IT-GSHB 2000 - Vorgehensweise Basis-Sicherheitscheck

2.5 Vorgehensweise Basis-Sicherheitscheck

Die Struktur der Informationstechnik in einer Behörde oder einem Unternehmen ist in der Regel durch eine gewachsene Vernetzung gekennzeichnet. Aspekte der IT-Sicherheit sind daher oftmals nicht von Anfang an systematisch berücksichtigt, sondern nachträglich in das Gesamtkonzept integriert worden. Hier ist es wünschenswert, als Einstieg in die systematische IT-Sicherheitskonzeption ein Verfahren heranzuziehen, das den bestehenden Strukturen und den bereits etablierten Sicherheitsmaßnahmen Rechnung trägt.

Der Basis-Sicherheitscheck ist ein Organisationsinstrument, welches einen schnellen Einstieg in die IT- Sicherheitsproblematik einer bestehenden IT-Anlage bietet. Dazu wird überwiegend Interviewtechnik eingesetzt. Der Begriff IT-Anlage umfasst dabei alle technischen Komponenten, die gemeinsam der Aufgabenerfüllung im Bereich der Informationsverarbeitung dienen. Zum Untersuchungsumfang beim Basis-Sicherheitscheck gehören jedoch auch die organisatorischen, personellen und infrastrukturellen IT- Sicherheitsaspekte.

Der Basis-Sicherheitscheck dient dazu,

einen Überblick über das IT-Sicherheitsniveau des betrachteten Bereichs zu gewinnen,
den Status Quo in Bezug auf den Umsetzungsgrad von Sicherheitsmaßnahmen des IT- Grundschutzhandbuchs festzustellen,
Verbesserungsmöglichkeiten durch noch umzusetzende IT-Sicherheitsmaßnahmen aufzuzeigen,
Sofortmaßnahmen für den Schutz der IT-Anlage zu planen und
Schwerpunkte für weitergehende IT-Sicherheitsanalysen zu ermitteln.

Ein Basis-Sicherheitscheck liefert wichtige Erkenntnisse für die Erstellung einer Sicherheitsleitlinie und gibt Aufschluss über Schwachstellen und Risiken. Der Basis-Sicherheitscheck ist geeignet, allgemein gehaltene IT-Sicherheitskonzepte und Verfahrensanweisungen auf ihre Effizienz und Praxis- Tauglichkeit zu überprüfen und ggf. zu konkretisieren.

Das IT-Sicherheitsmanagement prüft, ob der Basis-Sicherheitscheck ein geeigneter Ansatz für die vorliegende Problematik ist, und erarbeitet ggf. Vorschläge zum Untersuchungsumfang, d. h. welche Bereiche der IT-Anlage in die Untersuchung einbezogen werden. Da die Durchführung eines Basis- Sicherheitschecks Personal bindet, sollte die Leitungsebene beteiligt werden und die Projektdurchführung anordnen.

Schritt 1: Vorarbeiten

Zunächst ist es notwendig, sich mit den einzusetzenden Unterlagen und Arbeitsmitteln vertraut zu machen. Ein idealer Einstieg ist das Lesen von Kapitel 1 und Kapitel 2 des IT-Grundschutzhandbuchs. Dabei sollte ein grundlegendes Verständnis des allgemeinen Wirkungszusammenhangs zwischen Gefahren für die IT-Grundwerte und konkreten Sicherheitsmaßnahmen zum Schutz der IT-Anlage erarbeitet werden. Bei einem Basis-Sicherheitscheck wird die Umsetzung der Sicherheitsmaßnahmen geprüft. Die Gefährdungslage fließt nicht in die Untersuchung ein.

Abhängig von der Größe einer Behörde bzw. eines Unternehmens und der vorhandenen Technik kann es Teilbereiche in Maßnahmen geben, die nicht relevant sind und daher weggelassen werden können. Die vorhandenen Unterlagen des IT-Grundschutzhandbuchs sollten daher dahingehend geprüft werden, ob eine Anpassung der Dokumente und Tabellen notwendig ist. Soweit die Projektierung IT-gestützt durchgeführt werden soll, sind geeignete Dateiformate auszuwählen. Dabei ist sicherzustellen, dass alle betroffenen Mitarbeiter über die nötige Hard- und Softwareausstattung verfügen. Im Auftrag des BSI wurde das IT-Grundschutz-Tool zur Erstellung von IT-Sicherheitskonzepten entwickelt, mit dem sich die Ergebnisse des Basis-Sicherheitschecks erfassen und aufbereiten lassen.

