Zum Hauptinhalt springen
TOP AKTUELL
Testat nach der Basis-Absicherung an den Wasserzweckverband Rottenburger Gruppe erteilt

Ein Testat nach der Basis-Absicherung hat unser zertifizierter IT-Grundschutz-Auditor Reiner…

Kurzzusammenfassung über wesentliche Änderungen im Grundschutzkompendium 2023 des BSI

Wie jedes Jahr im Februar ist auch dieses Jahr die aktualisierte Version des IT-Grundschutzkompendiums in der aktualisierten Version veröffentlicht worden (siehe hier [1]).
Nachfolgend sind die Inhalte der neuen Bausteine kurz zusammengefasst. Es wird darauf hingewiesen, dass es sich bei der folgenden Beschreibung um eine kurze Zusammenfassung der Änderungen und Neuerungen im Grundschutz-Kompendium handelt und die Darstellung keinen Anspruch auf Vollständigkeit und Richtigkeit darstellt.
Zertifizierte und sich zertifizierende Unternehmen sind selbst dafür verantwortlich und zuständig, die Veränderungen für ihren Informationsverbund, die sich aus den Änderungen im Grundschutz-Kompendium ergeben, zu identifizieren und umzusetzen.
Die nachfolgende Zusammenfassung ist lediglich dazu gedacht, einen Überblick über den Umfang der Änderungen aufzuzeigen und eine grobe Übersicht zu geben.
Bei einigen der Anmerkungen in diesem Dokument handelt es sich um Einschätzungen bzgl. Anforderungen/Maßnahmen, die auf Grund der Erfahrungen und dem Stand der Technik getroffen wurden, spiegeln aber die persönliche Meinung von SECIANUS wider.


Informationen zu den Veränderungen

Wie jedes Jahr üblich, gab es Anpassungen und Veränderungen im GS-Kompendium. Es wurden Zuordnungen (Anforderungen) verschoben, Bausteine überarbeitet und/oder neue Bausteine aufgenommen. Die wesentlichen Veränderungen werden durch das BSI in einem Änderungsdokument [2] kurz dargestellt.
In dem Änderungsdokument [2] wird sowohl auf entfallene, neue und überarbeitete Bausteine eingegangen. So werden Veränderungen entsprechend beschrieben und dokumentiert. Wichtig ist anzumerken, dass die im Änderungsdokument [2] aufgeführten Veränderungen Auswirkungen auf Zertifizierungsverfahren oder bestehende Sicherheitskonzepte haben können und ggf. angepasst werden müssen.

Insgesamt sind von den Veränderungen 21 Bausteine betroffen. Bei einigen der Bausteine, wie

  • OPS.1.1.2 Ordnungsgemäße IT-Administration
  • APP.2.1 Allgemeiner Verzeichnisdienst (komplett überarbeitet und neugestaltet)
  • APP.2.2 Active Directory Domain Service (komplett überarbeitet und neugestaltet)

kam es zu umfassenden Anpassungen.

Neben den veränderten Bausteinen wurden auch insgesamt zehn (10) neue Bausteine aufgenommen, wobei zwei der Bausteine eine Umbenennung erfahren haben. Bei den umbenannten Bausteinen handelt es sich um:

  • OPS.2.1 Outsourcing für Kunden wurde ersetzt durch OPS.2.3 Nutzung von Outsourcing
  • OPS.3.1 Outsourcing für Dienstleister wurde ersetzt durch OPS.3.2 Anbieten von Outsourcing

Bei den restlichen acht neuen Bausteinen handelt es sich um:

  • CON.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)
  • OPS.1.1.1 Allgemeiner IT-Betrieb
  • APP.5.4 Unified Communications und Collaboration (UCC)
  • SYS.1.2.3 Windows Server
  • SYS.1.9 Terminalserver
  • SYS.2.5 Client-Virtualisierung
  • SYS.2.6 Virtual Desktop Infrastructure
  • NET.3.4 Network Access Control

Da die Veränderungen in bestehenden Bausteinen in dem Änderungsdokument [2] des BSI umfassend beschrieben sind, werden nachfolgend überwiegend die neuen Bausteine kurz dargestellt.


Neue Bausteine

Wie bereits erwähnt, sind insgesamt zehn (10) neue Bausteine hinzugekommen. Davon sind jedoch zwei (2) Bausteine umbenannt worden. Diese werden nachfolgend nicht adressiert.

