IT-Grundschutz

Informationssicherheitsmanagement 

nach BSI 

IT-Grundschutz 

Wilhelm Dolle 

KPMG AG, Partner Consulting

Ihr Dozent: Wilhelm Dolle 

KPMG AG, Partner Consulting 

Berufserfahrung 

• Director Security Management 

• Geschäftsleitung / Director Information Technology 

• Abteilungsleiter Networking & IT Security 

• Wissenschaftlicher Mitarbeiter 

Qualifikationen 

• CISA, CISM, CISSP, ITIL Service Manager 

• Prince2 Foundation (Projektmanagement) 

• Lizenzierter BSI ISO 27001 / IT Grundschutz Auditor, Mitautor BSI IT-Grundschutz 

• Zertifizierter Lead Auditor für BS 25999-2 (Business Continuity Management) 

• Zertifizierter Lead Auditor für ISO 27001 (ISMS) 

Verschiedene Lehrtätigkeiten 

• Universität Potsdam, Hochschule Weserbergland, TU Berlin, Ruhr-Universität Bochum 

Zahlreiche Veröffentlichungen 

• iX, heise online, , Datenschutz und Datensicherheit 

• Linux Magazin, Linux Technical Review, Linux Enterprise, freeX 

© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger 

Mitgliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte 

vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International.

Unternehmensdarstellung KPMG 

KPMG ist ein weltweites Netzwerk rechtlich selbstständiger Firmen 

mit 145.000 Mitarbeitern in 152 Ländern. 

■ 

Auch in Deutschland gehört KPMG zu den führenden 

Wirtschaftsprüfungs- und Beratungsunternehmen und ist mit 8.400 

Mitarbeitern an 25 Standorten präsent. Unsere Leistungen sind in die 

Geschäftsbereiche Audit, Tax und Advisory gegliedert. Im Mittelpunkt 

von Audit steht die Prüfung von Konzern- und Jahresabschlüssen. 

Tax steht für die steuerberatende Tätigkeit von KPMG. Der Bereich 

Advisory bündelt unser hohes fachliches Know-how zu 

betriebswirtschaftlichen, regulatorischen und transaktionsorientierten 

Themen. 

Kiel 

Bremen 

Hamburg 

Hannover 

Berlin 

■ 

Für wesentliche Branchen unserer Wirtschaft haben wir eine 

geschäftsbereichsübergreifende Spezialisierung vorgenommen. Hier 

laufen die Erfahrungen unserer Experten weltweit zusammen und 

tragen zusätzlich zur Beratungsqualität bei. 

Bielefeld 

Essen 

Dortmund 

Düsseldorf 

Köln 

Jena 

Halle 

Leipzig Dresden 

Im Bereich Security Consulting verfügt KPMG in Deutschland über 

■ 

■ 

■ 

■ 

■ 

Über 80 Mitarbeiter im Bereich Security Consulting 

Über 40 zertifizierte ISO/IEC 27001 Lead Auditoren 

ISO-27001-Auditoren für Audits auf der Basis von IT-Grundschutz 

(Bundesamt für Sicherheit und Informationsschutz) 

2 Mitarbeiter die Teile von BSI IT-Grundschutz mitgeschrieben haben 

Mitarbeiter mit Certified Information Systems Auditor (CISA) 

Mainz 

Frankfurt 

Saarbrücken 

Mannheim 

Karlsruhe 

Stuttgart 

Freiburg 

Nürnberg 

Regensburg 

Augsburg 

München 

■ 

20 spezialisierte Penetrationstester 



vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International Cooperative. 

3

Unternehmensdarstellung KPMG 

Unsere engagierten Mitarbeiter und ausgewiesenen Experten im Umfeld der IT-Sicherheit nach 

diversen Standards, greifen dabei auf Erfahrungen aus vergangenen Projekten und Partnerschaften 

zu anderen Institutionen zurück. 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

Wilhelm Dolle ist eingeladener Experte im Arbeitskreis Cyber-Sicherheit in der Allianz für Cyber-Sicherheit des 

BSI. 

Expertise aus einer Vielzahl an Projekten zur Vorbereitung und Zertifizierung nach BSI IT-Grundschutz und 

ISO/IEC 27001. 

Zertifizierungsstelle für Informationssicherheit nach ISO/IEC 27001 (KPMG Cert GmbH). 

KPMG-Mitarbeiter haben bereits mehrere Bausteine des BSI IT-Grundschutz verfasst, und tragen regelmäßig 

auf Veranstaltungen des BSI vor. 

Detaillierte Kenntnisse Banken, Versicherungen, Industrie, Ministerien und Behörden mit ISO 27001/ BSI IT- 

Grundschutz 

Über 15 Jahre Erfahrung in der Schulung von IT-Sicherheit, Sicherheitsmanagement, ISO/IEC 27001 und BSI 

IT-Grundschutz. 

Umfangreicher Katalog an Schulungsunterlagen, Flyern, Webseiten für Informationssicherheit. 




4

Forschung und Veröffentlichungen im Bereich IT-Sicherheit 

Über unsere fachliche Arbeit hinaus engagieren wir uns in Wissenschaft und Praxis, um Zukunftstrends erkennen, neue 

Lösungen zu entwickeln und unseren Mandanten aufzeigen zu können, wie sie diese pro aktiv nutzen und nachhaltig 

umsetzen können. 

Deshalb forschen wir kontinuierlich zu aktuellen Themen der IT- und Datensicherheit wie z.B. Informationssicherheitsmanagement, BSI IT-Grundschutz und 

Netzwerksicherheit. Dazu kooperieren wir mit renommierten Forschungseinrichtungen der IT-Sicherheit. 

Zu unseren Kooperationspartnern in der Lehre, Forschung und Wissenschaft rund um Informationssicherheit zählen u.a.: 

• Ruhr-Universität Bochum (BSI IT-Grundschutz, ISO/IEC 27001) 

• TU Berlin (BSI IT-Grundschutz, ISO/IEC 27001) 

• Universität Potsdam (Sicherheit von Rechnernetzen) 

• Hochschule Weserbergland (BSI IT-Grundschutz, ISO/IEC 27001, Netzwerksicherheit) 

• TU Darmstadt 

• FH Hagenberg (ISO/IEC 27001, IT Forensik) 

• FH Köln (SCADA-Sicherheit) 

• Donau-Universität Krems 

• Justus-Liebig-Universität Gießen 

Unser Engagement 

• Betreuung von Bachelor-/Masterarbeiten mit Bezug zu aktuellen Fragestellungen der IT-Sicherheit. 

• Teilnahme an Fachkonferenzen und Messen (u.a. ISSE, it-sa, Communication World, BSI Grundschutztag). 

• Veröffentlichung von Studien zu aktuellen IT-Security Themen (z.B. KPMG e-Crime: Computerkriminalität in der deutschen Wirtschaft) 




5

Forschung und Veröffentlichungen im Bereich IT-Sicherheit 

Unsere ausgewiesenen Experten veröffentlichen Fachliteratur und Referenzwerke der IT-Sicherheit. 

Auszug unserer Veröffentlichungen und Beiträge: 

• Computer-Forensik: Computerstraftaten erkennen, ermitteln, aufklären, 

• e-Crime: Computerkriminalität in der deutschen Wirtschaft, KPMG 

• Beiträge u.a. zu den Themen IPv6 Sicherheit, Windows Rootkits, in: 

• DuD - Datenschutz und Datensicherheit 

Windows Rootkits - eine aktuelle Bedrohung, 

Windows Rootkits - und ihre Erkennung 

• iX - Magazin für professionelle Informationstechnik 

Kein Allheilmittel - Sicherheitsaspekte des kommenden Internet-Protokolls IPv6 

Über Bande - IPv6: Sicherheitsaspekte des Routing-Headers 

• Linux-Magazin 

Virtual Malware 

• Weitere 

Wie Hacker IPv6-Dienstprotokolle à la NDP und Nemo umgehen können 

Sicherer als IPv4, aber nicht sicher genug – IPv6 braucht Filter 

Security aspects of IPv6 - A summary of what can be wrong 

• Lektorat von Fachbüchern zur IT-Sicherheit 

Rootkits. Das Standardwerk zu Funktionsweise, Entwicklung und Entdeckung von Rootkits 

Buffer Overflows und Format-String-Schwachstellen: Funktionsweisen, Exploits und Gegenmaßnahmen 

Intrusion Detection und Prevention mit Snort 2 & Co 




6

Was bedeutet 

Information Security Management 




Unterschiedliche Verteilung von Sicherheitsmaßnahmen 




Was gilt als akzeptables Risiko 




Komplexität von Sicherheit 

"Security by Obscurity" 

- ob man hier auch schnell 

wieder heraus kommt 

- z.B. bei Feuer ... 

- wenn die Tür einen Spalt 

geöffnet ist, kann 

durchaus mit einer Axt 

oder einem anderen 

Gegenstand die Kette 

zertrennt werden ... 




Ist doch bisher immer gut gegangen … 

Am 14. April 1912 lief die britische Luxusdampfer Titanic kurz 

vor Mitternacht auf der Jungfernfahrt von Liverpool nach New 

York auf einen Eisberg auf und sank. Das Schiff galt wegen 

seiner 16 wasserdichten Abteilungen als unsinkbar, 

unglücklicherweise durchbohrte der Eisberg fünf davon. Von 

den 2220 Personen kamen 1513 ums Leben ... einer davon war 

der Kapitän. Sein Name war E. J. Smith. 

E.J. Smith 1907 

- das Schiff ist zu schnell durch gefährliches Gewässer gefahren 

- in den Rettungsbooten war nur Platz für etwa die Hälfte der 

Passagiere und Mannschaft 

- die Californian, die sich in der Nähe des Unglücksortes befand, 

kam nicht zu Hilfe, weil deren Bordfunker dienstfrei hatte und 

schlafen gegangen war. 




Technik vs “Gesunder Menschenverstand” 




Exkurs: ISO 27001 

(C) http://www.iso.org/ 




ISO 27001: Anforderungen des Standards 

Dokumentation, Richtlinien und Aufzeichnungen 

Organisatorische und technische Aspekte 

Annex A mit 17 Seiten der diversesten Anforderungen ohne 

> jedoch konkrete Vorschläge an die Hand zu geben. 




Bespiel ISO 27001: Die Control "A.9.2 Equipment security" 

Objective: To prevent loss, damage, theft or compromise of assets and interruption to the 

organization’s activities. 

Sehr generische Darstellung der Zielstellung (Objective) und der 

> erwarteten Maßnahmen (Controls). 




Beispiel ISO 27002: Erweiterung der Control "A.9.2 Equipment security" 

> 

Höhere Präzisierung der 

generischen Anforderungen in 

der ISO 27002, dennoch ein 

sehr weit gefasster 

Interpretationsspielraum. 




Umsetzung zur elektrotechnischen Verkabelung im IT-Grundschutz Baustein 2.2 

Die Anforderungen der ISO lassen sich mit Standardmaßnahmen 

> aus dem IT-Grundschutzkatalog abbilden. 




Der Managementprozess 

Act 

Erstellung 

des Scope 

Inventory of 

Information 

Assets 

Plan 

Schwachstellenund 

Risikoanalyse 

Etablierung von 

Kontrollen 

Do 

Etablierung 

Internal Audit 

gem. 

ISO/IEC 

27001:2005 

Check 

Etablierung 

eines 

Information 

Security Forums 

• Regionale 

Ausrichtung 

• Organisatorische 

Ausrichtung 

• Das ganze 

Unternehmen 

• Services 

• Hardware 

• Software 



vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von KPMG International. 

Schaden 

3 4 5 6 

2 3 4 5 

1 2 3 4 

1 1 2 3 

Eintrittswahrscheinlichkeit 

• Anwendung des 

Annex A des ISO 

27001 bzw. 

ISO 27002:2005 

• Entwicklung des SoA 

• Behandlung von 

Sicherheitsvorfällen 

• Preventives Audit 

durch internal Audit 

• Verbesserungen des 

ISMS

BSI IT-Grundschutz 

(C) http://www.bsi.bund.de/ 




IT-Grundschutz(handbuch): Historie 

1994 

2013 

• 16 Bausteine 

• 160 Maßnahmen 

• 150 Seiten 

• kein integraler Sicherheitsprozess 

• Zielgruppe: Behörden 

19 Jahre IT- 

Grundschutz 

+ 

• 77+ Bausteine 

• 420+ Gefährdungen 

• 1140+ Maßnahmen 

• 4000+ Seiten (ab 11. Ergänzungslieferung) 

• Vorgehensweise für Sicherheitskonzepte 

• etabliertes Standardwerk für Behörden und 

Unternehmen im In-und Ausland 




IT-Grundschutzgedanke 

Idee 

● 

● 

● 

● 

Gesamtsystem enthält typische Komponenten 

(z.B. Server und Clients, Betriebssysteme) 

pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten 

Empfehlung geeigneter Bündel von Standard-Sicherheitsmaßnahmen 

konkrete Umsetzungshinweise für Maßnahmen 

Vorteile 

● Arbeitsökonomische Anwendungsweise durch Soll-Ist-Vergleich 

● kompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle 

● praxiserprobte Maßnahmen mit hoher Wirksamkeit 

● Erweiterbarkeit und Aktualisierbarkeit 




Ziel des IT-Grundschutzes 

„Durch organisatorische, personelle, infrastrukturelle 

und technische Standard-Sicherheitsmaßnahmen ein 

Standard-Sicherheitsniveau für IT-Systeme aufbauen, 

das auch für sensiblere Bereiche ausbaufähig ist.“ 




IT-Grundschutz: Sofortmaßnahmen für normales Niveau 

• Baustein Allgemeiner Client: Gefährdungen vs. Maßnahmen 

Auszug des Gefährdungskatalogs 

Auszug des Maßnahmenkatalogs 

Handlungsempfehlungen in Form von konkreten Maßnahmen, die 

typischen Gefährdungen gegenübergestellt werden. Zusammenfassung 

> in standardisierten Bausteinen für typische Komponenten. 




BSI IT-Grundschutz Vorgehensweise 





„BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise“ 




Die IT-Grundschutzvorgehensweise im Überblick 

Definition Informationsverbund 

Strukturanalyse 

Schutzbedarfsfeststellung 

Modellierung 

Basissicherheitschecks 

Erg. Sicherheitsanalyse 

Zertifizierungsvorbereitung 




Definition Informationsverbund 

IT-Grundschutzvorgehensweise 

Definition 

Informationsverbund 



Modellierung 

Der Informationsverbund stellt die Gesamtheit von 

infrastrukturellen, organisatorischen, personellen und 

technischen Komponenten, die der Aufgabenerfüllung in 

einem bestimmten Anwendungsbereich der 

Informationsverarbeitung dienen, dar. 

Ein Informationsverbund kann aus der gesamten IT einer 

Institution bestehen oder auch einzelne Bereiche (z.B. 

Kernprozesse), die durch organisatorische Strukturen (z. B. 

Abteilungsnetz) oder gemeinsame IT-Anwendungen (z. B. 

Personalinformationssystem) gegliedert sind, umfassen. 




Übergeordnete Aspekte 


IT-Systeme 

Anwendungen 

Netze 

Standorte 




27

Modellierung IT-Verbund 

• IT-Verbund: 

- Gesamtheit von infrastrukturellen, organisatorischen, personellen und 

technischen Komponenten, die der Aufgabenerfüllung in einem bestimmten 

Anwendungsbereich der Informationsverarbeitung dienen. 

- Kann auch die gesamte IT einer Institution oder auch einzelne Bereiche (z.B. 

Kernprozesse), die durch organisatorische Strukturen (z. B. Abteilungsnetz) 

oder gemeinsame IT-Anwendungen (z. B. Personalinformationssystem) 

gegliedert sind, umfassen. 

- Die folgenden Aspekte müssen berücksichtigt werden: 

- die vorhandene Infrastruktur, 

- die organisatorischen und personellen Rahmenbedingungen für den IT- 

Verbund, 

- im IT-Verbund eingesetzte vernetzte und nicht-vernetzte IT-Systeme, 

- die Kommunikationsverbindungen zwischen den IT-Systemen und nach 

außen, 

- im IT-Verbund betriebene IT-Anwendungen. 




Abgrenzung Informationsverbund (IV) 

Anforderungen an einen zertifizierungsfähigen Informationsverbund: 

• Abgrenzung des IV: 

• Ein Informationsverbund ist sinnvoll abgegrenzt, wenn er alle 

Komponenten umfasst, die zur Unterstützung einer oder mehrerer 

Fachaufgaben, Geschäftsprozesse oder Organisationseinheiten dienen. 

• Weitere Anforderungen: 

• Der Informationsverbund muss außerdem eine sinnvolle Mindestgröße 

im Gesamtkontext des Unternehmens haben, d. h. der IV muss 

substantiell zum Funktionieren der Institution oder eines Teils der 

Institution beitragen. 




Beispiele Informationsverbund (IV) 

Definition und Abgrenzung des IV im Rahmen von konkreten Zertifizierungen 

• Definition IV (Teil 1, Toll Collect - TC): 

• "Der zu zertifizierende IT-Verbund der Toll Collect GmbH besteht aus allen 

mautrelevanten zentralen Systemen des automatischen und manuellen 

Verfahrens, des Kontrollverfahrens sowie der Zentralen Dienste an den 

Standorten Bonn, Berlin, Potsdam." 

• Definition IV (Teil 2, T-Systems / TSI, Outsourcing): 

• "Application Hosting der zentralen Systeme des LKW-Maut-Systems durch die T- 

Systems International GmbH (Business Center Toll Collect & Online Services) 

für die Toll Collect GmbH am Standort München." 






Definition 




Modellierung 



Ziel der Strukturanalyse ist die genaue Kenntnis der im 

festgelegten Informationsverbund vorhandenen 

Informationstechnik, ihrer organisatorischen und personellen 

Rahmenbedingungen sowie ihrer Anwendungen. 

Die Strukturanalyse dient der Vorerhebung von Informationen, 

die für die für die weitere Vorgehensweise in der Erstellung 

eines Sicherheitskonzepts nach IT-Grundschutz benötigt 

werden. 

• Komplexitätsreduktion 

• Erhebung der IT-Systeme 

• Erhebung der Anwendungen 

• Erhebung der Netze 

• Erhebung der Standorte 

• Netzplanerhebung 






Netzplanerhebung 

● 

Auswertung eines vorhandenen Netzplans 

- IT-Systeme, z. B. Clients, Server, Netzkomponenten 

- Netzverbindungen zwischen diesen Systemen 

- Verbindungen nach außen, z.B. Einwahl oder Internet 

● 

Netzplan bereinigen 

- Systeme, die nicht im IT-Verbund sind, entfernen 

- nur Gruppen oder nicht gruppierbare Komponenten eintragen 




IT-Strukturanalyse 

Erfassung der Systeme 

● Bei dieser Erfassung sollten folgende Informationen vermerkt werden, die für die 

nachfolgende Arbeit nützlich sind: 

- eine eindeutige Bezeichnung des IT-Systems, 

- Beschreibung (Typ und Funktion), 

- Plattform (z. B. Hardware-Architektur/Betriebssystem), 

- bei Gruppen: Anzahl der zusammengefassten IT-Systeme, 

- Aufstellungsort des IT-Systems, 

- Status des IT-Systems (in Betrieb, im Test, in Planung) und 

- Anwender/Administrator des IT-Systems. 





Komplexitätsreduktion 

Gleichartige Komponenten sollten zu einer 

Gruppe zusammengefasst werden. 

Voraussetzungen: 

● gleicher Typ 

● gleiche oder nahezu gleiche Konfiguration 

● gleiche oder nahezu gleiche Netzanbindung 

● gleiche Rahmenbedingungen 

(Administration und Infrastruktur) 

● gleiche Anwendungen 




Ergebnisse der IT-Strukturanalyse 

Netzplan 

Bereinigter Netzplan 

Verwaltung Bad Godesberg 

Betrieb Bonn-Beuel 

Verwaltung Bad Godesberg 

Betrieb Bonn-Beuel 

Internet 

Router 

Firewall 

Switch 

Router 

Standleitung 

Router 

Internet 

N1: Router N3: Switch 

Switch 

N2: Firewall 

Vertriebsbüro Berlin 

Client 

VPN 

DB-Server 

Fibu 

Switch 

Domänen- 

Controller 

Dom.-Controller 

Datei- und 

Druckserver 

Vertriebsbüros 

VPN 

S2: DB-Server 

Fibu 

N4: Switch 

N5: Router Standleitung 

S6: Domänen- 

Controller 

Datei- und Druck- 

Server 

N6: Router 

Clients IT 

Laptop 

Faxgerät 

Komm.-Server 

(Exchange) 

C4: Clients 

Vertriebsbüros 

S1: Domänen- 

Controller 

Vertriebsbüro Hamburg 

Client 

Clients Lohn/Fibu 

Datei- und 

Druckserver 

Clients Produktion 

C1: 12 Clients 

Fibu/Personal/ 

Geschäfts- 

führung 

S3: Komm.-Server 

(Exchange) 

C3: 4 Clients 

Informationstechnik 

N7: Switch 

Clients 

Laptop 

Faxgerät 

Vertriebsbüro München 

Client 

Geschäftsführung 

Clients Personal 

Clients 

Market./Vertrieb 

DB-Server 

Kunden- und 

Auftragsbearb: 

Clients Entwicklung 

C6: 8 Laptops 

S4: Datei- und 

Druck-Server 


Einkauf/Marketing/ 

Vertrieb 


Fertigung/Lager 

T2: Telefonanlage 

Clients Einkauf 

T3: 8 Faxgeräte 

T1: Telefonanlage 

Laptop 

Faxgerät 

Faxgeräte 

TK-Anlage 

Laptops 

Server und Clients werden einheitlich mit dem Betriebssystem Windows 2000 Betrieben 

Clients Lager 

Laptop 

Faxgerät 

TK-Anlage 

S5: DB-Server 

Kunden- und 

Auftragsbearb. 

Server und Clients werden einheitlich mit dem Betriebssystem Windows 2000 Betrieben 

IT-Systeme 

IT-Anwendungen 

Geschäftsprozesse 






Definition 



Ziel der Schutzbedarfsfeststellung ist es, für die erfassten 

Objekte im Informationsverbund zu entscheiden, welchen 

Schutzbedarf sie hinsichtlich der folgenden Ziele besitzen: 

Vertraulichkeit (C) 

Gewährleistung des Zugangs zu 

Informationen nur für Zugangsberechtigte 


Modellierung 




Integrität (I) 

Sicherstellung der Richtigkeit und Vollständigkeit 

von Informationen und Verarbeitungsmethoden 

Verfügbarkeit (A) 

Gewährleistung des bedarfsorientierten Zugangs zu 

Informationen und zugehörigen Werten für berechtigte 

Benutzer 

Dieser Schutzbedarf orientiert sich an den möglichen 

Schäden, die mit einer Beeinträchtigung der betroffenen 

Anwendungen und damit der jeweiligen Geschäftsprozesse 

verbunden sind. 




Schutzbedarfskategorien 


„normal“ 

„hoch“ 

„sehr hoch“ 

Die Schadensauswirkungen sind begrenzt und überschaubar. 

Die Schadensauswirkungen können beträchtlich sein. 

Die Schadensauswirkungen können ein existentiell bedrohliches, 

katastrophales Ausmaß erreichen. 





Die Schäden, die bei dem Verlust der Vertraulichkeit, Integrität oder 

Verfügbarkeit für eine IT-Anwendung einschließlich ihrer Daten entstehen können, 

lassen sich typischerweise folgenden Schadensszenarien zuordnen: 

• Verstoß gegen Gesetze/Vorschriften/Verträge, 

• Beeinträchtigung des informationellen Selbstbestimmungsrechts, 

• Beeinträchtigung der persönlichen Unversehrtheit, 

• Beeinträchtigung der Aufgabenerfüllung, 

• negative Außenwirkung und 

• finanzielle Auswirkungen. 




Beispiel Schutzbedarfsfeststellung 

• Die Schäden, die bei dem Verlust der Vertraulichkeit, Integrität oder 

Verfügbarkeit für eine IT-Anwendung einschließlich ihrer Daten entstehen 

können, lassen sich typischerweise folgenden Schadensszenarien zuordnen: 




Beispiel Schutzbedarfsfeststellung - II 

• Die Schäden, die bei dem Verlust der Vertraulichkeit, Integrität oder 

Verfügbarkeit für eine IT-Anwendung einschließlich ihrer Daten entstehen 

können, lassen sich typischerweise folgenden Schadensszenarien zuordnen: 

Anwendung 

Personaldatenverarbeitung 

Schutzbedarf 

Vertraulichkeit: hoch (personenbezogene Daten) 

Integrität: normal (Fehler werden schnell erkannt) 

Verfügbarkeit: normal (Ausfälle können manuell abgefangen werden) 

Maschinensteuerung 

Vertraulichkeit: normal (Daten sind allg. bekannt) 

Integrität: hoch (falsche Daten können zu Fehlproduktionen führen) 

Verfügbarkeit: hoch (Ausfälle können nicht manuell abgefangen werden) 




Schutzbedarfsfeststellungen 

Vererbung 

1. Definition der Schutzbedarfskategorien 

normal hoch sehr hoch 

2. Schutzbedarf der Prozesse und IT-Anwendungen 

3. Schutzbedarf der IT-Systeme 

4. Schutzbedarf der 

Kommunikationsverbindungen 

IT-Räume 

5. Dokumentation, Plausibilitätsprüfung 

und Auswertung 




Interpretation der Ergebnisse der 


Schutzwirkung von Standard-Sicherheitsmaßnahmen nach IT-Grundschutz 

Schutzbedarfkategorie 

„normal“ 


„hoch“ 


„sehr hoch“ 

Standard-Sicherheitsmaßnahmen nach IT-Grundschutz sind im 

Allgemeinen ausreichend und angemessen. 

Standard-Sicherheitsmaßnahmen nach IT-Grundschutz bilden einen 

Basisschutz, sind aber unter Umständen alleine nicht ausreichend. 

Weitergehende Maßnahmen können auf Basis einer ergänzenden 

Sicherheitsanalyse ermittelt werden. 

Standard-Sicherheitsmaßnahmen nach IT-Grundschutz bilden einen 

Basisschutz, reichen aber alleine im Allgemeinen nicht aus. Die 

erforderlichen zusätzlichen Sicherheitsmaßnahmen müssen 

individuell auf der Grundlage einer ergänzenden Sicherheitsanalyse 

ermittelt werden 




Sonderfälle Schutzbedarf (in der Gesamtbetrachtung) 

• Maximumprinzip: Im Wesentlichen bestimmt der Schaden bzw. die Summe der Schäden 

mit den schwerwiegendsten Auswirkungen den Schutzbedarf eines IT-Systems. 

• Kumulationseffekt: Werden mehrere IT-Anwendungen bzw. Informationen auf einem IT- 

System verarbeitet, so ist zu überlegen, ob durch Kumulation mehrerer (z. B. kleinerer) 

Schäden auf einem IT-System ein insgesamt höherer Gesamtschaden entstehen kann. 

Dann erhöht sich der Schutzbedarf des IT-Systems entsprechend. 

• Verteilungseffekt: Auch der umgekehrte Effekt kann eintreten. So ist es möglich, dass eine 

IT-Anwendung einen hohen Schutzbedarf besitzt, ihn aber deshalb nicht auf ein betrachtetes 

IT-System überträgt, weil auf diesem IT-System nur unwesentliche Teilbereiche der IT- 

Anwendung laufen. Hier ist der Schutzbedarf zu relativieren. 




Modellierung 


Definition 




Modellierung 




Bei der Modellierung wird der im ersten Schritt definierte 

Informationsverbund und seine einzelnen Komponenten mit 

Hilfe der Grundschutzbausteine nachgebaut. Das Ergebnis ist 

ein IT-Grundschutz-Modell. 

Das IT-Grundschutz-Modell folgt dem folgenden 

Schichtmodell: 

• Übergreifende Aspekte: Betreffen grundsätzliche 

organisatorische Aspekte der IT-Sicherheit und gelten in 

der Regel für den gesamten IT-Verbund. 

• Infrastruktur: Behandeln die baulich-technische Fragen 

und dienen insbesondere dem physischen Schutz etwa 

vor Feuer, Wasser oder Diebstahl. 

• IT-Systeme: Beschreiben die Sicherheitsaspekte von IT- 

Systemen. 

• Netze: Hier finden Sie Bausteine für Netzaspekte 

• IT-Anwendungen: Behandeln Aspekte zur Sicherheit 

ausgewählter Anwendungen. 




Basissicherheitscheck 

Beispiel Bausteinauswahl 

•Microsoft Exchange Server 

•Anzuwendende Bausteine für den Server: 

1 übergreifende Aspekte 

[…] 

2 Infrastruktur 

[…] 

3 IT-Systeme 

B 3.101 Allgemeiner Server 

B 3.102 Server unter Unix 

B 3.103 Server unter Windows NT) 

B 3.104 Server unter Novell Netware 3.x 

B 3.105 Server unter Novell Netware 4.x 

B 3.106 Windows 2000 Server 

4 Netze 

[…] 

5 IT-Anwendungen 

B 5.1 Peer-to-Peer-Dienste 

B 5.2 Datenträgeraustausch 

B 5.3 E-Mail 

B 5.4 WWW-Server 

B 5.5 Lotus Notes 

B 5.6 Faxserver 

B 5.7 Datenbanken 

B 5.8 Telearbeit 

B 5.9 Novell eDirectory 

B 5.10 Internet Information Server 

B 5.11 Apache Webserver) 

B 5.12 Exchange 2000 / Outlook 2000 




Beispiel einer Maßnahme 




Gefährdungen für Clients unter XP 

Höhere Gewalt 

• G 1.1 Personalausfall 

• G 1.2 Ausfall des IT-Systems 

• G 1.4 Feuer 

• G 1.5 Wasser 

• G 1.8 Staub, Verschmutzung 

Organisatorische Mängel 

• G 2.7 Unerlaubte Ausübung von Rechten 

• G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz 

Menschliche Fehlhandlungen 

• G 3.2 Fahrlässige Zerstörung von Gerät oder Daten 

• G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen 

• G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal 

• G 3.8 Fehlerhafte Nutzung des IT-Systems 

• G 3.9 Fehlerhafte Administration des IT-Systems 

• G 3.22 Fehlerhafte Änderung der Registrierung 

• G 3.48 Fehlkonfiguration von Windows 2000/XP Rechnern 




Gefährdungen für Clients unter XP 

Technisches Versagen 

• G 4.1 Ausfall der Stromversorgung 

• G 4.7 Defekte Datenträger 

• G 4.8 Bekanntwerden von Softwareschwachstellen 

• G 4.23 Automatische CD-ROM-Erkennung 

Vorsätzliche Handlungen 

• G 5.2 Manipulation an Daten oder Software 

• G 5.4 Diebstahl 

• G 5.7 Abhören von Leitungen 

• G 5.9 Unberechtigte IT-Nutzung 

• G 5.18 Systematisches Ausprobieren von Passwörtern 

• G 5.21 Trojanische Pferde 

• G 5.23 Computer-Viren 

• G 5.43 Makro-Viren 

• G 5.52 Missbrauch von Administratorrechten im Windows NT/2000/XP System 

• G 5.71 Vertraulichkeitsverlust schützenswerter Informationen 

• G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000/XP Systemen 

• G 5.83 Kompromittierung kryptographischer Schlüssel 

• G 5.85 Integritätsverlust schützenswerter Informationen 




Maßnahmen für Clients unter Windows XP 

Planung und Konzeption 

• M 2.324 (A)Einführung von Windows XP planen 

• M 2.325 (A)Planung der Windows XP Sicherheitsrichtlinie 

• M 2.326 (A)Planung der Windows XP Gruppenrichtlinien 

• M 2.327 (B)Sicherheit beim Fernzugriff unter Windows XP 

• M 2.328 (B)Einsatz von Windows XP auf mobilen Rechnern 

• M 3.28 (A)Schulung zu Windows 2000/XP Sicherheitsmechanismen für Benutzer 

• M 4.48 (A)Passwortschutz unter Windows NT/2000/XP 

• M 4.57 (A)Deaktivieren der automatischen CD-ROM-Erkennung 

• M 4.75 (A)Schutz der Registrierung unter Windows NT/2000/XP 

• M 4.147 (Z)Sichere Nutzung von EFS unter Windows 2000/XP 

• M 4.149 (A)Datei- und Freigabeberechtigungen unter Windows 2000/XP 

• M 4.243 (Z)Windows XP Verwaltungswerkzeuge 

• M 4.244 (A)Sichere Windows XP Systemkonfiguration 

• M 4.245 (A)Basiseinstellungen für Windows XP GPOs 

• M 4.246 (A)Konfiguration der Systemdienste unter Windows XP 

• M 4.247 (A)Restriktive Berechtigungsvergabe unter Windows XP 

• M 5.37 (B)Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten Netz 

• M 5.89 (A)Konfiguration des sicheren Kanals unter Windows 2000/XP 

• M 5.90 (Z)Einsatz von IPSec unter Windows 2000/XP 

• M 5.123 (B)Absicherung der Netzwerkkommunikation unter Windows XP 

• M 4.56 (C)Sicheres Löschen unter Windows-Betriebssystemen 




Maßnahmen für Clients unter Windows XP 

Umsetzung 

• M 2.32 (Z)Einrichtung einer eingeschränkten Benutzerumgebung 

• M 4.248 (A)Sichere Installation von Windows XP 

Betrieb 

• M 2.329 (A)Einführung von Windows XP SP2 

• M 2.330 (B)Regelmäßige Prüfung der Windows XP Sicherheitsrichtlinien und ihrer Umsetzung 

• M 4.49 (A)Absicherung des Boot-Vorgangs für ein Windows NT/2000/XP System 

• M 4.52 (A)Geräteschutz unter Windows NT/2000/XP 

• M 4.146 (A)Sicherer Betrieb von Windows 2000/XP 

• M 4.148 (B)Überwachung eines Windows 2000/XP Systems 

• M 4.249 (A)Windows XP Systeme aktuell halten 

Aussonderung/Stilllegung 

• M 4.56 (C)Sicheres Löschen unter Windows-Betriebssystemen 

Notfallvorsorge 

• M 6.76 (C)Erstellen eines Notfallplans für den Ausfall eines Windows 2000/XP Netzes 

• M 6.78 (A)Datensicherung unter Windows 2000/XP 




Modellierung 






Definition 



Der Basissicherheitscheck dient dazu, die bereits 

umgesetzten Sicherheitsmaßnahmen mit den Empfehlungen 

der IT-Grundschutz-Kataloge zu vergleichen, um das 

erreichte IT-Sicherheitsniveau zu identifizieren, 

Verbesserungsmöglichkeiten aufzuzeigen und die Planung 

ihrer Umsetzung einzuleiten. 


Modellierung 


Die Erhebung des Basissicherheitschecks erfolgt in Form 

eines Interviews des jeweiligen Objekt-/Ressourcenverantwortlichen. 

Hierzu werden die Maßnahmen des 

jeweiligen Bausteins, für den die Interviewpartner zuständig 

sind, der Reihe nach durchgearbeitet und hinsichtlich des 

Umsetzungsstatus bewertet (Umgesetzt, Nicht umgesetzt, 

Teilweise umgesetzt, Umsetzung entbehrlich). 







Umsetzungsstatus 

Als Antworten bezüglich des Umsetzungsstatus der einzelnen Maßnahmen kommen 

folgende Aussagen in Betracht: 

- „entbehrlich" - Die Umsetzung der Maßnahmenempfehlungen ist in der 

vorgeschlagenen Art nicht notwendig, da den entsprechenden Gefährdungen mit 

anderen adäquaten Maßnahmen entgegengewirkt wird (z. B. durch Maßnahmen, die 

nicht im ITGrundschutz aufgeführt sind, aber dieselbe Wirkung erzielen), oder die 

Maßnahmenempfehlungen nicht relevant sind (z. B. weil Dienste nicht aktiviert wurden). 

- "ja" - Alle Empfehlungen in der Maßnahme sind vollständig und wirksam umgesetzt. 

- "teilweise" - Einige der Empfehlungen sind umgesetzt, andere noch nicht oder nur 

teilweise. 

- "nein" - Die Empfehlungen der Maßnahme sind größtenteils noch nicht umgesetzt. 





IT-Grundschutzmodell 

Internet 

Primärer 

Domänen- Exchange- 

Controller (Windows NT) Server (Windows NT) 

File-Server 

(Novell 

Netware) 

Kommunikations 

- Server 

(Unix) 

Backup 

Domänen- 

Controller (Windows NT) 

Router 

Switch 

IP 

IP 

Switch 

Firewall 

Router 

Standleitung 

Router 

Switch 

Server für 

Personalverwaltun 

g (Windows NT) 

15 Client- 

Computer (Windows NT) 

75 Client- 

Computer (Windows NT) Liegenschaft 

Bonn 

Liegenschaft 

Berlin 

40 Client- 

Computer (Windows NT) 

Maßnahmenempfehlungen 

Soll-/Ist- 

Vergleich 

Realisierte 

Maßnahmen 

defizitäre Maßnahmen 





Mögliche Probleme 

• Unsicherheit, welche Bausteine auf welche Systeme angewendet 

werden sollen. 

• Es existiert kein Baustein für das bestehende System. 

• Zur Prüfung der umgesetzten Maßnahmen fehlt das technische 

Know How. 

• Es existieren zu viele Systeme, um diese alle zu prüfen. 

• Was ist mit Systemen, die einen „hohen“ oder „sehr hohen“ 

Schutzbedarf haben 




Ergänzende Sicherheitsanalyse / Risikoanalyse 


Definition 




Modellierung 


In einer ergänzenden Sicherheitsanalyse wird geprüft, wie 

diejenigen Zielobjekte zu behandeln sind, die mindestens 

eines der folgenden Kriterien erfüllen: 

• ein hoher oder sehr hoher Schutzbedarf existiert oder 

• existierende Standardmaßnahmen sind unzureichend 

• Einsatzszenarien (Umgebung, Anwendung) möglich sind, 

die im Rahmen der Standardmaßnahmenpakete des IT- 

Sicherheits-Managements nicht berücksichtigt sind 

Diese Überlegungen können zu dem Ergebnis führen, dass 

die Umsetzung der IT-Grundschutz-Maßnahmen genügt, sie 

können aber auch einen Bedarf an zusätzlichen oder 

höherwertigen Maßnahmen aufzeigen. 






Ergänzende Sicherheitsanalyse / Risikoanalyse 

Beispiel Risikoanalyse nach BSI 100-3 

M1 M2 M3 M4 M5 M6 M7 M8 

G1 X X 

G2 

X 

G3 X X 

G4 X X 

G5 

X 

G6 X X 

Siko 




Erweiterte Risikoanalyse 

Normaler Schutzbedarf 

Erhöhter Schutzbedarf 

IT-Grundschutz Teil 1 

- IT-Strukturanalyse 

- Schutzbedarfsfeststellung 

- Modellierung 

- Basis-Sicherheitscheck 

Erstellung der 

Gefährdungsübersicht 

Ermittlung zusätzlicher 

Gefährdungen 

Gefährdungsbewertung 

IT-Grundschutz Teil 2 

- Erg. Sicherheitsanalyse 

- Realisierung 

- Zertifizierung 

Maßnahmenauswahl zur 

Behandlung von Risiken 

Konsolidierung des 

IT-Sicherheitskonzepts 




Risikoanalyse 

Risikoanalyse direkt nach dem 

Basis-Sicherheitscheck 

Mögliche Vorteile: 

- Es wird Mehraufwand vermieden, da keine 

Maßnahmen umgesetzt werden, die im Rahmen der 

Risikoanalyse eventuell durch stärkere Maßnahmen 

ersetzt werden. 

- Eventuell erforderliche Hochsicherheitsmaßnahmen 

werden früher identifiziert und umgesetzt. 

Risikoanalyse erst nach vollständiger 

Umsetzung der IT-Grundschutz-Maßnahmen 

Mögliche Vorteile: 

- IT-Grundschutz-Maßnahmen werden früher umgesetzt, 

da die Risikoanalyse häufig aufwendig ist. 

- Elementare Sicherheitslücken werden vorrangig 

behandelt, bevor fortgeschrittene Gefährdungen 

analysiert werden. 

Mögliche Nachteile: 

- IT-Grundschutz-Maßnahmen werden später 

umgesetzt, da die Risikoanalyse häufig 

aufwendig ist. 

- Eventuell werden elementare Sicherheitslücken 

werden vernachlässigt, während fortgeschrittene 

Gefährdungen analysiert werden. 

Mögliche Nachteile: 

- Es kann Mehraufwand entstehen, da eventuell einige 

IT-Grundschutz-Maßnahmen umgesetzt werden, die 

später im Rahmen der Risikoanalyse durch stärkere 

Maßnahmen ersetzt werden. 

- Eventuell erforderliche Hochsicherheitsmaßnahmen 

werden erst später identifiziert und umgesetzt. 






Definition 




Die Zertifizierung nach ISO 27001 nach IT-Grundschutz 

belegt in besonderer Weise das Bemühen um IT-Sicherheit, 

da Grundlage der Vergabe nicht nur die Erfüllung der 

allgemeinen Anforderungen von ISO 27001 an das 

Sicherheitsmanagement ist, sondern auch die 

nachgewiesene Umsetzung der konkreten IT-Grundschutz- 

Maßnahmen. 

Dazu sind entsprechende Zertifizierungsdokumente 

bereitzustellen, die im Prüfschema beschrieben werden. 

Modellierung 







BSI IT-Grundschutz Zertifizierung 





Zertifizierung nach ISO27001 / GS 

Nachweis der Erfüllung 

● Der BSI-Standard 100-1 erklärt Möglichkeiten für die Umsetzung des ISMS zur 

Erfüllung des Managementrahmens der ISO 27001. 

● Ein funktionierender Sicherheitsmanagementprozess nach BSI-Standard 100-1 oder 

anderen Methoden muss nachgewiesen werden. 

● Umsetzung der IT-Grundschutz-Vorgehensweise = Anwendungsansatz für die 

Etablierung und Aufrechterhaltung eines ISMS basierend auf der Grundschutzmethode 

(BSI-Standard 100-2) und den IT-Grundschutzkatalogen. 

● Erfüllung des BSI-Standards 100-2 ist Pflicht! 

● Die Umsetzung des Risikomanagementansatzes erfolgt als qualitative Methode im 

BSI-Standard 100-2. 

● Eine vereinfachte, auf IT-Grundschutz aufbauende, Fortführung dieser Methode 

wird in BSI-Standard 100-3 vorgeschlagen. Es kann jedoch auch eine andere 

Methode bspw. quantitativ gewählt werden. 




Zertifizierungsschema / Lizenzierung 




Auditierungsschema ISO27001 auf der Basis von IT-Grundschutz 

Das Zertifizierungsschema für ISO 27001 auf 

Basis von IT-GS enthält: 

• Einleitung 

• Ablauf der Zertifizierung 

• Überblick über den Zertifizierungsprozess 

• Rollen und Zuständigkeiten im Zertifizierungsverfahren 

• Zertifizierungsantrag 

• Unabhängigkeitserklärung 

• Auswahl des Auditteams 

• Vertraulichkeit von Informationen 

• Ziel eines Audits und Auditphasen 

• Audittypen 

• Prüf- und Auditbegleitung der Zertifizierungsstelle des BSI 

• Auditbericht 

• Zertifikatserteilung 

• Aussetzung und Zurückziehung von Zertifikaten 

• Beschwerdeverfahren 

• Formulare und Übersichten 




Anlagen zum Auditierungsschema 

Quelle: BSI 




Auditierungsschema ISO27001 auf der Basis von IT-Grundschutz 




Das Auditierungsschema für die 

Zertifizierung enthält: 

• Auditprinzipien 

• Ablauf des Auditprozesses 

• Phase 1 des Zertifizierungsaudits: 

Sichtung der Referenzdokumente 

• Zertifizierungsaudit: 

Vorbereitung der Tätigkeit vor Ort 

• Phase 2 des Zertifizierungsaudits: 

Inspektion vor Ort 

• Nachbesserungen und Nachforderungen 

• Gesamtvotum für die Erteilung eines Zertifikats 

• Überwachungsaudit 

• Auditierung im Rahmen einer Re-Zertifizierung 

• Praktische Hilfen, Auditortestat

Grundlage des Audits 

• Grundlage des Zertifizierungsschemas sind die Normen 

- DIN EN ISO 19011 "Leitfaden für Audits von Qualitätsmanagement- und/oder 

Umweltmanagementsystemen", 

- ISO/IEC 27006:2007 „Information technology - Security techniques - Requirements for 

bodies providing audit and certification of information security management systems“ 

sowie 

- DIN EN ISO/IEC 17021:2006 "Konformitätsbewertung - Anforderungen an Stellen, die 

Managementsysteme auditieren und zertifizieren", welche Anleitungen und 

Anforderungen für den Ablauf und die Durchführung von Audits enthalten. 




Audittypen 

Für die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz sind – bezogen auf 

die dreijährige Laufzeit eines Zertifikates – verschiedene Typen von Audits zu 

unterscheiden: 

- Voraudit (optional): Beim Voraudit werden gezielt einzelne Aspekte ausgewählt und 

stichprobenartig geprüft. Der Auditor kann so einen Eindruck bekommen, ob das 

Zertifizierungsaudit zu einem positiven Ergebnis kommen könnte. 

- Erstzertifizierungsaudit: Im Rahmen eines Erstzertifizierungsaudits wird erstmalig der 

betreffende IT-Verbund der Institution unter IT-Grundschutz-Aspekten auditiert. 

- Überwachungsaudit: In die dreijährige Laufzeit eines Zertifikates integriert sind jährliche 

Überwachungsaudits der zertifizierten Institution, die auf die Kontrolle der für das 

Zertifikat nachgewiesenen IT-Sicherheit im IT-Verbund zielen. Das Audit dient dem 

Nachweis, dass der zertifizierte IT-Verbund weiterhin den Sicherheitsansprüchen bzgl. 

ISO 27001 und IT-Grundschutz genügt. 

- Re-Zertifizierungsaudit: Nach Ablauf der Zertifikatslaufzeit von drei Jahren wird eine Re- 

Zertifizierung des IT-Verbundes fällig. Diese umfasst insbesondere ein Re- 

Zertifizierungsaudit des IT-Verbundes, das identisch zum Erstzertifizierungsaudit abläuft. 




Phasen der ISO 27001-Zertifizierung auf Basis von IT-Grundschutz 

Quelle: BSI 




Vertrauenswürdigkeit 

Zertifizierungs-Stufen 

Jede Maßnahme ist eine Stufe zugeordnet 

A Die Maßnahme ist ab der Einstiegstufe erforderlich. 

B Die Maßnahme ist ab der Ausbaustufe erforderlich. 

C Die Maßnahme ist nur für das ISO27001-Zertifikat erforderlich. 




B C 

ISO27001-auf Basis von IT Grundschutz- 

Zertifikat 

A 

Auditorentestat „Aufbaustufe“ 

Auditorentestat 

„Einstiegsstufe“ 

Sicherheit 

Nichtgekennzeichnete Maßnahmen sollten zur Steigerung der IT-Sicherheit umgesetzt werden, 

diese sind jedoch zur Qualifizierung nach IT-Grundschutz nicht erforderlich.

Ablauf des Audit- bzw. Zertifizierungsprozesses 

Zertifizierungsantrag 

Phase1: Sichtung der 

Referenzdokumente 

Vorbereitung der 

Audittätigkeit vor Ort 

Phase2: Inspektion vor Ort 

Erstellung des Auditberichts 

Nachbesserungen und 

Nachforderungen 

Gesamtvotum für die 

Erteilung eines Zertifikats 




71



Beteiligte Stellen 





• Antragsteller 

- Umsetzung von IT-Grundschutz 


• Prüfer / Auditor 




- Prüfung des IT-Verbunds 

- Erstellung eines Auditreports 






Zertifizierung: Beteiligte Stellen 

Quelle: BSI 




Zertifizierung: Übersicht über den Zeitverlauf der Zertifizierung 

Quelle: BSI 




Zertifizierung: Antrags- und Auditierungsphase 

Quelle: BSI 




Zertifizierung: Fristen Überwachungsaudit 

Quelle: BSI 






beim BSI stellen 











• IT-Sicherheitsrichtlinien (A.0) 

• IT-Strukturanalyse (A.1) 

• Schutzbedarfsfeststellung (A.2) 

• Modellierung des IT-Verbunds (A.3) 

• Ergebnis des Basis-Sicherheitschecks (A.4) 

• Ergänzende Sicherheitsanalyse (A.5) 

• Risikoanalyse (A.6) 

• Risikobehandlungsplan (A.7) 




77














• Aktualität der Dokumente 

• Aktualität der Version der Prüfgrundlagen 

• Aktualität der Referenzdokumente 

• Datum des Basis-Sicherheitschecks 

• IT-Sicherheitsrichtlinien 

• Vollständigkeit der IT-Sicherheitsrichtlinien 

• Verantwortung des Managements 

• Nachvollziehbarkeit der 

Informationssicherheitsrichtlinien 

• IT-Strukturanalyse 

• Nachvollziehbarkeit der Abgrenzung 

• Identifizierbarkeit der Komponenten im bereinigten 

Netzplan; Umfang der Liste der IT-Systeme/Anw. 

• Konformität der Liste der IT-Systeme mit Netzplan 




78














• Schutzbedarfsfeststellung 

• Plausibilität der Definition der SB-Kategorien 

• Vollständigkeit der SBF der Anwendungen 

• Vollständigkeit der SBF der IT-Systeme 

• Plausibilität der SBF der IT-Systeme 

• Kritikalität der Kommunikationsverbindungen 

• Plausibilität der SBF der Räume 

• Modellierung des IT-Verbunds 

• Nachvollziehbarkeit der Modellierung 

• Korrektheit der Gruppenbildung 




79








• Ergebnis des Basis-Sicherheitschecks 

• Konformität zur Modellierung 

• Transparenz der Interviewpartner 

• Umsetzungsgrad der IT-Grundschutz- 

Maßnahmen 







• Ergänzende Sicherheitsanalyse und ergänzende 

Risikoanalyse 

• Vollständigkeit und Plausibilität der ergänzenden 

Sicherheitsanalyse 

• Vollständigkeit und Plausibilität der ergänzenden 

Risikoanalyse 

• Umsetzungsgrad aller Maßnahmen 




80








• Entscheidung zur Weiterführung des Audits mit 

Phase2 

• Erstellung des Prüfplans 

• Vorbereitung der Arbeitsdokumente 







• Auswahl der Prüfbausteine 

• Informationssicherheitsmanagement 

• Zufällig ausgewählte Bausteine 

• Gezielt ausgewählte Bausteine 

• Stichproben aus der ergänzenden Sicherheitsbzw. 

Risikoanalyse 




81












• Überblick über die Auditaktivitäten vor Ort 

• Wirksamkeit des Managementsystems für 

Informationssicherheit 

• Verifikation des Netzplans 

• Übereinstimmung des Netzplans mit der Realität 

• Übereinstimmung der Realität mit dem Netzplan 

• Verifikation der Liste der IT-Systeme 

• Verifikation des Basis-Sicherheitschecks 

• Verifikation der Umsetzung der zusätzlichen 

Maßnahmen aus der ergänzenden Risikoanalyse 






82














Für jedes Audit ist vom Auditteamleiter ein Auditbericht zu 

erstellen, der alle Prüfergebnisse enthält. In Anlehnung an 

die Aufteilung eines Audits in zwei Phasen ist der 

Auditbericht in zwei Schritten zu erstellen: 

• Im ersten Schritt dokumentiert der Auditbericht die 

Auditergebnisse für Phase 1 des Auditprozesses 

(Dokumentenprüfung), 

• im zweiten Schritt sind die Auditergebnisse aus der 

Phase 2 des Auditprozesses (Umsetzungsprüfung) zu 

ergänzen. 

Der auf Phase 1 des Audits bezogene Auditbericht ist vor 

der Vorbereitung und Durchführung der Vor-Ort-Prüfung in 

Phase 2 des Audits abzuschließen. 

Der Auditbericht unterliegt formalen Aspekten. 




83








Nachbesserungen 

und Nachforderungen 

müssen gemäß dem 

folgenden Prozess 

geprüft werden: 










84














• Grundlage für die Entscheidung über die Vergabe eines 

ISO 27001-Zertifikats auf der Basis von IT-Grundschutz 

bzw. eines Auditortestats ist die Einschätzung des 

Auditteamleiters, ob der betrachtete 

Untersuchungsgegenstand die jeweiligen Anforderungen 

erfüllt. 

• Erfüllt der betrachtete Untersuchungsgegenstand die 

Anforderungen des ISO 27001-Zertifikats auf der Basis 

von IT-Grundschutz bzw. des angestrebten 

Auditortestats 

• Das Gesamtvotum ist vom Auditteamleiter mit Datum zu 

unterschreiben. 




85

Überwachungsaudit 

Überwachungsaudit 











• Planung der Überwachungsaudits 

• Phase1 des Überwachungsaudits: Sichtung der 


• Vorbereitung der Auditaktivitäten vor Ort 

• Phase2 des Überwachungsaudits: Inspektion vor Ort 

• Prüfung des Managementsystems für 

Informationssicherheit 

• Prüfung von Änderungen am Informationsverbund 

• Prüfung der zwischenzeitlichen Behebung von 

Abweichungen 

• Prüfung der Einhaltung von Auflagen 

• Gesamtvotum für die Aufrechterhaltung des Zertifikats 




86

Anerkennung des Zertifikats ISO27001 / IT-GS 

● Das BSI ist als nationale Sicherheitsbehörde auf Gesetzesgrundlage zur 

Erteilung von Sicherheitszertifikaten für informationstechnische Systeme 

oder Komponenten ermächtigt (§4 BSIG, 17.Dezember 1990). 

● Ergänzt durch das "Gesetz zur Stärkung der Sicherheit in der 

Informationstechnik des Bundes" (BSI-Gesetz / BSIG; gültig ab 20.08.2009); 

● Im Gegensatz zu privatwirtschaftlichen Organisationen ist aus BSI-Sicht eine 

Akkreditierung als Zertifizierungsstelle derzeit nicht nötig. 

● Bei der Zertifizierung nach "ISO 27001 auf Basis IT-Grundschutz" hält sich 

das BSI an die dafür vorgegeben internationalen Standards. 

● Das BSI sagt Unterstützung bei Schwierigkeiten in der 

Anerkennung zu. 




Fazit 

● Der entscheidende Vorteil der IT-Grundschutzkataloge (und die darauf 

basierende ISO27001/GS Zertifizierung) im Vergleich zu ISO 27001 

ist eine klar gegliederte Sammlung praxisnaher IT- 

Sicherheitsmaßnahmen sowie die Darlegung von deren Wechselwirkungen. 

● Da für viele Maßnahmen im Regelwerk auch praktische 

Realisierungsvorschläge angeboten werden, kann IT-Grundschutz oft schnell 

und effektiv realisiert werden. 

● Die bei der klassischen ISO 27001 Zertifizierung oft vorliegende Unsicherheit 

über die umzusetzenden Maßnahmen wird durch die Anwendung der 

Vorgehensweise nach IT-Grundschutz stark eingegrenzt. 

● Auch bei einer ISO 27001 „Klassik“ Zertifizierung kann IT-Grundschutz 

zusätzlich genutzt werden, um die Effektivität der Zertifizierungsprojektes zu 

steigern. 




Vielen Dank für 

Ihre Aufmerksamkeit 

Wilhelm Dolle 

Partner, Consulting 

Klingelhöferstr. 18 Tel. +49 30 2068-2323 

10785 Berlin Mobile +49 174 3049537 

wdolle@kpmg.com 

Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, 

zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in 

Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation. 

© 2013 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG 

International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind 

eingetragene Markenzeichen von KPMG International. Alle Rechte vorbehalten. Der Name KPMG, das Logo und „cutting through complexity" sind eingetragene Markenzeichen von 

KPMG International.

IT-Grundschutz

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?