![[Das Grundschutzhandbuch gliedert sich in Bausteine, die jeweils Gefahren und Maßnahmen umfassen]](05-6-013-1.jpg)
Abbildung 1: Grundlegende Struktur im IT-Grundschutzhandbuch (GSHB)
Bei der Informations-Sicherheit wird hierzulande oft nach dem IT-Grundschutzhandbuch (GSHB) des Bundesamts für Sicherheit in der Informationstechnik (BSI) vorgegangen. International arbeitende Firmen oder Behörden haben aber häufig auch die Vorgabe, den internationalen ISO-Standard 17799 "Code of Practice for Information Security Management" einzusetzen. Da dieser indirekt über den BS 7799 auch Bestandteil der IT Infrastructure Library (ITIL) ist, nimmt seine Bedeutung eher noch zu.
Anders als mit dem GSHB sind bei einer Vorgehensweise nach ISO 17799 recht umfangreiche Vorarbeiten nötig, um die konkret durchzuführenden Aufgaben festzulegen. Jeder Nutzer der ISO-Norm ist dabei für eine Arbeitserleichterung dankbar, und so ist es nahe liegend, in dieser Hinsicht einen Blick in die umfangreichen Dokumente des GSHB zu werfen. Denn das GSHB ist von seiner Konzeption her sehr praxisorientiert: Es besteht aus Bausteinen, die jeweils ein organisatorisches, personelles oder technisches Problemfeld beschreiben, wie etwa ein Notfallvorsorgekonzept oder einen Unix-Server. Zu jedem Baustein gibt es eine Reihe möglicher Gefährdungen (Gefährdungslage) und eine Liste von Maßnahmenempfehlungen, mit denen man diesen Gefahren begegnen kann (vgl. Abb. 1). Dabei sind die in den Empfehlungen gegebenen Hinweise sehr konkret (z. B. Absichern einzelner Einträge in der Windows-Registry) und können direkt in die Tat umgesetzt werden.
Abbildung 1: Grundlegende Struktur im IT-Grundschutzhandbuch (GSHB)
Im Gegensatz dazu verfolgt die ISO 17799 einen stärker an den Erfordernissen des Managements ausgerichteten Ansatz. Die IT-Sicherheit wird dazu in insgesamt 12 Paragrafen aufgeteilt; Beispiele sind Notfallplanung oder Zugriffskontrolle. Jeder Paragraf umfasst Kategorien, die für ihn wichtige Themen formulieren. Für jede Kategorie werden eine Zielvorgabe und mehrere Aufgaben definiert und für jede Aufgabe schließlich Maßnahmen zu ihrer Erfüllung angegeben (vgl. Abb. 2). Die in der ISO-Norm angeführten Maßnahmen sind jedoch nicht sehr konkret und beschränken sich auf allgemeine Grundsätze – ganz anders als im GSHB.
![[Die ISO 17799 gliedert sich in Paragrafen mit Kategorien, die einerseits Zielvorgaben und andererseits Aufgaben mit Maßnahmen umfassen]](05-6-013-2.jpg)
Abbildung 2: Grundlegende Struktur in ISO 17799
Als Beispiel: Das GSHB enthält im Baustein "Windows 2000 Client" die Maßnahmenempfehlung M 4.48 "Passwortschutz unter Windows NT/2000", die detailliert beschreibt, welche Einstellungen für Länge, Komplexität, Verfallsdatum und so weiter vorzunehmen sind, damit die Sicherheit der Passwörter dem vom GSHB vorgesehenen mittleren Schutzbedarf entspricht.
Die ISO 17799 behandelt hingegen keine einzelnen Betriebssysteme, die Vorgaben sind deshalb recht allgemein gehalten. So sollen Passwörter mit ausreichender Länge gewählt werden, die leicht zu merken sind, nicht auf Namen, Telefonnummern, Geburtstagen oder Ähnlichem basieren, gegenüber Wörterbuch-Attacken immun und frei von Zeichenwiederholungen sind sowie Ziffern und Buchstaben gemischt enthalten. Will man diese Vorgaben auf ein Windows-System anwenden, so muss beispielsweise zunächst noch festgelegt werden, wie lang Passwörter sein sollen, damit sie leicht zu merken sind, aber dennoch eine "ausreichende Länge" aufweisen.
Derartige Vorarbeiten zur Konkretisierung der ISO 17799 möchten sich viele Anwender sparen. Ihnen wäre es lieb, wenn sich ISO und GSHB so kombinieren ließen, dass den Vorgaben der ISO-Norm Maßnahmenempfehlungen aus dem GSHB zugeordnet werden könnten. Dann könnte man die ISO-Anforderungen viel schneller in konkrete Arbeitsschritte umsetzen – etwa in Form von Checklisten.
ISO 17799 und GSHB wollen von ihrem Selbstverständnis her ohnehin das gleiche Ziel erreichen, nämlich den sicheren Betrieb einer IT-Infrastruktur. Im Rahmen eines größeren Projekts wurde geklärt, ob und wie sich beide für einen kombinierten Einsatz zur Deckung bringen lassen: In wesentlichen Bereichen ist tatsächlich eine Zuordnung von BSI-Maßnahmen zu ISO-Aufgaben möglich. Allerdings existieren auch Themen in der ISO-Norm, die das GSHB nicht oder nur ungenügend abdeckt. Eine direkte Beziehung zwischen ISO- und GSHB-Maßnahmen lässt sich zudem nicht konstruieren. Im Folgenden werden mögliche Synergien der beiden Standards entsprechend der zwölf ISO-Paragrafen erörtert.
Dieser erste Paragraf in der ISO-Norm findet keine Entsprechung im GSHB. Das erklärt sich aus der Zielsetzung des GSHB, Sicherheit für den mittleren Schutzbedarf zu schaffen und aufrechtzuerhalten. Die entsprechende Risikoanalyse ist deshalb im GSHB nur implizit enthalten.
Die erste der in der ISO-Norm geforderten Aufgaben zur Definition und Dokumentation einer Policy findet im GSHB ihre Entsprechung in der Maßnahme M.192 "Erstellung einer IT-Sicherheitsleitlinie". Die zweite ISO-Aufgabe "Review der Sicherheitsleitlinie" ist dagegen nicht explizit im GSHB enthalten. Einzelne Teile sind allerdings in M.193 "Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit" enthalten.
Da in diesem Paragrafen recht konkrete Vorgaben gemacht werden, ist der Überlappungsgrad zum GSHB hoch. Einige Aufgaben der ISO 17799 verteilen sich im GSHB zwar auf eine Vielzahl von Maßnahmen aus den Bereichen M2 Organisation und M6 Notfallvorsorge-Konzept: Abkommen zur Beachtung der Vertraulichkeit, Kontakt mit Behörden und unabhängiges Review der IT-Sicherheit. Es ist jedoch prinzipiell möglich, alle in der ISO-Norm geforderten Aufgaben mithilfe des GSHB abzuarbeiten. Für die genannten Punkte müsste man allerdings jeweils viele GSHB-Einzelmaßnahmen aufgreifen, was die Arbeit unübersichtlich und damit fehleranfällig macht.
Bei der Festlegung der Verantwortlichkeiten sowie der Inventarisierung und Nutzung der IT-Infrastruktur und der verarbeiteten Daten ist fast eine 100%ige Abbildung zwischen den beiden Standards möglich. Da dieser Punkt in den meisten Security-Audits eine zentrale Bedeutung einnimmt, kann die Einbindung des GSHB hier die Arbeit wesentlich erleichtern. Dabei kommen die meisten anzuwendenen Maßnahmen aus den Bereichen M1 Infrastruktur und M2 Organisation.
Im Bereich des Personalwesens mit der Festlegung von Arbeitsgebieten, Verantwortlichkeiten, Weiterbildung und der korrekten Beachtung aller Sicherheitsregeln von der Einstellung eines neuen Mitarbeiters bis zu seinem Ausscheiden gibt es ebenfalls eine große Übereinstimmung zwischen den beiden Standards (GSHB-Maßnahmen vorwiegend aus M2 und M3). Allerdings geht die ISO 17799 aufgrund ihrer angelsächsischen Herkunft mehr auf die den einzelnen Mitarbeitern zugedachten "Rollen" ein als das GSHB. Dieser Punkt ist zwar im GSHB enthalten, aber leider nur implizit. Eigene Maßnahmen dazu gibt es nicht.
Auch dieser Paragraf findet eine weitgehende Entsprechung im GSHB (fast ausschließlich in M1 und M2). Eine kleine sprachliche Finesse in diesem und auch späteren Paragrafen muss allerdings beachtet werden: Im Sprachgebrauch der ISO-Norm wird nicht zwischen Zugang und Zugriff unterschieden; beide Vorgänge werden als "Access" bezeichnet. Das GSHB differenziert hingegen, wie in Deutschland üblich:
Die ISO-Norm definiert überdies Aufgaben für die Arbeit in gesicherten und öffentlich zugänglichen Bereichen. Diese haben keine direkte Entsprechung im GSHB, was sich wieder aus dem Ansatz des "mittleren Schutzbedarfs" erklärt.
Obwohl die in diesem Paragrafen angesprochenen Aufgaben auch im GSHB viel Raum einnehmen (M1, M2, M6), findet man doch signifikante Unterschiede: Eine ganze Reihe von ISO-Aufgaben hat keine oder nur eine unzureichende Entsprechung im GSHB. Das ist bei diesem zentralen Punkt jeder IT-Sicherheit verwunderlich. Zu nennen wären hier vor allem die Behandlung von Systemen zum E-Commerce, wozu es im GSHB nur die Maßnahme M 5.95 "Sicherer E-Commerce bei der Nutzung von Internet-PCs" gibt. Die besonderen Anforderungen an Server und Kommunikation beim E-Commerce werden im GSHB jedoch nicht explizit erörtert. Auch die Aufgliederung eines Software-Projekts in Entwicklung, Test und Einsatz findet keine direkte Entsprechung im GSHB.
Die Kontrolle von Zugriffen ist eines der zentralen Themen des GSHB. Deshalb finden alle Aufgaben in diesem Paragrafen eine gute und ausführliche Entsprechung im GSHB – zumeist in M2, M4 (Hard- und Software) und M5 (Kommunikation).
Hier wird deutlich, dass das GSHB sich nicht mit der Entwicklung und dem Test von Software beschäftigt. Für die erforderlichen Aufgaben (inkl. Sicherheitstests) gibt es deshalb kaum Entsprechungen im GSHB. Alle anderen Bereiche werden allerdings sehr gut abgedeckt (meist aus M2, M4 und M5).
Bis auf den Bereich der Computer-Forensik (Sammeln von Beweismitteln), der im GSHB nicht behandelt wird, ist die Abdeckung hervorragend (in M2 und M6).
Die Ansätze von ISO 17799 und GSHB sind hier leicht unterschiedlich: Während das GSHB den technischen Aspekt von Notfällen und ihrer Vermeidung in den Vordergrund stellt (z. B. durch Schaffen redundanter Strukturen), spielen in der ISO-Norm auch Überlegungen zu finanziellen oder umweltschädigenden Auswirkungen eine Rolle. In den Bereichen, welche die organisatorische und technische Praxis der Notfallplanung behandeln, ist die Überlappung jedoch erneut gut (M1 und M6).
Diese Punkte werden im GSHB (in M1 und M2) nicht mit der Vollständigkeit behandelt, die für eine kombinierte Nutzung mit der ISO 17799 erforderlich ist. Vor allem die Teile der ISO-Norm, die sich mit dem Audit von IT-Systemen oder den gesetzlichen Vorgaben beschäftigen, finden keine Entsprechung im GSHB. Natürlich wird auch dort darauf hingewiesen, sich an alle einschlägigen Gesetze und Verordnungen zu halten. Das reicht aber nicht aus, um für die in der ISO-Norm definierten Aufgaben eine wirkungsvolle Unterstützung zu liefern.
Obwohl ISO 17799 und IT-Grundschutzhandbuch (GSHB) dieselbe Thematik behandeln, gibt es viele Unterschiede. Allerdings sind diese nicht so schwer wiegend, dass das GSHB bei einem Sicherheitskonzept oder einem Audit nach ISO 17799 nicht hilfreich wäre. In bestimmten Teilgebieten kann man die BSI-Listen sogar praktisch ohne Modifikation nutzen. Für ein in regelmäßigen Abständen wiederholtes ISO-Audit kann das GSHB deshalb sehr befruchtend wirken und bei der Vorbereitung viel Zeit sparen.
Dr.-Ing. Markus a Campo ist freiberuflicher Berater, Autor und Schulungsreferent im Bereich der IT-Sicherheit (![[externer Link]](../../../../images/link.gif)
http://m-acampo.de).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#6, Seite 13
| 