Leitfaden IT-Sicherheit – IT-Grundschutz kompakt

Ordnungsmerkmale

erschienen in: <kes> 2004^#2, Seite 71

Rubrik: BSI Forum

Schlagwort: Grundschutz-Handbuch

Zusammenfassung: Das BSI hat sein Produktportfolio rund um das IT-Grundschutzhandbuch um den "Leitfaden IT-Sicherheit – IT-Grundschutz kompakt" erweitert. Er gibt einen kompakten Überblick über die wichtigsten organisatorischen, infrastrukturellen und technischen IT-Sicherheitsmaßnahmen. Er richtet sich an IT-Verantwortliche und Administratoren in kleinen und mittelständischen Unternehmen sowie Behörden.

Autor: Von Michael Mehrhoff, BSI, Bonn

Jeder kennt sie, die guten Vorsätze und Wünsche für das neue Jahr, die alljährlich in der Silvesternacht ausgesprochen werden. Die nachdenkliche Bilanz für das abgelaufene Jahr lässt aber bereits vermuten, dass man die Ziele wahrscheinlich wieder nicht erreicht. Warum ist das so? In der Regel sind die Ziele so hoch gesteckt, dass sie von vornherein zum Scheitern verurteilt sind: Sie erfordern ein Übermaß an Disziplin, sind zu kostspielig oder so zahlreich, dass man nicht weiß, womit man beginnen soll. Das normale Alltagsleben hält zudem viele Möglichkeiten der Ablenkung bereit und lässt keine Zeit für grundlegende, wohldurchdachte Änderungen der Gewohnheiten. Überforderung, Verdrängung und die Hoffnung, es werde schon nichts passieren, führen vielleicht dazu, dass erst dann konkrete Veränderungen eingeleitet werden, wenn es zu spät ist.

Mit der IT-Sicherheit verhält es sich ganz ähnlich: Bei vielen Unternehmen und Behörden sorgen die zunehmenden Gefahren, welche die IT-Nutzung zwangsläufig und unbestritten mit sich bringt, beständig für ein ungutes Gefühl. Berichte über Gesetzesänderungen oder zu erwartende Prüfungen der IT-Sicherheit vor einer Kreditvergabe erhöhen die Besorgnis. Trotzdem haben viele in der Praxis große Probleme, ein angemessenes Sicherheitsniveau zu erreichen und aufrechtzuerhalten. Die Gründe sind vielfältig – und sehr menschlich. Weithin hat sich die falsche Auffassung verbreitet, dass IT-Sicherheit nur durch hohe Investitionen und hochqualifizierte Experten zu verbessern sei. Erschwerend kommt hinzu, dass technische Hintergründe selbst für Sicherheitsprofis kaum vollständig zu durchschauen sind. Halbwissen und "denglische" Schlagwörter beherrschen die Diskussion.

Reißerische Medienberichte tragen zudem zu einer Wahrnehmungsverzerrung bei, sodass Hacker und Spam-Mails als die größten Sicherheitsprobleme empfunden werden. Einige Berater sorgen für zusätzliche Verwirrung, indem sie technische Lösungen verkaufen, die allenfalls trendy, aber nicht angemessen, wirksam und kostengünstig sind. Da IT-Sicherheitsmaßnahmen zudem oft mit Einbußen bei Komfort und Funktionalität verbunden sind, folgt unweigerlich die – nur auf den ersten Blick – paradoxe Reaktion vieler Unternehmen und Behörden: Resignation, Verdrängung und die Hoffnung, dass Sicherheitsvorfälle nur die anderen treffen.

Eine zentrale Aufgabe des BSI ist daher die Aufklärung über Gefahren und Risiken der IT-Nutzung und das Aufzeigen angemessener Schutzmaßnahmen. Die Vermittlung von Grundlagen der IT-Sicherheit stellt dabei mindestens so hohe Anforderungen an Didaktik und Psychologie wie an technisches Detailwissen. Viele kleine Schritte ohne Anspruch auf einhundertprozentige Sicherheit führen manchmal schneller zum Ziel als ein zu ehrgeiziges Großprojekt, das aufgrund innerer Widerstände der Beteiligten oder zu knapper Budgets scheitert.

Gibt es nicht schon genug Literatur?

