M185 - Sicherheitsmassnahmen für KMU IT
  • Intro
  • Administration
    • 🗓️Organisatorisches / Bewertung
    • Bewertung / Kompetenznachweis
  • TAG 1
    • 🏁Tagesziele
    • Einstieg IT-Security
      • 📝Aufgabe 1
      • 📝Aufgabe 2 - Vorfälle untersuchen
    • Sicherheitsstandards
      • ISO 27001 / 27002
      • Center for Internet Security (CIS)
      • NIST
      • OSSTMM
    • BSI Grundschutzkompendium
      • IT-Grundschutz
      • 📝Aufgabe 1 - Strukturanalyse
      • 📝Aufgabe 2 - Analyse / Modellierung durchführen
  • TAG 2
    • 🏁Tagesziele
    • Bedrohungen und Angriffsformen
      • Ransomware-Angriffe
      • Phishing
      • Supply Chain-Angriffe
      • Zero-Day-Exploits
      • DDos-Angriffe
      • Credential Stuffing
      • Social Engineering
    • 📝Aufgabe - HackTheBox einrichten
    • 📝Aufgabe - HackTheBox Tier 0 lösen
    • 📝Aufgabe - HackTheBox Tier 1
    • 📝Aufgabe - BSI - Gefährdungskatalog
  • TAG 3
    • 🏁Tagesziele
    • Angriffsarten auf Web-Applikationen
      • OWASP TOP 10
      • 📝Aufgabe - OWASP TOP 10
      • 📝Aufgabe - Angriffsarten
    • Mittel und Methoden
    • 📝Nachbearbeitung - HackTheBox Tier 1
    • 📝Aufgabe - HackTheBox Tier 2
  • TAG 4
    • 🏁Tagesziele
    • Sicherheitsmechanismen
      • 📝Atomkraftwerk absichern
    • Audit-Reports
    • 📝Erstellen Audit-Report
  • TAG 5
    • 🏁Tagesziele
    • Cyberattacke - was tun?
    • Meldestelle Schweiz
    • 📝Aufgabe - Checkliste
  • Laborumgebung
    • Hardware
    • HackTheBox Setup
    • Software
Powered by GitBook
On this page
  • Sicherheitsmanagement
  • Strukturanalyse
  • Schutzbedarfsfeststellung
  • Modellierung
  • IT-Grundschutz Check
  • Risikoanalyse
  • Umsetzungsplanung
  • Aufrechterhaltung und Verbesserung
  1. TAG 1
  2. BSI Grundschutzkompendium

IT-Grundschutz

PreviousBSI GrundschutzkompendiumNextAufgabe 1 - Strukturanalyse

Last updated 1 year ago

Sicherheitsmanagement

Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Massnahmen erfahrungsgemäss weder effektiv noch effizient. Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Massnahmen zielgerichtet gesteuert und überwacht werden. Ein solches Informationssicherheitsmanagementsystem (ISMS) besteht aus folgenden Komponenten:

  • Managementprinzipien Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen

  • Ressourcen und Mitarbeitern Umfasst die Steuerung des Einsatzes von Technik und Personal

  • Sicherheitsprozesse Beschreibung der Prozesse

Strukturanalyse

Die Strukturanalyse nach BSI Grundschutz ist ein Verfahren, um die Objekte zu identifizieren und zu beschreiben, die in einem Informationsverbund für die Informationssicherheit relevant sind. Ein Informationsverbund ist eine Zusammenfassung von IT-Systemen, Anwendungen, Informationen, Geschäftsprozessen und Räumlichkeiten, die einem gemeinsamen Zweck dienen.

Die Strukturanalyse gliedert sich in vier Teile:

  • Erfassung von Geschäftsprozessen und Anwendungen, die die wichtigsten Aufgaben und Informationen des Informationsverbundes darstellen.

  • Erstellung eines Netzplans, der die Kommunikationsverbindungen zwischen den IT-Systemen und anderen Komponenten zeigt.

  • Erhebung von IT-, ICS- und IoT-Systemen, die im Informationsverbund in Betrieb sind oder deren Einsatz geplant wird.

  • Erfassung betroffener Räume und Gebäude, die die räumlichen Gegebenheiten des Informationsverbundes beschreiben.

Ziel der Strukturanalyse ist es, die erforderlichen Kenntnisse zusammenzustellen und aufzubereiten, um den Schutzbedarf der Objekte zu bestimmen und angemessene Schutzmassnahmen festzulegen. Die Strukturanalyse ist der erste Schritt des IT-Grundschutz-Vorgehensmodells, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde.

Schutzbedarfsfeststellung

Die Schutzbedarfsfeststellung ist ein wichtiger Schritt im IT-Grundschutz-Vorgehensmodell, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde. Die Schutzbedarfsfeststellung hat das Ziel, den Schutzbedarf der Objekte zu bestimmen, die in einem Informationsverbund für die Informationssicherheit relevant sind. Ein Informationsverbund ist eine Zusammenfassung von IT-Systemen, Anwendungen, Informationen, Geschäftsprozessen und Räumlichkeiten, die einem gemeinsamen Zweck dienen.

Die Schutzbedarfsfeststellung basiert auf der Strukturanalyse, die die Objekte identifiziert und beschreibt. Die Objekte werden in vier Typen unterteilt:

  • Geschäftsprozesse und Anwendungen

  • IT-, ICS- und IoT-Systeme

  • Räume

  • Kommunikationsverbindungen

Für jedes Objekt wird der Schutzbedarf in Bezug auf die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit ermittelt. Dabei werden typische Schadensszenarien betrachtet, die bei einer Beeinträchtigung der Grundwerte eintreten könnten.

Der Schutzbedarf wird in drei Kategorien eingeteilt:

  • normal

  • hoch

  • sehr hoch.

Die Kategorien geben an, wie schwerwiegend die Folgen eines Schadens für den Informationsverbund oder die Organisation sind. Der Schutzbedarf kann sich auch auf andere Objekte vererben, wenn diese von dem betroffenen Objekt abhängig sind. Die Ergebnisse der Schutzbedarfsfeststellung werden dokumentiert und dienen als Grundlage für die Auswahl angemessener Sicherheitsmassnahmen.

Modellierung

Die Modellierung nach BSI ist ein Verfahren, um die Sicherheitsanforderungen für einen Informationsverbund zu bestimmen und zu dokumentieren. Ein Informationsverbund ist eine Zusammenfassung von IT-Systemen, Anwendungen, Informationen, Geschäftsprozessen und Räumlichkeiten, die einem gemeinsamen Zweck dienen. Die Modellierung basiert auf der Strukturanalyse, die die Objekte identifiziert und beschreibt, die für die Informationssicherheit relevant sind.

Die Modellierung besteht darin, die passenden IT-Grundschutz-Bausteine aus dem IT-Grundschutz-Kompendium auszuwählen und auf die Objekte anzuwenden. Die IT-Grundschutz-Bausteine beschreiben typische Sicherheitsmassnahmen für verschiedene Aspekte der Informationssicherheit, wie z.B. Organisation, Technik oder Infrastruktur. Die Bausteine sind in vier Schichten unterteilt: prozessorientiert, systemorientiert, netzorientiert und infrastrukturorientiert. Für jedes Objekt wird der Schutzbedarf in Bezug auf die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit ermittelt und entsprechend der passende Baustein ausgewählt.

Das Ergebnis der Modellierung ist ein IT-Grundschutz-Modell des Informationsverbundes, das die Sicherheitsanforderungen für alle Objekte enthält. Das Modell dient als Grundlage für die Bewertung der Sicherheit bestehender Systeme und Verfahren sowie für die Planung neuer Elemente. Die Modellierung wird geeignet dokumentiert und regelmässig überprüft und aktualisiert.

IT-Grundschutz Check

Ein IT-Grundschutz-Check ist ein Verfahren, um zu überprüfen, ob die Sicherheitsanforderungen und -massnahmen für einen Informationsverbund angemessen umgesetzt sind. Ein Informationsverbund ist eine Zusammenfassung von IT-Systemen, Anwendungen, Informationen, Geschäftsprozessen und Räumlichkeiten, die einem gemeinsamen Zweck dienen. Der IT-Grundschutz-Check basiert auf dem IT-Grundschutz-Kompendium, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben wird.

Der IT-Grundschutz-Check besteht aus vier Schritten:

  • Vorbereitung: In dieser Phase werden die Ziele, der Umfang und die Methoden des Checks festgelegt. Ausserdem werden die notwendigen Ressourcen und Dokumente beschafft.

  • Durchführung: In dieser Phase werden die Sicherheitsanforderungen aus dem IT-Grundschutz-Modell mit den tatsächlich umgesetzten Sicherheitsmassnahmen verglichen. Dabei werden verschiedene Prüfmethoden wie Interviews, Begehungen oder Tests angewendet.

  • Dokumentation: In dieser Phase werden die Ergebnisse des Checks in einem Bericht festgehalten. Der Bericht enthält eine Übersicht über den Erfüllungsgrad der Sicherheitsanforderungen, eine Bewertung der Sicherheitslage und gegebenenfalls Empfehlungen für Verbesserungsmassnahmen.

  • Nachbereitung: In dieser Phase werden die Ergebnisse des Checks mit den relevanten Stakeholdern kommuniziert und die nächsten Schritte geplant.

Der IT-Grundschutz-Check ist ein effizientes Instrument, um das erreichte Sicherheitsniveau zu identifizieren und Verbesserungsmöglichkeiten aufzuzeigen. Er kann auch als Voraussetzung für eine Zertifizierung nach IT-Grundschutz dienen.

Risikoanalyse

Eine Risikoanalyse nach BSI ist ein Verfahren, um die Sicherheitsgefährdungen und deren Auswirkungen für einen Informationsverbund zu untersuchen und zu bewerten. Ein Informationsverbund ist eine Zusammenfassung von IT-Systemen, Anwendungen, Informationen, Geschäftsprozessen und Räumlichkeiten, die einem gemeinsamen Zweck dienen. Die Risikoanalyse nach BSI basiert auf dem BSI-Standard 200-3: Risikomanagement, der eine effiziente Methodik für die Risikoanalyse bietet.

Die Risikoanalyse nach BSI besteht aus folgenden Schritten:

  • Festlegung des Analyseumfangs und der Analysemethode

  • Identifikation der Zielobjekte und ihrer Schutzbedarfe

  • Identifikation der Gefährdungen und ihrer Eintrittswahrscheinlichkeiten

  • Bewertung der Risiken und ihrer Auswirkungen

  • Entscheidung über die Risikobehandlung und die Massnahmenplanung

  • Dokumentation und Kommunikation der Ergebnisse

Die Risikoanalyse nach BSI ist ein wichtiger Teil des IT-Grundschutz-Vorgehensmodells, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde. Das IT-Grundschutz-Vorgehensmodell beschreibt, wie Institutionen ein angemessenes Sicherheitsniveau für ihre Informationsverbünde erreichen können. Die Risikoanalyse nach BSI wird angewendet, wenn die Standard-Anforderungen des IT-Grundschutzes nicht ausreichen oder nicht passen, z.B. wenn ein Zielobjekt einen hohen oder sehr hohen Schutzbedarf hat oder wenn es keine geeigneten IT-Grundschutz-Bausteine gibt.

Umsetzungsplanung

  • Massnahmen konsolidieren: In diesem Schritt werden die Sicherheitsmassnahmen aus den IT-Grundschutz-Bausteinen und den Risikoanalysen zusammengefasst und nach Typ, Schicht und Schutzbedarf sortiert.

  • Aufwände schätzen: In diesem Schritt werden die Kosten, der Zeitaufwand und der Nutzen der Sicherheitsmassnahmen abgeschätzt und bewertet.

  • Umsetzungsreihenfolge und Verantwortlichkeit bestimmen: In diesem Schritt wird eine sinnvolle Reihenfolge für die Umsetzung der Sicherheitsmassnahmen festgelegt, basierend auf den Prioritäten, den Abhängigkeiten und den Ressourcen. Ausserdem werden die Zuständigkeiten für die Umsetzung zugewiesen.

  • Begleitende Massnahmen planen: In diesem Schritt werden weitere Massnahmen geplant, die die Umsetzung unterstützen oder ergänzen, wie z.B. Schulungen, Kommunikation oder Kontrollen.

Die Umsetzungsplanung dient dazu, die Sicherheitslücken im Informationsverbund wirksam und effizient zu schliessen. Sie sollte geeignet dokumentiert und regelmässig überprüft und aktualisiert werden.

Aufrechterhaltung und Verbesserung

Das ist ein wichtiges Thema, denn Informationssicherheit ist kein statischer Zustand, sondern ein dynamischer Prozess, der ständig an neue Herausforderungen angepasst werden muss. Hier sind einige nützliche Informationen, die ich für Sie gefunden habe:

  • Die Aufrechterhaltung und Verbesserung der Informationssicherheit ist auch eine der Phasen des Sicherheitsprozesses nach IT-Grundschutz. In dieser Phase werden die Sicherheitsmassnahmen regelmässig kontrolliert, bewertet und optimiert. Dabei werden auch neue Anforderungen, Risiken und Veränderungen berücksichtigt.

  • Ein hilfreiches Instrument zur Bewertung und Verbesserung der Informationssicherheit sind Reifegradmodelle. Diese Modelle beschreiben verschiedene Stufen der Entwicklung und Reife von Sicherheitsprozessen und -massnahmen. Sie können als Orientierungshilfe oder als Benchmark dienen.

  • Eine Möglichkeit, das erreichte Sicherheitsniveau nach aussen zu demonstrieren, ist eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz. Diese Zertifizierung belegt, dass ein angemessenes Informationssicherheitsmanagement eingerichtet ist und die IT-Grundschutz-Anforderungen erfüllt sind. Die Zertifizierung erfolgt durch eine unabhängige Zertifizierungsstelle nach einem festgelegten Verfahren

Link zu BSI

Die Umsetzungsplanung nach BSI ist ein Verfahren, um die Sicherheitsmassnahmen zu planen und zu priorisieren, die für einen Informationsverbund erforderlich sind. Ein Informationsverbund ist eine Zusammenfassung von IT-Systemen, Anwendungen, Informationen, Geschäftsprozessen und Räumlichkeiten, die einem gemeinsamen Zweck dienen. Die Umsetzungsplanung basiert auf der Modellierung, die die Sicherheitsanforderungen für die Objekte des Informationsverbundes bestimmt.

Die Umsetzungsplanung besteht aus folgenden Schritten:

Bausteine
1
2
3
Komponenten eines ISMS