1 166 IT-Grundschutz modellieren
Gliederung des IT Grundschutzhandbuchs
166 IT-
Grundschutz
modellieren
Zusammenfassung
Ziel des IT-Grundschutz
Ziel des IT-Grundschutzes ist, durch geeignete
Anwendung von Standard-
Sicherheitsmassnahmen für die eingesetzten
IT-Systeme ein Sicherheitsniveau zu errei-
chen, das für normalen Schutzbedarf ange-
messen ist.
Was ist der Inhalt des Grundschutzhand-
buchs?
Das GSHB ist ein Baukastensystem aus Schich-
ten und Bausteinen.
Das GSHB strukturiert die
IT-Systeme, IT-Einsatzgebiete und Empfehlungen
nach dem Baukastenprinzip.
Das erleichtert die Analysen und unterstützt das
Auffinden vordefinierter Massnahmen.
Der Aufbau eines IT-Grunschutzes besteht
aus folgendem Vorgehen
 Systemanalyse
 Schutzbedarfes-Feststellung
 Modellieren des Grundschutzes
 Basis-Sicherheitschecks
 Ergänzende Sicherheitsmassnahmen
ISO/IEC 17799
Ist eine Sammlung von Massnahmen nach dem
"Best Practice"-Ansatz
IT Strukturanalyse
 1. Netzplanerhebung
 2. Gruppenbildung
 3. Erhebung der Komponenten
 4. Erhebung der Applikationen
 5. Erhebung der Systeme
pro Applikation
Bernhard Tinner
1) Kapitel 1 = Wegweiser durch das IT-
Grundschutzhandbuch
2) Kapitel 2 = Anwendung des IT-
Grundschutzhandbuchs
3) restliche Kapitel die Bausteine, mit deren
Hilfe das Sicherheitskonzept entwickelt und
überprüft werden kann
4) Gefährdungskataloge mit möglichen Scha-
densszenarien
5) Massnahmenkataloge mit Empfehlungen für
techn. Und org. Sicherheitsmassnahmen
6) Anhang mit ergänzenden Informationen,
Checklisten & Hilfsmitteln
Das Grundschutzhandbuch besteht aus Kata-
logen mit folgenden Bereichen
 Infrastruktur
 Organisation
 Personal
 Hard- & Software
 Kommunikation
 Notfallvorsorge
Prozess der Schutzbedarfsfeststellung
1. Festlegung der Schutzbedarfskategorien
2. Prüfen der Auswirkungen bei Verlust von Ver-
fügbarkeit, Vertraulichkeit und Integrität
3. Ableiten der Schutzbedarfs für betroffene
IT-Systeme
4. Ableitung der Kommunikationsverbindungen
(von und zu den Systemen)
5. Ableiten des Schutzbedarfs der Räume, in
welchen die Systeme betrieben werden
Grundschutzmodellierung
Jede IT-Komponente entspricht einer oder meh-
reren Komponenten aus dem Grundschutzhand-
buch.
5. September 2009
2 166 IT-Grundschutz modellieren
Basis Sicherheitscheck
 Der Basis-Sicherheitscheck verglicht die emp-
fohlenen mit den realisierten Sicherheits-
massnahmen.
 Die Abweichungen werden im Realisierungs-
plan festgehalten.
Aufbau
Gesetze
Das Datenschutzgesetz hat folgende Aufga-
ben:
Datensammlungen mit:
 Daten zu religiösen, weltanschaulichen,
politischen und gewerkschaftlichen Aus-
richtung / Tätigkeit
 Gesundheitdaten
 Daten zur Intimsphäre
 Daten zur Rassenzugehörigkeit
 Daten zu Massnamen der sozialen Hilfe
 Daten zu administrativen & strafrechtlichen
Verfolgungen und Sanktionen
Bernhard Tinner
Schutzbedarfskategorien
Kategorie Bedeutung
Normal Standard-Sicherheitsmassnahmen
nach IT-Grundschutz sind im Allge-
meinen ausreichend und angemes-
sen.
Hoch Standard-Sicherheitsmassnahmen
nach IT-Grundschutz bilden einen
Basisschutz, sind aber unter um-
ständen alleine nicht ausreichend.
Weitergehende Massnahmen können
auf Basis einer ergänzenden Si-
cherheitsanalyse ermittelt werden
Sehr hoch Standard-Sicherheitsmassnahmen
nach IT-Grundschutz bilden einen
Basisschutz, reichen aber alleine
nicht aus.
Die erforderlichen zusätzlichen
Sicherheitsmassnahmen müssen
individuell auf der Grundlage einer
ergänzenden Sicherheitsanalyse
ermittelt werden.
Was ist das Strafgesetzbuch (StGB)
Gibt Hinweise über die rechtliche Verantwort-
lichkeit bei der Verwendung und Aufbewahrung
von Informationen und Daten (Beweisführung)
Bestimmt, dass der Geschädigte nachweisen
können muss, dass Schutzmassnahmen getroffen
wurden und die Sorgfaltspflicht nicht verletzt
wurde.
5. September 2009
3 166 IT-Grundschutz modellieren

Verbindlichkeit
Schutzmassnahmen in Bezug auf:
Es gelten dabei folgende Aspekte:
Begriff Bedeutung  Einhaltung der vertraglichen und gesetzli-
Vertraulichkeit bedeutet, dass nur berechtigte chen Bedingungen
Personen auf vertrauliche Da-  Anerkennung des Empfangs von Informatio-
ten und Informationen Zugriff nen
haben  Nachweisbarkeit von Kommunikationsvorgän-
Verfügbarkeit Darunter versteht man z.B. die gen
Wartezeit auf Systemfunktio-  Juristische Akzeptanz (Rechtsverbindlichkeit)
nen (responce time) oder die
Datenverarbeitungs-
geschwindigkeit (transaction
time)
Integrität bedeutet, dass eine Informati-
on vollständig, unverfälscht
und korrekt sein muss.
Verbindlichkeit Verbindlichkeit bedeutet, dass
eine Abmachung bzw. ein Ver-
trag verbindlich sein muss.

Bedro- Beispiele
Bedrohungen hung
Bedro- Beispiele Orgnisa-  Konzepte
hung torische  Schaffen von neuen Stellen und
Höhere  Unterbrechungsfreie Stromver- Mängel Funktionen innerhalb einer Or-
Gewalt sorgung ganisation
 Brandschutzeinrichtungen (inkl.  Zuordnung von Aufgaben und
Alamierung) Verantwortlichkeiten
 Aufgeräumte Rechenzentren  Sicherheits-Policy
 Klimaeinrichtungen  Weisungen
Men-  Schulung (Sicherheit beginnt im
schliches Kopf)
Versagen  Sichere Applikationsfunktionen Massnahmen gegen Bedrohungen
zur Verhinderung von Fehlmani- Bedrohung Massnahmen
pulationen der  Bauliche Massnahmen
 Umfangreiche Testszenarien Infrastruktur  Zutrittsschutz
 Restriktive Zugangskontrolle  Überwachung
 Stellvertreterregelung durch  Schulung
Tech-  Vermeidung von Redundanzen Personal  Weisungen
nisches  Wartungsverträge der  Strategien
Versagen  Intensive Testszenarien und Ab- Organisation  Abläufe
nahmeverfahren  Konzepte
 Notfallkonzept der Hard- &  Zugriffsverfahren
Vorsätzlic  Physische Zutrittskontrollen Software  Rechtevergabe
hes Han-  Zugangskontrollen (Passworter,  Redundanzen
deln Benutzerkennung)
 Betrieb
 Netzwerksicherheit (Firewall,
der Kommuni-  Protokolle
Kryptologie)
kation  Kryptographie
 Systemsicherheit (Abschalten
nicht benötigter Dienste)  Netzwerkdienste
der Notfallvor-  Datensicherung
sorge  Notfallkonzepte

