Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Auch für die Großen

IT-Grundschutz-Zertifizierung

Auch für die Großen

26. September 2007, 12:35 Uhr |

Hartnäckig halten sich Vorurteile, das IT-Grundschutz-Zertifikat des BSI sei schwerfällig, nicht auf aktuelle technische Verfahren zugeschnitten und nur für überschaubare IT-Landschaften geeignet. Die Zertifizierung der IT-Verbünde zweier Rechenzentren hat nun gezeigt: Auch auf hochkomplexe IT-Strukturen lässt sich das IT-Grundschutzverfahren anwenden – und zwar reibungslos und schnell.

Eine wesentliche Methode erfahrener Grundschutz-Auditoren ist die Gruppenbildung der zu betrachtenden Objekte im IT-Verbund.

Ziel des IT-Grundschutz-Zertifikats ist es, auf Basis des BSI-Grundschutz-Handbuches, den erreichten Stand an IT-Sicherheit innerhalb einer Organisation nach außen transparent darstellen zu können – und damit den Unternehmen ein praxisnahes und umfassendes Sicherheitszertifikat als Gütesiegel anzubieten. Die Überprüfung umfasst Organisation, Personal, IT und Infrastruktur und bezieht sich auf die drei Sicherheitsaspekte Verfügbarkeit, Vertraulichkeit und Integrität in einem ausgewählten IT-Verbund eines Unternehmens. Das Zertifikat schließt damit eine entscheidende

Lücke: Während beispielsweise die managementorientierte BS-7799-Methodik hauptsächlich die Etablierung der oberen Hierarchien im Unternehmen erfasst, überprüft das IT-Grundschutz-Zertifikat auch, ob die Mitarbeiter richtig geschult werden und Räume und Türen genügend lange gegen Feuer und Rauch geschützt sind. Dennoch oder gerade wegen seines umfassenden Ansatzes haftet dem Zertifikat der Ruf an, nur für überschaubare IT-Landschaften geeignet zu sein. Zu aufwändig sei die Überprüfung großer Strukturen anhand der mittlerweile 60 im Grundschutz-Handbuch vorgegebenen Bausteine mit zum Teil umfassenden Maßnahmenkatalogen. Zu langwierig deren Anwendung auf Hunderte oder Tausende einzelner IT-Einheiten. Weitere Kritikpunkte: Aktuelle Techniken wie Windows-XP oder WLAN könnten nicht berücksichtigt werden und Kosten und Zeitaufwand des Auditierungsverfahrens seien unüberschaubar.

Diese Vorurteile wurden nun durch die Zertifizierungen zweier Rechenzentren widerlegt. Die jüngste der beiden Auszeichnungen erfolgte auf der CeBIT, dort nahm der Leiter des Geschäftsbereichs Hosting der SAP Systems Integration (SAP SI), Uwe Ripprich, das Zertifikat aus den Händen des BSI-Präsidenten Udo Helmbrecht entgegen. Das Untersuchungsgebiet bei SAP SI umfasste das System-Management und -Monitoring von der Kundenschnittstelle über Backbone-, Router- und Firewallstrukturen bis hin zum Application-Hosting auf rund 400 Servern in drei hochverfügbaren Rechenzentren.

Bereits im Oktober vergangenen Jahres war der Geschäftsbereich Application Hosting der TDS Informationstechnologie in Neckarsulm, einem weiteren großen SAP-Hoster, erfolgreich vorbereitet und geprüft worden. Hier werden etwa 800 Server, 330 Router und Switches sowie 30 Firewalls und Load-Balancer überwacht und verwaltet.

Zahlenmäßig musste in beiden Fällen eine deutlich umfangreichere Struktur betrachtet werden als in den bisherigen Zertifizierungen des BSI. Angesichts der hohen Anteile an Routern und Switches kam die Frage hinzu, ob ein entsprechender Baustein herangezogen werden müsste, der allerdings nur als Entwurf vorlag. Ebenso musste geklärt werden, ob eine Überprüfung des IT-Verbunds ohne einen SAP-Baustein mit dem aktuellen Grundschutzhandbuch möglich war. Herausforderungen, die den zeitlichen Rahmen und das erfolgreiche Gelingen einer Auditierung leicht ins Wanken bringen könnten.

Für eine zeitlich straffe, überschaubare und schließlich erfolgreiche Auditierung der beiden Rechenzentren war es daher entscheidend, dass folgende Punkte konsequent berücksichtigt wurden:

  • Das Zwei-Auditoren-Modell,

  • Komplexitätsreduzierung durch Gruppenbildung,

  • genaue Vorbereitung mittels Basis-Sicherheitscheck sowie

  • werkzeuggestützte Auditierung.

Wie schon bei früheren Projekten hat sich auch bei der Auditierung der SAP SI und TDS das sogenannte Zwei-Auditoren-Modell bewährt. Das Prinzip: Da der mit der Zertifizierung beauftragte Auditor innerhalb der vergangenen zwei Jahre in dem zu zertifizierenden Unternehmen nicht beratend tätig gewesen sein darf, bereitet ein zweiter Auditor das Unternehmen auf das Zertifikat vor. Das beschleunigt den Zertifizierungsprozess erheblich. Unnötige Unterbrechungen und Nachprüfungen, wie sie bei einer Vorbereitung ohne lizenzierten Auditor häufig vorkommen, können vermieden werden. Sowohl das SAP-SI-Projekt als auch die Zertifizierung der TDS wurde von den beiden Auditoren der Infodas aus Köln, Gerhard Weck und Frank Reiländer, mit weiterer Unterstützung des Leiters Consulting der Infodas, Detlef Krings, betreut.

Angefangen mit der Eingrenzung des zu untersuchenden Bereichs und der Schutzbedarfsstellung begleiteten Gerhard Weck und Detlef Krings die TDS und Frank Reiländer die SAP SI durch den gesamten Grundschutz-Vorgang. In beiden Fällen entsprach die Abgrenzung des IT-Verbunds logisch und organisatorisch der Struktur und den Aufgaben des Geschäftsbereichs Application-Hosting innerhalb der Unternehmen, so dass es möglich war, eine Kundensicht auf den IT-Verbund und damit auf die verwendeten Bausteine des IT-Grundschutzes zu projizieren. Das Leitmotiv der Auditierungen waren somit fiktive Kundenfragen zur Sicherheit der Daten: Wie sind Vertraulichkeit, Integrität und Verfügbarkeit der ausgelagerten Daten sichergestellt? Wie werden Zutritt, Zugang und Zugriff auf die Daten konkret geschützt?

Die vorbereitenden Auditoren mussten auch klären, ob der hohe Anteil an Routern und Switches erfordert, dass ein Baustein »Router und Switches« zur Zertifizierung der Netzanteile des IT-Verbundes herangezogen werden müsse. Nach einer Grobanalyse wurde diese Frage in Abstimmung mit dem zuständigen Grundschutzreferat geklärt. Für die Überprüfung der Router und Switches kann auch der Baustein »Heterogene Netze« eingesetzt werden. Hier wird unter anderem aufgezeigt, wie eine geeignete Segmentierung des Netzes vorgenommen und wie ein Netzmanagement-System geplant und umgesetzt wird.

Ebenso musste geprüft werden, ob eine Zertifizierung des IT-Verbunds ohne einen SAP-Baustein mit dem aktuellen Grundschutzhandbuch möglich ist. Zwei Aspekte sprachen eindeutig dafür: Der IT-Verbund ist nicht substanziell abhängig vom Betrieb der SAP-Anwendungen. Die SAP-Komponenten sind einige von zahlreichen Anwendungen im IT-Verbund. Sie unterstützen keine organisationsinternen Geschäftsprozesse.

Ein Gegenbeispiel wäre der Versuch, einen Auftragsdienstleister für Personaldatenverarbeitung und Gehaltsabrechnung zu zertifizieren, dessen IT ausschließlich mit Unterstützung der entsprechenden SAP-Module arbeitet. Die SAP-Anwendungen besitzen keinen sehr hohen Schutzbedarf, so dass sich das Grundschutzhandbuch ohne originären SAP-Baustein anwenden lässt. Die Bausteine Hard- und Software, Standardsoftware und Datenbanken stellen zusammen eine hinreichende Abbildung dar. Dies traf auch für die Auditierung bei SAP SI zu.

Eine wesentliche Methode erfahrener Grundschutz-Auditoren ist die Gruppenbildung der zu betrachtenden Objekte im IT-Verbund. Mit ihrer Hilfe kann der Umfang sehr komplexer Strukturen reduziert werden. Sie ist somit ein entscheidender Schlüssel für den Erfolg bei den Zertifizierungen der beiden Rechenzentren. Alle Rechner, die technisch oder von ihren Sicherheitsanforderungen gleich waren, werden dabei als ein Untersuchungsobjekt zusammengefasst. Da es für einen Informationstreuhänder – insbesondere für einen externen Auftragsdienstleister – selten transparent ist, welche expliziten Daten verarbeitet werden, müssen sie als Black-Box betrachtet werden, deren Schutzbedarf sich nicht zweifelsfrei bestimmen lässt. Er kann jedoch mit Hilfe von Merkmalen hinreichend angenähert werden: Aus Service-Level-Agreements (SLAs) lassen sich Verfügbarkeitsanforderungen ableiten. Dedizierte SAP-Module wie HR oder IS-H Med dienen zur Verarbeitung personenbezogener Daten. Hohe Anforderungen hinsichtlich Vertraulichkeit und Integrität sind hier angemessen. Die Korrektheit der Gruppenbildung war somit unter anderem auch anhand der SLAs zu überprüfen. Bei einem Outsourcing-Dienstleister sind solche Merkmale typischerweise kundenbezogen gespeichert und leicht zu überprüfen.

Bei SAP SI erleichterte zudem ein zentrales Managementsystem aller Rechner die Gruppenbildung erheblich. Die Kunden-Server konnten schließlich in nur vier Gruppen zusammengefasst werden: Unix-Rechner mit hohem beziehungsweise niedrigem Schutzbedarf und Windows-Rechner mit hohem beziehungsweise niedrigem Schutzbedarf. Die Gruppenbildung stellt somit eine enorme Arbeitsersparnis dar, die bei vielen Überprüfungen ohne begleitenden Auditor nicht bedacht wird.

Entscheidend für den reibungslosen Ablauf der Auditierung ist schließlich der Basis-Sicherheitscheck. Er macht deutlich welche Schwachpunkte es im Unternehmen bezüglich der Sicherheit gibt und bietet so als Organisationsinstrument einen schnellen Überblick über das vorhandene IT-Sicherheitsniveau. Mit Hilfe von Interviews wird der Status Quo eines bestehenden IT-Verbunds in Bezug auf den Umsetzungsgrad von Sicherheitsmaßnahmen des IT-Grundschutzhandbuchs ermittelt. Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Maßnahme der Umsetzungsstatus »entbehrlich«, »ja«, »teilweise« oder »nein« erfasst ist. Durch die Identifizierung von noch nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt. Der Basis-Sicherheitscheck sollte daher mit eben solcher Genauigkeit durchgeführt werden wie die spätere Auditierung. Wiederholte Nachprüfungen werden damit vermieden.

Im Oktober 2003 erstellte Frank Reiländer bei SAP SI die Erhebung bezüglich des Sicherheitsstandards anhand von 29 der insgesamt 60 Bausteine und deren Maßnahmen. Die Fragen bezogen sich auf alle für den IT-Verbund relevanten Bausteine: Vom Personal über den Virenschutz, die Sicherheit der Infrastruktur und das Netz- und Systemmanagement. Nach vier Tagen lag das Ergebnis vor: Im Schnitt wurden auf Anhieb die Anforderungen zu 93 Prozent erfüllt. Nach der Ergänzung von Dokumentationen waren bis Januar 2004 die 100 Prozent erreicht. Damit war klar, dass die Zertifizierung erfolgreich sein würde.

Durch das Ausschließen weiterer Nachprüfungen kann das Projekt in einem kalkulierbaren finanziellen und zeitlichen Rahmen gehalten werden. Im übrigen wurde bereits nach Feststellung der Machbarkeit des Projektes der Aufwand durch die Auditoren skizziert und in ein formales Angebot eingeführt – mit klar umrissenen Leistungen und Kosten. Der minimal benötigte Aufwand ist auf Basis langjähriger Erfahrung mit IT-Grundschutz-Erhebungen und den detaillierten im Prüfschema beschriebenen Schritten als verlässlich einzuschätzen.

Zur weiteren Beschleunigung der Auditierung und zur Förderung eines durchgängigen Prozesses sowie einer klaren Abbildung der Rollentrennung zwischen Institution, Prüfer und Zertifizierer, trägt der Einsatz einer speziellen Auditierungs-Software bei. Hier wird der Umsatzstatus vermerkt, der für jede Maßnahme in der Erhebung definiert wird. Dies ermöglicht nicht nur den schnelleren Ablauf des Basis-Sicherheits-Checks. Die Prüfergebnisse können zudem transparent dargestellt und unmittelbar für das Zertifizierungsaudit genutzt werden. Bei der TDS- und der SAP-SI-Auditierung kam die von der Infodas entwickelte IT-Sicherheitsdatenbank »SAVe« zum Einsatz.

Für das eigentliche Audit waren sowohl die TDS als auch SAP SI nach der Vorbereitungszeit perfekt gerüstet. Der zweite Auditor konnte nun mit der Überprüfung beginnen. Bei der IT-Strukturanalyse überprüfte er unter anderem, ob alle Komponenten im bereinigten Netzplan einen eindeutigen Bezeichner aufweisen und auch in der Liste der IT-Systeme aufgeführt sind. Dies ist auch bei einem älteren Datenbestand unkritisch, so lange dieser konsistent ist. Die Aktualität des Netzplans wird bei der Inspektion vor Ort verifiziert.

Die Verifikation der Liste der IT-Systeme erfolgt anhand von genau zehn Stichproben. Der Auditor überprüft die Eigenschaften der Systeme am realen Objekt. Es lässt sich dabei schnell feststellen, ob die Hardware des Systems oder auch das Betriebssystem den Angaben des Basis-Sicherheitschecks entspricht. Dies gilt – unter Voraussetzung entsprechender Kenntnis des Auditors – auch für TK-, Netz- und Firewall-Komponenten.

Die Verifikation des Basis-Sicherheitschecks ist schließlich der zentrale Punkt des Zertifizierungsaudits. Der Auditor wählt hier – als verpflichtende Vorgabe – eine Bausteinzuordnung des IT-Sicherheitsmanagements aus. Fünf weitere Bausteinzuordnungen beziehen sich auf das Schichtenmodell des Grundschutzhandbuchs: Aus jeder Schicht ist ein Baustein vollständig zu prüfen. Anschließend wählt der Auditor noch vier weitere Bausteinzuordnungen unabhängig von ihrer Schichtzuordnung aus, so dass insgesamt zehn Stichproben gezogen werden.

Innerhalb von drei Tagen hatte man schließlich bei der SAP SI alle Dokumente überprüft und die Stichproben durchgeführt. Ausgewählt hatte Gerhard Weck die Bausteine »Rechenzentrum«, »Windows 2000 Server«, »Behandlung von Sicherheitsvorfällen« und »Datenbanken«. Motiviert wurde die Auswahl zum einen durch die im Basis-Sicherheitscheck aufgezeigten Mängel bestimmter Bausteine und zweitens durch die besondere Wichtigkeit eines Untersuchungsgegenstandes für den Verbund.

So stellen die Rechenzentrumsräume das Herzstück des Application-Hosting dar. Hier müssen sich die hohen Anforderungen hinsichtlich Verfügbarkeit sowie die Maßnahmen zur Gewährleistung der Integrität und Vertraulichkeit adäquat widerspiegeln. Da SAP-Anwendungen in hohem Maße datenbankgestützt arbeiten, war auch dieser Baustein in beiden Projekten essenziell. Durch die Anwendung des Bausteins sollen vor allem die Maßnahmen zur Konfigurations- und Integritätssicherung der SAP-Daten und Anwendungen im Rahmen des Audits dediziert bewertet werden. Die Stichproben ergaben schließlich eine Umsetzung von 100 Prozent, mit sehr leichten Abweichungen bei nur einzelnen Bausteinen. Im März – sechs Monate nach Beginn der Vorbereitungen – konnte das Zertifikat auf der CeBIT überreicht werden.

Die beschriebenen Zertifizierungen zeigen: Auch komplexe IT-Verbünde sind schnell und ohne Komplikationen für ein IT-Grundschutz-Zertifikat zu prüfen, wenn erfahrene Auditoren den Prozess von Anfang an begleiten. Erleichtert hat den Prozess auch, dass die beiden untersuchten IT-Verbünde bereits über eine sehr gute und vor allem aktuelle Dokumentation ihrer Strukturen verfügten. Im anderen Falle wäre allerdings auch eine Vergabe der BS 7799 kaum zu erwarten. Auch der Vorwurf, aktuelle Techniken ließen sich nicht einbeziehen, trifft ganz und gar nicht zu. Denn: Für die Behandlung veralteter Bausteine gibt es Maßnahmeempfehlungen. So lassen sich die Maßnahmen für Windows-2000 auch auf Windows-2003 und -XP anwenden und die für Netware 4.x auf Netware 5.x./6.x. WLAN wird mit der nächsten Aktualisierung des Handbuches berücksichtigt, ebenso Router und Switches. Was die Redundanz betrifft: Infodas arbeitet derzeit für das BSI an der Reduzierung von Redundanzen im IT-Grundschutz-Handbuch. Das Ergebnis ist in das Grundschutz-Handbuch eingeflossen. Eva Wagenbach

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Securepoint GmbH

Securepoint GmbH
nexspace data centers GmbH

nexspace data centers GmbH
elektrofachkraft.de

elektrofachkraft.de
HP Deutschland GmbH

HP Deutschland GmbH
Panduit

Panduit

AfB gemeinnützige GmbH

AfB gemeinnützige GmbH