GSTOOL 4.0 Das BSI-Tool zum IT-Grundschutz

Ordnungsmerkmale

erschienen in: <kes> 2006^#3, Seite 42

Zusammenfassung: Nach langer Entwicklungszeit steht die Grundschutz-Software des Bundesamts für Sicherheit in der Informationstechnik in einer funktional deutlich erweiterten Version 4 zur Verfügung.

Autor: Von Michael Förtsch, BSI

Der BSI-Standard 100-2 "IT-Grundschutz-Vorgehensweise" zusammen mit den IT-Grundschutz-Katalogen (GSK) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschreibt, wie ein IT-Sicherheitsmanagement in der Praxis aufgebaut und betrieben werden kann, wie ein IT-Sicherheitskonzept erstellt werden kann, wie angemessene IT-Sicherheitsmaßnahmen ausgewählt werden können und was bei der Umsetzung des IT-Sicherheitskonzeptes zu beachten ist. IT-Grundschutz hat sich im Laufe der Zeit als ideale Grundlage für die Erstellung von IT-Sicherheitskonzepten erwiesen.

Die Empfehlungen der GSK stellen mittlerweile einen auch international anerkannten Quasi-Standard der IT-Sicherheit dar, der sich durch leichte Anwendbarkeit und Umsetzbarkeit auszeichnet und damit zu einem effizienten Sicherheitsmanagement beiträgt. In so genannten Bausteinen betrachten die GSK für eine Vielzahl typischer IT-Konfigurationen spezifische Gefährdungen und bieten darauf abgestimmt Bündel von Maßnahmen an, wie sie heute üblicherweise umzusetzen sind. Diese Maßnahmenbündel sind so ausgelegt, dass sie für den normalen Schutzbedarf ausreichend sind, aber auch bei einem höheren Schutzbedarf einen hinreichenden Schutz ermöglichen und eine stabile Grundlage für zusätzliche Sicherheitsmaßnahmen bieten.

Abbildung 1: Tool-Design

Seit 2003 ist die Version 3.0 des BSI-Tools IT-Grundschutz verfügbar. Vom BSI wurde jetzt erneut eine Weiterentwicklung durchgeführt, um die umfangreich überarbeitete IT-Grundschutz-Methodik (vgl. <kes> 2005#6, S. 6) abzubilden und um die durch die Fortentwicklung der GSK neu entstandenen Bausteine auf einfachste Weise in das Tool aufnehmen zu können. Zu den Standardfunktionen des GSTOOLs gehören unter anderem:

• Modellierung von Sicherheitskonzepten gemäß IT-Grundschutz,
• Unterstützung des ISO-27001-Zertifikats auf der Basis von IT-Grundschutz,
• Netzwerkfähigkeit,
• Mehrbenutzerfähigkeit inklusive einem umfangreichen Rechte- und Rollenkonzept,
• Verwaltung mehrerer Sicherheitskonzepte mit einem Tool (Mandantenfähigkeit),
• Update der Datenbasis per Internet,
• integriertes Verschlüsselungsmodul,
• Export von Teilarbeitsbereichen zur Bearbeitung in anderen GSTOOLs,
• einfache Navigation innerhalb der IT-Sicherheitskonzepte durch grafische Aufbereitung in einer Baumstruktur,
• permanente Information über Status und Umsetzungsgrad des Sicherheitskonzeptes durch Farbkodierungen der Konzeptelemente,
• kontextsensitiver Zugriff über ihren Web-Browser auf die Inhalte der GSK,
• benutzerspezifische Erweiterungen der GSK durch Änderung bestehender oder durch Definition neuer IT-System-Typen, Bausteine, Maßnahmen, Gefährdungen,
• umfassende Auswertungsmöglichkeiten,
• Reduktion der Informationen auf das Wesentliche durch den Einsatz von Filtern,
• gesicherte Fortschreibung der IT-Sicherheitskonzepte durch die Aktualisierung der Software parallel zur Erweiterung der GSK.

Der Anwender kann wählen, ob das GSTOOL sich ihm in deutscher oder in englischer Sprache präsentiert (derzeit ist die englische Sprachversion allerdings nur eingeschränkt nutzbar, da die englische Version der GSK noch nicht erstellt wurde). Ein Umschalten zwischen den Sprachen ist ganz oder für Teile des Tools jederzeit möglich. Durch eine einfache Austauschbarkeit sämtlicher Programm- und Handbuchtexte lässt sich das Tool auch in andere Sprachen übersetzen.

Abbildung 2: Berichte im GSTOOL

Neu in Version 4.0

Nach der Herausgabe der leicht überarbeiteten Version 3.1 im Jahr 2004 stellt das BSI nun mit der Version 4.0 im Jahr 2006 den mittlerweile circa 8000 Lizenzkunden eine deutlich erweiterte und optimierte Version des bewährten Produktes zur Verfügung. Die wesentlichen Neuerungen der Version 4.0 sind:

• Bausteine sind jetzt frei mit beliebigen Zielobjektsubtypen verknüpfbar, der Anwender kann so die automatische Standardzuordnung modifizieren. Dies ermöglicht es zum Beispiel, dass selbst erstellte Bausteine und Maßnahmen automatisch neu angelegten Zielobjekten zugeordnet werden.
• Jedem Zielobjekttypen können bereits seit der Version 3.1 Zusatzattribute zugeordnet werden. Diese Zusatzattribute sind mit der Version 4.0 durch den Anwender typisierbar und können bei Bedarf sogar zu Pflichtfeldern deklariert werden. Durch Nutzung der Zusatzattribute können im GSTOOL nahezu beliebig viele Zusatzinformationen zu den erfassten Zielobjekten gespeichert werden (vgl. Abb. 3).

  
  Abbildung 3: Typisierbare Zusatzattribute im GSTOOL

• Die Arbeit mit den Verantwortlichen wurde vereinfacht und gleichzeitig flexibler gestaltet. Das GSTOOL nimmt nun die Zuordnung von Verantwortlichen zu einzelnen Maßnahmen automatisch aufgrund der Zuordnungsregeln der GSK vor.
• An vielen kritischen Stellen wurden Undo-Funktionen implementiert, sodass der Anwender im Falle einer unbeabsichtigten Änderung oder Löschung den alten Zustand wiederherstellen kann.
• Eine weitere Exportmöglichkeit wurde integriert: Hiermit wurde eine Möglichkeit zur zentralen Verteilung benutzerdefinierter Metadaten geschaffen. Mit dieser neuen Funktion können benutzerdefinierte Änderungen an der Datenbasis direkt an andere GSTOOLs weitergegeben werden.
• Das GSTOOL verfügt über umfangreiche Filtermöglichkeiten: Filter können von jedem Anwender selbst generiert und abgespeichert werden. Im Netzbetrieb können diese Filter mit der neuen Version zu so genannten "globalen Filtern" erklärt werden und stehen dann allen berechtigten Nutzern einer Datenbank zur Verfügung.
• Die Berichtsvorlagen wurden erneut überarbeitet und ergänzt: Durch Nutzung von farblichen Hervorhebungen wurde die Übersichtlichkeit der Berichte deutlich erhöht. Daneben wurden viele neue Berichte implementiert und für einige Berichte die Möglichkeit eines Exportes der Berichtsergebnisse an Excel geschaffen. In Excel können diese Ergebnisse dann weiterverarbeitet oder über die Diagrammfunktionen bequem grafisch aufbereitet werden.
• Das BSI hat die Pflege der Maßnahmenprioritäten zugunsten der Zertifikatsstufen aufgegeben, die bislang vorgegebenen Werte entfallen. Die bislang vom BSI vorgegebenen Prioritäten werden in der neuen Version für den Anwender freigegeben und sind auf Werte zwischen 0 und 9 einstellbar.
• Nahezu alle Elemente innerhalb des GSTOOLs können kontextsensitiv mit Notizen versehen werden. Die Notizblockfunktion wurde mit einer Füllkennzeichnung erweitert und es sind nun beliebig viele Verweise möglich.
• Aufgrund von Anwenderwünschen ist es dem Anwender nun möglich beliebig viele Textbausteine zu entwickeln und über spezielle Tastaturkürzel abrufbar zu machen. Die Textbausteine können frei definiert und später über die gewünschten Tastaturkürzel in Textfelder der Anwendung eingefügt werden.

Die Version 4.0 basiert selbstverständlich auf den aktuellen Metadaten der IT-Grundschutz-Kataloge, also der Version 2005. Mit der Version 3.1 erfasste Datenbestände werden weitgehend automatisch auf die neue Struktur umgestellt. Einige manuelle Nacharbeiten sind allerdings erforderlich, da das GSTOOL keinerlei vom Benutzer in der Altversion erfassten Daten löscht.

Im Auslieferungsumfang des GSTOOLs ist eine Datenbanklösung enthalten, die eine gleichzeitige Nutzung einer Datenbasis durch bis zu fünf Benutzer ermöglicht. Das bedeutet, dass maximal fünf Personen innerhalb eines Netzes zeitgleich an einem oder auch mehreren bis zu 2 GByte großen IT-Sicherheitskonzepten arbeiten können (im Regelfall ist dies ausreichend für die Erfassung von mindestens 2000 Zielobjekten inklusive zugehöriger Informationen). Für die Arbeiten in einer Institution dient ein installiertes GSTOOL als Server, die weiteren GSTOOLs können sich an diesem Server anmelden.

Bei höheren Anforderungen an Datenvolumen und/oder gleichzeitigen Zugriffen auf die Datenbank kann der Datenbankserver MS SQL-Server 2000 eingesetzt werden – hierbei fallen für die Beschaffung der Datenbank gegebenenfalls zusätzliche Kosten an (MS SQL-Server 2000 kann nicht über das BSI bezogen werden). Die entsprechenden Schnittstellen sind im GSTOOL bereits vorhanden und können durch den Administrator des SQL-Servers ohne größere Konfigurationsarbeiten genutzt werden.

Benutzerführung

Die grundsätzliche Bedienung des GSTOOLs orientiert sich an üblichen Windows-Applikationen. Die Benutzerführung ist dabei einfach und übersichtlich. Unterstützt und angeleitet wird der Benutzer durch die integrierte Online-Hilfe und ein sehr ausführliches elektronisches Benutzerhandbuch. Das Benutzerhandbuch wird ständig erweitert und steht auf dem Internetserver des BSI aktuell und kostenlos zum Download zur Verfügung.

Für den Schnelleinstieg wurde außerdem ein Webkurs zum GSTOOL entwickelt ( www.bsi.bund.de/gstool/schulung.htm). Mit dem Webkurs werden innerhalb von 1 bis 2 Stunden die wesentlichen Funktionen der Software vermittelt. Der Kurs kann auf den Internetseiten des BSI kostenlos heruntergeladen werden. Daneben werden von der Bundesakademie für öffentliche Verwaltung (derzeit nur für Behörden) sowie von verschiedenen Firmen Schulungen zum GSTOOL angeboten. Eine Auflistung der Anbieter finden Sie ebenfalls auf den Internetseiten des BSI.

Da das GSTOOL als so genanntes Experten-Tool ausgelegt wurde, sind fundierte Kenntnisse der IT-Grundschutz-Vorgehensweise Voraussetzung für den effizienten Einsatz der Software. Das GSTOOL führt den Benutzer jedoch bei der Erstellung seines IT-Sicherheitskonzeptes durch nachfolgende Arbeitsschritte:

IT-Systemerfassung und Strukturanalyse

Ein bereits vorhandener, aktueller Netzplan wird in diesem Arbeitsschritt als Vorleistung des Benutzers vorausgesetzt. Die Netzplanerstellung selbst wird durch das GSTOOL nicht unterstützt. Auf Grundlage eines bereinigten Netzplans werden zunächst IT-Systeme, Netze, Anwendungen, Gebäude, Räume und Mitarbeiter im Tool erfasst. Die IT-Komponenten werden dabei eindeutig bezeichnet, gruppiert und können vom Anwender parallel mit einer Vielzahl an Zusatzinformationen versehen werden.

Abbildung 4: Struktur von Zielobjekten

Schutzbedarfsfeststellung

Vom Benutzer wird zunächst der Schutzbedarf der IT-Anwendungen festgelegt. Der Schutzbedarf von den Anwendungen wird dann auf IT-Systeme und weitere Komponenten des Verbundes entsprechend der IT-Grundschutz-Methodik übertragen. Für den abgeleiteten Schutzbedarf werden vom GSTOOL automatisch Vorschläge entsprechend der IT-Grundschutz-Methodik geliefert. Der Anwender muss selbst entscheiden und gegebenenfalls regelnd eingreifen, um begründete andere Einstellungen vorzunehmen.

Modellierung von IT-Verbünden

Der zu betrachtende IT-Verbund wird in diesem Schritt mit den Bausteinen der GSK nachgebildet. Das Ergebnis ist ein IT-Grundschutzmodell des Verbundes, das aus verschiedenen, gegebenenfalls auch mehrfach verwendeten Bausteinen der Kataloge besteht und alle sicherheitsrelevanten Aspekte des IT-Verbundes umfasst. Die Nachbildung eines IT-Verbundes geschieht im GSTOOL im Wesentlichen mittels einer Zusammenstellung von Zielobjekten durch einfaches Drag&Drop (ähnlich wie im Datei-Manager) innerhalb einer Baumdarstellung. In diesem Arbeitsschritt werden weiterhin die logischen und technischen Beziehungen der erfassten IT-Komponenten im GSTOOL abgebildet.

Soll-Ist-Vergleich (Basis-Sicherheitscheck)

Die Modellierung nach IT-Grundschutz aus dem vorigen Schritt wird nun als Prüfplan benutzt, um anhand eines Soll-Ist-Vergleichs herauszufinden, welche Maßnahmen ausreichend, nur unzureichend oder nicht umgesetzt sind. Innerhalb des GSTOOLs wird jeder zu bearbeitenden Maßnahme ein Bearbeitungszustand (ja, nein, teilweise, entbehrlich) zugeordnet und vom GSTOOL farblich beziehungsweise symbolisch eindeutig gekennzeichnet. Der Bearbeiter hat damit jederzeit einen schnellen und aktuellen Überblick über den Zustand seines Sicherheitskonzeptes.

Berichterstellung zur Realisierungsplanung

Durch umfangreiche Berichtsmöglichkeiten im GSTOOL können Bearbeitungszustände jederzeit übersichtlich und in unterschiedlichen Detaillierungsebenen dokumentiert werden. Aus den Berichten können sich beispielsweise Handlungsanweisungen und Handlungsreihenfolgen im Rahmen des Basis-Sicherheitschecks ergeben.

Ebenfalls im Funktionsumfang des GSTOOLs enthalten sind Berichte zur Dokumentation des Erreichens eines ISO-27001-Zertifikats auf der Basis von IT-Grundschutz sowie Standardberichte für Revision und Kostenanalyse. Für viele Berichte wurde in der Version 4.0 eine Schnittstelle für die Datenübergabe an Excel zur weiteren Verarbeitung implementiert.

Zur Eingrenzung der in Berichten auszuwertenden beziehungsweise in der Baumstruktur anzuzeigenden Informationen stehen umfangreiche Filtermöglichkeiten zur Verfügung. Berichtslayout und Berichtsinhalte werden in XML-Vorlagen definiert; Benutzer mit XML-Kenntnissen sind in der Lage, die vorhandenen Berichte an ihre persönlichen Bedürfnisse anzupassen, zu ergänzen und auch vollkommen neue Berichte zu generieren.

Bezug und Test von GSTOOL 4.0

Die Software kann direkt beim BSI bezogen werden. Eine 30-Tage-Testlizenz des GSTOOLs kann gegen Einsendung eines Freiumschlages vom BSI erhalten oder kostenlos vom Internetserver des BSI heruntergeladen werden.

Das GSTOOL 4.0 ist, wie bereits seine Vorgängerversionen, für unmittelbare Behörden kostenfrei erhältlich. Unmittelbare Behörden des Bundes, der Länder und der Kommunen der Bundesrepublik Deutschland erhalten die benötigte Anzahl Vollversionen (Behördenlizenz) der Software gegen Registrierung und Einsendung eines Freiumschlages kostenlos vom BSI. Lizenzkunden der Behördenlizenz sind für das BSI Abonnementkunden und erhalten als solche automatisch die Version 4.0 zugesandt.

Weitere aktuelle Informationen zum GSTOOL können im Internet unter folgender URL abgerufen werden:  www.bsi.bund.de/gstool/

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006^#3, Seite 42