BSI bleibt "offen für Empfehlungen zur Verbesserung der Sicherheit"

"Cloud Management und Zertifizierung von Cloud Computing nach IT-Grundschutz" war das Thema zahlreicher Vorträgeauf dem dritten IT-Grundschutztag am gestrigen Donnerstag in Berlin. Kern der Veranstaltung, die unter anderem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgerichtet wurde, war die Präsentation des neuen von Atos erstellten Grundschutzbausteins "Cloud Management". Er richtet sich an Betreiber von Cloud-Infrastrukturen und definiert allgemeine Anforderungen für den sicheren Betrieb solcher Dienste. Zusätzlich wurde für die Betreiber von Cloud-Infrastrukturen das Eckpunktepapier "Sicherheitsempfehlungen für Cloud-Computing-Anbieter" vorgestellt.

Die für viele Teilnehmer im Lichte des NSA-Skandals noch wichtiger gewordenen Fragen zur sicheren Nutzung solcher Cloud-Infrastrukturen wurden nur am Rande thematisiert. Für diese Anwender sind aber zusätzliche Grundschutzbausteine vorgesehen, zum Beispiel "Cloud-Nutzung" und "Web Services". Alle Bausteine für das Cloud Computing will das BSI als Vorabversion noch dieses Jahr bereitstellen.

Günter Welsch vom BSI erläuterte, in seinem Amt werde momentan eine weitere Annäherung an die native ISO 27001 und eine Verschlankung des IT-Grundschutzes diskutiert. Diese Gespräche sollen demnächst zusammen mit den Anwendern weitergeführt werden.

Nach dem Entwicklungsstop des GSTOOL 5, dessen Abnahme das BSI in diesem Frühjahr wegen zu vieler Fehler verweigert hatte, erwägt die Bundesbehörde nun verschiedene Vorgehensweisen – eine Fortführung der bisherigen Entwicklung oder eine Neuentwicklung des GSTOOL ist nicht darunter. Um trotzdem ein allgemeines Tool für die Pflege der Sicherheitskonzepte bereitstellen zu können, prüfen die Verantwortlichen die am Markt befindlichen Tools. Dabei würden verschiedene Alternativen abgewogen, etwa eine Bundeslizenz eines alternativen Tools. Das erst kürzlich auf Version 4.8 aktualisierte GSTOOL wird für mindestens 24 Monate die Referenz bleiben. Für andere Tools sollen Standard definiert werden, um eine Interoperabilität zu gewährleisten.

Auf das Thema der unzureichenden Verschlüsselung im aktuellen GSTOOL angesprochen, die durch den Blogbeitrag des vom BSI enttäuschten Sicherheitsforschers und Piratenmitglied Jan Schejbal Wellen schlug, sagte Welsch, dass eine solche Funktion nicht mehr nachgerüstet werden soll. Die Hinweise auf die mangelhafte Implementierung habe das BSI frühzeitig zur Kenntnis genommen, aber im Hinblick auf die seinerzeit geplante baldige Fertigstellung des GSTOOL 5 wurde auf eine Überarbeitung verzichtet. Er bezeichnete die Kommunikation mit den Sicherheitsforschern als "unglücklich", das BSI sei selbstverständlich immer offen für Empfehlungen zur Verbesserung der Sicherheit.

Die neue Ergänzungslieferung 13 soll im Oktober vorgestellt und ab November zum Download bereitgestellt werden. Mit Ungeduld erwarten die Anwender die Aktualisierung nicht zuletzt deswegen, weil in ihr unter anderem die elementaren Grundschutzbausteine für Windows Server 2008 und Windows 7 veröffentlicht werden. Die Präsentationen zu den Vorträgen des Grundschutztages sollen in den nächsten Tagen auf der Webseite des BSI verfügbar sein. (ur)