![[externer Link]](../../../../images/link.gif)
www.bsi.bund.de/gstool/) das Beispiel vollständig durchgespielt, sodass die Vorteile einer automatisierten Bearbeitung erkennbar sind.Das IT-Grundschutzhandbuch (GSHB) ist ein akzeptierter Standard für IT-Sicherheit, der jährlich aktualisiert und erweitert wird. Dadurch ist es allerdings mit der Zeit auch immer umfangreicher und komplexer geworden. Damit wurde auch der Ruf nach Beispiel-Sicherheitskonzepten gemäß der Vorgehensweise des IT-Grundschutzhandbuchs immer größer. Dazu hat das BSI drei Beispiel-Profile erarbeitet, die auf unterschiedliche Unternehmensgrößen zugeschnitten sind. Darin wird anhand dieser Beispiel-Unternehmen der Prozess demonstriert, wie ein Sicherheitskonzept mithilfe von IT-Grundschutz geplant, umgesetzt und gepflegt werden kann. Dies wird mit vielen Hilfen und Tipps dargestellt. Außerdem werden spezielle, auf die jeweiligen Anwendergruppen abgestimmte, Herangehensweisen an die Problematik vorgestellt.
Dieses Beispiel ist speziell für kleine Institutionen entwickelt worden, also für eine Anwendergruppe mit wenig IT-Systemen und meist geringen IT-Sicherheitskenntnissen. Typische kleine Institutionen sind beispielsweise Arztpraxen, Rechtsanwaltskanzleien, Steuerberater, kleinere Handwerksbetriebe, kleinere Behörden, Ämter, Reisebüros oder Hotels. In diesen Bereichen ist der Arbeitsbetrieb ohne Computer, Netzwerke und Internetzugang heutzutage kaum noch vorstellbar.
Für solch eine kleine Institution wird anhand eines durchgängigen Beispieles gezeigt, wie das IT-Grundschutzhandbuch hier angemessen eingesetzt werden kann. Schritt für Schritt wird beschrieben, wie systematisch eine IT-Sicherheitskonzeption erstellt werden kann. Die Anwender werden dabei mit konkreten Sicherheitsaspekten vertraut gemacht, die beim Einsatz von Informationstechnik in einer kleinen Institution zu beachten sind.
Ausgehend von einer beispielhaft dargestellten Institution mit wenigen Mitarbeitern wird gezeigt, wie die jeweiligen Arbeitsschritte der IT-Grundschutz-Methodik angemessen angewendet werden können.
Der Schwerpunkt der Aktivitäten liegt in der Erfassung aller Systeme mithilfe eines PC-Passes und, darauf aufbauend, auf der Durchführung eines Basis-Sicherheitschecks. Ein solcher Basis-Sicherheitscheck ist anhand einer Checkliste leicht anzuwenden, wie dies für die Beispielinstitution gezeigt wird. Dabei werden umfangreiche Kontrollfragen zu den im Beispielunternehmen umzusetzenden Maßnahmen gestellt. So kann der Geschäftsführer einer kleinen Institution nicht nur schnell die vorhandenen Sicherheitslücken aufdecken, sondern auch direkt Gegenmaßnahmen anhand der Maßnahmenbeschreibungen des IT-Grundschutzhandbuchs einleiten.
Das zweite Profil richtet sich an IT-Sicherheitsbeauftragte von mittelgroßen Institutionen, die sich ausführlich mit der Anwendung des IT-Grundschutzhandbuches beschäftigen wollen. Wie im Profil für kleinere Institutionen wird auch hier die Anwendung des IT-Grundschutzhandbuchs an einem Beispielunternehmen gezeigt. Gleichzeitig wird außerdem für den Einsatz der Software GSTOOL ( www.bsi.bund.de/gstool/) das Beispiel vollständig durchgespielt, sodass die Vorteile einer automatisierten Bearbeitung erkennbar sind.
