Vorgehen nach IT-Grundschutz praktische Schritte und GS-TOOL Improving Public Internal Financial Control (PIFC) system, Audit Mechanisms and Skills, Twinning Light Project between Hungary and Germany Co-financed by the European Union

2 Vorgehen nach IT-Grundschutz  1 Strukturanalyse  2 Schutzbedarfsfeststellung  3 Modellierung nach IT-Grundschutz  4 Basis-Sicherheitscheck  5 Ergänzende Sicherheitsanalyse  6 Realisierung von IT-Sicherheitsmaßnahmen  7 IT-Grundschutzzertifikat

3 Der IT-Verbund Definition Unter einem IT-Verbund ist die Gesamtheit von  infrastrukturellen,  organisatorischen,  personellen und  technischen Komponenten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein IT-Verbund kann dabei als Ausprägung die gesamte IT einer Institution oder einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame IT-Anwen- dungen (z. B. Personalinformationssystem) gegliedert sind, umfassen.

4 Erstellung und Realisierung eines IT- Sicherheitskonzepts ca. 80% Feststellung des Schutzbedarfs IT-Strukturanalyse: Analyse des Ist-Zustands Welche Systeme und Anwendungen? IT-Grundschutzanalyse: Modellierung des IT-Verbundes (Auswahl der Maßnahmen) Basis-Sicherheitscheck (Soll-Ist-Vergleich) ergänz. Sicherheitsanalyse bei hohem Schutzbedarf Konsolidierung der Maßnahmen Realisierung der Maßnahmen ca. 20%

5 IT-Strukturanalyse Teilaufgaben  Erstellung bzw. Aktualisierung eines Netzplans (grafische Übersicht)  Komplexitätsreduktion durch Gruppenbildung  Erhebung der IT-Systeme (Tabelle)  Erfassung der IT-Anwendungen und der zugehörigen Informationen (Tabelle)

6 Erfassung der Hard- und Software… Liste aller Zielobjekte (nicht zusammengefasst) Head of Unit conference room Department „Flora“Department „KKW“ Exteral link

7 IT-Strukturanalyse Komplexitätsreduktion im Netzplan Gleichartige Komponenten sollten zu einer Gruppe zusammengefasst werden. Voraussetzungen:  gleicher Typ  gleiche oder nahezu gleiche Konfiguration  gleiche oder nahezu gleiche Netzanbindung (z. B. Anschluss am gleichen Switch)  gleiche Rahmenbedingungen (Administration und Infrastruktur)  gleiche Anwendungen

8 IT-Strukturanalyse Netzplan vereinfacht 100 x PC Client „KKW“ 20 x PC Client „Flora“ 1 x PCAdmin Database 1 x PC Admin Userberechtigungen Beispiel: Netzplan mit Gruppenbildung

9 Strukturanalyse - Praxis 1  erste Beschreibung des IT-Verbund liegt vor  Bestandsaufnahme - alle Objekte aufschreiben  Objekte ordnen und einander zuordnen  IT-Verbund wird konkretisiert

10 IT-Strukturanalyse Erhebung der IT-Systeme IT-Systeme sind nicht nur Computer, sondern auch  aktive Netzkomponenten  Netzdrucker  TK-Anlagen etc. Insbesondere sind auch  nicht vernetzte IT-Systeme und  IT-Systeme, die nicht im Netzplan enthalten sind, zu berücksichtigen.

11 IT-Strukturanalyse Darstellung der IT-Systeme notwendige Informationen Nr.BeschreibungPlattformAnzahlStandortStatusBenutzer S1ServerUnix2Serverraumin Betrieballe IT-Anwender C1Client KKWWin Büro KKWin Betrieb100 C2Client FloraWin200320Büro Florain Betrieb20 C3Admin DatabaseWin20042Büro Adminin Betrieb2 Admin C4Admin Userberechtigungen "Flora" + "KKW" Win20052Büro Adminin Betrieb2 Admin A1KKW 100Büro KKWin Betrieballe Mitarbeiter KKW

12 GS-TOOL  Zielobjekte

13 IT-Strukturanalyse Erfassung der IT-Anwendungen Diejenigen IT-Anwendungen des jeweiligen IT-Systems,  deren Daten bzw. Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen,  deren Daten bzw. Informationen und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) besitzen,  die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben, müssen erfasst werden. ò Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen.

14 IT-Strukturanalyse Beispiel: Liste der IT-Anwendungen Auszug aus der Liste der IT-Anwendungen Nr.BeschreibungPlattformAnzahlStandortStatusBenutzer A1KKW 100Büro KKWin Betrieballe Mitarbeiter KKW A2Flora 20Büro Florain Betrieballe Mitarbeiter Flora A3DB Oracle FloraOracle1Büro Adminin Betrieballe Mitarbeiter Flora

15 Strukturanalyse - Praxis 2  Liste der Objekte ordnen  Gruppen bilden  Zuordnen - Anwendung - System - Anwendung - Client - System/Client - Netzkomponente - Funktion – Telekommunikationsgerät  Anwendungen auf einem Systeme nach Priorität ordnen

16 GS-TOOL  Struktur

17 Schutzbedarfsfeststellung Teilaufgaben  Definition der Schutzbedarfskategorien  Schutzbedarfsfeststellung für  IT-Anwendungen einschließlich ihrer Daten  IT-Systeme  Kommunikationsverbindungen  IT-Räume anhand von typischen Schadensszenarien  Dokumentation der Ergebnisse

18 Schutzbedarfsfeststellung Schutzbedarfskategorien des IT-GSHB Schutzbedarf ist meist nicht quantifizierbar.  Beschränkung auf drei Kategorien

19 Schutzbedarfsfeststellung Schutzbedarfskategorien  Schutzbedarfsfeststellung erfolgt immer bezüglich der Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.  Betrachtung von typischen Schadensszenarien aus Sicht der Anwender ("Was wäre, wenn... ?")  Verstoß gegen Gesetze, Vorschriften, Verträge  Beeinträchtigung des informationellen Selbstbestimmungsrechts  Beeinträchtigung der persönlichen Unversehrtheit  Beeinträchtigung der Aufgabenerfüllung  negative Außenwirkung  finanzielle Auswirkungen  Individualisierung der Zuordnungstabelle!

20 Schutzbedarf  Definition des BSI  Individuelle Anpassung

21 Schutzbedarfsfeststellung Beispiel: IT-Anwendungen Schutzbedarfsfeststellung für die IT-Anwendungen im "Beispiel" - Ministerium Name der IT-Anwendung:Flora Schutzbedarfs- kategorie normal (BSI-Definition) - N hoch (BSI-Definition) - H sehr hoch (BSI- Definition) - S Vertr au- lichke it Integ rität Verfü g- barke it 1. Verstoß gegen Gesetze/ Vorschriften/Ver träge - Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen - Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen - Vertragsverletzungen mit hohen Konventionalstrafen - Fundamentaler Verstoß gegen Vorschriften und Gesetze - Vertragsverletzungen, deren Haftungsschäden ruinös sind NNN

22 Schutzbedarfsfeststellung IT-Systeme  Maximumprinzip Auf einem IT-System können mehrere Anwendungen laufen. Im Wesentlichen bestimmt der Schaden mit den schwerwiegendsten Auswirkungen den Schutzbedarf des IT-Systems.  Kumulationseffekt Durch Kumulation mehrerer (z.B. kleinerer) Schäden entsteht ein insgesamt höherer Gesamtschaden. Der Schutzbedarf des IT- Systems erhöht sich dann entsprechend.  Verteilungseffekt  Eine IT-Anwendung überträgt ihren hohen Schutzbedarf nicht auf ein IT-System, weil auf diesem IT-System nur unwesentliche Teile der IT-Anwendung laufen.  Bei redundanter Systemauslegung ist der Schutzbedarf der Einzelkomponenten niedriger als der Schutzbedarf der Gesamtanwendung.

23 GS-TOOL  Schutzbedarf

24 Schutzbedarfsfeststellung Kommunikationsverbindungen Folgende Kommunikationsverbindungen sind kritisch:  Außenverbindungen (1)  Übertragung von hochschutzbedürftigen Informationen  Schutzbedarf resultiert aus Vertraulichkeit (2)  Schutzbedarf resultiert aus Integrität (3)  Schutzbedarf resultiert aus Verfügbarkeit (4)  Hochschutzbedürftige Informationen dürfen auf keinen Fall übertragen werden. (5)  Verbindungen im Netzplan grafisch hervorheben  tabellarische Dokumentation

25 Modellierung nach IT-Grundschutz Nachbildung des IT-Verbunds durch Bausteine des IT-Grundschutzhandbuchs

26 GS-TOOL  Modellierung

27 Struktur des IT-Grundschutzhandbuchs Kapitel ("Bausteine") Kapitel ("Bausteine") Gefährdungskataloge Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Gefährdungskataloge Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Maßnahmenkataloge Infrastruktur Organisation Personal Hardware/Software Kommunikation Notfallvorsorge Maßnahmenkataloge Infrastruktur Organisation Personal Hardware/Software Kommunikation Notfallvorsorge

28 Schichtenmodell

29 IT-Grundschutzhandbuch Bausteine (Auswahl)

30 Lebenszykluskonzept der IT- Sicherheitsmaßnahmen

31 Basis-Sicherheitscheck IT-Grundschutz-Modell Soll-/Ist-Vergleich Maßnahmen- empfehlungen Realisierte Maßnahmen umzusetzende Maßnahmen

32 Basis-Sicherheitscheck Umsetzungsstatus Mögliche Umsetzungsstatus einzelner Maßnahmen:  "entbehrlich"  Umsetzung ist nicht notwendig, da Gefährdungen durch andere adäquate Maßnahmen entgegengewirkt wird.  nicht relevant, weil z. B. Dienste nicht aktiv  "ja"  Alle Empfehlungen sind vollständig und wirksam umgesetzt.  "teilweise"  "nein"

33 GS-TOOL  Basis- Sicherheits- Check  Check - permanent  Revision

34 Ergänzende Sicherheitsanalyse Konsolidierung der Maßnahmen IT-Grundschutzanalyse ergänzende Sicherheitsanalyse höherwertige Maßnahmen Grundschutz- maßnahmen  hoher oder sehr hoher Schutzbedarf vorliegt,  zusätzlicher Analysebedarf besteht oder  für bestimmte Aspekte kein geeigneter Baustein im IT- Grundschutzhandbuch existiert. Eine ergänzende Sicherheits- analyse ist durchzuführen, wenn Gesamtheit zu realisierender IT-Sicherheitsmaßnahmen

35 Realisierung von IT-Sicherheitsmaßnahmen I Schritt 1: Sichtung der Untersuchungsergebnisse  Welche Maßnahmen sind nicht oder nur teilweise umgesetzt? Schritt 2: Konsolidierung der Maßnahmen  Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?  Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden? Schritt 3: Kosten- und Aufwandsschätzung  Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?  Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei- bende Restrisiko für die Leitungsebene dokumentiert werden.

36 Wenige fehlende Maßnahmen? Wenig personelle oder finanzielle Ressourcen erforderlich?  Schritte 1,3,4 können entfallen Realisierung von IT-Sicherheitsmaßnahmen II Schritt 4: Festlegung der Umsetzungsreihenfolge  Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?  Breitenwirkung beachten! Schritt 5: Festlegung der Verantwortlichkeit  Wer setzt welche Maßnahme bis wann um? Schritt 6: Realisierungsbegleitende Maßnahmen  Schulung der Mitarbeiter  Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen

37 GS-TOOL Report  Kostenanalyse  Soll – Ist – Vergleich  Aktueller Stand  Reports nach Maßnahmen  Reports nach Bausteinen  Weitere Kriterien und Filter

38 GS-TOOL Report  Ausdurcken  HTML-Ausgabe  Word-Dokument

39 Webkurs IT-Grundschutz  E-Learning-Kurs zur Anwendung des IT-GSHB (Ersatz für 1 bis 2-tägige Schulung)  Zielgruppe: IT-Sicherheitsbeauftragte, die das GSHB nicht kennen und Grundschutz planen und realisieren  Schneller Einstieg durch Überblicksinformationen  Lernmodule mit Anleitungen, Beispielen, Übungen und Tests  Demonstration der Vorgehensweise anhand eines fiktiven Unternehmens  kostenloser Bezug: BSI-CD-ROM oder BSI-Webserver

40 Leitfaden IT-Sicherheit  Zielgruppe: Einsteiger, Management, eilige Leser, kleine und mittlere Unternehmen und Behörden  Idee: Die wichtigsten Fakten zur IT-Sicherheit komprimiert auf wenigen Seiten  Darstellung: nachvollziehbar, nah an der Realität  Schwerpunkt: Organisation und Prozesse, technische Hinweise, doch ohne Details  Kein "IT-Grundschutzhandbuch light"  Kurzüberblick über IT-Grundschutz und Motivation zur vertieften Beschäftigung mit IT- Sicherheit

41 Musterrichtlinien & Beispielkonzepte Übersicht über das Angebot IT-Sicherheitsleitlinie Sicherheitsrichtlinie zur IT-Nutzung Internetnutzung und Outsourcing DatensicherungNotfallvorsorgeVirenschutz Archivierung Hinweise für Administratoren Hinweise für IT-Benutzer Strategie übergreifende Anweisungen Richtlinien für einzelne Aspekte Zusammenf. für Zielgruppen 

42 Das GSTOOL ist eine Software zur Unterstützung bei der Anwendung des IT-Grundschutzhandbuches. GSTOOL Überblick Funktionalität  Erfassung von IT-Systemen, Anwendungen usw.  Schutzbedarfsfeststellung  Auswahl der Bausteine (Modellierung)  Basis-Sicherheitscheck  unterstützt die IT-Grundschutz-Zertifizierung  Kostenauswertung, Revisionsunterstützung  Berichterstellung  Informationen und Preise unter  Bezugsquelle: Download, Tool-CD und BSI-CD  30 Tage Testversion

43 IT-Grundschutz-Informationen IT-Grundschutz und Zertifizierung Telefon: IT-Grundschutz-Tool Telefon:

44 Vorgehen nach IT-Grundschutz Danke dipl. phys. Marianne Krille Hessisches Ministerium für Umwelt, ländlichen Raum und Verbraucherschutz IT-Sicherheitsbeauftragte der EU Zahlstelle Tel: 06441/ Mail: