Schulungsunterlagen IT-Grundschutz nach BSI
Robert M. AlbrechtCreative Commons by-nc-sa
The audience is listening.
IT-Grundschutz nach BSI
Robert M. Albrecht
Agenda
• Was ist das BSI ?
• Warum IT-Grundschutz ?
• Was kann IT-Grundschutz und was nicht ?
• Systematik und Vorgehen
• Ein wichtiges Hilfsmittel: Das GS Tool
Was ist das BSI ?
• Bundesamt für Sicherheit in der Informationstechnik heute angesiedelt im Bundesministerium des Innern früher im Bundesnachrichtendienst
• Nachfolger der Zentralstelle für das Chiffrierwesen und der Zentralstelle für Sicherheit in der Informationstechnik
• 400 Leute1991 Gegründet
• http://www.bsi.bund.dehttp://www.bsi-fuer-buerger.de/http://www.buerger-cert.de/
Zum Begriff des IT-Sicherheitskonzeptes
• Sicherheit ist integraler Bestandteil des gesamten Lebenszyklus: Entwurf / Architektur, Entwicklung, Betrieb und Stilllegung
• Keine Trennung zwischen Betriebskonzept und Sicherheitskonzept !
• Merke: Es gibt nur einen sicheren Betrieb !
• Wenn man die beiden trennt, zieht man eine künstliche Mauer und schafft zusätzliche Probleme.
• Datenschutz und IT-Sicherheit sind nicht das gleiche, manchmal stimmen deren Ziele und Methoden überein, manchmal aber auch nicht. Das BSI arbeitet an der Integration des Datenschutzes.
Die Ausgangslage
Beobachtung
IT-Sicherheit wird üblicherweise vernachlässigt.
Frage
Warum ?
These
Es ist zu kompliziert.
Beweis
SUSI: Wo sind die Sicherheitskonzepte ?
All show no go ?
These
Wird es einfacher, wird es mehr gemacht und das Niveau steigt insgesamt. Lieber viele Systeme mit einem
tatsächlich umgesetzten Grundschutz, als viele Systeme mit anspruchsvollen, aber nicht umgesetzten Zielen.
Die Lösung
Vereinfachung
Mehr Schutz durch Vereinfachung
• Basis eines IT-Grundschutzkonzepts ist der initiale Verzicht auf eine detaillierte Risikoanalyse. Es wird von pauschalen Gefährdungen ausgegangen und dabei auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit verzichtet.
• Das IT-Grundschutzhandbuch bietet ein Kochrezept für ein normales Schutzniveau (der Grundschutz). Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt. Durch die Verwendung des Grundschutzhandbuches entfällt eine aufwändige Sicherheitsanalyse, die Expertenwissen erfordert, da anfangs mit pauschalisierten Gefährdungen gearbeitet wird. Auch als Laie ist es möglich die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.
Ziel des IT-Grundschutzes
• Durch Standard-Maßnahmen in den Bereichen Organisation, Personal, Technik und Übergreifendes wird Gefährdungen begegnet und dadurch ein Standard-Sicherheitsniveau (IT-Grundschutz) erreicht.
• Für sensiblere Bereiche wird eine stabile Basis gelegt. Das notwendige Vorgehen wird durch eine ergänzende Sicherheitsanalyse ermittelt (BSI-Standard 100-3).
• Einhalten gesetzlicher Vorgaben.
Sic
her
hei
tsn
ivea
u
Sicherheitsaspekte
normaler
Schutzbedarf
Beispiele: Gesetzliche Vorgaben
• Gesetz zur Kontrolle und Transparenz im Unternehmens-bereich (KonTraG §91)
• BundesdatenschutzgesetzSchutz von personenbezogenen Daten durch technische und organisatorische Maßnahmen z.B. durch Kontrolle von Zutritt, Zugang, Zugriff, Wiedergabe, Eingabe, Auftrag, Verfügbarkeit
• FernmeldegeheimnissGrundgesetz Artikel 10
• Telekommunikationsgesetz (TKG) §81 Absatz 1 Schutz von Telekommunikationsanlagen
• Telemediengesetz (TMG) §13Gegen Kentnissnahme Dritter geschützte Inanspruchnahme. Speicherung nur für Ab-rechnungszwecke, Verbot der Auswertung von Pseudonymen
• Kreditwesengesetz (KWG) §44
• Basel II
Beispiele: Gesetzliche Vorgaben
• Handelsgesetzbuch (HGB) §238Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS); Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterschriften (GDPdU)
• Vorsteuerabzug: Seit dem 01.01.2002 berechtigen elektronisch ausgestellte Rechnung dann zum Vorsteuerabzug, wenn sie mit einer qualifizierten elektronischen Signatur versehen sind.
• Rechnungssignatur: Nach Umsatzsteuergesetz §14 Absatz 3 müssen elektronisch übermittelte Rechnungen die Echtheit der Herkunft und die Unversehrtheit gewährleisten. Hier ist die qualifizierte elektronische Signatur unbedingt erforderlich.
• Sarbanes-Oxley Act (SOX)Unternehmensberichterstattung für an US-Börsen gehandelte Unternehmen und deren Töchter
Beispiele: Gefährdungen
• Höhere Gewalt: Feuer, Wasser, Blitz, Grippewellen, Gotteszorn
• Organisatorische Probleme: Unklare Zuständigkeiten,
• Menschen (unabsichtlich): Fehlbedienung, mangelnde Ausbildung, wenig Erfahrung, Zeitdruck,
• Menschen (absichtlich): Sabotage, Spionage, …
• Technisches Versagen: Soft- und Hardware-Defekte
Bedeutung der Gefahrenbereiche (KES 2006)
Beispiel: Fehlende Software-Tests
• Informationweek, April 2001Chaos bei British AirwaysEin Fehler beim Software-Update führte zum Systemabsturz: Weltweit mussten Fluggäste warten.
• Das British Airways Booking-System (BABS) brach am 13. März 2001 zusammen. Bildschirme flackerten – Flüge fielen aus. Das Bodenpersonal war gezwungen, die Tickets per Hand auszustellen.
Beispiel: Phising
• Ein speziell entwickelter Trojaner wurde an Salesforce.com und einige Banken per Mail geschickt.
• Das Öffnen dieser Mail eines einziges Anwenders führte zu einem „Verlust“ der Kundendatenbank.
• http://trust.salesforce.com/security.html
Beispiel: Menschliche Fehler
Mangelhafte Administration
Das Grundschutzhandbuch
Das Grundschutzhandbuch
• http://www.bsi.de/gshb/
• Erstmals erschienen 1995 mit 200 Seiten. Heute 3600 Seiten, A4, 4 Ordner.
• Drei große Kapitel (BSI-Standards):100-1: Managementsysteme für Informationssicherheit (ISO27001)100-2: Vorgehensweise nach IT-Grundschutz 100-3: Risikoanalyse auf der Basis von IT-Grundschutz100-4: Notfallmanagement (ISO20000 / Basel II; noch in Arbeit)
BSI-Standard 100-1
• Beschreibt, wie ein Information Security Management System (ISMS) aussieht:
• Welche Rollen gibt es ?
• Welche Aufgaben gibt es ?
• Wer trägt welche Verantwortung wofür ?
• Welche Dokumente gibt es ?
BSI-Standard 100-2
• Beschreibt, wie das in BSI 100-1 beschriebene ISMS in die Praxis umgesetzt wird:
• Aufgaben des IT-SicherheitsmanagementsEtablierung einer IT-Sicherheitsorganisation
• Erstellung eines IT-Sicherheitskonzepts Auswahl angemessener IT-Sicherheitsmaßnahmen
• IT-Sicherheit aufrecht erhalten und verbessern
• Hinweise zur Umsetzung mit Hintergrund Know-how und BeispielenVerweis auf IT-Grundschutz-Kataloge zur detaillierten (auch technischen) Umsetzung
BSI-Standard 100-3
• Beschreibt, wie man eine Risikoanalyse für Systeme mit erhöhten Anforderungen erstellt.
• Für diese Systeme stellt der BSI IT-Grundschutz nur die Grundlage dar.
IT-Grundschutz in der Praxis
• Einmalig BSI 100-1: Teilweise von der Unternehmenssicherheit vorgegeben. Einige Dinge existieren normalerweise: - Virenschutzkonzept - WLAN-Konzept - Firewall-Policy Eine ganze Menge fehlt aber häufig auch.
• Tägliche Arbeit: BSI 100-2 und später mal 100-4
• BSI 100-3 (Risikoanalyse für besonders gefährdete IT-Systeme) ist für viele Betriebe nicht interessant, da üblicherweise keine IT-Anwendungen existieren, deren Ausfall (objektiv) existenzbedrohende Folgen hat.
BSI-Standard 100-2: Ablauf
Normal Sehr / Hoch
BSI-Standard 100-2
• Teilaufgaben- Erstellung bzw. Aktualisierung eines Netzplans- Erhebung der IT-Systeme (Tabelle)- Erfassung der IT-Anwendungen und der zugehörigen Informationen (Tabelle)
• Gleichartige Komponenten sollten zu einer Gruppe zusammengefasst werden:- gleicher Typ- gleiche oder nahezu gleiche Konfiguration- gleiche oder nahezu gleiche Netzanbindung- gleiche Rahmenbedingungen- gleiche Anwendungen
BSI-Standard 100-2
• IT-Systeme sind nicht nur Computer, sondern auch- aktive Netzkomponenten- Netzdrucker- TK-Anlagen etc.
• Insbesondere sind auch nicht vernetzte IT-Systeme und IT-Systeme, die nicht im Netzplan enthalten sind, zu berücksichtigen.
• Diejenigen IT-Anwendungen des jeweiligen IT-Systems,- deren Daten bzw. Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen,- deren Daten bzw. Informationen und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) besitzen,- die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben, müssen erfasst werden.
BSI-Standard 100-2: Schutzbedarfsfeststellung
• Schutzbedarf ist meist nicht quantifizierbar, daher Beschränkung auf drei Kategorien
Schutzbedarfskategorie
Normal Die Schadensauswirkungen sind begrenzt und überschaubar.
Hoch Die Schadensauswirkungen können beträchtlich sein.
Sehr hoch Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.
BSI-Standard 100-2
• MaximumprinzipAuf einem IT-System können mehrere Anwendungen laufen. Im Wesentlichen bestimmt der Schaden mit den schwerwiegendsten Auswirkungen den Schutzbedarf des IT-Systems.
• KumulationseffektDurch Kumulation mehrerer (z.B. kleinerer) Schäden entsteht ein insgesamt höherer Gesamtschaden. Der Schutzbedarf des IT-Systems erhöht sich dann entsprechend.
• VerteilungseffektEine IT-Anwendung überträgt ihren hohen Schutzbedarf nicht auf ein IT-System, weil auf diesem IT-System nur unwesentliche Teile der IT-Anwendung laufen. Bei redundanter Systemauslegung ist der Schutzbedarf der Einzelkomponenten niedriger als der Schutzbedarf der Gesamtanwendung.
BSI 100-2 Schichtenmodell
SCHICHT V
ÜBERGREIFENDE ASPEKTE
INFRASTRUKTUR
IT-SYSTEME
NETZE
ANWENDUNGEN
SCHICHT IV
SCHICHT III
SCHICHT II
SCHICHT I
BSI-Standard 100-2: Struktur & Modellierung
• Beispiel für einen Baustein: Client Windows XP
• http://www.bsi.de/gshb/deutsch/baust/b03209.htm
• Beispiel für eine Gefährdung:
• http://www.bsi.de/gshb/deutsch/g/g04023.htm
• Beispiel für eine Maßnahme:
• http://www.bsi.de/gshb/deutsch/m/m04057.htm
BSI-Standard 100-2: Maßnahmen-Status
• Entbehrlich: Umsetzung ist nicht notwendig, da Gefährdungen durch andere adäquate Maßnahmen entgegengewirkt wird. Oder ist nicht relevant, weil z. B. Dienste nicht aktiv sind.
• Ja: Alle Empfehlungen sind vollständig und wirksam umgesetzt.
• Teilweise
• Nein: Keine Zertifizierung möglich.
Das GS Tool
GS Tool
• Das GSTOOL ist eine Software zur Unterstützung bei der Anwendung des IT-Grundschutzes:
• Erfassung von IT-Systemen, Anwendungen usw.
• Auswahl der Bausteine (Modellierung)
• Basis-Sicherheitscheck, unterstützt dieIT-Grundschutz Zertifizierung
• Revisionsunterstützung, Berichterstellung
GS Tool