Von Anfang an sollten Überlegungen bezüglich der Bewältigung des Projektmanagements und zur späteren Revision angestrengt werden. Dabei ist der Aufwand für allgemeine organisatorische Belange nicht zu unterschätzen: Der Projektablaufplan muss erstellt, Kontakt zur Leitungsebene hergestellt, Freigaben für Arbeitszeitbedarf der Projektmitglieder erwirkt, Projektbesprechungen angesetzt, die Bereitstellung von Besprechungsräumen sichergestellt, Termine mit Ansprechpartnern koordiniert werden usw. Sorgfältige Vorarbeiten helfen dabei, einen möglichst reibungslosen Projektverlauf zu erreichen. Es ist erforderlich, alle hausinternen Papiere, z. B. Organisationsverfügungen, Arbeitshinweise, Sicherheitsanweisungen, Manuals und "informelle" Vorgehensweisen, die die IT-sicherheitsrelevanten Abläufe regeln, zu sichten. Weiterhin ist zu klären, wer gegenwärtig für deren Inhalt zuständig ist, um später möglichst genau die Ansprechpartner für durchzuführende Interviews bestimmen zu können.

Als Nächstes sollte festgestellt werden, ob und in welchem Umfang externe Stellen bei der Projektbewältigung beteiligt werden sollen, beispielsweise externe Rechenzentren, vorgesetzte Behörden, Firmen, die Teile des IT-Betriebes in Outsourcing bewältigen, oder Baubehörden, die für infrastrukturelle Maßnahmen zuständig sind.

Schritt 2: Bildung einer Projektgruppe

Es hat sich in der Praxis bewährt, den Basis-Sicherheitscheck in einer Projektgruppe mit zwei bis vier Mitgliedern durchzuführen. Der Projektleiter sollte der IT-Sicherheitsbeauftragte oder ein Mitglied des IT- Sicherheitsmanagements sein. Seine Aufgabe ist es, den Kontakt zum Management herzustellen und zu halten. Die Projektmitglieder müssen für die Durchführung des Projekts über genügend Arbeitszeit verfügen und ggf. von ihrer üblichen Tätigkeit freigestellt werden. Die fachliche Kompetenz der Mitglieder sollte mindestens die Bereiche Informationstechnik, IT-Sicherheit und Verwaltungsorganisation umfassen. Aufgrund der heute allseits präsenten Vernetzung von IT-Systemen bietet sich für den technischen Teil eine Person mit ausgeprägten Administrationskenntnissen an. Auf bestehende Arbeitsgruppen oder Ausschüsse für IT-Sicherheit oder IT-Koordinierung sollte zurückgegriffen werden, wobei darauf zu achten ist, dass kein Interessenkonflikt zwischen den üblichen Tätigkeiten eines Projektmitglieds und seiner Aufgaben während der Projektarbeit entsteht.

Vor Beginn der eigentlichen Projektarbeit sollten alle Verständnisfragen innerhalb des Teams geklärt werden. Es sollte sichergestellt sein, dass in der Projektgruppe ausreichende Fachkenntnisse für die Beurteilung aller relevanten Gefährdungen und die technische Umsetzung der Sicherheitsmaßnahmen vorhanden sind. Gegebenenfalls ist die Zusammensetzung der Projektgruppe zu modifizieren oder zu erweitern.

