Der Web-Kurs zum IT-Grundschutzhandbuch

Ordnungsmerkmale

erschienen in: <kes> 2004#1, Seite 60

Rubrik: BSI Forum

Schlagwort: IT-Grundschutz

Autor: Von Angelika Jaschob, BSI

Zusammenfassung: Das IT-Grundschutzhandbuch ist ein sowohl national als auch international anerkanntes Standardwerk für IT-Sicherheit und dient in vielen Behörden und Unternehmen als Basis für die tägliche Arbeit des IT-Sicherheits-Managements und die kontinuierliche Umsetzung von Standard-Sicherheitsmaßnahmen. Um einen schnellen und kompakten Einstieg in die Vorgehensweise nach IT-Grundschutz zu bekommen, hat das BSI einen Web-Kurs entwickelt.

Für IT-Sicherheit in einer Organisation zu sorgen, verlangt anspruchsvolle Planung, durchgängige Organisation und umfassendes Sicherheitswissen für die Auswahl und den Einsatz angemessener Sicherheitsmaßnahmen. Das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hält dazu Hintergrundwissen zu Gefährdungen, IT-Systemen, Organisationsformen und Empfehlungen zu Sicherheitsmaßnahmen in einem Gesamtwerk von mehr als 2 000 Seiten bereit.

Fahrlässige Fehler in IT-Anwendungen und unzureichende Sicherheitsmaßnahmen sind häufig Symptome für unzureichendes IT-Sicherheitsmanagement. Bei der Komplexität der in Unternehmen eingesetzten Informationstechnik genügt es heutzutage nicht, Sicherheitstechnik einzukaufen und Maßnahmen anzuordnen.

Im IT-Grundschutzhandbuch werden Standard-Sicherheitsmaßnahmen für typische IT-Systeme empfohlen. Das Ziel dieser IT-Grundschutz-Empfehlungen ist es, durch geeignete Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen ein Sicherheitsniveau für IT-Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist und als Basis für hochschutzbedürftige IT-Systeme und -Anwendungen dienen kann.

Um den sehr heterogenen Bereich der IT einschließlich der Einsatzumgebung besser strukturieren und aufbereiten zu können, verfolgt das IT-Grundschutzhandbuch das Baukastenprinzip. Die einzelnen Bausteine spiegeln typische Bereiche des IT-Einsatzes wider, wie beispielsweise Client-Server-Netze, bauliche Einrichtungen, Kommunikations- und Applikationskomponenten. In jedem Baustein wird zunächst die zu erwartende Gefährdungslage beschrieben. Diese Gefährdungslage bildet die Grundlage, um ein spezifisches Maßnahmenbündel aus den Bereichen Infrastruktur, Personal, Organisation, Hard- und Software, Kommunikation und Notfallvorsorge zu generieren. Die Gefährdungslage wird zur Sensibilisierung angeführt, für die Erstellung eines Sicherheitskonzeptes nach IT-Grundschutz wird sie nicht weiter benötigt. Um das für einen durchschnittlichen Schutzbedarf notwendige Sicherheitsniveau zu erreichen, brauchen die Anwender die vorgenannten aufwändigen Analysen nicht durchzuführen. Es ist vielmehr ausreichend, die für das relevante IT-System oder den betrachteten IT-Verbund entsprechende Bausteine zu identifizieren und die darin empfohlenen Maßnahmen konsequent und vollständig umzusetzen.

Mithilfe des IT-Grundschutzhandbuchs lassen sich IT-Sicherheitskonzepte einfach und arbeitsökonomisch realisieren. Bei der traditionellen Risikoanalyse werden zunächst die Gefährdungen ermittelt und mit Eintrittswahrscheinlichkeiten bewertet, um dann die geeigneten IT-Sicherheitsmaßnahmen auszuwählen und anschließend noch das verbleibende Restrisiko bewerten zu können. Bei Anwendung des IT-Grundschutzhandbuchs wird hingegen nur ein Soll-Ist-Vergleich zwischen empfohlenen und bereits realisierten Maßnahmen durchgeführt. Dabei festgestellte fehlende und noch nicht umgesetzte Maßnahmen zeigen die Sicherheitsdefizite auf, die es durch die empfohlenen Maßnahmen zu beheben gilt. Erst bei einem signifikant höheren Schutzbedarf muss zusätzlich eine ergänzende Sicherheitsanalyse unter Beachtung von Kosten- und Wirksamkeitsaspekten durchgeführt werden. Hierbei reicht es dann aber in der Regel aus, die Maßnahmenempfehlungen des IT-Grundschutzhandbuchs durch entsprechende individuelle, qualitativ höherwertige Maßnahmen, zu ergänzen.

