Ausblick und Diskussion - Bundesamt für Sicherheit in der ...
Ausblick und Diskussion - Bundesamt für Sicherheit in der ...
Ausblick und Diskussion - Bundesamt für Sicherheit in der ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Wo stehen wir <strong>und</strong> wo wollen wir h<strong>in</strong>?<br />
<strong>Ausblick</strong> <strong>und</strong> <strong>Diskussion</strong><br />
Holger Schildt<br />
B<strong>und</strong>esamt <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> Informationstechnik<br />
Gr<strong>und</strong>lagen <strong>der</strong> Informationssicherheit <strong>und</strong> IT-Gr<strong>und</strong>schutz<br />
2. IT-Gr<strong>und</strong>schutz-Tag 2012<br />
<strong>Sicherheit</strong> <strong>in</strong> <strong>und</strong> um W<strong>in</strong>dows
Neue Themen <strong>in</strong> den<br />
IT-Gr<strong>und</strong>schutz-Katalogen<br />
5<br />
4<br />
3<br />
2<br />
1<br />
Holger Schildt 29.03.2012<br />
2
� "Stillstand ist Rückstand"<br />
Weiterentwicklung <strong>der</strong><br />
IT-Gr<strong>und</strong>schutz-Kataloge<br />
� Dennoch kann nicht jedes Thema berücksichtigt werden<br />
� Es muss ermittelt werden, was benötigt wird<br />
� Faktoren <strong>für</strong> Themenauswahl<br />
� Nachfrage auf Messen, Vorträgen<br />
<strong>und</strong> sonstigen Veranstaltungen<br />
� Anfragen auf GS-Hotl<strong>in</strong>e<br />
� Themen <strong>in</strong> den Medien<br />
� Umfragen bei unseren Anwen<strong>der</strong>n<br />
Holger Schildt 29.03.2012<br />
3
Pr<strong>in</strong>zip von<br />
Ergänzungslieferungen<br />
� Regelmäßige Aktualisierung <strong>der</strong><br />
IT-Gr<strong>und</strong>schutz-Kataloge<br />
� Be<strong>in</strong>haltet überarbeite <strong>und</strong> neue<br />
Bauste<strong>in</strong>e, Gefährdungen <strong>und</strong> Maßnahmen<br />
� Verfügbare Versionen:<br />
� Kostenfreie HTML-Version<br />
� Kostenfreies Metadatenupdate <strong>für</strong> GSTOOL<br />
� Kostenpflichtige gedruckte Version über<br />
B<strong>und</strong>esanzeigerverlag<br />
� Preis 12. EL: 115,80 Euro<br />
� Preis Gr<strong>und</strong>werk 12. EL: 152,00 Euro<br />
Holger Schildt 29.03.2012<br />
4
� Neue Bauste<strong>in</strong>e<br />
� B 3.304 Virtualisierung<br />
� B 3.305 Term<strong>in</strong>al-Server<br />
� B 4.8 Bluetooth<br />
� B 5.3 Groupware<br />
� B 5.18 DNS-Server<br />
� B 5.19 Internet-Nutzung<br />
IT-Gr<strong>und</strong>schutz-Kataloge<br />
12. Ergänzungslieferung<br />
� Überarbeitete Bauste<strong>in</strong>e<br />
� B 3.401 TK-Anlage<br />
� B 5.4 Webserver<br />
� Gestrichene Bauste<strong>in</strong>e<br />
� B 3.403 Anrufbeantworter<br />
� B 5.10 Internet Information Server<br />
� B 5.11 Apache Webserver<br />
Holger Schildt 29.03.2012<br />
5
IT-Gr<strong>und</strong>schutz-Kataloge<br />
<strong>Ausblick</strong><br />
� Überarbeitung <strong>der</strong> Bauste<strong>in</strong>e<br />
� B 4.1 Netzarchitektur<br />
� B 4.2 Netz-Management<br />
� B 3.404 Mobiltelefon<br />
� B 2.1 Allgeme<strong>in</strong>es Gebäude<br />
� Neue Bauste<strong>in</strong>e<br />
� MS W<strong>in</strong>dows 7, MS Server 2008 R2<br />
� Lotus Notes<br />
� Protokollierung<br />
� OpenLDAP<br />
� Mac OS X<br />
� Web-Anwendungen<br />
Holger Schildt 29.03.2012<br />
6
