Praxisbericht: Migration zum IT-Grundschutz-Kompendium
Viele Organisationen stehen vor der Herausforderung, ihr bestehendes, nach IT-Grundschutz ausgerichtetes Informationssicherheitsmanagementsystem (ISMS) auf den modernisierten IT-Grundschutz zu migrieren – nicht selten auch inklusive zugehöriger Tools. Im Rahmen zahlreicher Kundenprojekte haben die Autoren spezifische Migrationskonzepte entwickelt und angewandt – der vorliegende Praxisbericht fasst diese Erfahrungen zusammen.
Von Sebastian Reinhardt, Hussein Baydoun und Tobias Goldschmidt, Berlin
Der IT-Grundschutz [1] existiert in seiner bisherigen Form seit 2006 als Methodik zum effektiven und effizienten Betrieb eines Informationssicherheitsmanagementsystems (ISMS). 2018 wurde er offiziell durch den modernisierten IT-Grundschutz abgelöst. Diese Aktualisierung ändert auch die vorherige IT-Grundschutz-Vorgehensweise – zusätzlich wurden die IT-Grundschutz-Bausteine deutlich verschlankt und neu aufgestellt. Enthielten die früheren IT-Grundschutz-Kataloge Maßnahmen mit entsprechenden Umsetzungs-Hinweisen, vereint in einem sogenannten Bausteinkatalog, so bestehen die Bausteine des neuen IT-Grundschutz-Kompendiums aus spezifischen Gefährdungen, die aus elementaren Gefährdungen abgeleitet werden, sowie resultierenden generischen Sicherheitsanforderungen, abgeleitet aus den ehemaligen Maßnahmen. Zusätzlich wurden für ausgewählte Bausteine nicht verpflichtend anzuwendende Umsetzungshinweise erstellt, die – je nach Anforderungen – mögliche Sicherheitsmaßnahmen beschreiben.
Seit dem 1. Oktober 2018 nimmt das BSI keine neuen Zertifizierungsanträge auf Basis der Prüfungsgrundlage „IT-Grundschutz-Kataloge“ mehr für ISO27001-Zertifizierung auf Basis von IT-Grundschutz an. Für die standardkonforme Aufrechterhaltung bestehender Zertifizierungen ist somit für viele Unternehmen und Behörden eine Migration zum IT-Grundschutz-Kompendium unabdingbar. Des Weiteren nutzen viele Unternehmen und Behörden Softwaretools, welche die IT-Grundschutz-Methodik abbilden und ihre Anwendung effektivieren. Für eine optimale Unterstützung der modernisierten IT-Grundschutz-Methodik sind diese im Rahmen der Migration aufgrund der geänderten IT-Grundschutz-Vorgehensweise ebenfalls zu berücksichtigen.
Eine einheitliche Vorgehensweise zur Migration wurde aktuell noch nicht etabliert. Das BSI stellt lediglich Informationen und Dokumente für den Anwender zur Verfügung, so etwa die „Anleitung zur Migration von Sicherheitskonzepten“ und eine Reihe von „Migrationstabellen zum IT-Grundschutz“ [2]. Anhand dieser Orientierungshilfen müssen Unternehmen und Behörden dann ein spezifisches Migrationskonzept entwickeln. Für zahlreiche Praxisanwender ergibt sich hieraus jedoch eine große Herausforderung, da sie eine angepasste IT-Grundschutz-Vorgehensweise verwenden – je nach Ausprägung der Anpassungen sowohl in der IT-Grundschutz-Methodik als auch im eingesetzten Softwaretool kann der Migrationsaufwand stark variieren und sich auch deutlich erhöhen.
Praxisbeispiel
Das dem hier betrachteten Praxisbeispiel zugrunde liegende Unternehmen befindet sich bereits seit Anfang 2018 im Migrationsprozess. Es verfügt bereits über ein ISO-27001-Zertifikat auf Basis von IT-Grundschutz. Die Migration muss abgeschlossen werden, bevor das bestehende Zertifikat nach drei Jahren ausläuft – denn es ist für das Unternehmen aufgrund regulatorischer Auflagen unausweichlich, das bestehende Zertifikat aufrechtzuerhalten. Der Zertifizierungsverbund umfasst den IT-Betrieb des zentralen Standorts mit mehreren Lokationen.
Der IT-Betrieb des Zertifizierungsverbunds besteht aus mehreren hunderttausend Systemen in einer inhomogenen Betriebsumgebung, gesteuert von einer hohen vierstelligen Zahl von Personen – im IT-Betrieb des Unternehmens werden Containerlösungen, Microservices und viele weitere Verfahren eingesetzt. Für das ISMS wird ein dediziertes Tool genutzt. Die Toolunterstützung ist zur Aufrechterhaltung eines ISMS dieser Größenordnung unabdingbar, weshalb ihr Einsatz auch zukünftig zwingend notwendig ist.
Die IT-Grundschutz-Methodik gemäß BSI-Standard 100-2 wurde auf die Vorgehensweise des Unternehmens im Hinblick auf die Erstellung von IT-Sicherheitskonzepten signifikant angepasst, um sie in dieser Größenordnung anwenden zu können. Diese Anpassungen haben im Laufe des langjährigen ISMS-Betriebs immer wieder besonders große Herausforderungen bewirkt. Aufgrund diverser vielschichtiger Anpassungen, die ebenfalls im Tool abgebildet wurden, gestaltet sich die Wartung des eingesetzten Tools überaus schwierig und war zuletzt nur mit sehr hohem Aufwand möglich.
Mit dem Migrationsprozess zum IT-Grundschutz-Kompendium strebt das Unternehmen daher auch eine größere Annäherung an die im BSI-Standard 200-2 beschriebene Vorgehensweise an, damit sich der Aufwand im Fall künftiger Anpassungen reduziert und somit der ISMS-Betrieb einfacher wird. Für die Erstellung von IT-Sicherheitskonzepten ist der Einsatz eines Tools zwingend notwendig – aufgrund des Einsatzumfeldes bedarf es tiefgreifender Anpassungen, denn standardmäßig sind etablierte Tools weder für die Größe des vorliegenden Informationsverbunds ausgelegt, noch können diese die angepasste IT-Grundschutz-Methodik vollständig abbilden.
Für die Abschätzung des bevorstehenden Aufwands, die notwendigen personellen und finanziellen Ressourcen sowie zur Gewährleistung einer rechtzeitigen Finalisierung der Migration vor Ablauf des bestehenden Zertifikats erschien daher die Erstellung eines spezifischen Migrationskonzepts von den IT-Grundschutz-Katalogen zum IT-Grundschutz-Kompendium sowie des genutzten Tools unausweichlich.
Erstellung des Migrationskonzepts
Für die Erstellung des spezifischen Migrationskonzepts wurde die in Abbildung 1 visualisierte Methode gewählt: Die relevanten Anforderungen aus den BSI-StanIT-Grundschutz Migration dards 200-2 und 200-3 sowie dem IT-Grundschutz-Kompendium wurden den Anforderungen der angepassten Vorgehensweise des Unternehmens nach BSI-Standard 100-2 und 100-3 zugeordnet. Hierzu wurden die sich minimal voneinander unterscheidenden Phasen für die Erstellung von Sicherheitskonzepten gemäß 100-2 und 200-2 gegenübergestellt und die Anforderungen miteinander verglichen, um zu ermitteln, wo Änderungen erforderlich sind. Nach der Identifikation aller relevanten Informationen wurden die Anforderungen an die Vorgehensweise und das Tool definiert.