Einfacher Einstieg per Web-Kurs

Bevor neue Anwender die notwendigen Maßnahmen zur Umsetzung der Anforderungen des IT-Grundschutzhandbuches ergreifen können, müssen sie sich in die Vorgehensweise des IT-Grundschutzhandbuchs einarbeiten. Dies konnte bisher nur im Selbststudium oder über externe Schulungen erfolgen. Bei Schulungen fallen allerdings nicht nur die Teilnahmegebühren an, sondern neben Reise- und Übernachtungskosten auch Opportunitätskosten (wie Ausfall der Arbeitszeit und Unterbrechung diverser Workflows durch abwesende Kollegen), die häufig den Besuch einer Schulung erschweren. Als weitere Hilfestellung für die Anwender des IT-Grundschutzhandbuchs hat das BSI daher in Zusammenarbeit mit dem Fraunhofer Institut für Sichere Telekooperation einen HTML-basierten Web-Kurs für den Einstieg in IT-Grundschutz entwickeln lassen. Der Web-Kurs wurde konsequent unter Verzicht auf aktive Inhalte gestaltet. Selbstverständlich wurde auch von Anfang an auf Barrierefreiheit geachtet.

[Illustration]
Abbildung 1: Das Baukastenprinzip nach IT-Grundschutzhandbuch

Mit den Anleitungen, Links und Hilfsmitteln im Web-Kurs lassen sich schnell aus dem IT-Grundschutz-Gesamtwerk für jede Organisation und den betrachteten IT-Verbund die passenden Sicherheitsmaßnahmen identifizieren. Anschließend können diese dann systematisch in die IT-Sicherheitsplanung mit einbezogen werden. Zielgruppe des Kurses sind vor allem IT-Verantwortliche, -Sicherheitsbeauftragte und -Administratoren.

Der Web-Kurs führt in die Vorgehensweise und Bausteinstruktur des IT-Grundschutzhandbuchs ein (vgl. Abb. 2) und zeigt in acht Lernmodulen auf, wie für einen IT-Sicherheitsprozess die notwendigen Analysen durchzuführen und Dokumente auszuarbeiten sind: Warum Grundschutz?, Sicherheitsmanagement, IT-Strukturanalyse, Schutzbedarf, Modellierung, Basis-Sicherheitscheck, Realisierung und achtens Zertifizierung.

[Illustration]
Abbildung 2: Struktur des IT-Grundschutzhandbuchs

Der Kurs ist so aufgebaut, dass er am Anfang jedes Lernmoduls eine kurze Zusammenfassung des Inhaltes gibt. Durch Leitfragen werden die inhaltlichen Schwerpunkte der Lerninhalte motiviert: Warum IT-Grundschutz? Welche Sicherheitsanforderungen? Ist die IT noch hinreichend gesichert oder gibt es noch Lücken? Welche Maßnahmen müssen umgesetzt werden? Umfangreiche Illustrationen und grafische Übersichten (vgl. Abb. 3.) helfen die Abläufe zu verstehen und zu verinnerlichen.

[Illustration]
Abbildung 3: Verfahrensablauf gemäß IT-Grundschutzhandbuch

Der Web-Kurs enthält Erläuterungen, Beispiele, Übungen und Tests mit grafischen Übersichten und Illustrationen. Zahlreiche Verknüpfungen führen zu den Ausführungen des IT-Grundschutzhandbuchs. Begriffe sind im Glossar kurz erklärt. Zur Verfügung gestellt sind Hilfsmittel wie Formulare und eine Demoversion des GSTOOLS des BSI, das die Erstellung eigener Dokumente zum IT-Grundschutz unterstützt. Die einzelnen Lehrabschnitte sind mit Übungsfragen abgeschlossen, um das Erlernte direkt überprüfen zu können (vgl. Abb. 4).

[Illustration]
Abbildung 4: Fehlersuchbild als Übungsaufgabe

Der gesamte Kurs mit allen Übungen nimmt etwa vier bis fünf Stunden in Anspruch. Den ganzen Kurs begleitet ein durchgängiges Beispiel, das an einem vollständigen IT-Verbund eines fiktiven Unternehmens nachvollzogen wird. So kann während der gesamten Lernphase durchgängig die Anwendung der Theorie demonstriert werden. Zu jedem Formular, das für das fiktive Unternehmen erstellt wurde, existieren Blanko-Formulare zum Ausdrucken, anhand dessen man die Anwendung des IT-Grundschutzhandbuches auf die reale IT-Umgebung parallel erarbeiten kann.

Ausblick

Rund um das IT-Grundschutzhandbuch gibt es viele interessante Entwicklungen, die zum einen den Umgang mit der Vorgehensweise gemäß IT-Grundschutzhandbuch unterstützen (z. B. der Web-Kurs, das GSTOOL und die Zertifizierung), zum anderen für Anwender kurze und prägnante Hilfestellung beim Einstieg in die IT-Sicherheit bieten (Leitfaden IT-Sicherheit, siehe [externer Link] www.bsi.bund.de/gshb/Leitfaden/).

Angesichts der Innovationsschübe und Versionswechsel im IT-Bereich ist das IT-Grundschutzhandbuch auf leichte Erweiterbarkeit und Aktualisierbarkeit ausgerichtet. Das BSI überarbeitet und aktualisiert regelmäßig das IT-Grundschutzhandbuch, um die Empfehlungen auf dem Stand der Technik zu halten. Für die nächste Version des IT-Grundschutzhandbuches ist geplant, das jetzt zehn Jahre alte Werk grundlegend zu überarbeiten. Die vorhandenen Bausteine sollen an das Schichten modell des IT-Grundschutzhandbuchs angepasst, aktualisiert und in eine einheitliche Form gebracht werden. Durch die Einführung eines neuen Kapitels 3 "IT-Sicherheitsmangement" wird dieser Aspekt in der neuen Version des IT-Grundschutzhandbuches einen bedeutenden Stellenwert einnehmen und dem Anwender zu einer schnelleren und effizienteren Einführung des Managementprozesses in der Institution verhelfen.

Die häufigen Fragen und Forderungen der Anwender nach Beispielen hat dazu geführt, dass das BSI für das nächste Jahr plant, Grundschutz-Profile zu veröffentlichen. Für generische IT-Umgebungen sollen Szenarien gemäß IT-GS-Vorgehensweise definiert werden, sodass die Anwender anhand dieser Profile schnell und effizient die Sicherheit in ihrer Behörde oder ihrem Unternehmen feststellen können. Ein weiterer Vorteil der IT-Grundschutz-Profile ist, dass damit Aussagen über den Umsetzungsgrad von IT-Grundschutz in Institutionen vergleichbarer werden.

Es sollen drei Profile für unterschiedliche IT-Umgebungen definiert werden. Die Profile sollen so gewählt sein, dass sie den Bedürfnissen großer Anwendergruppen entsprechen. Profile sind für folgende Bereiche geplant:

Mittels Hotline-Service und Benutzerumfragen fließen die Wünsche und Anregungen der Anwender stets in neue Entwicklungsvorhaben und werden vom BSI veröffentlicht.

Der Web-Kurs ist im Internet zugänglich unter [externer Link] www.bsi.bund.de/gshb/ (Downloadgröße: 21,8 MB) und zudem auf der BSI-CD in der Rubrik "IT-Grundschutz" enthalten. Bei Fragen, Fehlern oder Anregungen zu weiteren Features zum Web-Kurs erreichen Sie uns unter gssiegel@bsi.bund.de oder gshb@bsi.bund.de.

Literatur

[1]
BSI, IT-Grundschutzhandbuch, Standardsicherheitsmaßnahmen, Loseblattsammlung, Schriftenreihe Band 3, Bundesanzeiger-Verlag, oder online auf [externer Link] www.bsi.bund.de/gshb/
[2]
BSI, IT-Grundschutz-Zertifikat, Allgemeine Informationen, Lizenzierungsschema für Auditoren und Zertifizierungsschema für IT-Grundschutz, [externer Link] www.bsi.bund.de/gshb/zert/