BSI - Grundschutzhandbuch Böhringer, Bratkus, Satzger ... - benscho
BSI - Grundschutzhandbuch Böhringer, Bratkus, Satzger ... - benscho
BSI - Grundschutzhandbuch Böhringer, Bratkus, Satzger ... - benscho
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>BSI</strong><br />
<strong>Grundschutzhandbuch</strong><br />
Andre <strong>Böhringer</strong>,<br />
Benjamin <strong>Bratkus</strong>,<br />
Thomas Steinhart,<br />
Tobias <strong>Satzger</strong><br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
<strong>BSI</strong>-<strong>Grundschutzhandbuch</strong>!?!?<br />
was ist denn das?<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
• Nachschlagewerk<br />
• detaillierte Beschreibung der Vorgehensweise zur<br />
Umsetzung von Sicherheitslösungen<br />
www.bsi.de<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Gefährdungs-<br />
katalog<br />
(Kapitel G), ca. 400 Seiten<br />
Aufbau<br />
Einstieg und<br />
Vorgehensweise<br />
(Kapitel 1-2), ca. 70 Seiten<br />
Bausteine<br />
(Kapitel 3-9)<br />
ca. 200 Seiten<br />
Anhang<br />
ca. 20 Seiten<br />
Maßnahmen-<br />
katalog<br />
(Kapitel M) ca. 2000 S.<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
• Beschreibung<br />
• Gefährdungslage<br />
Aufbau Bausteine<br />
• Maßnahmenempfehlungen<br />
Beispiel: Baustein 6.2 Unix-Server<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
weitere Beispiele Bausteine<br />
• Notfallvorsorge-Konzept<br />
• Schutzschränke<br />
• Rechenzentrum<br />
• PC mit Windows NT<br />
• Tragbarer PC<br />
• UNIX-Server<br />
• Firewall<br />
• Apache-Webserver<br />
• Mobiltelefon<br />
• Datenbanken<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Beispiele Gefahren<br />
• Ausfall des IT-Systems<br />
• Feuer<br />
• Mangelhafte Beschreibung von Dateien<br />
• Unerlaubte Ausübung von Rechten<br />
• Vandalismus<br />
• DNS-Spoofing<br />
• Hijacking von Netz-Verbindungen<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
• Handfeuerlöscher<br />
Beispiele Maßnahmen<br />
• Videoüberwachung<br />
• Geeignetes Schlüsselmanagement<br />
• Sperren nicht benötigter Leistungsmerkmale<br />
• Einrichten des LDAP-Zugriffs auf Novell eDirectory<br />
• Absicherung von E-Mail mit SPHINX (S/MIME)<br />
• Verwendung eines Zeitstempel-Dienstes<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
z. B. Fehlerhafte<br />
Konfiguration<br />
von sendmail<br />
Gefährdungs-<br />
katalog<br />
(Kapitel G), ca. 400 Seiten<br />
z. B. UNIX-Server<br />
Vorgehensweise<br />
(Kapitel 2), ca. 50 Seiten<br />
Bausteine<br />
(Kapitel 3-9)<br />
ca. 200 Seiten<br />
Maßnahmen-<br />
katalog<br />
(Kapitel M) ca. 2000 S.<br />
z. B. Einsatz der<br />
Sicherheitsmechanismen<br />
von sendmail<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Anwendung des Handbuchs<br />
• detaillierte Beschreibung der einzelnen Schritte<br />
1. Schritt: Netzplanerhebung<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Nr.<br />
S1<br />
S2<br />
C1<br />
C6<br />
N2<br />
N3<br />
T1<br />
Strukturanalyse<br />
Beschreibung<br />
Server für<br />
Personalverwaltung<br />
Primärer Domänen-<br />
Controller<br />
Gruppe von Clients<br />
der Personaldatenverarbeitung<br />
Gruppe der Laptops<br />
für den<br />
Standort<br />
Berlin<br />
Firewall<br />
Switch<br />
TK-Anlage für<br />
Bonn<br />
Plattform<br />
Windows NT-<br />
Server<br />
Windows NT-<br />
Server<br />
Windows NT-<br />
Workstation<br />
Laptop unter<br />
Windows 95<br />
Application<br />
Gateway auf<br />
Unix<br />
Switch<br />
ISDN-TK-Anlage<br />
Anz.<br />
1<br />
1<br />
5<br />
2<br />
1<br />
1<br />
1<br />
Aufstellungsort<br />
Bonn, R 1.01<br />
Bonn, R 3.10<br />
Bonn, R 1.02 - R<br />
1.06<br />
Berlin, R 2.01<br />
Bonn, R 3.09<br />
Bonn, R 3.09<br />
Bonn, B.02<br />
Status<br />
in Betrieb<br />
in Betrieb<br />
in Betrieb<br />
in Betrieb<br />
in Betrieb<br />
in Betrieb<br />
in Betrieb<br />
Anwender/Admin.<br />
Personalreferat<br />
alle IT-Anwender<br />
Personalreferat<br />
alle IT-Anwender in der<br />
Außenstelle<br />
Berlin<br />
alle IT-Anwender<br />
alle IT-Anwender<br />
alle Mitarbeiter in der<br />
Hauptstelle Bonn<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Schutzbedarfsfeststellung<br />
Bezeichnung<br />
R U.02<br />
R B.02<br />
R 1.01<br />
R 1.02 –<br />
R 1.06<br />
R 3.11<br />
R E.03<br />
R 2.01 –<br />
R 2.40<br />
Art<br />
Datenträgerarchi<br />
v<br />
Technikraum<br />
Serverraum<br />
Büroräume<br />
Schutzschrank<br />
in Raum R<br />
3.11<br />
Serverraum<br />
Büroräume<br />
Lokation<br />
Gebäude Bonn<br />
Gebäude Bonn<br />
Gebäude Bonn<br />
Gebäude Bonn<br />
Gebäude Bonn<br />
Gebäude Berlin<br />
Gebäude Berlin<br />
IT Systeme / Datenträger<br />
Backup-Datenträger<br />
(Wochensicherung der<br />
Server S1 bis S5)<br />
TK Anlage<br />
S1, N4<br />
C1<br />
Backup-Datenträger<br />
(Tagessicherung der<br />
Server S1 bis S5)<br />
S6, N6, N7<br />
C4, einige mit Faxgeräten<br />
Vertraulichkeit<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart<br />
hoch<br />
mittel<br />
hoch<br />
hoch<br />
hoch<br />
mittel<br />
mittel<br />
Integrität<br />
hoch<br />
mittel<br />
hoch<br />
mittel<br />
hoch<br />
hoch<br />
mittel<br />
Verfügbarkeit<br />
mittel<br />
hoch<br />
mittel<br />
mittel<br />
mittel<br />
hoch<br />
mittel
Modellierung mittels der Bausteine<br />
Nr.<br />
3.1<br />
3.1<br />
3.2<br />
4.3.3<br />
5.3<br />
5.3<br />
7.5<br />
9.2<br />
Titel des Bausteins<br />
Organisation<br />
Organisation<br />
Personal<br />
Datenträgerarchiv<br />
Tragbarer PC<br />
Tragbarer PC<br />
WWW-Server<br />
Datenbanken<br />
Zielobjekt/<br />
Zielgruppe<br />
Standort Bonn<br />
Standort Berlin<br />
gesamtes BOV<br />
R U.02 (Bonn)<br />
C5<br />
C6<br />
S5<br />
S5<br />
Ansprechpartner<br />
Hinweise<br />
Der Baustein Organisation muss für die Standorte<br />
Bonn und Berlin separat bearbeitet werde, da in<br />
Berlin eigene organisatorische Regelungen<br />
gelten.<br />
Die Personalverwaltung des BOV erfolgt zentral<br />
in Bonn.<br />
In diesem Raum werden die Backup-Datenträger<br />
aufbewahrt<br />
Die Laptops in Bonn bzw. Berlin werden jeweils<br />
in eine Gruppe zusammengefasst.<br />
S5 dient als Server für das Intranet.<br />
Auf dem Server S5 kommt eine Datenbank zum<br />
Einsatz<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Soll-Ist-Vergleich<br />
Grundschutz-Modell<br />
Empfohlene<br />
Maßnahmen<br />
Basis-Sicherheitscheck<br />
Soll-Ist-<br />
Vergleich<br />
Fehlende Sicherheitsmaßnahmen<br />
IT-Verbund<br />
Umgesetzte<br />
Maßnahmen<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart<br />
Vertriebsbüros<br />
C8: 3 Clients<br />
Vertriebsbüros<br />
T3: 8 Faxgeräte<br />
C9: 8 Laptops<br />
Internet<br />
VPN<br />
Verwaltung Bad Godesberg<br />
N1: Router<br />
N2: Firewall<br />
DB-Server<br />
Fibu<br />
C1: 5 Clients<br />
Lohn/Fibu<br />
C2: 3 Clients<br />
Geschäftsführung<br />
C3: 4 Clients<br />
Personal<br />
N4: Switch<br />
C4: 4Clients<br />
IT<br />
C5: 14 Clients<br />
Einkau f/Marketing/<br />
Vertrieb<br />
T1: TK-Anlage<br />
N3: Switch<br />
Betrieb Bonn-Beuel<br />
N5: Router<br />
N6: Router<br />
Standleitung<br />
S1: Domänen-<br />
Controller<br />
