Die neue Basis für Grundschutz-Zertifizierungen

Da die 14. Ergänzungslieferung des IT-Grundschutz-Katalogs nur bis zum 30.11.2016 gültig ist, wird die im April 2016 veröffentlichte 15. Ergänzungslieferung (PDF) ab dem 1.12.2016 zertifizierungsrelevant. Das heißt, alle Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz werden nur noch unter Berücksichtigung dieser überarbeiteten und erweiterten Spezifikation durchgeführt (siehe Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz). Als Admin tut man folglich gut daran, zumindest einen Blick auf die wichtigen Neuerungen zu werfen.

Viele Gefährdungen und Maßnahmen aus den IT-Grundschutz-Katalogen wurden im Rahmen der 15. Ergänzung grundsätzlich an neue technische Entwicklungen, aber auch an neue Bedrohungsszenarien und Entwicklungen in der Informationssicherheit angepasst. Strukturelle Veränderungen erfolgten dabei aber nicht, so dass sich auch die Nummerierungen der bestehenden Gefährdungen und Maßnahmen nicht verändert haben. Sicherheitskonzepte, die auf der bisherigen Basis erarbeitet wurden, müssen also nicht komplett umgewandelt werden.

Überarbeitete Netz-Spezifikationen

Das BSI führt eine jährliche Bedarfsabfrage bei allen registrierten Anwendern des IT-Grundschutz durch. Auf dieser Basis werden neue Bausteine entwickelt, aber auch bestehende Bausteine überarbeitet. Dieses Mal wurden zwei Bausteine überarbeitet. B 4.1 Lokale Netze beschreibt, wie man Rahmenbedingungen eines lokalen Netzes analysiert und diese daraufhin unter Sicherheitsgesichtspunkten konzipiert und betreibt. Vor allem werden dabei netzspezifische Aspekte wie eine geeignete Segmentierung, die Auswahl einer geeigneten Topologie, sowie die Bildung von Teilnetzen betrachtet. Bei B 4.2 Netz- und Systemmanagement hingegen geht es eher um den Aufbau eines Netz- und Systemmanagementsystems, dessen Anforderungen, Aufbau und sicherer Betrieb aufgezeigt werden.

Neue Bausteine im Überblick

Komplett neu sind insgesamt 5 Bausteine. B 3.213 wurde entwickelt, da Clients unter Windows 8 inzwischen auch immer öfter Einzug in die zu zertifizierenden Verbünde halten. Administratoren dürfte hierbei interessieren, dass sowohl Windows 8 als auch 8.1 im Baustein Berücksichtigung finden, da sowohl konzeptionelle Sicherheitsaspekte als auch Sicherheitsempfehlungen zu konkreten Konfigurationseinstellungen aufgezeigt werden.

Im ebenfalls neuen Baustein B 1.18 Identitäts- und Berechtigungsmanagement wurden alle Maßnahmen und Gefährdungen aus dem IT-Grundschutz zu diesem eigenständigen Baustein zusammengeführt. Dabei wurden insbesondere die notwendigen Prozesse für die Einführung geeigneter Zutritts-, Zugangs- und Zugriffsberechtigungen beschrieben.

Der Baustein B 3.407 Eingebettetes System ist so aufgebaut, dass er für ein sehr breites Spektrum an eingebetteten Systemen eingesetzt werden kann. Das reicht vom einfachen Haushaltsgerät bis hin zu vernetzten Geräten der Medizintechnik. Dabei hat das BSI die besonderen Gefahren für Embedded Systeme herausgearbeitet und mit entsprechenden Maßnahmen beantwortet.

Der Baustein B 5.26 Serviceorientierte Architektur (SOA) beschäftigt sich mit verteilten Diensten und deren Gefahrenpotential. Die aufgezeigten Maßnahmen decken dabei die sichere Anwendung und Implementierung einer SOA ab und berücksichtigen dabei auch den Schutz einzelner Informationsobjekte.

Mit dem neuen Baustein B 5.27 Software-Entwicklung kommen jetzt auch die Entwickler nicht mehr zu kurz. Im Baustein wird sowohl die eigene Softwareentwicklung aber auch die Beauftragung von Auftragnehmern berücksichtigt. Dabei finden nicht nur die Informationssicherheit bei der Software-Entwicklung sondern auch alle organisatorischen und praktischen Aspekte Berücksichtigung. (ju)