Bernhard Tinner
5. September 2009
4 166 IT-Grundschutz modellieren

Begriffe Schritte einer Risikoanalyse

Begriff Beschreibung
Verletzbarkeit Eine Anfälligkeit oder einen
Mangel an einem Objekt.
Risiko Eine Kombination aus Verletz-
barkeit und Bedrohung, be-
zugnehmend auf ein bestimm-
tes Objekt oder einen be-
stimmten Prozess
Schaden Ein Schaden muss mit einem
Geldbetrag beziffert werden
können, sonst ist es kein Scha-
den.
Eintrittswahr- Die Wahrscheinlichkeit, dass
scheinlichkeit ein potenzielles Ereignis ein-
tritt, beruht auf mathemati-
schen Berechnungen
und Annahmen.
Sicherheits- Dienen als Abwehr oder Min-
massnahmen derung möglicher Schäden
Sind in der Regel nicht kosten-
los und müssen deshalb dem
möglichen Schaden gegenüber-
gestellt werden Schutzbedarfsfeststellung
Folgende Schadensarten sind bekannt:
Vorgehen:
Schaden Beschreibung
1. Netzplan erstellen
Direkte an Maschinen, Programmen, Da- 2. Netzplan vereinfachen (Zusammenfassen)
Schäden tenträgern, Daten etc. 3. IT-Systeme auflisten
Indirekte durch Rekonstruktionsaufwand, 4. IT Anwendungen den IT Systemen zuord-
Schäden Ersatzbeschaffung etc. nen
Folgekosten durch Schadenersatzforderungen, 5. Schutzbedarf festlegen
entgangene Gewinne etc.

Es wird zwischen folgenden Arten der Wahr-

scheinlichkeit unterschieden:
Wahrscheinl. Beschreibung
Objektive mess- und berechenbare Wahr-
scheinlichkeit
Subjektive nicht messbare und geschätzte
Wahrscheinlichkeit
Objektive eine Wahrscheinlichkeit zu er-
Unmöglichkeit mitteln

Bernhard Tinner
5. September 2009
5 166 IT-Grundschutz modellieren

Netzplan (1 & 2)
 Im Netzplan werden alle IT-System (Server,
Clients und Netzwerkkomponeten) mit ein-
ander verbunden.
 Identische Systeme werden zu Gruppen
zusammen gefasst.
 Jedes IT-System (oder Systemgruppe) er-
hält eine eindeutige Systemnummer (S1,
S2, N1, C1)

Liste "Erfassen der IT-Systeme" (3)

 Nummer aus Netzplan
 Name der Server, Clients und Netzwerk-
komponenten
 Betriebssystem
 Anzahl
 Standort
 Aktivitätsstatus
 Benutzer

Liste "Zuordnung der Anwendungen zu den

Servern" (4)
 Nummer A1 bis An
 Anwendungsname
 Enthält personenbezogene Daten
 IT-Systeme mit den Nummern aus dem
Netzplan

Tabelle "Schutzbedarfsfeststellung" (5)

 Nummern aus Liste mit den Applikationen
und aus dem Netzplan
 Name der Anwendung /
des Systems
 Enthält Personendaten
 Grundwert (Vertraulichkeit, Integrität,
Verfügbarkeit)
 Schutzbedarfskategorien
(normal, hoch, sehr hoch)
 Begründung

Schutzbedarfsfeststellungen für IT-Systeme

sind in der Regel von der Schutzbedarfsfest-
stellung der Applikationen abhängig.

Bernhard Tinner
5. September 2009
6 166 IT-Grundschutz modellieren

Schutzbedarf der IT Systeme

Abhängigkeiten
Die Massnahmen sollten auf den Schutzbedarf
Effekt Abhängigkeit der Anwendung / des Systems bezug nehmen
Maximumprinzip die höchste Bewertung gilt
auch für das IT-System
Kumulationseffekt mehrere Bewertungen
"Hoch" können auch zu
"Sehr hoch" führen
Verteilungseffekt es können einzelne Funkti-
onen auf mehrer IT-
System verteilt werden

Quellennachweis:
IT Grundschutz modellieren(166)
(André Romagna)
1. Auflage 2002, Compendio Bildungsmedian AG, Zürich

Bernhard Tinner
5. September 2009