Fünf Jahre Mindeststandards: : Vom Gesetz in die Praxis
Seit fünf Jahren erarbeitet das BSI Mindeststandards für die Informationssicherheit der Bundesverwaltung. Diese Aufgabe kommt aus dem BSI-Gesetz und wurde im Laufe der Zeit mit Leben gefüllt. Neben der Veröffentlichung neuer Mindeststandards wurden auch Prozesse zum Austausch mit Anwendern und Interessierten etabliert. Das Ziel, ein einheitliches Mindestsicherheitsniveau zu erreichen, kann nicht durch einseitige Vorschriften erreicht werden, sondern nur durch praxisorientierte Zusammenarbeit.
Von Philipp Deuster, BSI
Das Bundesamt erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes. So steht es seit 2015 in § 8 Abs. 1 des BSI-Gesetzes. Der erste Mindeststandard (zum Einsatz des SSL/TLS-Protokolls) wurde aber schon ein Jahr früher veröffentlicht, denn die Idee der Mindeststandards des BSI ist zu diesem Zeitpunkt schon einige Jahre alt. Bereits in der Gesetzesfassung von 2009 wurde die Möglichkeit erwähnt: „Das Bundesamt kann Mindeststandards für die Sicherung der Informationstechnik des Bundes festlegen.“ Bevor davon zum ersten Mal Gebrauch gemacht wurde, mussten allerdings zunächst Rahmenbedingungen geschaffen, Zuständigkeiten vergeben und Themen identifiziert werden.
Etablierungsphase
Nachdem der Mindeststandard „Transport Layer Security (TLS)“ erfolgreich veröffentlicht war und die Gesetzesformulierung sich von einer Möglichkeit zu einer konkreten Aufgabe geändert hatte, wurde die Erstellung der Standards schließlich auch fest in der BSI-Organisation verankert: 2016 wurde das Referat „Mindeststandards Bund“ gegründet. Zunächst wurde der Entwicklungsprozess standardisiert, um sicherzustellen, dass Mindeststandards effizient und transparent erstellt werden können. Dies setzte das Referat sogleich in die Praxis um und innerhalb eines Jahres folgten Veröffentlichungen zu den Themen Schnittstellen, Web-Browser, Cloud-Dienste, Mobile-Device-Management und Hochverfügbarkeits-(HV)-Benchmark.
Aktuell bleiben
Doch im IT-Bereich reicht es nicht, einen Sachverhalt einmal zu betrachten und Regelungen dazu zu veröffentlichen, denn Technologie ist kurzlebig und entwickelt sich ständig weiter. Hinzu kommt, dass auch Prozesse stets optimiert werden können. Durch die gesammelte Erfahrung wurde bald deutlich, dass die veröffentlichten Mindeststandards früher oder später aktualisiert werden müssen – sei es wegen technischer Veränderungen oder auch wegen redaktioneller Verbesserungen. Ende 2017 wurde der Mindeststandard für Schnittstellenkontrolle daher bereits in der aktualisierten Version 1.1 veröffentlicht. Neben weiteren neuen Themen wurden im Laufe der Zeit auch die übrigen Mindeststandards überprüft und falls nötig überarbeitet. So wurde der dienstälteste Mindeststandard (TLS) schließlich auch als erste „Major Release“ in die Version 2.0 überführt. Im Gegensatz zu den kleineren „Minor Releases“ erhalten hierbei die Anwender erneut die Möglichkeit, einen Entwurf zu kommentieren. Denn der Austausch mit dem Fachpublikum ist ein weiterer Punkt, der immer mehr an Bedeutung gewonnen hat.
Mindeststandards und IT-Grundschutz
Neben den Mindeststandards veröffentlicht das BSI zahlreiche weitere Regelwerke für die verschiedensten Themen und Zielgruppen. Die wohl bekannteste Veröffentlichung ist der IT-Grundschutz, der in den unterschiedlichsten Bereichen Anwendung findet. Worin unterscheiden sich nun die Mindeststandards vom IT-Grundschutz – und was haben die beiden Publikationen gemeinsam?