Schritt 3: Abschätzung des Projektumfangs

Der Gesamtaufwand für die Durchführung eines Basis-Sicherheitschecks hängt sicherlich von der Größe und der Komplexität der betrachteten IT-Anlage ab. Bei Behörden mittlerer Größe und hohem IT-Durchdringungsgrad ist nach bisheriger Erfahrung des BSI ein Gesamtaufwand von ca. 200 bis 300 Personenstunden realistisch. Bei kontinuierlicher Bewältigung des Projektes sollte die Laufzeit ohne Vorbereitungen ca. zwei bis drei Kalenderwochen nicht überschreiten. Es ist davon auszugehen, dass sich der Gesamtaufwand in etwa wie folgt verteilt:

10 % Projektvorbereitung

10 % Vorerhebung und Schutzbedarfsfeststellung

40 % Interviewtätigkeit

20 % Auswertung und Aufbereitung der Zwischenergebnisse

20 % Abschlussbericht und Präsentationen

Diese Abschätzungen beruhen auf Basis-Sicherheitschecks, die das BSI für Behörden unterschiedlicher Größe durchgeführt hat. Der Gesamtaufwand für die Durchführung des Projekts sollte abgeschätzt und der Leitungsebene zur Genehmigung vorgelegt werden.

Schritt 4: Interne Bekanntgabe der Projektdurchführung

Alle Mitarbeiter der Behörde bzw. des Unternehmens, die mit der zu untersuchenden IT-Anlage arbeiten oder anderweitig von der Projektdurchführung betroffen sind, sollten darüber informiert werden, dass ein Basis-Sicherheitscheck durchgeführt wird, warum er durchgeführt wird und was damit langfristig erreicht werden soll.

Der Projektleiter sollte eine Vorlage für eine Bekanntgabe erarbeiten, die von der Behörden- bzw. Unternehmensleitung unterzeichnet wird. Darin sollten die Namen der Projektmitglieder und deren Aufgabe, sowie der Zeitraum und die Art der Untersuchung enthalten sein. Weiterhin sollten in dieser Bekanntgabe die Mitarbeiter dazu aufgefordert werden, am gemeinsamen Ziel eines hohen IT-Sicherheitsniveaus mitzuwirken. Gegebenenfalls sind elementare Bestandteile einer Sicherheits-Leitlinie aufzunehmen. Die Bekanntgabe dient dazu, die Mitarbeiter im Hinblick auf die Zielsetzung zu motivieren und den Stellenwert, den die Leitungsebene der IT-Sicherheit in der Behörde bzw. dem Unternehmen beimisst, zu dokumentieren.

Schritt 5: Vorerhebung

In jeder Organisationseinheit sollte eine Vielzahl von Informationen über die IT-Anlage vorhanden sein. Dies können z. B. IT-Rahmenkonzepte, IT-Sicherheitskonzepte, IT-Bestandsverzeichnisse, Verfahrensbeschreibungen oder Ähnliches sein. Diese Informationen sollten zusammengetragen und für einen Überblick über die eingesetzte Informationstechnik und deren Vernetzung ausgewertet werden. Soweit noch nicht vorhanden, sollten unbedingt graphische Übersichten der Netzstruktur erstellt werden. Dies sollte in Absprache und mit Hilfe der IT-Verantwortlichen und der zuständigen Mitarbeiter erfolgen. Am besten geeignet als Ausgangspunkt für einen Basis- Sicherheitscheck ist ein sogenannter Netztopologieplan, in dem die vorliegende Netzstruktur, die aktiven Netzkomponenten, die relevanten Server und eingesetzten Betriebssysteme und die Netzübergänge dargestellt sind.

Soweit noch nicht geschehen, sollte gemeinsam mit dem Management konkretisiert werden, wie die Zuordnung der Auswirkungen von Schadensereignissen zu Schutzbedarfsklassen geschehen soll. Insbesondere sind finanzielle Schäden einzuordnen, beispielsweise liegt die Orientierungshilfe des IT- Grundschutzhandbuchs zwischen 25 und 5.000 TDM bei hohem Schutzbedarf. In Regel ist es erforderlich, die in der Orientierungshilfe eingesetzten Wertezuweisungen an die Anforderungen der betrachteten Behörde bzw. des betrachteten Unternehmens anzupassen.

Als Hilfsmittel für die Vorerhebung sind auf der CD-ROM zum IT-Grundschutzhandbuch im Verzeichnis \HILFSMI\BSC\ Fragebögen enthalten. Diese Fragebögen sollten - ggf. nach Anpassung an die vorliegenden Gegebenheiten an die entsprechenden Referatsleiter bzw. Systemverantwortlichen weitergeleitet werden. Wenn sichergestellt ist, dass alle Beteiligten über die geeignete Softwareausstattung verfügen, kann dies auch auf elektronischen Weg geschehen. Um den Projektzeitraum überschaubar zu halten, sollte ein Abgabetermin festgesetzt und der Rücklauf anhand einer Übersichtsliste kontrolliert werden. Ein Begleitschreiben, welches die Grundwerte und Schutzbedarfskategorien kurz erläutert, sollte in Betracht gezogen werden. Falls mehrere Anwendungen auf einem System betrieben werden, ist für die Ermittlung des Schutzbedarfs die Anwendung mit dem höchsten Schutzbedarf ausschlaggebend.

Zusätzlich zu der Erfassung von IT-Systemen und IT-Netzen werden in den Vorerhebungsfragebögen auch die Interviewpartner für die einzelnen Themenbereiche erfragt.

Schritt 6: Modellierung der IT-Anlage

In diesem Schritt werden die Komponenten der vorliegenden IT-Anlage auf die Bausteine des IT- Grundschutzhandbuchs abgebildet. Dies geschieht anhand der Informationen, die aus der Vorerhebung zurückfließen. Die Vorgehensweise für die Modellierung ist in Abschnitt 2.4.3 beschrieben und verläuft in sechs Schritten. Als Ergebnis liegt eine vollständige Nachbildung aller Komponenten des betrachteten Bereichs vor, wobei jeder Komponente i. Allg. mehrere Bausteine des IT- Grundschutzhandbuchs zugeordnet sind.

Hinweise:

Wenn mehrere identische oder nahezu identische Komponenten vorliegen, ist es nicht erforderlich, dass diese alle einzeln untersucht werden. Stattdessen sollte ein Stellvertreter oder - wenn es sich um viele Komponenten handelt - einige Stichproben betrachtet werden. Wenn beispielsweise zwei bauartgleiche Bürogebäude verwaltet werden, genügt es, eines mit dem Baustein 4.1 Gebäude zu untersuchen. Dies gilt natürlich auch für gleichartige Stand-alone-Systeme, Notebooks usw. Für identische IT-Systeme mit Netzanbindung ist es sowohl auf Seiten der Clients als auch der Server möglich, Klassen zu bilden. Grundlage hierfür ist eine im Wesentlichen einheitliche Hard- und Softwareausstattung, gleiche Konfiguration sowie ein einheitliches Administrationskonzept.

Wie in Abschnitt 2.4.3 beschrieben, ist es für die Untersuchung der IT-Sicherheit im Netz meist erforderlich, das Gesamtnetz in einfach strukturierte Teilnetze zu unterteilen. Grundsätzlich können auch mehrere solcher Teilnetze gleichen Typs in eine Klasse zusammengefasst werden. Dies setzt jedoch voraus, dass das Administrationskonzept, die innere Struktur sowie die Schnittstellen zu anderen Teilnetzen und nach außen einheitlich sind.

Falls für die Überprüfung innerhalb des Basis-Sicherheitschecks mehrere Komponenten zu Klassen zusammengefasst wurden, darf zum Abschluss nicht vergessen werden, im endgültigen Sicherheitskonzept wieder alle Komponenten aufzuführen oder zumindest die Zusammenfassung zu erläutern.

Die durch die Vorerhebung angeforderten Übersichten zur Netztopographie und Netztopologie erleichtern abschließend die Vollständigkeitskontrolle, insbesondere in Bezug auf die eingesetzte Hardware und die aktiven Netzkomponenten. Weiterhin bieten diese Pläne bei der späteren Ortsbegehung eine räumliche Orientierung über die Standorte der physikalischen Netzkomponenten.

Für jeden Baustein des IT-Grundschutzhandbuchs enthält die CD-ROM im Verzeichnis WORD20/FORMULARE entsprechende Interview-Fragebögen. Diese Fragebögen dienen später dazu, den Umsetzungsgrad der einzelnen Maßnahmen festzuhalten. Es hat sich bewährt, für jeden Ansprechpartner im Interview eine Mappe mit den entsprechenden Fragebögen zusammenzustellen. An dieser Stelle sollten auch Überlegungen einsetzen, welche Räumlichkeiten und technischen Installationen in Form einer Begehung durch Projektmitglieder besichtigt werden sollen.

Schritt 7: Durchführung von Interviews

Ziel dieses Schritts ist, für jede Maßnahme aus den herangezogenen Bausteinen den Umsetzungsstatus zu ermitteln. Mögliche Werte sind dabei:

"ja"	-	Alle Empfehlungen in der Ma�nahme sind vollst�ndig und wirksam umgesetzt.
"nein"	-	Die Empfehlungen der Ma�nahme sind gr��tenteils noch nicht umgesetzt.
"teilweise"	-	Einige der Empfehlungen sind umgesetzt, andere noch nicht oder nur teilweise.
"prinzipiell nicht"	-	Die Empfehlungen der Ma�nahme werden nicht umgesetzt. Den entsprechenden Gef�hrdungen wird auf andere Weise entgegengewirkt (z. B. durch andere Ma�nahmen, die nicht im IT-Grundschutzhandbuch aufgef�hrt sind), oder sie sind nicht relevant (z. B. weil Dienste nicht aktiviert wurden).

In der Regel wird der Umsetzungsstatus der einzelnen Maßnahmen über Interviews mit den entsprechenden Ansprechpartnern festgestellt. Insbesondere im Bereich Infrastruktur bietet es sich an, zusätzlich gemeinsam mit dem Ansprechpartner stichprobenartig die zu untersuchenden Objekte vor Ort zu besichtigen.

Für die anstehenden Interviews mit den Systemverantwortlichen und sonstigen Ansprechpartnern sollte ein Terminplan - ggf. mit Ausweichterminen - erstellt werden. Je nachdem, welche Hierarchieebene auf den Vorerhebungsbögen als verantwortlich gemeldet wurde, sollte überprüft werden, ob es sich dabei tatsächlich für alle Fragen des Bausteins um die kompetenten Ansprechpartner handelt. Häufig ist es vorteilhaft, mehrere Personen gleichzeitig in die Interviews einzubeziehen. Dies muss natürlich bei der Terminplanung berücksichtigt werden, vor allem wenn Ansprechpartner in anderen Organisationseinheiten tätig sind.

Je nach Größe der Projektgruppe sollten für die Durchführung der Interviews Teams mit verteilten Aufgaben gebildet werden. Es hat sich bewährt, in Gruppen mit je zwei Personen zu arbeiten, ggf. notiert eine Person Anmerkungen zu den Antworten, die andere stellt die notwendigen Fragen.

Es ist nicht zu empfehlen, bei den Interviews den Text der Maßnahmenempfehlung vorzulesen, da er für ein Zwiegespräch nicht konzipiert wurde. Deshalb ist die inhaltliche Kenntnis des Bausteins für den Interviewer notwendig, hilfsweise sollten vorher griffige Checklisten mit Stichworten erstellt werden. Um im Zweifelsfall Unstimmigkeiten klären zu können, ist es jedoch sinnvoll, den Volltext der Maßnahmen griffbereit zu haben. Während des Interviews die Antworten direkt in einen PC einzugeben, wird ebenfalls nicht empfohlen, da es alle Beteiligten ablenkt und für ungewollte Unterbrechungen der Kommunikation sorgt.

Es schafft eine entspannte, aufgelockerte und produktive Arbeitsatmosphäre, das Interview mit einleitenden Worten zu beginnen und den Zweck des Basis-Sicherheitschecks kurz vorzustellen. Es bietet sich an, mit der Maßnahmenüberschrift fortzufahren und diese kurz zu erläutern. Besser als einen Monolog zu führen ist es, dem Gegenüber die Möglichkeit zu geben, auf die bereits umgesetzten Maßnahmenteile einzugehen, und danach noch offene Punkte zu besprechen. Die Befragungstiefe richtet sich stets auf das Niveau von Standard-Sicherheitsmaßnahmen, darüber hinausgehende Aspekte hochschutzbedürftiger Anwendungen sollten erst nach Abschluss des Basis- Sicherheitschecks betrachtet werden.

Zum Abschluss jeder Maßnahme sollte den Befragten mitgeteilt werden, wie das Ergebnis ausgefallen ist (Maßnahme erfüllt: ja/nein/teilweise/prinzipiell nicht), und die Entscheidung erläutert werden.

Schritt 8: Auswertung der Interviews

Bei der Auswertung der Interviews ist es wichtig, die durch die nicht bzw. teilweise nicht umgesetzten Maßnahmen möglicherweise vorhandenen Schadenspotentiale zu betrachten, zu bewerten und zu priorisieren. Das BSI hat für jede Maßnahme als Anhaltspunkt eine Umsetzungspriorisierung vorgegeben (1 = Maßnahme ist umgehend umzusetzen, 2 = Maßnahme ist möglichst zeitnah umzusetzen, 3 = Maßnahme ist in Abhängigkeit verfügbarer Ressourcen umzusetzen). Prinzipiell bedeutet jede Lücke eine Schwachstelle, die ein Risikopotential birgt, welches bei Vorliegen bestimmter Voraussetzungen zu einem Schaden führen kann.

Es gilt festzustellen, welche Schwachstellen besonders gravierend sind, z. B. Gefahr für Leib und Leben bergen können. Weiterhin sind Schwachstellen zu identifizieren, die in Verbindung mit anderen Schwachstellen ein verstärktes Schadenspotential mit sich bringen. Auf Grundlage der Bewertung sollte eine Priorisierung vorgenommen werden, in die auch der Schutzbedarf des betroffenen IT-Systems mit einzubeziehen ist. Darüber hinaus ist in die Betrachtung einzubringen, ob im Verlauf der Interviews bereits Schadensfälle bekannt wurden, ggf. sind diese natürlich in der Priorisierung der noch zu veranlassenden Maßnahmen hoch einzustufen. Auf diese Weise ergibt sich eine Priorisierung für die Vervollständigung des IT-Grundschutzes, die sich u. U. von der vom BSI vorgeschlagenen Priorisierung unterscheidet, die jedoch die speziellen Gegebenheiten in der betrachteten Behörde bzw. im betrachteten Unternehmen berücksichtigt. Für die noch zu veranlassenden Maßnahmen sollte ein Zeitplan aufgestellt, die Verantwortlichen für die Umsetzung der Maßnahmen benannt und die entstehenden Kosten ermittelt werden.

Zu beachten ist, dass für Anwendungen mit hohem und sehr hohem Schutzbedarf allein durch die Umsetzung der Standard-Sicherheitsmaßnahmen des IT-Grundschutzhandbuchs kein ausreichendes Schutzniveau garantiert werden kann. Das BSI empfiehlt hierbei, zusätzlich zum IT-Grundschutz eine Risikoanalyse durchzuführen.

Falls der Basis-Sicherheitscheck die Grundlage für ein noch zu erstellendes IT-Sicherheitskonzept darstellen soll, ist der Einsatz des IT-Grundschutz-Tools zur Auswertung der Interviews zu empfehlen.

Schritt 9: Ergebnispräsentation

Die Ergebnisse des Basis-Sicherheitscheck sollten in anschaulicher Form zusammengeführt werden. In jedem Fall sollte eine Zusammenfassung der wichtigsten Ergebnisse innerhalb eines Management-Reports erfolgen. Die Leitungsebene ist über die größten Risiken, die durch den Basis- Sicherheitscheck aufgedeckt wurden, zu informieren. Sie hat in Bezug auf Kostenverfügungen Entscheidungen zu treffen. Besonders kritisch sind Maßnahmenempfehlungen, die Baumaßnahmen bedingen und u. U. mehrjährigen Vorlauf benötigen. Je nach Risikolage sind Zwischenlösungen zu erwägen. Außerdem sollten langfristige Ziele und Perspektiven der zu verfolgenden IT-Sicherheitsleitlinie aufgezeigt werden.

Abhängig von der Größe der Gesamtorganisation sollte zusätzlich eine Aufbereitung als Vortrag oder als Unterlage für ein Diskussions-Forum überlegt werden und eine Kurzform allen Mitarbeitern - z. B. über Intranet - zugänglich gemacht werden.

Schließlich ist festzulegen, in welcher Form eine Umsetzungskontrolle stattzufinden hat und ggf. ob und wann erneut ein Basis-Sicherheitscheck durchgeführt werden soll.