zurück zum Artikel

Mit der Verbreitung von Containern gerät deren Sicherheit in den Fokus. Das BSI erweitert daher sein IT-Grundschutz-Kompendium um einen Container-Baustein.

Behörden und Firmen in Deutschland setzen Container inzwischen strategisch ein. Das BSI hat daher den Entwurf eines Bausteins für das Grundschutz-Kompendium veröffentlicht. Dieser gibt den Nutzern einen Leitfaden an die Hand, wie sie Container sicher und zuverlässig einsetzen. Nutzer des BSI-Kompendiums können den Entwurf kommentieren, bevor ihn die nächste Version aufnimmt und er für Zertifizierungen relevant wird.

Wie alle Bausteine seit der Novellierung des IT-Grundschutzes [1] [1] im August 2017 gliedert sich dieser Baustein in die Stufen Basis, Standard und Erhöht. Er enthält auf jeder Stufe Anforderungen, die das BSI für den Betrieb von Containern für notwendig erachtet. Zu jedem Baustein gehört außerdem eine Kreuzreferenz, die zeigt, welche Anforderung welches Risiko abdeckt. Zu Beginn einer Zertifizierung im Rahmen des IT-Grundschutzes etwa steht eine Risikoanalyse, aus der sich ergibt, welche Anforderungen zu erfüllen sind.

[2] [2]

Bei der Novellierung hat das BSI das Vorgehen zur Risikoanalyse stark vereinfacht. Der Gefährdungskatalog enthält 47 Gefährdungen, die für alle IT-Landschaften zu beachten sind. Dies reicht von physischen Risiken wie Hochwasser über Fehler der Anwender bis hin zum Angriff. Außerdem enthält jeder Baustein spezifische Gefährdungen. Bei Containern sind dies vor allem Schwachstellen in Images, ungesicherte administrative Zugänge, potenzielle Schwachstellen der Orchestrierung, fehlende Persistenz und die Verwaltung von Zugangsdaten. Ein weiteres wichtiges Thema ist die Separierung der Anwendungen und eventuell der Mandanten.

URL dieses Artikels:
https://www.heise.de/-4220176

Links in diesem Artikel:
[1] https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzAbout/IT-Grundschutz-Modernisierung/itgrundschutz_modernisierung_node.html
[2] https://www.heise.de/ix/

Copyright © 2018 Heise Medien