Bei der Bezeichnung wurden die Namen des BSI, inklusive der Einstufung (B=Basisabsicherung, S=Standardabsicherung, H=erhöhter Schutzbedarf), übernommen, sofern explizit darauf eingegangen wird.
Bis auf den Baustein OPS.1.1.1 Allgemeiner IT-Betrieb wird nicht explizit auf Einzelanforderungen/-Maßnahmen eingegangen, sondern eine Kurzzusammenfassung des Bausteins gegeben.

Da der Baustein OPS.1.1.1 Allgemeiner IT-Betrieb ein zentraler neuer Baustein ist, aus dem sich auch Änderungen am Prozess des ISMS ergeben können, wurden speziell die Anforderungen adressiert, die nach unserer Ansicht zusätzlichen Aufwand erfordern.

  • CON.11.1 GEHEIMSCHUTZ VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NFD)
  • OPS.1.1.1 ALLGEMEINER IT-BETRIEB
    • OPS.1.1.1.A3 Erstellen von Betriebshandbüchern für die betriebene IT (S)
    • OPS.1.1.1.A5 Festlegen von gehärteten Standardkonfigurationen (S)
    • OPS.1.1.1.A9 Durchführung von IT-Monitoring (S)
    • OPS.1.1.1.A10 Führen eines Schwachstelleninventars (S)
    • OPS.1.1.1.A21 Einbinden der Betriebsmittel in das Sicherheitsmonitoring (H)
    • OPS.1.1.1.A22 Automatisierte Tests auf Schwachstellen (H)
  • APP.5.4 UNIFIED COMMUNICATIONS UND COLLABORATION (UCC)
  • SYS.1.2.3 WINDOWS SERVER
  • SYS.1.9 TERMINALSERVER
  • SYS.2.5 CLIENT-VIRTUALISIERUNG
  • SYS.2.6 VIRTUAL DESKTOP INFRASTRUCTURE
  • NET.3.4 NETWORK ACCESS CONTROL

 

ZUSAMMENFASSUNG

CON.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)

Dieser neue Baustein ist überwiegend dann anzuwenden, wenn Informationen und Daten aus geheimschutzrelvanten Bereichen verarbeitet werden.
Das BSI sagt hierzu:
Die Anforderungen dieses Bausteins bauen auf den Anforderungen der Informationssicherheit auf und erweitern diese um die Anforderungen des Geheimschutzes. Um den betrachteten Informationsverbund mit VS-IT abzusichern und zu gewährleisten, dass die Informationssicherheit umgesetzt ist, muss grundsätzlich die Gesamtheit aller Bausteine betrachtet werden. Neben den relevanten System-Bausteinen wird unter anderem die Umsetzung der folgenden Prozess-Bausteine durch diesen Baustein vorausgesetzt, da diese um die Anforderungen des Geheimschutzes erweitert werden:

  • ORP.1 Organisation,
  • ORP.2 Personal,
  • CON.6 Löschen und Vernichten sowie
  • OPS.1.2.5 Fernwartung.

<Ende Zitat BSI>
Im Grunde enthält dieser Baustein überwiegend Verweise auf die Grundsätze zur Verarbeitung von Verschlusssachen mit IT und dem Umgang mit VS-NfD Informationen gem. VSA (Verschlusssachenanweisung, allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz).
Es werden jedoch weder die konkreten Anforderungen der VSA um eine VS-IT abzusichern betrachtet, noch eventuell bauliche oder technische Absicherungen von Gebäuden und Räumen. Es wird auch nicht auf die allgemeinen Anforderungen der VSA oder auf den Freigabeprozess für VS-IT eingegangen.

 

OPS.1.1.1 Allgemeiner IT-Betrieb

Ziel dieses Bausteins ist es (gem. BSI), „die Informationssicherheit als integralen Bestandteil bei allen allgemein gültigen Aspekten des IT-Betriebs zu etablieren. Mit der Umsetzung dieses Bausteins sorgt die Institution dafür, dass die Tätigkeiten des allgemeinen IT-Betriebs, durch die die Funktionsfähigkeit der IT sichergestellt wird, ordnungsgemäß und systematisch durchgeführt werden.“
Kurz zusammengefasst geht es um Prozesse und Verfahren, wie Dokumentationen, Überwachung und Monitoring von Systemen, Anwendungen, etc. die in einem geregelten IT-Betrieb vom täglichen Handwerk gehören sollten.
Trotzdem können einige der Anforderungen, auch wenn diese sich in der Vergangenheit oftmals implizit aus anderen Anforderungen/Maßnahmen ergeben haben, zu entsprechenden Aufwänden führen, da sie ab jetzt explizit umzusetzen sind.
Die Erfahrung als Auditor zeigt, dass, zumindest die folgenden neuen Anforderungen/Maßnahmen (Auszug aus OPS.1.1.1) bei einigen Kunden zu zusätzlichem Aufwand führen könnten.
Interessant ist, dass einige der Anforderungen inzwischen zum allgemeinen IT-Betrieb gerechnet werden, die man eigentlich bei den DER-Bausteinen erwarten würde.


OPS.1.1.1.A3 Erstellen von Betriebshandbüchern für die betriebene IT (S)

Die Anforderung sieht vor, dass „für alle betriebenen IT-Komponenten SOLLTEN die Betriebsaufgaben geplant und in Betriebshandbüchern erfasst werden“.
Im Grunde bedeutet diese Anforderungen, dass in geeigneter Form Beschreibungen existieren SOLLTEN, mit denen ein fachkundiger Dritter die betriebene IT administrieren und betreiben kann.


OPS.1.1.1.A5 Festlegen von gehärteten Standardkonfigurationen (S)

Lt. BSI ist es das Ziel, dass „der IT-Betrieb […] die betriebenen IT-Komponenten kategorisieren und für diese Kategorien gehärtete Standardkonfigurationen festlegen und bereitstellen [SOLLTE].“
Hier gilt es festzulegen, welche Systeme gehärtet werden MÜSSEN, wie diese Härtung auszusehen hat und wie diese auch aktuell gehalten wird.
Die Anforderung klingt zunächst einmal „schnell“ realisiert, aber auf Grund der Komplexität und der Ausprägung heutiger IT-Infrastrukturen kann hier schnell ein entsprechender Aufwand entstehen.


OPS.1.1.1.A9 Durchführung von IT-Monitoring (S)

Diese Anforderung selbst ist nicht neu. Das Thema Monitoring, auch unter Anbetracht eines eventuell notwendigen SIEM-Systems, gewinnt aber zunehmend Wichtigkeit.
Lt. BSI ist es das Ziel, dass „alle IT-Komponenten […] in ein einheitliches IT-Monitoring eingebunden werden [SOLLTEN], das alle relevanten Parameter der IT-Komponenten beinhaltet. Das IT-Monitoring SOLLTE mit dem übergeordneten Service-Management abgestimmt werden.“


OPS.1.1.1.A10 Führen eines Schwachstelleninventars (S)

Diese Anforderung, sollte in Zusammenhang mit OPS.1.1.1.A9 gesehen und umgesetzt werden. Nur mittels einer angemessenen Übersicht kann der IT-Betrieb sich ein umfassendes Bild über die aktuelle
(IT-)Bedrohungslage für eine Institution machen.
Daher sieht das BSI als Ziel vor, dass „der IT-Betrieb […] ein Schwachstelleninventar führen [SOLLTE], in dem die Schwachstellen aller betriebenen IT-Komponenten und der Umgang mit diesen zentral erfasst und gepflegt werden.“


OPS.1.1.1.A21 Einbinden der Betriebsmittel in das Sicherheitsmonitoring (H)

Auch diese Anforderung sollte im Zusammenhang mit OPS.1.1.1.A9 und OPS.1.1.1.A10 gesehen und adressiert werden.
Im Grunde ist mit dieser Anforderung der Grundstein für SIEM, IDS- und/oder IPS-Systeme bzw., deren Zusammenwirken gelegt.
Ziel dieser Anforderung ist es, dass „die IT-Systeme und -Anwendungen, die als Betriebsmittel genutzt werden, […] in ein Sicherheitsmonitoring eingebunden werden [SOLLTEN].“


OPS.1.1.1.A22 Automatisierte Tests auf Schwachstellen (H)

Auch diese Anforderung, wenn auch bis jetzt noch nur bei erhöhtem Schutzbedarf, ist im Zusammenhang mit einem entsprechendem Sicherheitsmonitoring und ein proaktives Verhalten zu sehen.
Lt. BSI „[SOLLTEN] alle IT-Komponenten […] regelmäßig und automatisiert auf Schwachstellen getestet werden. Die Ergebnisse der Tests SOLLTEN automatisiert protokolliert und anderen Werkzeugen im Sicherheitsmonitoring bereitgestellt werden.“


APP.5.4 Unified Communications und Collaboration (UCC)

