung des Autors und seiner Kollegen ausgereicht, die genannten Anforderungen jeweils einem der beiden Bausteine zuzuordnen.

Umgang mit defizitären Maßnahmen

Die Trennung der Sicherheitsanforderungen von Umsetzungshinweisen in den neuen Bausteinen hat eine bedeutsame Konsequenz: Wird im IT-Grundschutz-Check festgestellt, dass eine Anforderung nicht oder nur teilweise erfüllt ist, so wird daraus nicht unmittelbar deutlich, welcher Handlungsbedarf konkret besteht beziehungsweise welche Maßnahmen vorgeschlagen werden, um die Anforderung angemessen zu erfüllen.

Es hat sich bewährt, in den Sicherheitskonzepten hierzu explizite Maßnahmenvorschläge auszuformulieren. Dies hat gegenüber dem schlichten Verweis auf die Umsetzungshinweise den Vorteil, dass man zusammen mit dem Auftraggeber ganz konkrete Festlegungen treffen kann, was zu tun ist. Die so ausformulierten „Grundschutzmaßnahmen“ lassen sich dann sowohl in der Risikoanalyse als auch im Umsetzungsplan direkt wiederverwenden. Sie bieten gleichzeitig eine Möglichkeit, die noch vorhandenen Redundanzen zwischen den Bausteinen zusammenzuführen, indem zu gleichartigen Ergebnissen aus mehreren Bausteinen eine gemeinsame Maßnahme definiert wird.

Risikoanalyse

Auch beim Risikoanalyse-Standard BSI 200-3 hat sich einiges getan. Auffällig ist hier zunächst die größere Freiheit bei der Auswahl der Bezugsobjekte für die Risikobetrachtung: Diese muss nicht mehr zwingend am einzelnen Zielobjekt erfolgen, sondern kann auch auf eine höhere Ebene (z. B. Fachanwendungen oder Geschäftsprozesse) gehoben werden. Das ist insofern zu begrüßen, als die Erfahrung zeigt, dass Risikoanalysen für „Standard“- Zielobjekte (z. B. einen Router oder einen Arbeitsplatz-PC) selten Erkenntnisse über die ohnehin schon vorgesehenen Schutzmaßnahmen hinaus ergeben, während sich fehlende oder für einen erhöhten Schutzbedarf maßgebliche Themen meist sinnvoller an der spezifischen Fachanwendung diskutieren lassen.

In der Risikobewertung geht der neue Standard zudem über die bisherige einfache Ja/Nein-Entscheidung hinaus („Reichen die vorhandenen Maßnahmen aus?“) und fordert die Bewertung der beiden Risikodimensionen Schadenshöhe und Eintrittshäufigkeit. Dabei kann der Anwender für die Bewertung eigene Skalen definieren – in Anlehnung an das firmeneigene Risikomanagementsystem oder auch ganz einfach mit jeweils nur zwei Werten.

Wo in der Risikoanalyse untragbare Risiken identifiziert werden, kann man zunächst prüfen, ob diese schon durch die zuvor definierten Grundschutzmaßnahmen (GM) behandelt werden oder eine weitergehende Risikobehandlung durch „zusätzliche Maßnahmen“ (ZM) erforderlich ist. Dafür ist auch ein Rückgriff auf die Anforderungen für erhöhten Schutzbedarf aus den verwendeten Bausteinen möglich. In einem abschließenden Umsetzungsplan können GM und ZM konsolidiert und mit Umsetzungsverantwortlichen und -fristen versehen werden.

Dokumentation

Zum Zeitpunkt der Projektdurchführung unterstützte keines der gängigen Grundschutztools die neuen Bausteine. Ein Versuch, die neuen Bausteine als „benutzerdefinierte Bausteine“ im GSTOOL abzubilden, erwies sich als impraktikabel. Der manuelle Erfassungsaufwand der neuen Bausteine war hoch, die resultierende Übersichtlichkeit durch zusätzlich vom Tool vergebene Nummern sehr begrenzt.

Für die hier betrachteten, im Umfang begrenzten Sicherheitskonzepte wurde schließlich eine Dokumentation in einem Textdokument als praktikabelste Lösung gewählt. Bei komplexeren Verbünden wäre eine Toolunterstützung sehr wünschenswert – idealerweise auch mit der hier vorgeschlagenen Möglichkeit zur Definition eigener „Grundschutzmaßnahmen“ zur Bündelung defizitärer Anforderungen.

Fazit

In den Projekten des Autors erwies sich die Anwendung des „neuen“ Grundschutzes als gut machbar und – trotz noch vorhandener Redundanzen – sehr zielführend. Gerade die Befragung der Verantwortlichen ließ sich besser steuern und führte zu einer höheren Akzeptanz. Durch ausformulierte Maßnahmen zu den Defiziten ließen sich offene Punkte sinnvoll bündeln und gut in die Risikoanalyse und den Umsetzungsplan überführen.

Insgesamt konnte das Projektteam aufgrund der neuen Bausteinstruktur konzentrierter an den Inhalten des Sicherheitskonzepts arbeiten – das resultierende Dokument ist nach Meinung aller Beteiligten leichter lesbar. Die Modernisierung des IT-Grundschutzes zeigt damit auch in der praktischen Anwendung einen deutlich positiven Effekt.

Frank Rustemeyer ist Director bei der HiSolutions AG.