Free

Migration zum IT-Grundschutz-Kompendium

Der BSI IT-Grundschutz wurde unlängst grundlegend überarbeitet, um ihn dem aktuellen Stand der Technik anzupassen. Diese Modernisierung betrifft alle vorhandenen Standards und Kataloge. Der vorliegende Artikel thematisiert die Herausforderungen im Hinblick auf eine Migration und mögliche Strategien dafür.

Von Tobias Goldschmidt, Marie-Luise Troschke und Marie Flurschütz, Berlin

Die Modernisierung des BSI-Standardwerks für Informationssicherheit ist mit der Modernisierung eines mit der Zeit marode werdenden Eigenheims zu vergleichen: Die Art, Häuser zu bauen, hat sich weiterentwickelt und es wurden neue Vorgaben etabliert, damit das Haus weiterhin als sicherer Rückzugsort dienen kann. Ein neuer Anstrich tut der Fassade schon auf den ersten Blick gut, jedoch ist es damit nicht getan: Eine wirkliche Modernisierung betrifft alle äußeren und inneren Bestandteile – von der Hauswand bis zum Wasser- und Telefonanschluss. Die Umsetzung erfordert eine wohlüberlegte Planung und der Umbau sollte schrittweise erfolgen, ganz besonders, wenn das Haus währenddessen bewohnbar bleiben soll.

Im Rahmen der Modernisierung des BSI IT-Grundschutzes wurden folgende Kernpunkte adressiert:

  • Entwicklung neuer Vorgehensweisen
  • Entwicklung und Neuausrichtung der IT-Grundschutz-Profile
  • Verschlankung der Bausteine

Die modernisierte Vorgehensweise schlägt drei unterschiedliche Modelle bei der Erstellung des IT-Sicherheitskonzepts in Form von Absicherungsarten vor:

  • Basis-Absicherung: Hierbei zielt eine Institution darauf ab, möglichst flächendeckend alle Basis-Anforderungen umzusetzen, um schnellstmöglich die größten Risiken zu senken.
  • Kern-Absicherung: Hier steht der Schutz der essenziellen Werte im Fokus.
  • Standardabsicherung: Diese entspricht im Wesentlichen der bisherigen IT-Grundschutz-Methodik nach BSI-Standard 100-2.

Eine weitere Neuerung sind die IT-Grundschutz-Profile, welche die Funktion einer Schablone wahrnehmen, die Platz für individuelle Anpassungen an die jeweiligen Bedürfnisse der Institution lässt. Sie beziehen sich auf typische IT-Szenarien, zum Beispiel für Kommunalverwaltungen in einem Bundesland, Krankenhäuser oder Betreiber kritischer Infrastrukturen. Die initiale Erstellung solcher Profile erfolgt nicht durch das BSI, sondern durch Dritte, die als Experten entscheiden, welche Empfehlungen optional oder verzichtbar sind.

Die durch das IT-Grundschutz-Kompendium abgelösten IT-Grundschutz-Kataloge enthielten Maßnahmen, die Anforderungen und entsprechende Hinweise für ihre Umsetzung in einem Dokument vereinten. Die Bausteine im IT-Grundschutz-Kompendium sind jetzt knapp und übersichtlich gestaltet und umfassen im Mittel nur zehn Seiten mit generischen Sicherheitsanforderungen. Diesen wird jeweils eine entsprechende Verantwortlichkeit aus der zu etablierenden Sicherheitsorganisation zugeordnet. Zusätzlich wurden Umsetzungshinweise erstellt, in denen konkret zu etablierende Sicherheitsmaßnahmen formuliert sind.

Herausforderungen

Zuvor realisierte das BSI die Aktualisierung der IT-Grundschutz-Kataloge mit den darin enthaltenen 100 IT-Grundschutz-Bausteinen in unregelmäßigen Abständen im Rahmen von Ergänzungslieferungen (EL). Im Februar 2018 wurde mit der Veröffentlichung der ersten Edition des neuen IT-Grundschutz-Kompendiums ein wesentlicher Meilenstein im Rahmen der Modernisierung erreicht: Es enthält 80 neue IT-Grundschutz-Bausteine, die aufgrund ihrer häufigen Nutzung, unter anderem aus dem alten IT-Grundschutz-Katalog, ausgewählt wurden. In den nächsten Editionen, die jährlich im Februar veröffentlicht werden sollen, folgen neue Bausteine und Überarbeitungen der bereits veröffentlichten.

Die Bausteine der ersten Edition entstanden aus einer Reihe von Final Drafts, die einem mehrstufigen Überarbeitungs- und Freigabeprozess unterlagen. Dieses Vorgehen ermöglichte eine unabhängige Qualitätskontrolle von verschiedenen Seiten, verzögerte jedoch den Veröffentlichungsprozess. Zum jetzigen Zeitpunkt fehlen im IT-Grundschutz-Kompendium 43 Dokumente mit Umsetzungshinweisen zu den bereits veröffentlichten Bausteinen. Die Gültigkeit der Nutzung des bisherigen IT-Grundschutzes in der 15. Ergänzungslieferung läuft zum 30. September 2021 ab. Was bedeutet das für ein bestehendes Informationssicherheitsmanagementsystem (ISMS) und dessen Zertifizierung?

Zertifizierung

Bereits seit dem 15. Oktober 2017 können Anträge auf Zertifizierung nach dem IT-Grundschutz-Kompendium gestellt werden – noch bis zum 30. September 2018 kann man auch eine Zertifizierung nach den IT-Grundschutz-Katalogen gemäß BSI-Standard 100-2 beantragen. Nach diesem Datum sind nur noch Anträge auf Zertifizierung nach dem neuen IT-Grundschutz-Kompendium möglich. Unter Berücksichtigung der genannten Fristen lassen sich im Rahmen der Zertifizierung zwei Fälle unterscheiden:

Zertifizierung nach der 15. Ergänzungslieferung der IT-Grundschutz-Kataloge

Der erste Fall umfasst einen Antrag auf Zertifizierung nach den IT-Grundschutz-Katalogen in der finalen 15. Ergänzungslieferung gemäß BSI-Standard 100-2. Das Audit erfolgt gemäß bisherigem Auditierungsschema (Version 1.0 vom 16. März 2011) und unter der Nutzung der bekannten Auditreport-Vorlage. Die Zertifizierung durch das BSI erfolgt gemäß bisherigem Zertifizierungsschema (Version 1.2 vom 22. Mai 2017). Die beiden anschließenden Überwachungsaudits werden ebenfalls gemäß bisherigem Auditierungsschema durchgeführt.

Ist bereits ein erster Schritt in Richtung Migration erfolgt, indem einer der neuen Bausteine auf ein Zielobjekt modelliert und umgesetzt wurde, bietet das BSI die Möglichkeit, diesen vom Auditor prüfen zu lassen: Dazu wird eine angepasste Auditreport Vorlage für die Überwachungsaudits erstellt. Das anschließende Re-Zertifizierungsaudit kann nur noch nach neuem IT-Grundschutz-Kompendium erfolgen. Dieses Vorgehen verlangt implizit eine Migration über den Lebenszyklus des Zertifikats hinweg und die Umsetzung eines hybriden ISMS, wobei Bausteine des IT-Grundschutz-Kompendiums und der IT-Grundschutz-Kataloge parallel verwendet werden. Bis zum Re-Zertifizierungsaudit ist somit ein finaler Wechsel auf den modernisierten IT-Grundschutz vorgeschrieben.

Zertifizierung nach der ersten Edition des IT-Grundschutz-Kompendiums

Das Vorgehen für den zweiten Fall erfordert den Antrag auf Zertifizierung nach dem IT-Grundschutz-Kompendium gemäß BSI- Standard 200-2. Voraussetzung dafür ist eine vollständige Migration auf den modernisierten IT-Grundschutz. Wurden einzelne Anforderungen von (neuen) Bausteinen oder vollständige Bausteine noch nicht bearbeitet und daher die Umsetzung noch nicht abgeschlossen, können nicht-umgesetzte Anforderungen über den Risikobehandlungsplan verwaltet werden.

In den Überwachungsaudits wird vom BSI eine deutliche Reduktion der durch die nicht-erfüllten Anforderungen entstandenen Risiken gefordert. Im Zertifizierungszyklus nutzt der Auditor das neue Auditierungsschema und die neuen Auditreport-Vorlagen – die Zertifizierung erfolgt auf Basis des neuen Zertifizierungsschemas. Fehlen Bausteine im veröffentlichten IT-Grundschutz-Kompendium, die aber im Informationsverbund des Anwenders erforderlich sind, wird auf die IT-Grundschutz-Kataloge der 15. Ergänzungslieferung verwiesen, wodurch – wie im ersten Fall – ein hybrides Modell erforderlich wird.