Der neue Baustein zu UCC ist im Allgemeinen ähnlich wie bereits bestehende APP-Bausteine aufgebaut. Es werden dabei vergleichbare Anforderungen wie in den anderen Bausteinen auch festgelegt, so z. B.:

  • Planung von UCC
  • Berücksichtigung von UCC in der Netzplanung bzw. Ausgestaltung des Netzwerks für einen UCC-Betrieb
  • Deaktivierung nicht benötigter Funktionen und Dienste
  • Rollen- und Berechtigungskonzepte für UCC
  • Verschlüsselung beim Einsatz von UCC

Dazu kommen dann noch Anforderungen, die sich speziell an den Einsatz von UCC ergeben. Beispielhaft sind aufgeführt:

  • Einsatz eines Session Border Controller am Provider-Übergang
  • Sichere Konfiguration von UCC
  • Sicherstellung der Verfügbarkeit von Kommunikationsdiensten
  • Einbindung von UCC in die Notfallplanung

 

SYS.1.2.3 Windows Server

Ähnlich wie bei den Anwendungen verhält es sich bei dem Baustein SYS.1.2.3 Windows Server. Auch die in diesem Baustein festgelegten Anforderungen finden sich in ähnlicher Form in bereits bestehenden SYS-Bausteinen.
Speziell für diesen Baustein ist das Ziel, den Schutz von Informationen, die durch Server-Systeme auf Basis von Windows Server 2016, 2019 und 2022 im Regelbetrieb verarbeitet, gespeichert und darüber übertragen werden, sicherzustellen.

  • Planung der Umgebung
  • Sichere Installation
  • Schutz vor Schwachstellen
  • Sichere Authentisierung und Autorisierung

Dazu kommen dann noch Anforderungen, die sich speziell aus dem Einsatz von Windows-Servern ergeben. Beispielhaft sind aufgeführt:

  • Verwendung von PowerShell
  • Nutzung des Virtual Secure Mode

 

SYS.1.9 Terminalserver

Lt. BSI ist das Ziel dieses Bausteins, „Informationen zu schützen, die beim Einsatz von Terminalservern gespeichert, verarbeitet und übertragen werden.“
Auch hier sind Anforderungen definiert, die aus anderen SYS-Bausteinen bereits in ähnlicher Form bekannt sind, wie:

  • Erstellung einer Sicherheitsrichtlinie für den Einsatz von Terminalservern
  • Planung des Einsatzes von Terminalservern
  • Rollen und Rechtekonzepte
  • Sichere Konfiguration
  • Planung der Netze für einen Einsatz von Terminalservern
  • Sicherer Zugriff
  • Benutzersensibilisierung
  • Protokollierung
  • Monitoring
  • Härtung
  • Verschlüsselung
  • Schutzbedarfsorientierte Nutzung von Terminalservern (SYS.1.9.A20)


SYS.2.5 Client-Virtualisierung

Ziel dieses Bausteins ist lt. BSI, die „Informationen zu schützen, die bei der Client-Virtualisierung verarbeitet und übertragen werden.“.
Auch hier sind Anforderungen definiert, die aus anderen SYS-Bausteinen bereits in ähnlicher Form bekannt sind, wie:

  • Planung
  • Zugehörige Netzinfrastruktur und Absicherung
  • Konzeption einer entsprechenden Virtualisierungsinfrastruktur
  • (Keine) Lokale Datenablage/Speicherung
  • Sperren/Abmelden
  • Härtung
  • Patch- und Änderungsmanagement
  • Sensibilisierung
  • Erweiterte Sicherheitsfunktionen im/für das Netzwerk
  • Monitoring
  • Protokollierung


SYS.2.6 Virtual Desktop Infrastructure

Ziel dieses Bausteins ist es lt. BSI, die „Informationen zu schützen, die beim Einsatz einer VDI gespeichert, verarbeitet und übertragen werden.“.
Überwiegend geht es bei diesem Baustein darum, wie eine VDI-Umgebung administriert und betreut werden sollte. Es werden Anforderungen an die entsprechenden Administrations- und Verwaltungsaufgaben, sowie den Einsatz der Management-Komponenten einer VDI-Umgebung zur Bereitstellung der entsprechenden Infrastruktur ergeben, festgelegt.
Dieser Baustein ist daher in Verbindung mit dem neuen Baustein SYS.1.9 Terminalserver und SYS.2.5 Client-Virtualisierung zu sehen.
Auch hier sind Anforderungen definiert, die aus anderen SYS-Bausteinen bereits in ähnlicher Form bekannt sind, wie:

  • Planung
  • Sichere Installation und Konfiguration
  • Netzsegmentierung
  • Absicherung der virt. Clients mit entsprechenden Services der VDI
  • Härtung
  • Patch- und Änderungsmanagement
  • Sensibilisierung
  • Erweiterte Sicherheitsfunktionen im/für das Netzwerk
  • Monitoring
  • Protokollierung

Dazu kommen dann noch Anforderungen, die sich speziell aus dem Betrieb einer VDI-Umgebung ergeben. Beispielhaft sind aufgeführt:

  • Gruppierung der VDI Infrastruktur nach Schutzbedarf
  • Überwachung der VDI mittels SIEM


NET.3.4 Network Access Control

Ziel dieses Bausteins ist es lt. BSI, „die Informationssicherheit als integralen Bestandteil bei NAC zu etablieren. Eine NAC-Lösung soll sicherstellen, dass der Zugang zum Netz durch identitätsabhängige Autorisierungsregeln reglementiert wird. Dadurch werden Informationen geschützt, die über Netze verarbeitet, gespeichert und übertragen werden.“.
Ähnlich wie bei den Anwendungs- (APP) und den Systembausteinen werden auch hier Anforderungen festgelegt, die aus anderen NET-Bausteinen bereits in ähnlicher Form bekannt sind, wie:

  • Begründete Entscheidung für den Einsatz von NAC
  • Planung
  • Festlegung von Anforderungen
  • Erstellen eines Konzeptes
  • Notbetrieb
  • Authentisierung
  • Festlegung eines entsprechenden Regelwerks
  • Sichere Konfiguration
  • Monitoring
  • Protokollierung
  • NAC-spezifische Anforderungen
  • Sicherstellung des Schutzes vor Schadsoftware
  • Dokumentation
  • Verwaltung der Authentisierungsinformationen
  • Microsegmentierung
  • Dedizierte Radius-Systeme nach Schutzbedarf
  • Festlegung von Quarantäne-Bereichen


Zusammenfassung

Wie oftmals bei neuen Versionen des Grundschutzes müssen auch dieses Mal Abgleiche zwischen der bisherigen Modellierung und den veränderten bzw. neuen Bausteinen und Anforderungen durchgeführt werden.
Für den Fall, dass bereits Systeme zum Einsatz kommen, die jetzt durch neue Bausteine berücksichtigt werden müssen, muss die Modellierung angepasst und korrigiert werden. Dieses gilt natürlich auch für die Durchführung des IT-Grundschutz-Checks.
Für den Fall, dass man die existierenden Systeme bisher mit anderen Bausteinen modelliert hat (z. B. „Allgemeiner Server“ und/oder „Server unter Linux“ für Terminalserver), sollten die bisherigen Antworten verifiziert und in die neuen Bausteine überführt werden. Bestehend bleibt dabei die Modellierung der bisherigen auch schon benötigten Bausteine (z. B. „Allgemeiner Server“, „Server unter Linux“, etc.).
Etwas anders gestaltet sich die Modellierung für die veränderten und ergänzten/erweiterten Bausteine. Hier sollte/muss verifiziert werden, ob die neuen Anforderungen vielleicht bereits in einer anderen Anforderung beschrieben wurden oder ob diese neu zu bewerten sind.
Weiterhin sind neue Anforderungen hinzukommen, die die Widerstandsfähigkeit von Systemen gewährleisten sollen. So kommt der Härtung in den neuen Bausteinen eine gewisse Relevanz zu, die sich zwar noch nicht in den bestehenden SYS-Bausteinen wiederspielgelt, doch auf Grund der Aufnahme in OPS.1.1.1.A5 zukünftig auch in den anderen SYS-Bausteinen adressiert werden wird.

Erstellt am 16.02.2023, R. Schröppel


Externe Links:
[1] Link zur Version 2023 des GS-Kompendiums:
www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html
[2] Link zum Änderungsdokument des BSI:
www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/FD_Aenderungen2023.html



SECIANUS GMBH & CO. KG


Kontakt können Sie auch persönlich mit einzelnen Partnern aufnehmen - gehen Sie dazu auf die Seite "Secianus - Unser Team" - hier können Sie bei den Personen auch den öffentl. Schlüssel als ZIP-Datei herunterladen.

SITZ DER GESELLSCHAFT


Further Str. 14

D-90530 Wendelstein



© 2022 SECIANUS GmbH & Co. KG | GESTALTUNG SOLEMEDIA WERBE.AGENTUR