Zentrale Verwaltung von IT-Sicherheits­konzepten in Mecklenburg-Vorpommern

Ordnungsmerkmale

erschienen in: <kes> 2005#6, Seite 58

Rubrik: BSI Forum

Schlagwort: IT-Grundschutz

Zusammenfassung: Die Verwaltung von IT-Sicherheitskonzepten kann tool-gestützt und zentralisiert erfolgen. Im Land Mecklenburg-Vorpommern wird hierfür erfolgreich das GSTOOL 3.1 vom BSI eingesetzt. Wert wird dabei insbesondere auf eine dezidierte Rechte- und Rollenverteilung gelegt.

Autor: Von Frederik Humpert, Humpert & Partner, und Norbert Knispel, DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH

Das IT-Grundschutzhandbuch hat sich mittlerweile als De-facto-Standard für die Umsetzung von IT-Sicherheitskonzepten in der öffentlichen Verwaltung und in Unternehmen etabliert. Als Werkzeug für die Erstellung entsprechender Sicherheitskonzepte ist das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte GSTOOL  3.1 nicht nur in der Verwaltung, sondern auch in der Wirtschaft Mittel der Wahl, da es eine skalierbare und leicht zu bedienende Plattform zur Umsetzung eines IT-Sicherheitskonzeptes bietet.

Dabei ist das GSTOOL, das häufig als Stand-alone-Lösung zur Pflege von Sicherheitskonzepten eingesetzt wird, mit weit mehr Möglichkeiten ausgerüstet, als es zunächst den Anschein hat. Insbesondere das integrierte Rechte- und Rollenmodell ermöglicht es, die Arbeit bei der Erstellung von Sicherheitskonzepten und der Aufrechterhaltung des IT-Sicherheitsprozesses auf mehrere Schultern zu verteilen und somit ein weitaus höheres Sicherheitsniveau auf stets aktuellem Stand zu erreichen, als es bei der Arbeit mit einem Standalone-Programm möglich wäre. In der Bundes-, Landes- und Kommunalverwaltung steht es außerdem kostenfrei zur Verfügung.

Gemeinsame Nutzung vergleichbarer Ergebisse

Die DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH (DVZ M-V GmbH) und die Firma Humpert & Partner aus Münster haben einen Ansatz entwickelt, der es Datenzentren, die Dienste für Ministerien oder andere Teile der öffentlichen Verwaltung bereitstellen, ermöglicht, mithilfe des GSTOOL 3.1 Sicherheitskonzepte unterschiedlicher Institutionen mit gleichem Schutzbedarf zu verwalten und Ergebnisse anderer Einheiten zu nutzen.

Kern der Lösung ist eine im Rechenzentrum der DVZ M-V GmbH betriebene Datenbank, die allen Ministerien und nachgeordneten Einrichtungen in Mecklenburg-Vorpommern (M-V) zur Verfügung steht. Diese Datenbank stellt eine GSTOOL-Datenbank bereit, welche die im Lieferzustand implementierten Maßnahmen und Bausteine des IT-Grundschutzhandbuches abbildet. Dabei wird die Datenbank von den Mitarbeitern der DVZ M-V GmbH ständig aktuell gehalten, unter anderem umfasst dieser Service Metadaten-Updates und das Einspielen von Servicepacks. Die Aktualität der Daten wird durch den IT-Sicherheitsbeauftragten des Rechenzentrums sichergestellt. Als weiterer Vorteil ergibt sich, dass die Infrastruktur der Datenbank im Rechenzentrum professionellen Datensicherungsmechanismen und Datenschutzmaßnahmen unterliegt. Damit ist die Vertraulichkeit der IT-Sicherheitskonzepte sichergestellt.

Vergleichbare Schutzbedarfskategorien

Die Datenbank enthält zusätzlich zu den Standard-Angaben der GSTOOL-Datenbank, wie zum Beispiel den Bausteinen oder Maßnahmen, vorgegebene Definitionen für Schutzbedarfskategorien. Dabei wurden die Schutzbedarfskategorien für eine bessere Vergleichbarkeit in M-V konkretisiert und die vom BSI vorgeschlagenen Muster ersetzt. Diese Kategorien sind seitens des Innenministeriums Mecklenburg-Vorpommern durch ein IT-Sicherheits-Rahmenkonzept festgelegt worden und eine Empfehlung für die Umsetzung von Sicherheitskonzepten für die öffentliche Verwaltung in Mecklenburg-Vorpommern. Sie dienen allen Erstellern von IT-Sicherheitskonzepten als Richtlinie für die Durchführung der obligatorischen Schutzbedarfsfeststellung. Dies schafft landesweit eine Vergleichbarkeit der Schutzbedürftigkeit der IT-Infrastruktur.

Ferner enthält die Datenbank die Ergebnisse möglicher Risikoanalysen in einzelnen IT-Sicherheitskonzepten, sodass "die Erfindung des Rades" bei analogen Problemen im Rahmen einer Risikoanalyse nicht mehr mehrfach vorgenommen werden muss. Diese werden als benutzerdefinierte Bausteine, Maßnahmen und Gefährdungen in der zentralen GSTOOL-Datenbank hinterlegt. Vorher erfolgt eine Prüfung durch den IT-Sicherheitsbeauftragten der DVZ M-V GmbH, sodass die Ergebnisse möglichst einfach in weiteren IT-Sicherheitsprojekten zur Verfügung stehen.

Hosting im Kundenauftrag

Der Ansatz der DVZ M-V GmbH integriert dazu den Gedanken, dass das Rechenzentrum bestimmte Dienste für interne Prozesse benötigt, andere Objekte jedoch im Auftrag der Kunden und unter deren Sicherheitsprämissen betrieben werden. Dabei werden innerhalb des GSTOOL IT-Verbünde für die IT-Sicherheitsrahmenkonzepte und Projekte wie in Abbildung 1 beschrieben angelegt. Diese enthalten entweder die innerhalb des Rechenzentrums abgebildeten und für interne IT-Sicherheit notwendigen Objekte oder aber Muster-Objekte, die in IT-Sicherheitskonzepte der einzelnen Kunden einfließen können, welche die mandantenfähige Datenbank mitnutzen. Dabei wird die Aktualität der für den Basis-Sicherheits-Check notwendigen Ergebnisse durch die im Rechenzentrum verantwortlichen Administratoren sichergestellt. Diese erhalten im Rahmen eines dezidierten Rechte- und Rollenkonzeptes Zugriff auf die entsprechenden Objekte und können diese in der Modellierungsansicht des GSTOOL verarbeiten. Ein Beispiel der unterschiedlichen Ansichten ist in Abbildung 2 dargestellt.

[Illustration]
Abbildung 1: Sicherheitsrahmenkonzepte liefern Statusbeschreibung für Projektsicherheit

Zusätzlich zu den vom Rechenzentrum des Landes vorgegebenen IT-Objekten innerhalb der Datenbank des GSTOOL 3.1 wird für jedes innerhalb des Landes notwendige IT-Sicherheitskonzept ein zusätzlicher IT-Verbund angelegt. Dieser enthält alle Objekte, die für das entsprechende Konzept notwendig sind. Dabei kann es sich um einzelne Verfahren, gesamte Ministerien und sonstige Teile der öffentlichen Verwaltung handeln (Kommunen, Ämter etc.).

Diesen einzelnen IT-Sicherheitskonzepten sind nun die entsprechenden Objekte aus dem Ergebnis einer Strukturanalyse zugeordnet. Dabei ist wichtig, dass der Schutzbedarf für jedes Objekt einzeln, anhand der bekannten Kategorien festgestellt wird. Da das GSTOOL keine Referenzierung mit Schutzbedarfen ermöglicht, kommt der Benutzer nicht in die Versuchung, den Schutzbedarf anderer Objekte zu übernehmen. Er muss ihn für alle Objekte einzeln einpflegen.

[Screenshot]
Abbildung 2: Die GSTOOL-Ansicht des IT-Sicherheitsbeauftragten (links) und eines weiteren Bearbeiters (rechts)

Rechte und Rollen sichern die Sicherheit

Damit nunmehr jeder Nutzer der Datenbank nur auf seine spezifischen Daten und Informationen zugreifen kann, wurde ein umfassendes Rollenkonzept mit GSTOOL-eigenen Mitteln implementiert, das mehrere Punkte berücksichtigt (vgl. Abb. 3):

[Illustration]
Abbildung 3: Schematische Darstellung der Rollenaufteilung

Für die praktische Arbeit ist es nun zunächst notwendig die Strukturanalyse für das gewünschte IT-Sicherheitskonzept durchzuführen und im Rahmen eines eigenen IT-Verbundes im GSTOOL 3.1 abzubilden. Danach wird, wie auch im IT-Grundschutzhandbuch vorgesehen, der Schutzbedarf der einzelnen Objekte festgestellt.

Die Modellierung und die Überprüfung der richtigen Bausteinzuordnung werden manuell durch den IT-Sicherheitsbeauftragten vorgenommen; gegebenenfalls werden neue Bausteine modelliert. Dies ist bereits mit dem Baustein "Datenschutz" geschehen, der beim Bundesbeauftragten für den Datenschutz angefordert werden kann. Weitere zusätzliche Bausteine existieren derzeit noch nicht.

Danach wird überprüft, welche Bausteine durch das Rechenzentrum abzubilden sind. Das bedeutet, dass bei Verfahren X, für welches das Ministerium L einen Server im Rechenzentrum gemietet hat, auf das im Sicherheitsrahmenkonzept vorgelegte Musterobjekt zurückgegriffen wird. Der Aufbau einer Referenz innerhalb der Modellierungsansicht des GSTOOL 3.1 übernimmt nun die bereits gepflegten Ergebnisse dieses Objektes. Sollte für das IT-System kein Musterobjekt vorhanden sein, kann – falls gewünscht – dem zuständigen Administrator das Recht erteilt werden, die Umsetzung der Maßnahmen selbst zu pflegen. Dies hält das IT-Sicherheitskonzept ständig aktuell, da die Pflege der Maßnahmen durch die zuständigen Personen durchgeführt wird.

Um der Gefahr vorzubeugen, dass Administratoren die Maßnahmen als "umgesetzt" definieren, obwohl keine Umsetzung erfolgt ist, wurde zudem ein Prüfprozess integriert. Vor Freigabe des IT-Sicherheitskonzeptes zur Vorlage bei höheren Stellen, wird stichprobenartig die Einhaltung der Maßnahmen durch den IT-Sicherheitsbeauftragten der DVZ M-V GmbH überprüft.

Fazit

Das GSTOOL 3.1 erschien für die gewünschte Lösung das probate Mittel zu sein, da das Tool mehrere Vorteile für die öffentliche Verwaltung mitbringt:

Das Verfahren der zentralen IT-Sicherheitskonzeptverwaltung dient dazu, langfristig eine papierlose Verwaltung von IT-Sicherheitskonzepten, papierlose Prüfung sowie arbeitseffiziente Aktualisierung für notwendige Prüfungen in einer Datenbank zu verarbeiten und damit eine effiziente Sicherheitssteuerung in der öffentlichen Verwaltung sicherzustellen.