Wer sich die Mühe macht, sich umfassend über IT-Sicherheit zu informieren, steht zunächst ratlos vor der Vielzahl an mehr oder weniger geeigneter Literatur und unzähligen Internetfundstellen. Titel wie "Hacken für Anfänger" oder "Windows-Sicherheit leicht gemacht" helfen aber wenig bei dem Versuch, ein unternehmensweites IT-Sicherheitsmanagement aufzubauen. Umfangreiche Standardwerke wie das IT-Grundschutzhandbuch des BSI "erschlagen" den Leser auf den ersten Blick allein durch ihren Umfang. ISO-Standards sind teuer, nur auf umständlichen Wegen zu beziehen, schwer zu lesen und teilweise nur auf Englisch verfügbar. Schon die Suche nach einer geeigneten Vorgehensweise zur Verbesserung der eigenen IT-Sicherheit wird so zu einem teuren und zeitaufwändigen Abenteuer.

Besonders kleine und mittlere Institutionen mit beschränkten finanziellen und personellen Möglichkeiten wünschen sich deshalb einen leicht überschaubaren Einstieg in die IT-Sicherheitsthematik. Das BSI hat diesen Wunsch mit dem "Leitfaden IT-Sicherheit – IT-Grundschutz kompakt" aufgegriffen: Der Leitfaden gibt einen kompakten Überblick über die wichtigsten organisatorischen, infrastrukturellen und technischen IT-Sicherheitsmaßnahmen. Er richtet sich an IT-Verantwortliche und Administratoren in kleinen und mittelständischen Unternehmen und Behörden, an Einsteiger, eilige Leser sowie alle anderen, die einen Überblick über IT-Grundschutz wünschen oder Hilfe bei der inhaltlichen Gestaltung von Dienstleistungsverträgen suchen. Aber auch Berater und IT-Sicherheitsexperten können den Leitfaden sinnvoll zur Sensibilisierung von Vorständen, Geschäftsführern und Behördenleitungen einsetzen.

Zielsetzung

Die Grundidee des Leitfadens war es, die wichtigsten Fakten zur IT-Sicherheit komprimiert auf höchstens 50 DIN-A4- Seiten zusammenzufassen. Großer Wert wurde auf eine realitätsnahe, nachvollziehbare Darstellung gelegt. Im Mittelpunkt stehen organisatorische Maßnahmen und die Veranschaulichung von Gefahren durch Praxisbeispiele. Technische Sachverhalte werden zwar kurz angerissen, aber auf eine detaillierte Beschreibung wird bewusst verzichtet, damit der Leitfaden auch für technische Laien lesbar und interessant bleibt. Er ist somit kein "kleines" IT-Grundschutzhandbuch und kann dieses auf keinen Fall ersetzen oder überflüssig machen. Der Leitfaden gibt aber einen Kurzüberblick über IT-Grundschutz und soll zur vertieften Beschäftigung mit IT-Sicherheit motivieren. Das BSI möchte in erster Linie aufzeigen, dass die Erstellung und Umsetzung eines wirksamen und effektiven IT-Sicherheitskonzeptes nicht zwangsläufig unbezahlbar sein muss. Die wirksamsten Maßnahmen sind überraschend simpel und noch dazu oft kostenlos!

Gliederung

Der Zielumfang des Leitfadens wurde erreicht. Auf 42 Seiten erfährt der Leser, warum es sich lohnt, die IT-Sicherheit zu verbessern, was in der Praxis am häufigsten falsch gemacht wird, welche Sicherheitsmaßnahmen besonders wichtig sind und wo er über den Leitfaden hinausgehende Informationen und Hilfsmittel findet. Im Einzelnen gliedert sich der Leitfaden in die folgenden Themenkomplexe:

IT-Sicherheit im Fokus: Als Einleitung erfolgt ein kurzes Plädoyer für größere Anstrengungen zur Verbesserung der IT-Sicherheit. Warum lohnen sich Investitionen in IT-Sicherheit?
Wichtige Begriffe rund um IT-Sicherheit:Was ist der Unterschied zwischen Autorisierung und Authentisierung? Einige Begriffe, die zur Fachsprache der IT-Sicherheit gehören, werden in diesem Kapitel kurz erläutert.
Vorschriften und Gesetzesanforderungen: Während der vergangenen Jahre wurden mehrere Rechtsvorschriften erlassen, aus denen sich zu Fragen der IT-Sicherheit unmittelbare Handlungs- und Haftungsverpflichtungen der Geschäftsführung oder des Vorstands eines Unternehmens ableiten lassen (z. B. AktG, HGB, KonTraG). Diese Regelungen gelten sowohl für Aktiengesellschaften als auch für GmbHs.
So nicht! Schadensfälle als warnendes Beispiel: Dieser Abschnitt beschreibt zur Einführung einige Schadensszenarien, die in dieser oder ähnlicher Form häufig in der Praxis anzutreffen sind: kein Backup, Befall durch Computer-Viren, Ausfall des Administrators, Hackerangriff aus dem Internet, Innentäter.
Die häufigsten Versäumnisse: In diesem Kapitel wird sich der Leser an mehreren Stellen wiederfinden. Die häufigsten Fehler und Versäumnisse werden in verschiedenen Kategorien aufgelistet.
Wichtige Sicherheitsmaßnahmen: 50 wichtige Sicherheitsmaßnahmen, die das IT-Sicherheitsniveau deutlich anheben können, werden vorgestellt. Bei der Auswahl der Maßnahmen wurde auf einen klaren Bezug zu den häufigsten Versäumnissen geachtet, sodass zu jedem Versäumnis ein passendes Maßnahmenbündel vorgeschlagen wird.
Das IT-Grundschutzhandbuch des BSI: Das IT-Grundschutzhandbuch des BSI ist inzwischen zum Quasi-Standard der IT-Sicherheit geworden. In diesem Kapitel wird die IT-Grundschutzmethode vorgestellt, um Leser zu ermutigen, sich intensiver mit ihr zu befassen.
Standards und Zertifizierung der eigenen Sicherheit: Der Leser erfährt in diesem Kapitel, wie IT-Sicherheit zertifiziert werden kann und was sich hinter Begriffen wie Common Criteria, ISO 17799, Cobit und anderen verbirgt.
Checklisten: Die Maßnahmenempfehlungen werden hier in Form einer Checkliste nochmals übersichtlich zusammengestellt. Zudem wird beispielhaft gezeigt, wie die gegebenen Empfehlungen für eine Telekommunikations-Anlage angewendet werden können.
Weiterführende Informationen: Niemand muss das Rad neu erfinden. Das frei verfügbare Angebot an Informationsquellen zu Fragen der IT-Sicherheit ist schier unerschöpflich. Dieses Kapitel gibt einen kurzen Überblick über Fachliteratur und Internetadressen.

Die beiden zentralen Kapitel, in denen die häufigsten Versäumnisse und die wichtigsten Sicherheitsmaßnahmen dargestellt werden, nehmen vom Umfang her die Hälfte des Leitfadens ein und sollen deshalb nachfolgend noch etwas ausführlicher beschrieben werden.

Die häufigsten Versäumnisse

Die Darstellung von typischen Fehlern und Versäumnissen ist ein wichtiges Kapitel des Leitfadens, da es dem Leser einen Blick in den Spiegel ermöglicht und Administratoren sowie Sicherheitsbeauftragte bei ihrer Argumentation gegenüber der Leitungsebene unterstützen kann. In der Praxis sind die folgenden zwölf Versäumnisse – nahezu unabhängig von Unternehmensgröße und Branche – besonders häufig anzutreffen:

Sicherheit hat einen zu geringen Stellenwert: IT-Sicherheit hat im Vergleich mit anderen Anforderungen (Kosten, Bequemlichkeit, große Funktionalität, ...) häufig einen zu geringen Stellenwert. Stattdessen wird IT-Sicherheit lediglich als Kostentreiber und Behinderung gesehen.
Dauerhafte Prozesse zur Beibehaltung des Sicherheitsniveaus fehlen: Sicherheit wird nur im Rahmen isolierter Einzelprojekte geschaffen. Diese Projekte sind notwendig, um spezifische Aufgaben anzustoßen und Sachverhalte in angemessener Tiefe zu bearbeiten. Häufig wird jedoch versäumt, im Rahmen solcher Projekte zugleich verlässliche Prozesse zu definieren, die die im Projektverlauf erarbeiteten Ergebnisse und Ziele dauerhaft erhalten.
Sicherheitsvorgaben sind nicht dokumentiert: In den meisten kleineren und mittelständischen Unternehmen und Behörden sind Sicherheitsvorgaben nicht ausreichend dokumentiert und beschrieben.
Kontrollmechanismen und Aufklärung im Fall von Verstößen fehlen: Bestehende Sicherheitsrichtlinien und -vorgaben sind nur dann wirksam, wenn ihre Einhaltung auch kontrolliert werden kann. Diese Kontrolle wird in der Praxis jedoch häufig nicht vorgenommen – aus technischen, administrativen oder rechtlichen Gründen.
IT-Systeme werden schlecht konfiguriert: Sicherheit ist für Administratoren nur eine unter vielen, teils konkurrierenden Anforderungen der täglichen Arbeit. Sie sind de facto kaum noch in der Lage, falsche (unsichere) Parametereinstellungen vollständig zu vermeiden. Besonders häufig wird gegen das Need-to-know Prinzip verstoßen: IT-Anwender (und auch Administratoren) können auf umfangreichere Datenbestände zugreifen und viel mehr Programme ausführen, als es für die tägliche Arbeit notwendig wäre.
Unsichere Vernetzung und Internet-Anbindung: Sensitive Informationen und Systeme werden oftmals gar nicht oder nur unzureichend von offenen Netzen abgeschottet.
Sicherheitsmaßnahmen werden aus Bequemlichkeit vernachlässigt: E-Mails mit vertraulichem Inhalt unverschlüsselt zu versenden, Trivialpasswörter zu verwenden, auf Datensicherung zu verzichten oder über Nacht das Bürofenster offen zu lassen – alles Dinge, die über-all verboten sind, trotzdem aber täglich wieder vorkommen. Die besten Richtlinien und Sicherheitsfunktionen helfen nichts, falls sie nicht beachtet oder nicht genutzt werden.
Anwender und Administratoren sind mangelhaft geschult: Knappe Budgets verhindern häufig Schulungs- und Sensibilisierungsmaßnahmen, obwohl die Mitarbeiter das wichtigste Glied in der Sicherheitskette sind (vgl. S. 10).
Verfügbare Sicherheits-Updates werden nicht eingespielt: Administratoren spielen oftmals Sicherheits-Patches nicht rechtzeitig ein. Viele durch Viren oder Würmer entstandene Schäden treten erst geraume Zeit nach dem ersten Bekanntwerden des Schädlings auf. Zu diesem Zeitpunkt gibt es in der Regel bereits Sicherheits-Patches von den jeweiligen Herstellern.
Mit Passwörtern wird zu sorglos umgegangen: Nach wie vor werden die meisten Zugangsschutzverfahren auf Basis von Passwortabfragen realisiert. Es finden tagtäglich Einbrüche in IT-Systeme statt, weil ein Angreifer erfolgreich ein Kennwort geknackt hat – wahlweise durch systematisches Ausprobieren, Raten oder Ausspähen. Das Aufbewahren des Passwortes unter der Tastatur oder in der obersten Schreibtischschublade ist schon sprichwörtlich.
Vorhandene Sicherheitsmechanismen werden nicht genutzt: Viele Produkte werden mit eingebauten Sicherheitsmechanismen geliefert, die aber aus Bequemlichkeit, Misstrauen oder Kompatibilitätsgründen nicht aktiviert oder zu schwach eingestellt werden. Beispielsweise wird die vorhandene Verschlüsselungsfunktion in drahtlosen Netzen (WLANs) viel zu selten genutzt.
Räume und IT-Systeme werden nur ungenügend gegen Diebstahl oder Elementarschäden geschützt: Einbrecher und Diebe haben oft allzu leichtes Spiel. Schwerer als der Verlust von Hardware durch Diebstahl oder Vandalismus wiegt im Allgemeinen der Verlust oder das Bekanntwerden von Daten. An Katastrophen wie Brände oder Überschwemmungen denkt kaum jemand im Vorfeld. Sie sind zwar recht selten, aber wenn sie eintreten, sind die Folgen meistens fatal.

Die wichtigsten Maßnahmen

Eine Liste mit "wichtigen" IT-Sicherheitsmaßnahmen kann kaum vollständig sein. Wichtig bei jeder Übersichtsdarstellung ist der "Mut zur Lücke", ohne dabei jedoch wesentliche Themen auszusparen. Die 50 für den Leitfaden ausgewählten Maßnahmen repräsentieren die Inhalte, die das BSI für wesentlich und unverzichtbar hält und die helfen, ein grundlegendes Verständnis von IT-Sicherheit zu vermitteln. Vielleicht hätten andere Autoren andere Schwerpunkte gesetzt. Beispielsweise "fehlen" Maßnahmen zur elektronischen Signatur, biometrischen Erkennung oder Intrusion Detection, da diese bereits ein sicheres Fundament voraussetzen und erst für IT-Anwender sinnvoll sind, die die grundlegenden Maßnahmen bereits umgesetzt haben sowie Zeit und Geld für sinnvolle Extras übrig haben.

Der zweite wichtige Gesichtspunkt bei der Darstellung der Maßnahmen war die Annahme von realistischen Randbedingungen. Die personellen und finanziellen Ressourcen vieler Institutionen lassen keine großen Investitionen in IT-Sicherheit zu. Da zudem nur selten ein ausreichendes Sicherheitsbewusstsein anzutreffen ist, spielt IT-Sicherheit bei Projektplanungen in der Praxis oft nur eine untergeordnete Rolle. Die ausgewählten Maßnahmen gliedern sich in die folgenden Bereiche:

IT-Sicherheits-Strategie: IT-Sicherheitsmaßnahmen sollten immer an die Unternehmensziele angepasst werden. Nur wer die Rolle der IT innerhalb seiner Geschäftsprozesse richtig einschätzt, wird angemessene und effektive Maßnahmen treffen können. IT-Sicherheitsaspekte sollten immer frühzeitig bei allen Projekten berücksichtigt werden. Organisatorische Regelungen sollten Verantwortlichkeiten, Prozesse und regelmäßige Kontrollen festlegen.
Sicherheit von IT-Systemen: Viele Sicherheitsrisiken lassen sich durch sorgfältige Konfiguration von IT-Systemen verhindern. Nutzung von Sicherheitsfunktionen, Rechte- und Benutzerverwaltung, Erstellen von System-Dokumentationen und ein zuverlässiger Virenschutz sind nur einige der wichtigsten Aufgaben des Administrators. IT-Sicherheit wird leider viel zu oft mit Virenschutz gleichgesetzt. Aber Viren-Schutzprogramme bieten keine absolute Sicherheit und schützen nicht vor allen Schadprogrammen.
Vernetzung und Internet-Anbindung: Die sichere Anbindung an das Internet ist eine äußerst anspruchsvolle Aufgabe. Planung und Konfiguration der Firewall sowie der sichere Umgang mit Web-Browsern und E-Mail-Programmen sind daher ein wichtiger Bestandteil des IT-Sicherheitskonzeptes. Der Umgang mit aktiven Inhalten ist ein besonders heiß diskutiertes Thema, das nur dann befriedigend gelöst werden kann, wenn sowohl der IT-Sicherheitsverantwortliche als auch die Internetnutzer mit den getroffenen Regelungen gut leben können.
Sorgfalt und Beachtung von Sicherheitserfordernissen: Schulung, Sensibilisierung, aber auch Kontrollen und unter Umständen Sanktionen bei gravierenden Sicherheitsverstößen sind wichtige Themen, die sorgfältig geplant und durchgeführt werden müssen.
Wartung von IT-Systemen – Umgang mit Updates: Sicherheitsrelevante Updates für Viren-Schutzprogramme, Browser oder Betriebssysteme müssen regelmäßig eingespielt werden – in der Praxis eine mühevolle Aufgabe mit vielen Fallstricken.
Passwörter und Sicherheitsmechanismen: Wie sichere Passwörter aussehen und welche Sicherheitsmechanismen sonst noch empfehlenswert sind, verrät dieses Kapitel.
Schutz vor Katastrophen und Elementarschäden: Auf Notfälle wie Datenverlust, Feuer, Wasser, Einbruch und so weiter sollte sich jeder vorbereiten. Auch ohne großen finanziellen Aufwand kann es gelingen, das Sicherheitsniveau deutlich zu steigern.

Ausblick und Bezugsquelle

Der Leitfaden IT-Sicherheit kann von den Internetseiten des BSI unter www.bsi.bund.de/gshb/ in Deutsch und Englisch kostenlos heruntergeladen werden. Auf Veranstaltungen und Messen wird zudem regelmäßig eine gedruckte Fassung vom BSI verteilt.

Die Resonanz auf den Leitfaden IT-Sicherheit ist bisher sehr erfreulich. In den ersten vier Monaten nach Veröffentlichung wurden bereits circa 30 000 Exemplare elektronisch oder gedruckt beim BSI angefordert oder von der Webseite geladen.

Das BSI hofft, mit dem Leitfaden auch das IT-Grundschutzhandbuch bei kleineren und mittleren Unternehmen und Behörden bekannter zu machen. Um die Benutzerfreundlichkeit des IT-Grundschutzhandbuches weiter zu erhöhen und "Neueinsteiger" besser zu unterstützen, wurde zeitgleich mit dem Leitfaden der kostenlose Webkurs zum IT-Grundschutz auf den Internetseiten des BSI unter www.bsi.bund.de/webkurs/ veröffentlicht (s. a. <kes> 2004#1, S. 60). Im zweiten Quartal 2004 wird das BSI außerdem zahlreiche neue Musterrichtlinien und Beispielkonzepte als Hilfsmittel zum IT-Grundschutzhandbuch zur Verfügung stellen.

Der Autor ist per E-Mail unter Michael.Mehrhoff@bsi.bund.de zu erreichen.