![[Illustration]](04-6-039-1.jpg)
Beispiel für einen kleinen IT-Verbund
Bei dem Beispiel einer mittleren Institution mit circa 20 Clients und vier Servern steht die Einführung und Erläuterung der Grundschutzvorgehensweise und der effektive Einsatz des GSTOOLs im Vordergrund.
Den IT-Sicherheitsbeauftragten solcher mittelgroßen Institutionen werden die einzelnen Aktivitäten eines typischen IT-Sicherheitsprozesses und der zugehörige Aufwand gezeigt, der für die Projekt- und Ressourcenplanung erforderlich ist; zusätzlich werden Unterstützungshinweise gegeben. Zielsetzung ist es, einem wenig mit der Grundschutzvorgehensweise vertrauten IT-Sicherheitsbeauftragten Hilfsmittel, Erklärungen und Beispiele an die Hand zu geben und diesen damit in die Lage zu versetzen, schnell erste Ergebnisse präsentieren zu können.
Der Einsatz des GSTOOLs wird durch viele Screen-Shots dargestellt. Zusätzlich wird durch entsprechende Hintergrundinformationen beschrieben, wie das Tool die Vorgehensweise nach GSHB unterstützt. Dies erleichtert es Anwendern, den Mehrwert des Tool-Einsatzes zu erkennen und es effektiv einzusetzen. Das Dokument bietet somit eine vollständige Anleitung, wie ein IT-Sicherheitskonzept erstellt und aktuell gehalten werden kann.
Das IT-Grundschutzprofil für eine große Institution stellt Lösungsvorschläge für häufig auftretende Probleme bei der Anwendung des IT-Grundschutzhandbuches vor. Am Beispiel eines Rechenzentrums werden die möglichen Probleme bei der Umsetzung erläutert und Konzepte und Umsetzungshinweise gegeben.
Hierbei wird davon ausgegangen, dass die IT-Sicherheitsverantwortlichen das IT-Grundschutzhandbuch größtenteils kennen und Teile der empfohlenen Sicherheitsmaßnahmen bereits effektiv umsetzen. Aber es ist auch hier unerlässlich, eine Vorgehensweise umzusetzen, die alle Geschäftsprozesse ganzheitlich mit Sicherheitsmaßnahmen abdeckt und Sicherheitslücken aufzeigt.
Zu Beginn jeder Phase wird daher die Vorgehensweise gemäß IT-Grundschutz kurz und prägnant erläutert, danach werden mögliche Umsetzungsprobleme aufgegriffen und einfache Lösungsvorschläge anhand des durchgängigen Beispieles aufgezeigt. Das Beispiel ist ein übliches Rechenzentrum mit circa 100 vernetzten Servern in den unterschiedlichsten Konfigurationen, welche sowohl Dienste im Intranet als auch im Internet anbieten.
Diese Dokument dient als Hilfestellung für die erfahrenen Grundschutzanwender und kann kontinuierlich weiterentwickelt werden, sodass Anwender auch eigene Lösungen bei der Umsetzung des IT-Grundschutzhandbuchs integrieren können. Somit haben alle Grundschutzanwender die Möglichkeit, von den Erfahrungen anderer zu profitieren und typische Fehler zu vermeiden.
Mit diesen drei Beispielen haben Anwender je nach Wissenstand und Schutzbedarf die Möglichkeit, verschiedene Arten des Einstiegs in die IT-Grundschutzvorgehensweise kennenzulernen. Bei allen Ansätzen ist das Ziel, die jeweilige Institution angemessen gemäß IT-Grundschutz abzusichern. Anschließend kann die erfolgreiche Umsetzung der IT-Sicherheitsmaßnahmen über eine IT-Grundschutz-Zertifizierung dokumentiert werden (vgl. www.bsi.bund.de/gshb/zert/).
Unter www.bsi.bund.de/gshb/aktuell/ können alle drei Profile heruntergeladen werden.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#6, Seite 39
| 