Migrationserfordernis und Ziel

Jede Zertifizierung – unabhängig davon, ob nach den IT-Grundschutz-Katalogen gemäß BSI-Standard 100-2 oder nach dem IT-Grundschutz-Kompendium gemäß BSI-Standard 200-2 – bedingt implizit eine Migration auf der Seite der Anwender. Diese werden gezwungen, eine individuelle Migration anzustoßen und seine Zertifizierung entsprechend zu planen.

Für einen reibungslosen Übergang empfiehlt sich der Blick auf die kontextbezogenen Änderungen auf Basis der neuen Anforderungen in den veröffentlichten Bausteinen des IT-Grundschutz-Kompendiums. Dabei hilft ein Mapping auf die Maßnahmen der Bausteine der IT-Grundschutz-Kataloge, da sich bereits etablierte Maßnahmen und somit eingesetzte Ressourcen gegebenenfalls für entsprechend neue Anforderungen sinnvoll weiterverwenden lassen.

Vorgehen bei der Migration

Bisher wurde noch keine einheitliche Vorgehensweise zur Migration etabliert. Das BSI stellt den IT-Grundschutz-Anwendern lediglich eine „Anleitung zur Migration von Sicherheitskonzepten“ zur Verfügung, die zusammen mit den vom BSI veröffentlichten Migrationstabellen eine Orientierung liefert – Details zu kontextbasierten Änderungen bleiben dabei jedoch unberücksichtigt.

In den Migrationstabellen des BSI erfolgt eine Zuordnung der Anforderungen (IT-Grundschutz-Kompendium) zu den Sicherheitsmaßnahmen (IT-Grundschutz-Kataloge) – das entspricht den gewohnte Kreuzreferenztabellen, mit denen in der Vergangenheit eine Zuordnung von Maßnahmen auf Gefährdungen geschah. Ein Beispiel für diese Zuordnungsart zeigt Abbildung 1.

Abbildung 1: Beispiel-Auszug der Migrationstabelle APP.3.1 Webanwendungen BSI

Die aktuellen Migrationstabellen berücksichtigen auf den ersten Blick auch kontextbezogene Aspekte – nicht enthalten ist jedoch eine Begründung der jeweiligen Zuordnung in Form von Details zu inhaltlichen Änderungen. Das BSI bewertet den Änderungsbedarf zudem numerisch, was nur bedingt hilfreich ist – die Bewertungsskala von „1“ bis „3“ ist wie folgt zu interpretieren:

  • 1: Die alte Maßnahme wird durch die neue Anforderung vollständig abgedeckt. Sofern die Maßnahme zuvor vollständig umgesetzt wurde, bedeutet dies keinen Aufwand bei der Umsetzung.
  • 2: Die neue Anforderung wird nur unter Berücksichtigung zusätzlicher Maßnahmen aus weiteren Bausteinen der IT-Grundschutz-Kataloge vollständig abgedeckt. Das BSI verweist hier auf eine Kontrolle bezüglich der vollständigen Abdeckung, da die Maßnahmen aus einem anderen Kontext (Baustein) stammen. Diese Bewertung wird vorgenommen, wenn die Maßnahme aus der 15. Ergänzungslieferung nur einen empfehlenden oder informierenden Charakter hatte (sog. W-Maßnahme).
  • 3: Die neue Anforderung wird auch unter Berücksichtigung weiterer Maßnahmen aus der 15. Ergänzungslieferung nicht in jedem Fall vollständig abgedeckt. Der Anwender ist verpflichtet, im Detail zu prüfen, wie die Anforderung vollständig erfüllt werden kann.

Mapping-Kontext

Zusammenfassend lassen sich daraus sechs Mapping-Szenarien ableiten, die zeigen, wie man Anforderungen des IT-Grundschutz-Kompendiums mithilfe etablierter Maßnahmen der IT-Grundschutz-Kataloge abdecken kann:

Abbildung 2: Migration am Beispiel des Bausteins APP 3.1 „Webanwendungen“
  • 1: Die alte Maßnahme wird durch die neue Anforderung vollständig abgedeckt. Sofern die Maßnahme zuvor vollständig umgesetzt wurde, bedeutet dies keinen Aufwand bei der Umsetzung.
  • 2: Die neue Anforderung wird nur unter Berücksichtigung zusätzlicher Maßnahmen aus weiteren Bausteinen der IT-Grundschutz-Kataloge vollständig abgedeckt. Das BSI verweist hier auf eine Kontrolle bezüglich der vollständigen Abdeckung, da die Maßnahmen aus einem anderen Kontext (Baustein) stammen. Diese Bewertung wird vorgenommen, wenn die Maßnahme aus der 15. Ergänzungslieferung nur einen empfehlenden oder informierenden Charakter hatte (sog. W-Maßnahme).
  • 3: Die neue Anforderung wird auch unter Berücksichtigung weiterer Maßnahmen aus der 15. Ergänzungslieferung nicht in jedem Fall vollständig abgedeckt. Der Anwender ist verpflichtet, im Detail zu prüfen, wie die Anforderung vollständig erfüllt werden kann.

Der inhaltliche Abgleich der alten IT-Grundschutz-Kataloge mit dem neuen IT-Grundschutz-Kompendium bildet somit die Basis für eine vollumfängliche Migration. Wichtig sind dabei für den Anwender die Sichtbarkeit zusätzlicher und entfallener Anforderungen sowie der resultierende Abdeckungsgrad der Anforderungen.

Eine mögliche Vorgehensweise zur Migration, die auf Basis der beschriebenen Mapping-Szenarien den Abdeckungsgrad sichtbar macht, hat die HiSolutions AG entwickelt – sie wird im Folgenden erläutert. Neben einer inhaltlichen Zuordnung der Maßnahmen der IT-Grundschutz-Kataloge der 15. Ergänzungslieferung zu den Anforderungen des IT-Grundschutz-Kompendiums werden dabei zusätzliche und entfallene Anforderungen aufgenommen und der Aufwand der Umsetzung auf dieser Basis geschätzt.

Der Aufwand wird hierbei mit einer Bewertungsskala von „kein“ bis „hoch“ angegeben, die wie folgt mit einer Prognose zu investierender Personentage (PT) korrespondiert:

  • kein Aufwand = 0 PT
  • geringer Aufwand = 1–3 PT
  • mittlerer Aufwand = 3–20 PT
  • hoher Aufwand > 20 PT

Diese Schätzung betrachtet lediglich den konkreten Aufwand für eine Umsetzung der Anforderung, nicht jedoch den übergreifenden organisatorischen Aufwand, der durch die Migration als solche entsteht.

Das Mapping der Maßnahmen erfolgt in der Richtung „alt zu neu“, da die aufgewendeten Ressourcen auf der Seite des bisherigen Grundschutzes für die neuen Anforderungen weiterverwendet werden können.

Durch Best-Practice-Ansätze und die Beurteilung interner Experten aus verschiedenen Fachgebieten lässt sich eine valide inhaltliche Zuordnung auf Maßnahmenebene sicherstellen. Damit können für unterschiedliche Informationsverbünde die Veränderungen infolge einer Migration aufgezeigt und in Zusammenarbeit mit dem Anwender Bewertungen der bevorstehenden Aufwände vorgenommen werden. Die Berücksichtigung des aktuellen Reifegrads des ISMS bildet zusammen mit den Ergebnissen des Mappings die Grundlage für die Planung des gesamten Migrationsprojekts.

Vergleichendes Beispiel „Webanwendungen“

Das Vorgehen zur Migration mithilfe der Vorgaben des BSI wird im folgenden Beispiel dem Vorgehen der HiSolutions AG gegenübergestellt. Als Grundlage werden die ersten beiden Anforderungen des  Bausteins APP.3.1 „Webanwendungen“ aus der ersten Edition des IT-Grundschutz-Kompendiums herangezogen. Der Input des BSI auf Basis der Migrationstabellen ist in Abbildung 2 in Gelb dargestellt – der zusätzliche Input über die beschriebene Bewertungsmethode in Abbildung 2 (blau) sowie Abbildung 3 enthalten.