Anstehende Än<strong>der</strong>ungen beim<br />
IT-Gr<strong>und</strong>schutz<br />
Holger Schildt 29.03.2012<br />
7
� Kritik<br />
Umstrukturierung<br />
IT-Gr<strong>und</strong>schutz-Kataloge<br />
� Komplexität des IT-Gr<strong>und</strong>schutzes nimmt zu<br />
� Viele Bauste<strong>in</strong>e: "Wer soll das noch prüfen?"<br />
� Prüffragen je Maßnahme<br />
� Wünsche<br />
� Bereitstellung von Prüflisten → Schnellere Prüfung<br />
� Beschränkung auf wesentliche Bauste<strong>in</strong>e<br />
� Typisierung von Bauste<strong>in</strong>en<br />
Holger Schildt 29.03.2012<br />
8
Ziel:<br />
Weg:<br />
E-V-Modell<br />
Das Ziel <strong>und</strong> <strong>der</strong> Weg<br />
geeignete Kennzeichnung von Bauste<strong>in</strong>en zur<br />
Komplexitätsreduktion<br />
� elementare (elementary) Bauste<strong>in</strong>e: generisch,<br />
zertifizierungsrelevant<br />
� vertiefende (completive) Bauste<strong>in</strong>e: spezifisch,<br />
produktspezifisch<br />
Holger Schildt 29.03.2012<br />
9
� Ergebnis:<br />
E-V-Modell<br />
Das Ergebnis <strong>und</strong> das Vorgehen<br />
Reduktion <strong>der</strong> Zertifizierungsrelevanz <strong>in</strong>sgesamt<br />
� auch <strong>in</strong> den elementaren Bauste<strong>in</strong>en Menge <strong>der</strong><br />
zertifizierungsrelevanten For<strong>der</strong>ungen überdenken<br />
� vertiefende Bauste<strong>in</strong>e sollten frei von<br />
zertifizierungsrelevanten For<strong>der</strong>ungen se<strong>in</strong><br />
� Vorgehen:<br />
� Diverse Bauste<strong>in</strong>e müssen überarbeitet werden<br />
� m<strong>in</strong>destens 3 neue Bauste<strong>in</strong>e (Identitäts- <strong>und</strong><br />
Berechtigungsmanagement, Allgeme<strong>in</strong>es Gebäude,<br />
Allgeme<strong>in</strong>e Vernetzung)<br />
� Prüffragen <strong>für</strong> alle Bauste<strong>in</strong>e<br />
Holger Schildt 29.03.2012<br />
10
Prüffragen<br />
Motivation<br />
� Für Audit-, Anfor<strong>der</strong>ungen-,<br />
Aufrechterhaltung<br />
� Zielgruppe s<strong>in</strong>d Prüfer,<br />
Auditoren, etc.<br />
� Zweck:<br />
� sollen alle wesentlichen Kernaussagen des jeweiligen<br />
Bauste<strong>in</strong>s enthalten<br />
� geben Ziel <strong>und</strong> Gr<strong>und</strong>richtung vor<br />
� letzte Checkliste, um Umsetzung von Maßnahmen zu<br />
kontrollieren<br />
� ersetzen Kontrollfragen<br />
� <strong>in</strong> Form <strong>und</strong> Detailtiefe e<strong>in</strong>heitlich<br />
Holger Schildt 29.03.2012<br />
11
Prüffragen<br />
Weiteres Vorgehen<br />
� Fleißarbeit:<br />
Laufendes Projekt zur Erstellung <strong>der</strong> Prüffragen <strong>für</strong> alle<br />
Maßnahmen <strong>der</strong> IT-Gr<strong>und</strong>schutz-Kataloge!<br />
� Konsolidierung pro Bauste<strong>in</strong> (noch mehr Arbeit!)<br />
� Ziel:<br />
Veröffentlichung <strong>der</strong> Prüffragen zusammen mit den IT-<br />
Gr<strong>und</strong>schutz-Katalogen <strong>der</strong> 13. EL<br />
Holger Schildt 29.03.2012<br />
12
<strong>Sicherheit</strong><br />
erzeugen<br />
Bauste<strong>in</strong>e<br />
Maßnahmen<br />
E-V-Modell & Prüffragen<br />
Zusammenspiel<br />
elementare<br />
Bauste<strong>in</strong>e<br />
elementare<br />
Prüffragen<br />
ISO 27001-<br />
Zertifikat<br />
<strong>Sicherheit</strong><br />
prüfen<br />
vertiefende<br />
Bauste<strong>in</strong>e<br />
vertiefende<br />
Prüffragen<br />
Selbste<strong>in</strong>schätzung<br />
Holger Schildt 29.03.2012<br />
13
� Aufgabenstellung:<br />
Elementare Gefährdungen<br />
Motivation<br />
� Risikoanalyse auf Basis BSI-Standard 100-3 ist aufwendig,<br />
da Gefährdungsliste mittlerweile sehr lang<br />
� Lösungsvorschläge:<br />
� Verschlankung/Downsiz<strong>in</strong>g <strong>der</strong> Gefährdungskataloge<br />
� Strukturierung <strong>der</strong> Gefährdungen<br />
� Vorgehensweise:<br />
� Anregungen aus ISO 27005, EBIOS, ISF<br />
� Ziel:<br />
� handhabbare Anzahl von "elementaren" Gefährdungen<br />
� Wo notwendig, vertiefende Gefährdungen <strong>in</strong> Bauste<strong>in</strong>en <strong>für</strong><br />
Sensibilisierung<br />
Holger Schildt 29.03.2012<br />
14
� G 0.01 Feuer<br />
� G 0.05 Naturkatastrophen<br />
� G 0.10 Ausfall o<strong>der</strong> Störung von<br />
� G 0.15 Abhören<br />
Elementare Gefährdungen<br />
Beispiele<br />
Versorgungsnetzen<br />
� G 0.20 Informationen o<strong>der</strong> Produkte aus<br />
unzuverlässiger Quelle<br />
� G 0.25 Ausfall von Geräten <strong>und</strong> Systemen<br />
� G 0.30 Unberechtigte Nutzung o<strong>der</strong> Adm<strong>in</strong>istration von<br />
Geräten <strong>und</strong> Systemen<br />
� G 0.35 Nötigung, Erpressung o<strong>der</strong><br />
Korruption (statt Imageschaden)<br />
� G 0.40 Verh<strong>in</strong><strong>der</strong>ung von Diensten (DoS)<br />
� G 0.45 Datenverlust<br />
Holger Schildt 29.03.2012<br />
15
Goldene Regeln<br />
Überblick<br />
� Goldene Regeln <strong>für</strong> Überblick<br />
� Zielgruppe Management, E<strong>in</strong>steiger<br />
� Thematisch zwischen Leitfaden<br />
� Ziele<br />
<strong>und</strong> GSK<br />
� Überblick über die wichtigsten<br />
<strong>Sicherheit</strong>sempfehlungen e<strong>in</strong>es Bauste<strong>in</strong>s<br />
� Pro Bauste<strong>in</strong> e<strong>in</strong>e Seite "goldene Regeln",<br />
nicht mehr als 10 goldene Regeln<br />
� (Separate) Veröffentlichung <strong>der</strong> Goldenen Regeln zusammen<br />
mit den IT-Gr<strong>und</strong>schutz-Katalogen <strong>der</strong> 12. EL<br />
Holger Schildt 29.03.2012<br />
16
Goldene Regeln<br />
Beispiel<br />
Holger Schildt 29.03.2012<br />
17
Überblickspapiere<br />
Motivation<br />
� Anwen<strong>der</strong>wunsch nach <strong>Sicherheit</strong>sempfehlungen <strong>für</strong><br />
spezielle Themengebiete, z. B. zu neuen<br />
Vorgehensweisen, Technologien o<strong>der</strong> Anwendungen<br />
� Überblickspapiere<br />
� Nach Anwen<strong>der</strong>bedarf<br />
(Umfrage)<br />
� Kurz <strong>und</strong> knackig<br />
� Zeitnah<br />
� Thematische Abgrenzung zwischen<br />
Gefährdungen & <strong>Sicherheit</strong>smaßnahmen<br />
Holger Schildt 29.03.2012<br />
18
Überblickspapiere<br />
Was gibt es?<br />
Holger Schildt 29.03.2012<br />
19
Informationen zum<br />
GSTOOL<br />
Holger Schildt 29.03.2012<br />
20
� GSTOOL 4.x<br />
Holger Schildt<br />
� Versionsän<strong>der</strong>ungen<br />
� Metadatenupdates<br />
GSTOOL 4.x<br />
Wie geht es weiter?<br />
� Fehlerbehebungen werden weiterh<strong>in</strong> via Servicepacks<br />
veröffentlicht<br />
� E<strong>in</strong>stellung <strong>der</strong> Weiterentwicklung <strong>in</strong> 2012<br />
� etwa 1 Jahr Parallelbetrieb von GSTOOL 4.x <strong>und</strong> GSTOOL<br />
5.0<br />
� später kostenpflichtiger Support durch Entwicklerfirma<br />
Steria Mummert Consult<strong>in</strong>g möglich<br />
29.03.2012
Holger Schildt<br />
GSTOOL 4.x<br />
Metadatenupdate<br />
� Metadatenupdate <strong>für</strong> GSTOOL 4.x<br />
� <strong>der</strong>zeit <strong>in</strong> Bearbeitung<br />
� Schwierigkeiten aufgr<strong>und</strong> Programm- <strong>und</strong><br />
Datenbankwechsel beim Redaktionsmanagementsystem IT-<br />
Gr<strong>und</strong>schutz<br />
� Exportmodul <strong>für</strong> Toolexport nicht nutzbar aufgr<strong>und</strong> diverser<br />
Softwarefehler<br />
� beabsichtigte manuelle Datenübertragung aus XML-Export<br />
<strong>in</strong> e<strong>in</strong>e Access-Datenbank ist fehlgeschlagen<br />
� Auftrag an Programmierfirma (schwieriger<br />
Vertragsabschluss)<br />
� Veröffentlichung geplant <strong>für</strong> November 2011<br />
Mai / Juni 2012<br />
29.03.2012
Holger Schildt<br />
GSTOOL 5<br />
� Öffentliche GSTOOL 5.0 Beta-Version<br />
� detaillierte Informationen per GSTOOL-Newsletter<br />
� Rückmeldungen (Fehlermeldungen) zur Beta-Version erbeten<br />
� neu bspw. Netzplan, IS-Revision, Verfahrensregister,<br />
Fragebögen<br />
� Technik<br />
� JAVA, Webclient, Oracle Datenbank<br />
� Unterstützte Betriebssysteme<br />
� W<strong>in</strong>dows-Systeme ab XP SP3<br />
� L<strong>in</strong>ux (RedHat, SuSE, Debian)<br />
� Produktivbetrieb voraussichtlich erst Ende 2012<br />
� aufgr<strong>und</strong> diverser Probleme mit Auftragnehmer<br />
29.03.2012
Geplante IT-Gr<strong>und</strong>schutz-Tage 2012<br />
� 09.02.2012 <strong>in</strong> Bonn:<br />
"Schutz sensibler Informationen <strong>in</strong> <strong>der</strong> Praxis" mit SIZ<br />
� 29.03.2012 <strong>in</strong> Berl<strong>in</strong>:<br />
"IT-Gr<strong>und</strong>schutz-Tag zu W<strong>in</strong>dows 2008" mit HiSolutions<br />
� 13.06.2012 <strong>in</strong> Bremen:<br />
wird zur Zeit mit TZI geplant<br />
� 17.10.2012 <strong>in</strong> Nürnberg:<br />
auf <strong>der</strong> it-sa zu Webanwendungen mit TÜV-IT<br />
� 22.11.2012 <strong>in</strong> Berl<strong>in</strong>:<br />
wird zur Zeit mit SerNet geplant<br />
� … <strong>und</strong> viele weitere im Jahr 2013<br />
Holger Schildt 29.03.2012<br />
24
� auf <strong>der</strong> BSI-DVD<br />
� als Buch<br />
Wo gibt es das alles?<br />
� auf <strong>der</strong> BSI-Webseite www.bsi.b<strong>und</strong>.de<br />
Holger Schildt 29.03.2012<br />
25
Fragen<br />
Holger Schildt 29.03.2012<br />
26
Kontakt<br />
B<strong>und</strong>esamt <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong><br />
Informationstechnik (BSI)<br />
Holger Schildt<br />
Godesberger Allee 185-189<br />
53175 Bonn<br />
Tel: +49 (0)22899-9582-5369<br />
Fax: +49 (0)22899-10-9582-5369<br />
gr<strong>und</strong>schutz@bsi.b<strong>und</strong>.de<br />
www.bsi.b<strong>und</strong>.de<br />
www.bsi.b<strong>und</strong>.de/gr<strong>und</strong>schutz<br />
www.x<strong>in</strong>g.com/net/itgr<strong>und</strong>schutz<br />
Holger Schildt 29.03.2012<br />
27