IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird modernisiert. Bevor ich auf die inhaltlichen Neuerungen eingehe, erlauben Sie mir eine kleine philosophische Betrachtung.
Die Begrifflichkeiten, die sich das BSI im IT-Grundschutz über die Jahre ausgedacht hat, prägen ja eine ganze Generation von IT-Sicherheits-Experten. Sei es die „IT-Strukturanalyse“, die „Modellierung“ oder der berühmte „IT-Verbund“. Alles Begriffe, die sich in der deutschen IT-Sicherheitsfachwelt festgesetzt haben. Und im Rahmen der Modernisierung des Grundschutzes kommen neue hübsche Begriffe hinzu – wie etwa der „Risikoappetit“. Was dahintersteckt, ist eigentlich ganz einleuchtend: Risikoappetit erklärt der BSI-Standard 2002- wie folgt: „Risikoappetit bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung einer Institution, wie sie Risiken bewertet und mit ihnen umgeht.“ Klingt logisch, so putzig der Begriff zunächst auch anmutet. Ein weiterer neuer Begriff, den man sich merken sollte, folgt am Ende dieses Artikels.
Doch nun zu den viel wichtigeren inhaltlichen Punkten.
Während das strukturierte, wenn auch umfangreiche Vorgehen nach IT-Grundschutz von einigen Anwendern durchaus positiv bewertet wird, hat die Komplexität der Bausteine einen kaum noch zu verwaltenden Umfang erreicht. Dies führt zum einen dazu, dass einzelne Maßnahmen bis hin zu ganzen Bausteinen veraltet sind. Zum anderen müssen gewaltige Ressourcen bereitgestellt werden, um die Umsetzung der Maßnahmen dauerhaft und regelmäßig zu prüfen und zu dokumentieren.
Aus diesem Grund wird vom BSI an einer grundlegenden Modernisierung des IT-Grundschutzes gearbeitet. Insbesondere sollen Bausteine auf wesentliche Maßnahmen beschränkt werden. Weiterhin sind Alternativen zum hier beschriebenen Vorgehen vorgesehen, die das klassische, aber umfangreiche Vorgehensmodell ersetzen oder ergänzen können.
So wird es zukünftig drei Arten der Absicherung geben:
- Basis-Absicherung;
- Kern-Absicherung;
- Standard-Absicherung.
Jeder der drei Arten der Absicherung geht die Initiierung des Sicherheitsprozesses in der Organisation voraus. Das bedeutet, dass von der Leitungsebene der grundlegende Prozess etabliert ist mit der Verabschiedung einer Leitlinie und dem Benennen eines Verantwortlichen. Vorausgesetzt wird damit, dass die Sicherheitsorganisation starten und in einer Erst-Aufnahme die relevanten Assets aufnehmen kann. Danach geht es darum, die favorisierte Art der Absicherung festzulegen.
Die Basis-Absicherung ist als Einstieg gedacht und ermöglicht eine grundlegende Absicherung. Intention ist, dass hierüber schnell und effektiv ein vernünftiges Maß an Informationssicherheit etabliert wird – gerade für kleinere Institutionen. Bei der Basis-Absicherung werden folgende Schritte durchgeführt:
- Definition des Geltungsbereiches: Zunächst wird festgelegt, für welche Bereiche einer Organisation Informationssicherheit gem. IT-Grundschutz umgesetzt werden soll.
- Auswahl und Priorisierung von Maßnahmen: Genutzt werden kann hierzu das IT-Grundschutz-Kompendium, das den vormaligen IT-Grundschutz-Katalogen ähnelt. Das IT-Grundschutz-Kompendium enthält prozess- sowie systemorientierte Bausteine in verschiedenen Schichten:
- prozessorientierte Bausteine: ISMS (Managementsysteme für Informationssicherheit), ORP (Organisation und Personal), CON (Konzepte), OPS (Betrieb), DER (Detektion und Reaktion);
- systemorientierte Bausteine: INF (Infrastruktur), NET (Netze und Kommunikation), SYS (IT-Systeme), APP (Anwendungen), IND (Industrielle IT).
- IT-Grundschutz-Check: Nachdem die relevanten Bausteine ausgewählt und deren Bearbeitung priorisiert wurde, werden die einzelnen Maßnahmen der Bausteine bearbeitet. Hier wird in einem Soll-Ist-Vergleich geprüft, in welchem Maße die Anforderungen bereits umgesetzt sind.
- Realisierungsphase: Identifizierte Defizite oder Empfehlungen werden nachfolgend im Rahmen einer Realisierungsphase behoben und umgesetzt.
Die Basis-Absicherung verfolgt keinen expliziten Plan-Do-Check-Act (PDCA)-Zyklus, sondern setzt als Einstiegsstufe darauf, dass sich eine Kern- oder Standard-Absicherung anschließt.
Die Kern-Absicherung ist als weitere Einstiegsstufe gedacht, sie fokussiert jedoch auf die besonders schützenswerten Geschäftsprozesse und Informationen einer Organisation, den sogenannten „Kronjuwelen“. Intention ist, diese Art der Absicherung zu nutzen, wenn nur ein kleiner, aber sehr wichtiger Teil betrachtet werden soll. Bei der Kern-Absicherung werden die folgenden Schritte durchgeführt:
- Zunächst ist zu identifizieren, welche Geschäftsprozesse und Informationen im Fokus stehen, es sind also die „Kronjuwelen“ zu identifizieren.
- Das weitere Vorgehen orientiert sich an der klassischen IT-Grundschutz-Vorgehensweise mit Strukturanalyse, Schutzbedarfsfeststellung, Modellierung und IT-Grundschutz-Check.
- Zu beachten ist, dass die Zielobjekte, die für die „Kronjuwelen“ relevant sind, häufig als hoch oder sehr hoch klassifiziert werden.
- Aus diesem Grund schließt sich hier eine Risikoanalyse an, die auf spezifische Risiken und Bedrohungen der „Kronjuwelen“ abzielt. Wie bisher auch stellt IT-Grundschutz lediglich einen „Grund“-Schutz dar, der bei einem höheren Schutzbedarf im Rahmen einer Risikoanalyse gesondert betrachtet werden muss. Als Vorgehensweise der Durchführung kann die BSI-Risikoanalyse BSI-Standard 200-3 genutzt werden.
- Auch hier schließt sich die Umsetzung von Maßnahmen in der Realisierungsphase an.
Die Kern-Absicherung enthält einen kontinuierlichen Verbesserungsprozess, also Elemente des PDCA-Zyklus‘. Und es ist möglich, einen Informationsverbund der Kern-Absicherung zu zertifizieren.
Die Standard-Absicherung entspricht weitestgehend dem klassischen IT-Grundschutz. Hier finden sich die folgenden Schritte:
- Strukturanalyse;
- Schutzbedarfsfeststellung;
- Modellierung;
- IT-Grundschutz-Check mit Risikoanalyse;
- Realisierungsphase.
Als Neuerung sei angemerkt, dass die Schutzbedarfsfeststellung etwas deutlicher als bislang auf die Geschäftsprozesse der Organisation abzielt, dieser Schutzbedarf wird originär für die Ableitung auf den Schutzbedarf von Anwendungen, Informationen, IT-Komponenten, Räumen und Gebäuden genutzt.
Die Standard-Absicherung enthält einen kontinuierlichen Verbesserungsprozess, also Elemente eines PDCA-Zyklus‘. Und es ist möglich, einen Informationsverbund der Standard-Absicherung zu zertifizieren.
Nun aber – wie versprochen – ein weiterer neuer Begriff aus Bonn: Die Activa? Oder heißt es der Aktiva? Was für Leute mit betriebswirtschaftlichem Hintergrund völlig klar ist, erschließt sich den IT-Sicherheitsexperten eventuell nicht sofort. Was damit gemeint ist, wird klar, wenn man die englische Übersetzung liest: Aktiva sind die Assets. Aha. Damit ist die Liste der Übersetzungen für „Assets“ wieder etwas länger geworden. Bislang hatten wir dazu ja meist „Werte“ oder – auch aus Bonn – „werthaltige Objekte“ gelesen. Wo ich mich doch gerade an „Zielobjekte“ gewöhnt hatte…