Die Gegenüberstellung lässt erkennen, dass man mithilfe des Vorgehens der HiSolutions AG zum einen eine höhere Anzahl an Zuordnungen vornehmen und zum anderen im Ergebnis detailliertere Informationen erschließen kann. Besonders die Szenarien 1:1+, n:1 und 1:n können in den Migrationstabellen des BSI nicht vollständig abgebildet werden. Gerade diese Maßnahmen sind für die genauere Betrachtung jedoch sehr relevant, da aus ihnen offene Punkte für die konkrete Umsetzung ableitbar sind.

Abbildung 3: Detailinformationen zur Migration am Beispiel des Bausteins APP 3.1 „Webanwendungen“

Zur Verdeutlichung der Relevanz der einzelnen Szenarien wurde in Abbildung 4 ausgewertet, wie häufig diese während des Mappings auf Basis der HiSolutions-Vorgehensweise aufgetreten sind. Es zeigt sich, dass die Szenarien, die mit einer Maßnahme aus dem IT-Grundschutz-Kompendium nicht vollständig abgedeckt werden können (1:1) und daher einer genauere Betrachtung bedürfen, über die Hälfte der Gesamtmenge bilden

Der Grad der Abdeckung, der den Szenarien zugrunde liegt, ist für den Anwender signifikant, da er eine erste Aufwandsschätzung ermöglicht. So lässt sich erkennen, dass über die Hälfte der Anforderungen aus der ersten Edition des IT Grundschutz-Kompendiums zumindest einen geringen Aufwand bewirkt – Abbildung 5 verdeutlicht das betrachtete Aufkommen verschieden hohen Aufwands bei der Migration.

Abbildung 4: Häufigkeit der Mappingszenarien auf Basis der ersten Edition des IT-Grundschutz-Kompendiums im Vergleich zu den IT-Grundschutz-Katalogen der 15. EL

Nachdem die Zuordnung abgeschlossen ist, können offene Punkte näher betrachtet werden. Dafür bietet sich ein Workshop an (z. B. in Form des neuen IT-Grundschutz-Checks), wobei der aktuelle Umsetzungsstatus der zugeordneten Maßnahmen (IT-Grundschutz-Kataloge) mit in die Bewertung einfließt. Anhand einer solchen Einschätzung kann man anschließend den konkreten Handlungsbedarf sowie Mehrwerte bereits umgesetzter Maßnahmen ermitteln, was eine individuelle Projektplanung zur Bewältigung der Migrationsphase ermöglicht.

Abbildung 5: Häufigkeit der verschiedenen Aufwandsschätzungen in Prozent

Fazit

Die Migrationstabellen des BSI bieten eine erste Orientierung für eine bevorstehende Grundschutz-Migration – sie sind jedoch im Hinblick auf die Zuordnung von Anforderungen zu Maßnahmen nur bedingt zuverlässig. Auch das BSI empfiehlt, in jedem Fall eine Überprüfung der Zuordnungen vorzunehmen. Die aktuell auf dem Markt vertretenen Tools, die eine IT-Grundschutz Migration unterstützen, liefern ohne Weiteres ebenfalls kein zuverlässiges Ergebnis, da die Migration in der notwendigen Detailtiefe nicht automatisiert umsetzbar ist.

Die Herausforderung im Rahmen der Migration besteht zum einen in der Unvollständigkeit des IT-Grundschutz-Kompendiums und somit in zum Teil noch fehlenden Umsetzungshinweisen und Bausteinen – zum anderen erschwert die Dynamik des Migrationsprozesses den Umstieg.

Jede Organisation steht vor individuellen Herausforderungen und hat unterschiedliche Ressourcen zur Verfügung, um den Migrationsprozess zu gestalten. Eine individuelle Betrachtung des betroffenen Informationsverbunds und des Reifegrads des etablierten ISMS sind damit unabdingbar.

Trotz aller Herausforderungen ist die anstehende Migration notwendig, um die Sicherheit fortlaufend auf einem annehmbaren Niveau und auf Basis des aktuellen Stand der Technik zu gewährleisten – ähnlich wie die notwendige regelmäßige Renovierung eines Eigenheims.

Tobias Goldschmidt, Marie-Luise Troschke und Marie Flurschütz sind Berater im Bereich Information Security Management der HiSolutions AG.

Diesen Beitrag teilen: