Keramische Rundschau 4-24

Weitere Magazine

Empfehlungen

Info

SCHWERPUNKTE & REPORTAGEN CYBERSECURITY Wo beginnen und wo aufhören? Teil 2 In der letzten Ausgabe haben wir uns der Fragestellung gewidmet, welche Risiken heutzutage beim Betrieb von Informations-Infrastrukturen zu beachten sind. Als wichtiges Hilfsmittel zur Evaluierung oder Planung von Informationsverbünden wurde auf den IT-Grundschutz des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI)[1] verwiesen, insbesondere auf die „IT-Grundschutz-Methodik“ gem. BSI-Standard 200-2 und das IT-Grundschutz-Kompendium. Nun wollen wir dies etwas näher beleuchten und auf die Anwendbarkeit in der Praxis eingehen. Das Grundschutz-Modell besteht in der aktuellen Fassung aus insgesamt 111 Bausteinen in 10 Schichten [2]. „Prozessbausteine“ umfassen die Bausteine ISMS (Managementsysteme für Informationssicherheit), ORP (Organisation und Personal), CON (Konzepte und Vorgehensweisen), OPS (Betrieb), DER (Detektion und Reaktion). Die „Systembausteine“ wiederum bestehen aus den Bausteinen APP (Anwendungen und Dienste), SYS (IT-Systeme des Informationsverbunds), IND (Sicherheitsaspekte industrieller IT), NET (Netzverbindungen und Kommunikation) sowie INF (Aspekte der infrastrukturellen bzw. bautechnischen Sicherheit). Weiters enthält das Grundschutzkompendium noch einen umfangreichen Gefahrenkatalog aus aktuell 47 Bedrohungen. Dabei wird zwischen Basis-, Standard- und Kern-Absicherung unterschieden. Während die empfohlene Standard- AUTOR Mag. Ing. Gottfried Schlttenkopf Geschäftsführer I-SYSTEMS IT-Service GmbH Betreut und beratet seit 25 Jahren Unternehmen beim Aufbau, dem Betrieb und der Absicherung von IT-Umgebungen. I-SYSTEMS IT-Service GmbH Sellrainer Straße 3 6175 Kematen in Tirol Tel. +43 (0) 512 566961 20 eMail office@iits.at www https://www.i-systems.at Absicherung im Wesentlichen die klassische IT-Grundschutz-Vorgehensweise darstellt, Abbildung 1: Checklisten-Beispiel (Auszug) mit Anforderungen aus dem System-Baustein NET [3] 20 4 l 2024
SCHWERPUNKTE & REPORTAGEN um eine umfassende Absicherung zu erreichen, bietet die Basis-Absicherung als Einstieg eine breite, grundlegende Erstabsicherung. Alternativ kann mit der Kern- Absicherung eine Institution als Einstieg besonders wichtige Geschäftsprozesse und Ressourcen (sogenannte „Kronjuwelen“) zeitnah schützen. Somit sind Basis- bzw. Kernabsicherung primär für Unternehmen interessant, die noch am Beginn der Umsetzung des Grundschutzes stehen, um schnellstmöglich die größten Risiken abzusichern wollen. Mittelfristig ist es jedoch dringend empfohlen, eine umfassendere Standard-Absicherung anzustreben. AUFBAU DER BAUSTEINE Die Bausteine des Grundschutzes sind alle nach dem gleichen Schema aufgebaut. Es wird mit einer Zielsetzung und Abgrenzung begonnen, dann die spezifische Gefährdungslage beschrieben. Weiters werden die Basis-Anforderungen aufgelistet, gefolgt von den Anforderungen, die darüber hinaus für die umfangreichere Standard- Absicherung erforderlich sind. Außerdem wird teilweise noch die „Anforderung bei erhöhtem Schutzbedarf“ aufgeführt. Die jeweiligen Prüfaspekte sind mit zwingenden Modalverben („muss“ / „darf nur“ / „darf nicht“ / „darf kein“), Kriterien mit Abwägungsspielraum hingegen mit „sollte“ bzw. „sollte nicht“ beschrieben. Parallel dazu bietet das BSI auf der Webseite dazu passende Checklisten (siehe Abbildung 1). VORGEHENSWEISE QUELLEN [1] https://www.bsi.bund.de/DE/ Themen/Unternehmen-und-Orga- nisationen/Standards-und-Zertifi- zierung/IT-Grundschutz/it-grund- schutz_node.html, abgerufen am 29.02.2024 [2] Bundesamt für Sicherheit in der Informationstechnik; IT-Grundschutz- Kompendium, 2023, Schichtenmodell und Modellierung, S. 1 [3] https://www.bsi.bund.de/ SharedDocs/Downloads/DE/BSI/ Grundschutz/Kompendium/ checklisten_2023.html, abgerufen am 29.02.2024 [4] Bundesamt für Sicherheit in der Informationstechnik; BSI-Standard 200-2 IT-Grundschutz-Methodik, 2017, S.66 Der BSI-Standard 200-2 umfasst detaillierte Vorgehensweisen. Ein Grobüberblick soll hier am Beispiel der Standard-Absicherung dargestellt werden (Abbildung 2). Nach Festlegung des Geltungsbereiches (zB Infrastruktur, IT-Systeme, etc. gemäß Bausteinen) wird eine Strukturanalyse des Ist-Zustandes durchgeführt. Dann erfolgt eine Schutzbedarfsfeststellung (Kategorien „normal“, „hoch“, „sehr hoch“). Bei normalem Schutzbedarf sind die Maßnahmen nach IT-Grundschutz im Allgemeinen ausreichend und angemessen. Nun erfolgt ein erster Soll-Ist-Vergleich (anhand der Anforderungen je Baustein) mit dem Ziel, entbehrliche Anforderungen auszuscheiden. Weiters können hier im Falle von ggf. erhöhtem Schutzbedarf einzelner Bereiche zusätzliche Risikoanalysen durchgeführt werden (näheres hierzu beschreibt der BSI- Standard 200-3: Risikomanagement). Nach der Konsolidierung der Ergebnisse wird der eigentliche Grundschutz-Check durchgeführt. Hierbei wird geprüft, ob die jeweiligen Anforderungen ausreichend erfüllt sind. Falls nicht, werden daraus Maßnahmen abgeleitet und umgesetzt. Diese sollten im Rahmen einer kontinuierlichen Überprüfung (Audits, Einholung von Rückmeldungen, zeitliche Veränderung der Anforderungen, etc.) und Verbesserung wieder evaluiert werden und in die Weiterentwicklung des Informationssicherheits- Managementsystems einfließen, wodurch sich der Kreis wieder schließt. Abbildung 2: Sicherheitskonzeption nach der Vorgehensweise der Standard-Absicherung [4] FAZIT Angemessene und umfassende Informationssicherheit geht heute über das leider immer noch häufig anzutreffenden „Firewall + Virenschutz + Backup = ausreichender Schutz“-Verständnis hinaus und aufgrund der Komplexität und dem inzwischen enormen Umfang des Themas ist es schwierig, alle möglichen Risiken und Anforderungen im Blick zu behalten. Die Frage nach dem „wo beginnen“ und „wo aufhören“ ist allgegenwärtig. Hier stellt der IT-Grundschutz aufgrund seiner Methodik und den detaillierten Anforderungen ein wertvolles Hilfsmittel dar, sowohl bei der Planung eines neuen, als auch bei der permanenten Evaluierung eines bestehenden Informationsverbundes. 4 l 2024 21
Seite 1 und 2: BEST Österreichische Post AG MZ 23
Seite 3 und 4: 93. JAHRGANG Offizie le Fachzeitsch
Seite 5 und 6: SCHWERPUNKTE AKTUELL && WISSENSWERT
Seite 17 und 18: SCHWERPUNKTE & REPORTAGEN tuellen B
Seite 19: BKH flach 42-66 mit Gusskuppel BKH
Seite 23 und 24: SCHWERPUNKTE & REPORTAGEN Verschied
Seite 25 und 26: BRANCHE & PRODUKTE ORTNER bietet H
Seite 27 und 28: SCHWERPUNKTE & REPORTAGEN gen Sie a
Seite 29 und 30: BRANCHE & PRODUKTE AGROB BUCHTAL Fr
Seite 31 und 32: BRANCHE & PRODUKTE Die neue Glasurs
Seite 33 und 34: MARKTFÜHRER BAUCHEMIE Ardex Bausto
Seite 35 und 36: BUCHEN: +43 (0)676 775 3903 | R.FAS

Keramische Rundschau 4-24

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?