S2: Komm.-Server<br />
(Exchange)<br />
S3: Datei- und<br />
Druckserver<br />
S4: DB-Server<br />
Kunden- und<br />
Auftragsbearb.<br />
Server und Clients werden einheitlich mit dem Betriebssystem Windows 2000 betrie ben<br />
N7: Switch<br />
S6: Domänen-<br />
Controller, Dateiu.<br />
Druckserver<br />
C6: 12 Clients<br />
Fertigung/Lager<br />
C7: 6 Clients<br />
Entwicklung<br />
T2: TK-Anlage
Zertifikat<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Gefährdungs-<br />
katalog<br />
(Kapitel G), ca. 400 Seiten<br />
Übersicht<br />
Einstieg und<br />
Vorgehensweise<br />
(Kapitel 1-2), ca. 70 Seiten<br />
Bausteine<br />
(Kapitel 3-9)<br />
ca. 200 Seiten<br />
Anhang<br />
ca. 20 Seiten<br />
Maßnahmen-<br />
katalog<br />
(Kapitel M) ca. 2000 S.<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Gefahrenkatalog Übersicht<br />
Katalog gegliedert in fünf Kapitel<br />
• G1 „Höhere Gewalt“<br />
• G2 „Organisatorische Mängel“<br />
• G3 „Menschliche Fehlhandlungen“<br />
• G4 „Technisches Versagen“<br />
• G5 „Vorsätzliche Handlungen“<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Gefährdungskatalog G1<br />
• Keinen direkten Einfluss auf das Auftreten der<br />
Gefährdungen<br />
• Präventive Massnahmen<br />
• Beispiele:<br />
– Naturkatastrophen<br />
– Personalausfälle<br />
– Veranstaltungen<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Gefährdungskatalog G2<br />
• Gefahren treten durch Disorganisation auf<br />
• Behandelt die Planung des IT-Systems<br />
• Beispiele:<br />
– Fehlende und unzureichende Regelungen<br />
– Unzureichende Kenntnis über Regelungen<br />
– Fehlende, ungeeignete und inkompatible<br />
Betriebsmittel<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Gefährdungskatalog G3<br />
• Gefahren treten durch fahrlässiges Handeln auf<br />
• Behandelt den Betrieb und Alltag des IT-System<br />
• Beispiele:<br />
– Fahrlässige Zerstörung von Gerät oder Daten<br />
– Kein ordnungsgemäßer PC-Benutzerwechsel<br />
– Unbeabsichtigte Datenmanipulation<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Gefährdungskatalog G4<br />
• Gefahren entstehen durch Hard- und Software<br />
• Gefahren treten während des Betriebs auf<br />
• Beispiele:<br />
– Verlust gespeicherter Daten<br />
– Defekte Datenträger<br />
– Ausfall der Stromversorgung<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Gefährdungskatalog G5<br />
• Durch Absicht und Willen entstehen Gefahren<br />
• Schädigung des IT-Systems durch den Menschen<br />
• Beispiele:<br />
– Manipulation von Daten oder Software<br />
– Diebstahl<br />
– Vandalismus<br />
– Gebührenbetrug<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Maßnahmenkatalog Übersicht<br />
Katalog gegliedert in sechs Kapitel<br />
• M1 „Infrastruktur “<br />
• M2 „Organisation“<br />
• M3 „Personal“<br />
• M4 „Hardware/Software“<br />
• M5 „Kommunikation“<br />
• M6 „Notfallvorsorge“<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Maßnahmenkataloge<br />
• M1 „Infrastruktur“<br />
– Hauptsächlich Gebäudemaßnahmen<br />
– Aufbewahrung und Lagerung von Geräten<br />
• M2 „Organisation“<br />
– Allgemeine organisatorische Maßnahmen<br />
– Spezielle Maßnahmen z.B. für<br />
• Firewall<br />
• Datenbanken<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Maßnahmenkataloge<br />
• M3 „Personal“<br />
– Allgemeine Verfahrensvorschläge beim<br />
• Einlernen<br />
• Vertreten<br />
• Ausscheiden eines Mitarbeiters<br />
– Schulungen<br />
• M4 „Hardware/Software“<br />
– Allgemeine Maßnahmen, z.B.<br />
– Maßnahmen für spezielle Software, z.B.<br />
• Windows NT/2000<br />
• Unix<br />
• Novell<br />
• Lotus Notes<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Maßnahmenkataloge<br />
• M5 „Kommunikation“<br />
– Schutz für<br />
• Email<br />
• Telefonie<br />
– Allgemeiner Netzwerkschutz<br />
• M6 „Notfallvorsorge“<br />
– Was kann getan werden, wenn ein Notfall eingetreten ist<br />
– Wie kann der Betrieb weitergehen, wenn ein Notfall<br />
eingetreten ist<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Beispiel<br />
Die Gefährdungen und<br />
Maßnahmen des<br />
<strong>Grundschutzhandbuch</strong>es am<br />
Beispiel von<br />
Datenbanken<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
• Gefährdung:<br />
– Personalausfall<br />
• Krankheit<br />
• Tod<br />
• Urlaub<br />
• Kündigung<br />
• Abteilungswechsel<br />
Höhere Gewalt<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
• Maßnahmen:<br />
– Hinterlegen des Passwortes<br />
Höhere Gewalt<br />
– Dokumentation der Systemkonfiguration<br />
– Dokumentation der Veränderungen an einem bestehenden<br />
System<br />
– Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-<br />
System<br />
– Erstellung eines Anforderungskataloges für Standardsoftware<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Organisatorische Mängel<br />
• Gefährdung:<br />
Fehlende oder unzureichende Aktivierung von<br />
Datenbank-Sicherheitsmechanismen<br />
• Maßnahmen:<br />
– Regelmäßiger Sicherheitscheck der Datenbank<br />
– Geeignete Auswahl einer Datenbank - Software<br />
– Erstellung eines Datenbank - Sicherheitskonzeptes<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Menschliche Fehlhandlung<br />
• Gefährdung:<br />
Durch Reinigungs- oder Fremdpersonal<br />
(Betriebsspionage)<br />
• Maßnahme:<br />
Verpflichtung der PC-Benutzer zum<br />
Abmelden nach Aufgabenerfüllung<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Menschliche Fehlhandlung<br />
• Gefährdung:<br />
Fehlerhafte Administration von Zugangsund<br />
Zugriffsrechten<br />
• Maßnahme:<br />
Sperren und Löschen nicht benötigter<br />
Datenbank- Accounts<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Menschliche Fehlhandlung<br />
• Gefährdung:<br />
Fehlerhafte Administration eines DBMS<br />
• Maßnahmen:<br />
– Auswahl eines vertrauenswürdigen<br />
Administrators und Vertreters<br />
– Schulung des Wartungs- und<br />
Administrationspersonals<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Technisches Versagen<br />
• Gefährdung:<br />
Ausfall einer Datenbank<br />
• Maßnahmen:<br />
– Durchführung einer Datenbanküberwachung<br />
– Wiederherstellung einer Datenbank<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Technisches Versagen<br />
• Gefährdung:<br />
Verlust der Datenbankintegrität/-konsistenz<br />
• Maßnahmen:<br />
– Sicherstellung einer konsistenten<br />
Datenbankverwaltung<br />
– Verhaltensregeln nach Verlust der<br />
Datenbankintegrität<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Vorsätzliche Handlungen<br />
• Gefährdung:<br />
– Unberechtigte IT-Nutzung<br />
– Systematisches Ausprobieren von Passwörtern<br />
• Maßnahmen:<br />
– Passwortschutz für IT-Systeme<br />
– Änderung voreingestellter Passwörter<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
GSTOOL<br />
• Zur Überprüfung des eigenen<br />
Grundschutzes<br />
• Zur Dokumentation des Grundschutzes<br />
• Keine Analyse<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart
Quellen<br />
• <strong>Grundschutzhandbuch</strong><br />
– http://www.bsi.bund.de/gshb/deutsch/index.html<br />
<strong>BSI</strong> - <strong>Grundschutzhandbuch</strong> <strong>Böhringer</strong>, <strong>Bratkus</strong>, <strong>Satzger</strong>, Steinhart