Sicherheitskonzept nach BSI-Grundschutz – Scoping und Modellierung

Unternehmen, die den IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Basis für ihr ISMS verwenden, müssen ein Sicherheitskonzept erstellen. Dabei stoßen sie oft schon im Anfangsstadium auf Schwierigkeiten. Besonders bei der Festlegung des Informationsverbundes und seines Geltungsbereichs, des sogenannten Scopings, werden Fehler begangen, die sich im Audit oder später bitter rächen können. Aber auch die auf den ersten Blick einfache Modellierung nach BSI-Grundschutz wird schnell zum Stolperstein.

Zum Glück lassen sich böse Überraschungen vermeiden. Wir haben uns mit Tatjana Brozat, Beraterin und Auditorin für Informationssicherheit und IT-Sicherheit, unterhalten, worauf es dabei ankommt.

Nicht immer ist die Entscheidung für ein Sicherheitskonzept nach BSI-IT-Grundschutz eine freiwillige. Öffentliche Einrichtungen sind durch landesweite oder übergreifende Vorgaben, zum Beispiel vom IT-Planungsrat dazu angehalten, ein solches umzusetzen. Sie erwarten dann in aller Regel von ihren externen Dienstleistern wie Rechenzentren, Software-Entwicklern und Unternehmen für die Fernwartung von IT-Diensten, dass diese ebenfalls ein Sicherheitskonzept auf Basis des IT-Grundschutzes vorlegen – zumindest für den ausgelagerten Bereich. „Immer mehr IT-Dienstleister und Software-Hersteller machen IT-Grundschutz“, konstatiert Tatjana Brozat.

Allerdings gibt es auch Unternehmen in der Privatwirtschaft, für die sich ein ISMS auf Basis des BSI-Grundschutzes anbietet. Brozat führt als Beispiel Unternehmen aus der Luft- und Raumfahrt oder der Forschung sowie Zulieferer für den militärischen Bereich an. „Im Prinzip sollten alle Unternehmen, die Projekte mit einem hohen Schutzbedarf betreiben, überlegen, den IT-Grundschutz vom BSI anzuwenden.“ Denn dieser habe im Vergleich mit der ISO 27001 einen entscheidenden Vorteil: „Der BSI-IT-Grundschutz geht mehr in die Tiefe. Er bietet konkrete Handlungsempfehlungen und technische Details, die den verantwortlichen Mitarbeiterinnen und Mitarbeitern wertvolle Orientierungshilfen an die Hand geben. Möchte ich zum Beispiel kryptografische Verfahren einsetzen, kann ich mich bei der Frage, welche Bitlängen meine Schlüssel haben sollten, sehr genau an den ergänzenden technischen Richtlinien des BSI orientieren.“

Hinzu kommt, dass der IT-Grundschutz drei alternative Vorgehensweisen anbietet: „Möchte ich eine Basisabsicherung, eine Kernabsicherung für meine Kronjuwelen oder einen ganzheitlichen Ansatz für mein gesamtes Unternehmen verfolgen?“

Unternehmen müssen sich über eines im Klaren sein, so Brozat: „Ein Sicherheitskonzept nach BSI- Grundschutz zu erstellen, kann teuer und aufwendig werden.“ Umso wichtiger sei es, sich bewusst zu machen, was man erreichen möchte. Außerdem komme es entscheidend darauf an, den richtigen Scope zu wählen.

Das sogenannte Scoping steht ganz am Anfang der Erstellung eines Sicherheitskonzeptes nach BSI-Grundschutz. Indem es den Geltungsbereich bzw. den Anwendungsbereich für das Sicherheitskonzept definiert, liefert es sozusagen das Fundament.

Dabei haben Unternehmen die Wahl zwischen zwei Herangehensweisen:

Tatjana Brozat empfiehlt besonders größeren Unternehmen, sich für die zweite Variante zu entscheiden. Sinnvoll sei es, Kernprozesse beziehungsweise wertschöpfende Prozesse mit echten Rohdaten auszuwählen und den Scope in einer Art Skizze zu visualisieren. Eine gute Fragestellung hierzu könne sein: „Womit verdiene ich mein Geld?“ Dabei sollte der Scope einerseits eine sinnvolle Größe aufweisen. Andererseits sollten sich Unternehmen nicht zu viel vornehmen. Schließlich können sie den Scope später erweitern oder ihn als Vorlage nehmen, um weitere Sicherheitskonzepte zu erstellen.

Für die Auswahl und die genaue Definition des Geltungsbereichs sollten Unternehmen mindestens drei Tage, besser mehr Zeit investieren. Zusätzlich sei es ratsam, vorher einen Workshop zu besuchen und externe Expertise hinzuzuziehen.

Der Aufwand sei es wert, denn wer beim Scoping Fehler macht, riskiere, dass

• Auditoren umfangreiche Nacharbeiten für die Zertifizierung fordern.
• das angestrebte Sicherheitsniveau nicht erreicht wird.

Beides kommt in der Realität häufig vor, wie Tatjana Brozat aus ihrer Auditorentätigkeit weiß. So passiere es immer wieder, dass relevante Dienstleister oder spezifische IT-Systeme wie Switches und deren Managementsysteme nicht erfasst werden.

Für eine erste Orientierung empfiehlt Tatjana Brozat, einen Blick auf die vom BSI veröffentlichten Beispielprofile zu werfen.

Deutlich einfacher als das Scoping erscheint im ersten Moment die sogenannte Modellierung nach BSI-Grundschutz. Tatsächlich geht es dabei in erster Linie darum, die vom BSI bereitgestellten Bausteine auf das eigene Zielobjekt anzuwenden. So gibt es zum Beispiel einen eigenen Baustein „Häuslicher Arbeitsplatz“, der zentrale Bedrohungen beziehungsweise Schwachstellen und Anforderungen in Zusammenhang mit dem HomeOffice enthält.

Allerdings lauern auch hier Fallstricke. „Für einen Laptop mit Windows 10 beispielsweise“, führt Tatjana Brozat aus, „reicht ein Baustein nicht. Hier muss ich den Baustein ‚Allgemeiner Client‘ modellieren, den herstellerspezifischen Baustein für Windows 10 und den Baustein ‚Laptop‘. Schon muss ich für eine Gruppe von Laptops drei Bausteine bewerten. Das BSI benennt zudem Vorgaben, welche Bausteine mindestens einmal in der Institution anzuwenden sind.

Ein weiterer wichtiger Aspekt im Rahmen der Sicherheitskonzeption ist die Assoziation der Objekte untereinander. Diese müssen in Form einer Kaskade miteinander verknüpft werden. Nur so lassen sich Abhängigkeiten für den Schutzbedarf und Auswirkungen von Schwachstellen abbilden.“ Um sich hier zurechtzufinden und keinen Baustein sowie kein Detail zu vergessen, rät die Expertin dazu, sich vorher in einer Schulung mit dem Thema Modellierung auseinanderzusetzen.

Letzten Endes ist das Erstellen eines Sicherheitskonzeptes beim zweiten Mal deutlich leichter als beim ersten. Vor allem in der Modellierung nach BSI-Grundschutz gewinnen Verantwortliche schnell Routine. Das Scoping bleibt eine Herausforderung, die Unternehmen nicht auf die leichte Schulter nehmen sollten. Denn an dieser Stelle stellen sie die Weichen dafür, ob sie ein ISO/IEC-27001-Zertifikat auf Basis von IT-Grundschutz erhalten und ob ihr Sicherheitskonzept für die gewünschte Sicherheit sorgt oder gefährliche Lücken offenbart.