Die Tabellen 1 und 2 zeigen einen Auszug der angewandten Migrationsmethodik: Tabelle 1 vergleicht die angepasste Vorgehensweise des Unternehmens gemäß BSI-Standard 100-2 und 100-3 mit der Vorgehensweise der „Standard-Absicherung“ nach BSI-Standard 200-2, inklusive Risikoanalyse nach BSI-Standard 200-3. Der Vergleich zeigt die vorhandenen Differenzen zwischen der angepassten und der allgemeinen Vorgehensweise. Mithilfe der ermittelten Unterschiede wurden notwendige Anpassungen an der Vorgehensweise sowie Anforderungen an das eingesetzte Tool formuliert, die in Tabelle 2 wiedergegeben sind (auf S. 48).
Abbildung 1: Bestandteile des Migrationskonzepts
Tabelle 1: Vergleich der angepassten Vorgehensweise mit BSI-Standard 200-2 und 200-3
Tabelle 1 (weiter)
Tabelle 2: Migrationskonzept und Tool-Anforderungen
Ergebnisse der Migration
Das spezifische Migrationskonzept enthält sämtliche relevanten Anforderungen für die Migration auf den modernisierten IT-Grundschutz. Darüber hinaus wurden alle Anforderungen an das neue Tool identifiziert, die den Customizingbedarf widerspiegeln und eine entsprechende Aufwandsabschätzung zur Realisierung auf Herstellerseite zulassen. Im betrachteten Unternehmen ist dieses Migrationskonzept bereits zum Einsatz gekommen. Die größten Herausforderungen ergaben sich dabei im Rahmen des bisherigen Basis-Sicherheitschecks (BSC) und der Risikoanalyse nach BSI-Standard 100-3.
Ein Mapping des IT-Grundschutz-Maßnahmen-Katalogs auf die Anforderungen des IT-Grundschutz-Kompendiums ist in vielen Fällen nur zum Teil möglich: Weniger als 30 % der Maßnahmen aus den IT-Grundschutz-Katalogen lassen sich „1 zu 1“ auf die Anforderungen aus dem IT-Grundschutz-Kompendium übertragen. Alle weiteren Maßnahmen und Anforderungen stehen in verschiedenen „n zu n“-Beziehungen [3]. Um den Aufwand der BSC-Migration zu reduzieren, wurde separat ein Migrationstool entwickelt, das die Beziehungen zwischen Maßnahmen und Anforderungen dezidiert aufzeigt und den Handlungsbedarf konkretisiert.
Die Risikoanalyse nach BSI-Standard 200-3 hat sich in der Vorgehensweise deutlich verändert, sodass hier ein sehr hoher Aufwand erforderlich ist: Alte Ergebnisse aus Risikoanalysen sind aufgrund der grundlegend geänderten Bewertungskriterien kaum verwendbar. Dementsprechend mussten sowohl IT-Grundschutz-Check als auch die Risikoanalyse im Rahmen der Migration in großen Teilen erneut durchgeführt werden.
Die Unterschiede des IT-Grundschutzes auf Basis vom BSI-Standard 100-2 zum BSI-Standard 200-2 können in bestimmten Fällen ebenfalls gravierend sein. Ein wesentlicher Unterschied ist, dass die „ergänzende Sicherheitsanalyse“ vom BSI-Standard 100-2 in den BSI-Standard 200-3 verlagert wurde und stattdessen direkt eine Risikoanalyse für Zielobjekte durchgeführt werden muss. In der Praxis wird die ergänzende Sicherheitsanalyse sehr oft verwendet, um zahlreiche Risikoanalysen zu konsolidieren – besonders bei großen Informationsverbünden ist dies notwendig. Diese Tatsache hat das betroffene Unternehmen vor eine große Herausforderung gestellt, da die „ergänzende Sicherheitsanalyse“ nach wie vor ein grundlegender und bedeutender Bestandteil ist.
Laut BSI ist eine Risikoanalyse nach BSI-Standard 200-3 zwingend durchzuführen, wenn
- einzelne Zielobjekte einen hohen oder sehr hohen Schutzbedarf zugewiesen bekommen haben,
- einzelne Zielobjekte durch existierende Bausteine nicht (ausreichend) modelliert werden können oder
- einzelne Zielobjekte in Einsatzszenarien verwendet werden, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind.
Anders als bisher ist es folglich nicht mehr möglich, über eine ergänzende Sicherheitsanalyse zu begründen, warum eine Risikoanalyse durchzuführen ist. Im Rahmen der Erstellung des Migrationskonzepts für das Beispielunternehmen wurde deutlich, dass die Durchführung einer „ergänzenden Sicherheitsanalyse“ zwingend erforderlich ist. Eine der wesentlichen Tool-Anforderungen war daher, diesen Schritt im neuen Tool abzubilden.
Fazit
Unternehmen und Behörden, die bisher den BSI-Standard 100-2 sowie die IT-Grundschutz-Kataloge eingesetzt haben, müssen auf den BSI-Standard 200-2 und das IT-Grundschutz-Kompendium migrieren. Das hier vorgestellte Verfahren bietet eine gute erste Orientierung für eine bevorstehende Umstellung. Das Migrationskonzept kann dabei relevante Änderungen aufzeigen und die nächsten Schritte skizzieren. Mit seiner Hilfe konnten im betrachteten Beispiel frühzeitig notwendige Anforderungen an das eingesetzte Tool identifiziert werden, um das zukünftige Vorgehen zu unterstützen.
Der Aufwand der Migration steht in Relation zur Größe und Komplexität des bereits bestehenden ISMS – Aspekte wie die individuell gewählte Vorgehensweise bei der Erstellung von IT-Sicherheitskonzepten sowie die spezifische Ausprägung des eingesetzten ISMS haben gravierende Auswirkungen auf den Aufwand der Migration. Ein weiterer Aspekt, der im Rahmen einer Migration einen erheblichen Anteil des Aufwands bestimmt, trifft vor allem Unternehmen und Behörden, die über ein bestehendes ISO-27001-Zertifikat auf Basis von IT-Grundschutz verfügen: Während der dreijährigen Zertifikatsgültigkeit muss das Funktionieren des ISMS jährlich durch externe Auditoren bestätigt werden. Hierfür ist die Aufrechterhaltung des ISMS nach dem BSI-Standard 100-2 zwingend notwendig. Eine Migration zum BSI-Standard 200-2 ist dazu parallel aufzubauen – somit sind Änderungen unbedingt in beiden IT-Grundschutz-Verbünden synchron zu halten, wobei neu zu erstellende Sicherheitskonzepte ausschließlich auf Basis der modernisierten IT-Grundschutz-Vorgehensweise erstellt werden sollten.
Das stellt Grundschutzanwender vor eine weitere Herausforderung: Denn Risikoanalysen nach BSI-Standard 100-3 besitzen andere Bewertungskriterien als Risikoanalysen nach BSI-Standard 200-3. Somit werden Risiken für ein und dasselbe Zielobjekt nach unterschiedlichen Vorgehensweisen bewertet, was zu unterschiedlichen Ergebnissen führt. Um an dieser Stelle so wenig Abweichungen wie möglich zu erzeugen, ist eine zusätzliche Transferleistung notwendig. In der Praxis besteht diese zumeist aus der Aufbereitung sowohl der bisherigen als auch der zukünftigen Risiken – sowie der Verknüpfung beider Klassen. Dem Management muss dieser Umstand so transparent wie möglich dargestellt werden. Leider wird dieser Transfer aktuell durch kein etabliertes Tool unterstützt.
Sebastian Reinhardt, Hussein Baydoun und Tobias Goldschmidt sind Berater der HiSolutions AG im Bereich Security.
Literatur
[1] BSI, IT-Grundschutz, Portalseite, www.bsi.bund.de/ IT-Grundschutz
[2] BSI, Anleitung zur Migration von Sicherheitskonzepten / Migrationstabellen, www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/Migrationsleitfaden/Anleitung_zur_Migration_node.html
[3] Tobias Goldschmidt, Marie-Luise Troschke, Marie Flurschütz, Migration zum IT-Grundschutz-Kompendium, <kes> 2018#3, S. 54