Ausblick und Diskussion - Bundesamt für Sicherheit in der ...

Wo stehen wir und wo wollen wir hin? 

Ausblick und Diskussion 

Holger Schildt 

Bundesamt für Sicherheit in der Informationstechnik 

Grundlagen der Informationssicherheit und IT-Grundschutz 

2. IT-Grundschutz-Tag 2012 

Sicherheit in und um Windows

Neue Themen in den 

IT-Grundschutz-Katalogen 

5 

4 

3 

2 

1 

Holger Schildt 29.03.2012 

2

� "Stillstand ist Rückstand" 

Weiterentwicklung der 

IT-Grundschutz-Kataloge 

� Dennoch kann nicht jedes Thema berücksichtigt werden 

� Es muss ermittelt werden, was benötigt wird 

� Faktoren für Themenauswahl 

� Nachfrage auf Messen, Vorträgen 

und sonstigen Veranstaltungen 

� Anfragen auf GS-Hotline 

� Themen in den Medien 

� Umfragen bei unseren Anwendern 


3

Prinzip von 

Ergänzungslieferungen 

� Regelmäßige Aktualisierung der 


� Beinhaltet überarbeite und neue 

Bausteine, Gefährdungen und Maßnahmen 

� Verfügbare Versionen: 

� Kostenfreie HTML-Version 

� Kostenfreies Metadatenupdate für GSTOOL 

� Kostenpflichtige gedruckte Version über 

Bundesanzeigerverlag 

� Preis 12. EL: 115,80 Euro 

� Preis Grundwerk 12. EL: 152,00 Euro 


4

� Neue Bausteine 

� B 3.304 Virtualisierung 

� B 3.305 Terminal-Server 

� B 4.8 Bluetooth 

� B 5.3 Groupware 

� B 5.18 DNS-Server 

� B 5.19 Internet-Nutzung 


12. Ergänzungslieferung 

� Überarbeitete Bausteine 

� B 3.401 TK-Anlage 

� B 5.4 Webserver 

� Gestrichene Bausteine 

� B 3.403 Anrufbeantworter 

� B 5.10 Internet Information Server 

� B 5.11 Apache Webserver 


5


Ausblick 

� Überarbeitung der Bausteine 

� B 4.1 Netzarchitektur 

� B 4.2 Netz-Management 

� B 3.404 Mobiltelefon 

� B 2.1 Allgemeines Gebäude 

� Neue Bausteine 

� MS Windows 7, MS Server 2008 R2 

� Lotus Notes 

� Protokollierung 

� OpenLDAP 

� Mac OS X 

� Web-Anwendungen 


6

Anstehende Änderungen beim 

IT-Grundschutz 


7

� Kritik 

Umstrukturierung 


� Komplexität des IT-Grundschutzes nimmt zu 

� Viele Bausteine: "Wer soll das noch prüfen?" 

� Prüffragen je Maßnahme 

� Wünsche 

� Bereitstellung von Prüflisten → Schnellere Prüfung 

� Beschränkung auf wesentliche Bausteine 

� Typisierung von Bausteinen 


8

Ziel: 

Weg: 

E-V-Modell 

Das Ziel und der Weg 

geeignete Kennzeichnung von Bausteinen zur 

Komplexitätsreduktion 

� elementare (elementary) Bausteine: generisch, 

zertifizierungsrelevant 

� vertiefende (completive) Bausteine: spezifisch, 

produktspezifisch 


9

� Ergebnis: 

E-V-Modell 

Das Ergebnis und das Vorgehen 

Reduktion der Zertifizierungsrelevanz insgesamt 

� auch in den elementaren Bausteinen Menge der 

zertifizierungsrelevanten Forderungen überdenken 

� vertiefende Bausteine sollten frei von 

zertifizierungsrelevanten Forderungen sein 

� Vorgehen: 

� Diverse Bausteine müssen überarbeitet werden 

� mindestens 3 neue Bausteine (Identitäts- und 

Berechtigungsmanagement, Allgemeines Gebäude, 

Allgemeine Vernetzung) 

� Prüffragen für alle Bausteine 


10

Prüffragen 

Motivation 

� Für Audit-, Anforderungen-, 

Aufrechterhaltung 

� Zielgruppe sind Prüfer, 

Auditoren, etc. 

� Zweck: 

� sollen alle wesentlichen Kernaussagen des jeweiligen 

Bausteins enthalten 

� geben Ziel und Grundrichtung vor 

� letzte Checkliste, um Umsetzung von Maßnahmen zu 

kontrollieren 

� ersetzen Kontrollfragen 

� in Form und Detailtiefe einheitlich 


11

Prüffragen 

Weiteres Vorgehen 

� Fleißarbeit: 

Laufendes Projekt zur Erstellung der Prüffragen für alle 

Maßnahmen der IT-Grundschutz-Kataloge! 

� Konsolidierung pro Baustein (noch mehr Arbeit!) 

� Ziel: 

Veröffentlichung der Prüffragen zusammen mit den IT- 

Grundschutz-Katalogen der 13. EL 


12

Sicherheit 

erzeugen 

Bausteine 

Maßnahmen 

E-V-Modell & Prüffragen 

Zusammenspiel 

elementare 


elementare 

Prüffragen 

ISO 27001- 

Zertifikat 

Sicherheit 

prüfen 

vertiefende 


vertiefende 

Prüffragen 

Selbsteinschätzung 


13

� Aufgabenstellung: 

Elementare Gefährdungen 

Motivation 

� Risikoanalyse auf Basis BSI-Standard 100-3 ist aufwendig, 

da Gefährdungsliste mittlerweile sehr lang 

� Lösungsvorschläge: 

� Verschlankung/Downsizing der Gefährdungskataloge 

� Strukturierung der Gefährdungen 

� Vorgehensweise: 

� Anregungen aus ISO 27005, EBIOS, ISF 

� Ziel: 

� handhabbare Anzahl von "elementaren" Gefährdungen 

� Wo notwendig, vertiefende Gefährdungen in Bausteinen für 

Sensibilisierung 


14

� G 0.01 Feuer 

� G 0.05 Naturkatastrophen 

� G 0.10 Ausfall oder Störung von 

� G 0.15 Abhören 

Elementare Gefährdungen 

Beispiele 

Versorgungsnetzen 

� G 0.20 Informationen oder Produkte aus 

unzuverlässiger Quelle 

� G 0.25 Ausfall von Geräten und Systemen 

� G 0.30 Unberechtigte Nutzung oder Administration von 

Geräten und Systemen 

� G 0.35 Nötigung, Erpressung oder 

Korruption (statt Imageschaden) 

� G 0.40 Verhinderung von Diensten (DoS) 

� G 0.45 Datenverlust 


15

Goldene Regeln 

Überblick 

� Goldene Regeln für Überblick 

� Zielgruppe Management, Einsteiger 

� Thematisch zwischen Leitfaden 

� Ziele 

und GSK 

� Überblick über die wichtigsten 

Sicherheitsempfehlungen eines Bausteins 

� Pro Baustein eine Seite "goldene Regeln", 

nicht mehr als 10 goldene Regeln 

� (Separate) Veröffentlichung der Goldenen Regeln zusammen 

mit den IT-Grundschutz-Katalogen der 12. EL 


16

Goldene Regeln 

Beispiel 


17

Überblickspapiere 

Motivation 

� Anwenderwunsch nach Sicherheitsempfehlungen für 

spezielle Themengebiete, z. B. zu neuen 

Vorgehensweisen, Technologien oder Anwendungen 

� Überblickspapiere 

� Nach Anwenderbedarf 

(Umfrage) 

� Kurz und knackig 

� Zeitnah 

� Thematische Abgrenzung zwischen 

Gefährdungen & Sicherheitsmaßnahmen 


18

Überblickspapiere 

Was gibt es? 


19

Informationen zum 

GSTOOL 


20

� GSTOOL 4.x 


� Versionsänderungen 

� Metadatenupdates 

GSTOOL 4.x 

Wie geht es weiter? 

� Fehlerbehebungen werden weiterhin via Servicepacks 

veröffentlicht 

� Einstellung der Weiterentwicklung in 2012 

� etwa 1 Jahr Parallelbetrieb von GSTOOL 4.x und GSTOOL 

5.0 

� später kostenpflichtiger Support durch Entwicklerfirma 

Steria Mummert Consulting möglich 

29.03.2012


GSTOOL 4.x 

Metadatenupdate 

� Metadatenupdate für GSTOOL 4.x 

� derzeit in Bearbeitung 

� Schwierigkeiten aufgrund Programm- und 

Datenbankwechsel beim Redaktionsmanagementsystem IT- 

Grundschutz 

� Exportmodul für Toolexport nicht nutzbar aufgrund diverser 

Softwarefehler 

� beabsichtigte manuelle Datenübertragung aus XML-Export 

in eine Access-Datenbank ist fehlgeschlagen 

� Auftrag an Programmierfirma (schwieriger 

Vertragsabschluss) 

� Veröffentlichung geplant für November 2011 

Mai / Juni 2012 

29.03.2012


GSTOOL 5 

� Öffentliche GSTOOL 5.0 Beta-Version 

� detaillierte Informationen per GSTOOL-Newsletter 

� Rückmeldungen (Fehlermeldungen) zur Beta-Version erbeten 

� neu bspw. Netzplan, IS-Revision, Verfahrensregister, 

Fragebögen 

� Technik 

� JAVA, Webclient, Oracle Datenbank 

� Unterstützte Betriebssysteme 

� Windows-Systeme ab XP SP3 

� Linux (RedHat, SuSE, Debian) 

� Produktivbetrieb voraussichtlich erst Ende 2012 

� aufgrund diverser Probleme mit Auftragnehmer 

29.03.2012

Geplante IT-Grundschutz-Tage 2012 

� 09.02.2012 in Bonn: 

"Schutz sensibler Informationen in der Praxis" mit SIZ 

� 29.03.2012 in Berlin: 

"IT-Grundschutz-Tag zu Windows 2008" mit HiSolutions 

� 13.06.2012 in Bremen: 

wird zur Zeit mit TZI geplant 

� 17.10.2012 in Nürnberg: 

auf der it-sa zu Webanwendungen mit TÜV-IT 

� 22.11.2012 in Berlin: 

wird zur Zeit mit SerNet geplant 

� … und viele weitere im Jahr 2013 


24

� auf der BSI-DVD 

� als Buch 

Wo gibt es das alles? 

� auf der BSI-Webseite www.bsi.bund.de 


25

Fragen 


26

Kontakt 

Bundesamt für Sicherheit in der 

Informationstechnik (BSI) 


Godesberger Allee 185-189 

53175 Bonn 

Tel: +49 (0)22899-9582-5369 

Fax: +49 (0)22899-10-9582-5369 

grundschutz@bsi.bund.de 

www.bsi.bund.de 

www.bsi.bund.de/grundschutz 

www.xing.com/net/itgrundschutz 


27

Ausblick und Diskussion - Bundesamt für Sicherheit in der ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?