Der wohl auffälligste Unterschied ist der Aufbau der Dokumente: Während jeder Mindeststandard ein eigenes, abgeschlossenes Thema behandelt, stellt der IT-Grundschutz ein Gesamtwerk dar, das vier Standards sowie ein Kompendium mit bisher 96 Bausteinen umfasst. Hierin werden sowohl Prozesse zur Etablierung eines Informationssicherheitsmanagementsystems (ISMS) beschrieben, als auch Sicherheitsanforderungen an verschiedene Komponenten aufgestellt. Aus dieser umfassenden Herangehensweise resultiert, dass Themen, die in Mindeststandards behandelt werden, in der Regel auch im IT-Grundschutz zu finden sind. Dennoch sind die Inhalte nicht immer dieselben. Zwar ergänzen die Publikationen sich grundsätzlich, dennoch gibt es einen wichtigen Unterschied: die Zielgruppe.
Während der IT-Grundschutz von Organisationen aller Größen und Arten eingesetzt werden kann, richten sich die Mindeststandards gemäß Gesetz explizit an die Bundesverwaltung. Daraus resultiert, dass sie Mindestsicherheitsanforderungen aufstellen, welche die besonderen Rahmenbedingungen der Bundes-IT berücksichtigen. Oft sind diese vergleichbar mit den Anforderungen, die auch Unternehmen an ihre Informationssicherheit stellen, an einigen Stellen können sie aber auch davon abweichen oder darüber hinausgehen. Um den Transfer zwischen Mindeststandard- und Grundschutz-Anforderungen zu erleichtern, veröffentlicht das BSI seit letztem Jahr zu jedem neuen Mindeststandard eine sogenannte Referenztabelle. Diese stellt in einem übersichtlichen Format dar, welche Sicherheitsanforderungen aus dem Mindeststandard an welcher Stelle im IT-Grundschutz thematisiert werden – ohne dass die Inhalte dabei identisch sein müssen.
Referenztabellen zu den Mindeststandards für TLS, Schnittstellenkontrolle und Web-Browser sind bereits auf der Website des BSI verfügbar.
Kommunikation ist alles
Mindeststandards werden aufgrund gesetzlicher Vorgaben erstellt und dürfen aus Sicht des BSI in der Bundesverwaltung nicht unterschritten werden. Trotzdem – oder viel eher: deswegen – werden sie nicht im Vakuum erstellt. Das BSI versteht sich als Dienstleister und als solcher ist ihm daran gelegen, mit seinen Kunden im Dialog zu bleiben. Denn starre Verbote und Vorschriften tragen nicht zum Ziel der Informationssicherheit bei, wenn sie praxisfern sind und daher nicht umgesetzt werden.
Schon im Gesetz steht, dass das BSI auf Ersuchen bei der Umsetzung der Mindeststandards berät. Doch die Anwender werden schon weit vorher in den Prozess eingebunden. Dieser Dialog wird auch weiterhin aktiv ausgebaut. Zu den zentralen Kontakten für Support-Anfragen und der möglichen Kommentierung von Beta-Entwürfen kommen immer neue Kommunikationskanäle hinzu. Seit September 2019 werden auch Vertreter der Länder über die AG Informationssicherheit (AG InfoSic) eingebunden und sind eingeladen, die Mindeststandards zu kommentieren und gegebenenfalls für ihre eigene Verwaltung zu adaptieren. Außerdem kann inzwischen der Mindeststandard-Newsletter abonniert werden, um regelmäßig über die Arbeit des Referats Mindeststandards Bund informiert zu bleiben.
Ausblick
Allein 2019 wurden Mindeststandard-Dokumente über 40 000 Mal heruntergeladen. Das Interesse ist also hoch, daher soll das Angebot auch in Zukunft weiterentwickelt werden. Zwar mussten aufgrund der Corona-Pandemie einige Pläne kurzfristig geändert werden – zum Beispiel wurden die für 2020 geplanten Workshops bis auf Weiteres verschoben – die Arbeit geht aber dennoch weiter. Die Zusammenarbeit mit Kunden und Interessierten wird intensiviert, es werden neue Hilfsdokumente entwickelt (wie z. B. die Referenztabellen zum IT-Grundschutz, siehe Kasten) und weiterhin neue Mindeststandards erarbeitet und alte aktualisiert – dies stellt das Ende 2019 gestartete jährliche Monitoring sicher.
Weitere Informationen: https://www.bsi.bund.de/mindeststandards