BSI - Grundschutzhandbuch Böhringer, Bratkus, Satzger ... - benscho

BSI 

Grundschutzhandbuch 

Andre Böhringer, 

Benjamin Bratkus, 

Thomas Steinhart, 

Tobias Satzger 

BSI - Grundschutzhandbuch Böhringer, Bratkus, Satzger, Steinhart

BSI-Grundschutzhandbuch!?!? 

was ist denn das? 


• Nachschlagewerk 

• detaillierte Beschreibung der Vorgehensweise zur 

Umsetzung von Sicherheitslösungen 

www.bsi.de 


Gefährdungs- 

katalog 

(Kapitel G), ca. 400 Seiten 

Aufbau 

Einstieg und 

Vorgehensweise 

(Kapitel 1-2), ca. 70 Seiten 

Bausteine 

(Kapitel 3-9) 

ca. 200 Seiten 

Anhang 

ca. 20 Seiten 

Maßnahmen- 

katalog 

(Kapitel M) ca. 2000 S. 


• Beschreibung 

• Gefährdungslage 

Aufbau Bausteine 

• Maßnahmenempfehlungen 

Beispiel: Baustein 6.2 Unix-Server 


weitere Beispiele Bausteine 

• Notfallvorsorge-Konzept 

• Schutzschränke 

• Rechenzentrum 

• PC mit Windows NT 

• Tragbarer PC 

• UNIX-Server 

• Firewall 

• Apache-Webserver 

• Mobiltelefon 

• Datenbanken 


Beispiele Gefahren 

• Ausfall des IT-Systems 

• Feuer 

• Mangelhafte Beschreibung von Dateien 

• Unerlaubte Ausübung von Rechten 

• Vandalismus 

• DNS-Spoofing 

• Hijacking von Netz-Verbindungen 


• Handfeuerlöscher 

Beispiele Maßnahmen 

• Videoüberwachung 

• Geeignetes Schlüsselmanagement 

• Sperren nicht benötigter Leistungsmerkmale 

• Einrichten des LDAP-Zugriffs auf Novell eDirectory 

• Absicherung von E-Mail mit SPHINX (S/MIME) 

• Verwendung eines Zeitstempel-Dienstes 


z. B. Fehlerhafte 

Konfiguration 

von sendmail 

Gefährdungs- 

katalog 


z. B. UNIX-Server 


(Kapitel 2), ca. 50 Seiten 

Bausteine 

(Kapitel 3-9) 


Maßnahmen- 

katalog 


z. B. Einsatz der 

Sicherheitsmechanismen 

von sendmail 


Anwendung des Handbuchs 

• detaillierte Beschreibung der einzelnen Schritte 

1. Schritt: Netzplanerhebung 


Nr. 

S1 

S2 

C1 

C6 

N2 

N3 

T1 

Strukturanalyse 

Beschreibung 

Server für 

Personalverwaltung 

Primärer Domänen- 

Controller 

Gruppe von Clients 

der Personaldatenverarbeitung 

Gruppe der Laptops 

für den 

Standort 

Berlin 

Firewall 

Switch 

TK-Anlage für 

Bonn 

Plattform 

Windows NT- 

Server 

Windows NT- 

Server 

Windows NT- 

Workstation 

Laptop unter 

Windows 95 

Application 

Gateway auf 

Unix 

Switch 

ISDN-TK-Anlage 

Anz. 

1 

1 

5 

2 

1 

1 

1 

Aufstellungsort 

Bonn, R 1.01 

Bonn, R 3.10 

Bonn, R 1.02 - R 

1.06 

Berlin, R 2.01 

Bonn, R 3.09 

Bonn, R 3.09 

Bonn, B.02 

Status 

in Betrieb 

in Betrieb 

in Betrieb 

in Betrieb 

in Betrieb 

in Betrieb 

in Betrieb 

Anwender/Admin. 

Personalreferat 

alle IT-Anwender 

Personalreferat 

alle IT-Anwender in der 

Außenstelle 

Berlin 



alle Mitarbeiter in der 

Hauptstelle Bonn 


Schutzbedarfsfeststellung 

Bezeichnung 

R U.02 

R B.02 

R 1.01 

R 1.02 – 

R 1.06 

R 3.11 

R E.03 

R 2.01 – 

R 2.40 

Art 

Datenträgerarchi 

v 

Technikraum 

Serverraum 

Büroräume 

Schutzschrank 

in Raum R 

3.11 

Serverraum 

Büroräume 

Lokation 

Gebäude Bonn 

Gebäude Bonn 

Gebäude Bonn 

Gebäude Bonn 

Gebäude Bonn 

Gebäude Berlin 

Gebäude Berlin 

IT Systeme / Datenträger 

Backup-Datenträger 

(Wochensicherung der 

Server S1 bis S5) 

TK Anlage 

S1, N4 

C1 

Backup-Datenträger 

(Tagessicherung der 

Server S1 bis S5) 

S6, N6, N7 

C4, einige mit Faxgeräten 

Vertraulichkeit 

BSI - Grundschutzhandbuch Böhringer, Bratkus, Satzger, Steinhart 

hoch 

mittel 

hoch 

hoch 

hoch 

mittel 

mittel 

Integrität 

hoch 

mittel 

hoch 

mittel 

hoch 

hoch 

mittel 

Verfügbarkeit 

mittel 

hoch 

mittel 

mittel 

mittel 

hoch 

mittel

Modellierung mittels der Bausteine 

Nr. 

3.1 

3.1 

3.2 

4.3.3 

5.3 

5.3 

7.5 

9.2 

Titel des Bausteins 

Organisation 

Organisation 

Personal 

Datenträgerarchiv 

Tragbarer PC 

Tragbarer PC 

WWW-Server 

Datenbanken 

Zielobjekt/ 

Zielgruppe 

Standort Bonn 

Standort Berlin 

gesamtes BOV 

R U.02 (Bonn) 

C5 

C6 

S5 

S5 

Ansprechpartner 

Hinweise 

Der Baustein Organisation muss für die Standorte 

Bonn und Berlin separat bearbeitet werde, da in 

Berlin eigene organisatorische Regelungen 

gelten. 

Die Personalverwaltung des BOV erfolgt zentral 

in Bonn. 

In diesem Raum werden die Backup-Datenträger 

aufbewahrt 

Die Laptops in Bonn bzw. Berlin werden jeweils 

in eine Gruppe zusammengefasst. 

S5 dient als Server für das Intranet. 

Auf dem Server S5 kommt eine Datenbank zum 

Einsatz 


Soll-Ist-Vergleich 

Grundschutz-Modell 

Empfohlene 

Maßnahmen 

Basis-Sicherheitscheck 

Soll-Ist- 

Vergleich 

Fehlende Sicherheitsmaßnahmen 

IT-Verbund 

Umgesetzte 

Maßnahmen 

BSI - Grundschutzhandbuch Böhringer, Bratkus, Satzger, Steinhart 

Vertriebsbüros 

C8: 3 Clients 

Vertriebsbüros 

T3: 8 Faxgeräte 

C9: 8 Laptops 

Internet 

VPN 

Verwaltung Bad Godesberg 

N1: Router 

N2: Firewall 

DB-Server 

Fibu 

C1: 5 Clients 

Lohn/Fibu 

C2: 3 Clients 

Geschäftsführung 

C3: 4 Clients 

Personal 

N4: Switch 

C4: 4Clients 

IT 

C5: 14 Clients 

Einkau f/Marketing/ 

Vertrieb 

T1: TK-Anlage 

N3: Switch 

Betrieb Bonn-Beuel 

N5: Router 

N6: Router 

Standleitung 

S1: Domänen- 

Controller 

S2: Komm.-Server 

(Exchange) 

S3: Datei- und 

Druckserver 

S4: DB-Server 

Kunden- und 

Auftragsbearb. 

Server und Clients werden einheitlich mit dem Betriebssystem Windows 2000 betrie ben 

N7: Switch 

S6: Domänen- 

Controller, Dateiu. 

Druckserver 

C6: 12 Clients 

Fertigung/Lager 

C7: 6 Clients 

Entwicklung 

T2: TK-Anlage

Zertifikat 


Gefährdungs- 

katalog 


Übersicht 

Einstieg und 


(Kapitel 1-2), ca. 70 Seiten 

Bausteine 

(Kapitel 3-9) 


Anhang 

ca. 20 Seiten 

Maßnahmen- 

katalog 



Gefahrenkatalog Übersicht 

Katalog gegliedert in fünf Kapitel 

• G1 „Höhere Gewalt“ 

• G2 „Organisatorische Mängel“ 

• G3 „Menschliche Fehlhandlungen“ 

• G4 „Technisches Versagen“ 

• G5 „Vorsätzliche Handlungen“ 


Gefährdungskatalog G1 

• Keinen direkten Einfluss auf das Auftreten der 

Gefährdungen 

• Präventive Massnahmen 

• Beispiele: 

– Naturkatastrophen 

– Personalausfälle 

– Veranstaltungen 



• Gefahren treten durch Disorganisation auf 

• Behandelt die Planung des IT-Systems 


– Fehlende und unzureichende Regelungen 

– Unzureichende Kenntnis über Regelungen 

– Fehlende, ungeeignete und inkompatible 

Betriebsmittel 



• Gefahren treten durch fahrlässiges Handeln auf 

• Behandelt den Betrieb und Alltag des IT-System 


– Fahrlässige Zerstörung von Gerät oder Daten 

– Kein ordnungsgemäßer PC-Benutzerwechsel 

– Unbeabsichtigte Datenmanipulation 



• Gefahren entstehen durch Hard- und Software 

• Gefahren treten während des Betriebs auf 


– Verlust gespeicherter Daten 

– Defekte Datenträger 

– Ausfall der Stromversorgung 



• Durch Absicht und Willen entstehen Gefahren 

• Schädigung des IT-Systems durch den Menschen 


– Manipulation von Daten oder Software 

– Diebstahl 

– Vandalismus 

– Gebührenbetrug 


Maßnahmenkatalog Übersicht 

Katalog gegliedert in sechs Kapitel 

• M1 „Infrastruktur “ 

• M2 „Organisation“ 

• M3 „Personal“ 

• M4 „Hardware/Software“ 

• M5 „Kommunikation“ 

• M6 „Notfallvorsorge“ 


Maßnahmenkataloge 

• M1 „Infrastruktur“ 

– Hauptsächlich Gebäudemaßnahmen 

– Aufbewahrung und Lagerung von Geräten 

• M2 „Organisation“ 

– Allgemeine organisatorische Maßnahmen 

– Spezielle Maßnahmen z.B. für 

• Firewall 

• Datenbanken 



• M3 „Personal“ 

– Allgemeine Verfahrensvorschläge beim 

• Einlernen 

• Vertreten 

• Ausscheiden eines Mitarbeiters 

– Schulungen 

• M4 „Hardware/Software“ 

– Allgemeine Maßnahmen, z.B. 

– Maßnahmen für spezielle Software, z.B. 

• Windows NT/2000 

• Unix 

• Novell 

• Lotus Notes 



• M5 „Kommunikation“ 

– Schutz für 

• Email 

• Telefonie 

– Allgemeiner Netzwerkschutz 

• M6 „Notfallvorsorge“ 

– Was kann getan werden, wenn ein Notfall eingetreten ist 

– Wie kann der Betrieb weitergehen, wenn ein Notfall 

eingetreten ist 


Beispiel 

Die Gefährdungen und 

Maßnahmen des 

Grundschutzhandbuches am 

Beispiel von 

Datenbanken 


• Gefährdung: 

– Personalausfall 

• Krankheit 

• Tod 

• Urlaub 

• Kündigung 

• Abteilungswechsel 

Höhere Gewalt 


• Maßnahmen: 

– Hinterlegen des Passwortes 

Höhere Gewalt 

– Dokumentation der Systemkonfiguration 

– Dokumentation der Veränderungen an einem bestehenden 

System 

– Kontrolle der Wirksamkeit der Benutzer-Trennung am IT- 

System 

– Erstellung eines Anforderungskataloges für Standardsoftware 


Organisatorische Mängel 


Fehlende oder unzureichende Aktivierung von 

Datenbank-Sicherheitsmechanismen 


– Regelmäßiger Sicherheitscheck der Datenbank 

– Geeignete Auswahl einer Datenbank - Software 

– Erstellung eines Datenbank - Sicherheitskonzeptes 


Menschliche Fehlhandlung 


Durch Reinigungs- oder Fremdpersonal 

(Betriebsspionage) 

• Maßnahme: 

Verpflichtung der PC-Benutzer zum 

Abmelden nach Aufgabenerfüllung 




Fehlerhafte Administration von Zugangsund 

Zugriffsrechten 

• Maßnahme: 

Sperren und Löschen nicht benötigter 

Datenbank- Accounts 




Fehlerhafte Administration eines DBMS 


– Auswahl eines vertrauenswürdigen 

Administrators und Vertreters 

– Schulung des Wartungs- und 

Administrationspersonals 


Technisches Versagen 


Ausfall einer Datenbank 


– Durchführung einer Datenbanküberwachung 

– Wiederherstellung einer Datenbank 


Technisches Versagen 


Verlust der Datenbankintegrität/-konsistenz 


– Sicherstellung einer konsistenten 

Datenbankverwaltung 

– Verhaltensregeln nach Verlust der 

Datenbankintegrität 


Vorsätzliche Handlungen 


– Unberechtigte IT-Nutzung 

– Systematisches Ausprobieren von Passwörtern 


– Passwortschutz für IT-Systeme 

– Änderung voreingestellter Passwörter 


GSTOOL 

• Zur Überprüfung des eigenen 

Grundschutzes 

• Zur Dokumentation des Grundschutzes 

• Keine Analyse 


Quellen 

• Grundschutzhandbuch 

– http://www.bsi.bund.de/gshb/deutsch/index.html

BSI - Grundschutzhandbuch Böhringer, Bratkus, Satzger ... - benscho

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?