Zertifikat IT-Sicherheit

Transkript

1 3 Zertifikat zur IT-Sicherheit Isabel Münch Dr. Harald Niggemann 3.1 Kann ich meine IT-Sicherheit zertifizieren lassen? Viele Unternehmen und Behörden sehen derzeit die Notwendigkeit nach einem Zertifikat, das ihre umfangreichen Bemühungen um die IT-Sicherheit ihres Unternehmen würdigt. Hierfür werden unter anderem folgende Gründe aufgeführt: IT-Dienstleister müssen mit Hilfe eines Zertifikats einen vertrauenswürdigen Nachweis führen, dass sie die Maßnahmen nach dem IT-Grundschutzhandbuch realisiert haben; Kooperierende Unternehmen möchten sich darüber informieren, welchen Grad von IT-Sicherheit sie ihren Geschäftspartner zusichern können; Von Institutionen, die an ein Netz neu angeschlossen werden, wird der Nachweis verlangt, dass sie eine ausreichende IT-Sicherheit besitzen, damit durch den Anschluss ans Netz keine untragbaren Risiken entstehen; Unternehmen und Behörden möchten dem Kunden bzw. Bürger gegenüber ihre Bemühungen um eine ausreichende IT-Sicherheit deutlich machen. 3.2 Was ist IT-Grundschutz bzw. was ist eine ausreichende IT-Sicherheit? Im IT-Grundschutzhandbuch [1], das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben wird, werden Standardsicherheitsmaßnahmen für typische IT-Systeme empfohlen. Das Ziel dieser IT- Grundschutz-Empfehlungen ist es, durch geeignete Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standard- Sicherheitsmaßnahmen ein Sicherheitsniveau für IT-Systeme zu erreichen, das einerseits für den normalen Schutzbedarf angemessen und ausreichend ist und andererseits als Basis für hochschutzbedürftige IT-Systeme und -Anwendungen dienen kann. 51

2 3 Zertifikat zur IT-Sicherheit Um den sehr heterogenen Bereich der IT einschließlich der Einsatzumgebung besser strukturieren und aufbereiten zu können, verfolgt das IT-Grundschutzhandbuch das Baukastenprinzip. Die einzelnen Bausteine spiegeln typische Bereiche des IT-Einsatzes wider, wie beispielsweise Client-Server-Netze, bauliche Einrichtungen, Kommunikations- und Applikationskomponenten. In jedem Baustein wird zunächst die zu erwartende Gefährdungslage beschrieben, wobei sowohl die typischen Gefährdungen als auch die pauschalisierten Eintrittswahrscheinlichkeiten berücksichtigt werden. Diese Gefährdungslage bildet die Grundlage, um ein spezifisches Maßnahmenbündel aus den Bereichen Infrastruktur, Personal, Organisation, Hard- und Software, Kommunikation und Notfallvorsorge zu generieren. Die Gefährdungslage wird zur Sensibilisierung angeführt, für die Erstellung eines Sicherheitskonzeptes nach IT-Grundschutz wird sie nicht weiter benötigt. Um das für einen durchschnittlichen Schutzbedarf notwendige Sicherheitsniveau zu erreichen, brauchen die Anwender die vorgenannten aufwändigen Analysen nicht durchzuführen. Es ist vielmehr ausreichend, die für das relevante IT-System oder den betrachteten IT-Verbund entsprechenden Bausteine zu identifizieren und die darin empfohlenen Maßnahmen konsequent und vollständig umzusetzen. Mit Hilfe des IT-Grundschutzhandbuchs lassen sich IT-Sicherheitskonzepte einfach und arbeitsökonomisch realisieren. Bei der traditionellen Risikoanalyse werden zunächst die Gefährdungen ermittelt und mit Eintrittswahrscheinlichkeiten bewertet, um dann die geeigneten IT-Sicherheitsmaßnahmen auszuwählen und anschließend das noch verbleibende Restrisiko bewerten zu können. Bei Anwendung des IT-Grundschutzhandbuchs wird hingegen nur ein Soll- Ist-Vergleich zwischen empfohlenen und bereits realisierten Maßnahmen durchgeführt. Dabei festgestellte fehlende und noch nicht umgesetzte Maßnahmen zeigen die Sicherheitsdefizite auf, die es durch die empfohlenen Maßnahmen zu beheben gilt. Erst bei einem signifikant höheren Schutzbedarf muss zusätzlich eine ergänzende Sicherheitsanalyse unter Beachtung von Kosten- und Wirksamkeitsaspekten durchgeführt werden. Hierbei reicht es dann aber in der Regel aus, die Maßnahmenempfehlungen des IT-Grundschutzhandbuchs durch entsprechende individuelle, qualitativ höherwertige Maßnahmen, zu ergänzen. Bei den im IT-Grundschutzhandbuch aufgeführten Maßnahmen handelt es sich um Standardsicherheitsmaßnahmen, also um diejenigen Maßnahmen, die für die jeweiligen Bausteine nach dem Stand der Technik umzusetzen sind, um eine angemessene Sicherheit zu erreichen. Teilweise wird mit diesen Maßnahmen auch bereits ein höherer Schutzbedarf abgedeckt, trotzdem sind sie in den jeweiligen Bereichen das Minimum dessen, was vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist. Angesichts der Innovationsschübe und Versionswechsel im IT-Bereich ist das IT-Grundschutzhandbuch auf leichte Erweiterbarkeit und Aktualisierbarkeit ausgerichtet. Das BSI überarbeitet und aktualisiert regelmäßig das 52

3 Wer kann zertifizieren? Wie wird man Auditor? IT-Grundschutzhandbuch, um die Empfehlungen auf dem Stand der Technik zu halten. Das IT-Grundschutzhandbuch ist somit ein lebendes Werk. Dasselbe gilt für die IT-Grundschutz-Zertifizierung. Es empfiehlt sich immer, regelmäßig auf den BSI-Webseiten nachzusehen, ob es Neuigkeiten in diesem Bereich gibt oder sich auf die Mailinglisten zum IT-Grundschutz setzen zu lassen, um automatisch auf dem Laufenden gehalten zu werden. Die aktuelle Ausgabe des IT-Grundschutzhandbuch (Version Mai 2002) ist um die Bausteine Windows 2000 Client, Windows 2000 Server, Internet-PC sowie Novell edirectory erweitert worden. Neben diesen neuen Bausteinen wurden zahlreiche Ergänzungen und Aktualisierungen der vorhandenen Texte vorgenommen. So enthält der Peer-to- Peer-Baustein nun auch Sicherheitsempfehlungen für Windows 2000 und Linux. 3.3 Wer kann zertifizieren? Wie wird man Auditor? Der Antrag auf Lizenzierung als IT-Grundschutz-Auditor beim BSI ist natürlichen Personen vorbehalten. Die Teilnahme am Lizenzierungsverfahren ist gebührenpflichtig. Für die Teilnahme am Lizenzierungsverfahren [2] zum IT-Grundschutz- Auditor gelten folgende Zulassungsvoraussetzungen: Der Antragsteller muss ausreichende Kenntnisse im Bereich der IT- Sicherheit besitzen und diese auch praktisch angewendet haben. Daher muss er nachweisen, dass er in den zurückliegenden zwei Jahren im Umfeld der IT-Sicherheit tätig gewesen ist. Beispiele für entsprechende Tätigkeitsfelder sind IT-Sicherheitsbeauftragte oder Berater für IT-Sicherheit. Insbesondere sollte er im Bereich IT-Sicherheitsmanagement Aufgaben wie die folgenden wahrgenommen haben: Entwicklung von IT-Sicherheitszielen, -strategien sowie IT-Sicherheitsleitlinien, Umsetzung bzw. Überprüfung von IT-Sicherheitsleitlinien, Initiierung, Steuerung und Kontrolle des IT-Sicherheitsprozesses, 53

4 3 Zertifikat zur IT-Sicherheit Erstellung des IT-Sicherheitskonzepts, Überprüfung von IT-Sicherheitsmaßnahmen, Aufbau und Durchführung von Schulungs- und Sensibilisierungsprogrammen, Beratung in übergreifenden IT-Sicherheitsfragen. Der Antragsteller muss in den zurückliegenden fünf Jahren mindestens drei Projekte durchgeführt haben, in denen die Anwendung des IT- Grundschutzhandbuchs wesentlicher Bestandteil war. Hierzu zählen sowohl interne Projekte innerhalb einer Organisation als auch externe Projekte, z.b. Beratungsdienstleistungen. Beispiele für geeignete Projektinhalte sind IT-Sicherheitskonzeptionen oder IT-Sicherheitsrevisionen gemäß dem IT-Grundschutzhandbuch. Kann die Fachkunde nicht ausreichend nachgewiesen werden, wird der Antragsteller nicht für das Lizenzierungsverfahren zugelassen. Nach der 1,5-tägigen Schulung findet eine Prüfung über die Anwendungsweise und Inhalte des IT-Grundschutzhandbuchs und insbesondere über das Prüfschema für IT-Grundschutz-Audits statt. Nach erfolgreicher Prüfung wird der Abschluss des Lizenzierungsvertrages mit dem BSI möglich. Die Lizenz wird erteilt, wenn folgende Bedingungen erfüllt sind: die Fachkundennachweise sind ausreichend die Schulungsveranstaltung wurde absolviert die Prüfung wurde bestanden der Lizenzierungsvertrag zwischen BSI und Auditor wurde unterzeichnet die Kosten für die Lizenzerteilung wurden entrichtet Die Lizenzurkunde enthält folgende Informationen: vollständiger Name und Adresse des Lizenznehmers auf Wunsch Name und Adresse des Arbeitgebers Beginn der Gültigkeit Ende der Gültigkeit Die Lizenzurkunde bestätigt, dass der Lizenznehmer für die Dauer der Gültigkeit befugt ist, IT-Grundschutz-Audits für die Erlangung von IT-Grundschutz-Zertifikaten durchzuführen. Er darf außerdem IT-Grundschutz- Selbsterklärungen (Einstiegsstufe oder Aufbaustufe) durch ein Testat bestätigen. Die Lizenzurkunde des Herausgebers dieses Buches, Thomas Krampert, führt die BSI-Registrierungsnummer: BSI-GSL

5 Wer kann zertifizieren? Wie wird man Auditor? Diese Bezeichnung hat folgende Bedeutung: BSI = Lizenzverleihende Stelle GSL = IT-Grundschutz-Lizenz 0011 = laufende Vorgangsnummer 2002 = Jahr der Lizenzvergabe Durch jährliche Auditoren-Treffen wird der Erfahrungsaustausch zwischen den lizenzierten IT-Grundschutz-Auditoren ermöglicht. Eine Lizenz ist für einen Zeitraum von fünf Jahren gültig. Das BSI kann auch eine erteilte Lizenz entziehen, wenn der Auditor mehrfach am Erfahrungsaustausch nicht teilnimmt oder schwerwiegende Verstöße gegen das Prüfschema vorliegen Aufgaben des Auditors Das Prüfschema für Auditoren [3] beschreibt die verbindliche Vorgehensweise, wie Auditoren die für die Erlangung einer Selbsterklärung (Einstiegsstufe oder Aufbaustufe) oder eines IT-Grundschutz-Zertifikats erforderlichen Prüfungen durchführen müssen. Abbildung 3.1: Aufgaben des Auditors 55

6 3 Zertifikat zur IT-Sicherheit 3.4 Wie komme ich als Unternehmen zum Zertifikat? Mit dem Qualifizierungs- und Zertifizierungsschema für IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird Behörden und Unternehmen diese Möglichkeit gegeben, ihre Aktivitäten zur IT-Sicherheit und die erfolgreiche Umsetzung von IT-Grundschutz nach innen und außen zu dokumentieren. Rechtliche Grundlagen des Verfahrens sind das Errichtungsgesetz des Bundesamtes für Sicherheit in der Informationstechnik sowie ein entsprechender Erlass des Bundesministeriums des Innern vom 6. Februar Mit einem solchen Zertifikat kann ein Unternehmen oder eine Behörde für einen ausgewählten IT-Bereich nachweisen, dass ein Sicherheitsmanagementsystem etabliert ist und dass die erforderlichen baulichen, personellen, organisatorischen und technischen IT-Grundschutzmaßnahmen realisiert sind. Grundlage für die Vergabe eines IT-Grundschutz-Zertifikats ist die Durchführung eines Audits durch einen externen, beim BSI lizenzierten Auditor. Der Herausgeber dieses Buches, Thomas Krampert, ist ein vom BSI lizenzierter IT-Grundschutz-Auditor. Ziel der IT-Grundschutz-Zertifizierung ist es, einen Maßstab für die tatsächlich umgesetzten Standard-Sicherheitsmaßnahmen in informationstechnischen Einrichtungen von Behörden und Unternehmen zu etablieren und damit die Möglichkeit des Nachweises eines definierten Sicherheitsniveaus anzubieten. Das BSI hat derzeit drei Ausprägungen der IT-Grundschutz-Qualifizierung definiert: IT-Grundschutz-Zertifikat Das IT-Grundschutz-Zertifikat stellt den höchsten Grad an Vertrauenswürdigkeit und das höchste Sicherheitsniveau dar. Das Zertifikat wird durch Zertifizierungsstellen vergeben, die für die Vergabe des IT-Grundschutz- Zertifikats akkreditiert sind, derzeit nur durch das BSI selbst. Voraussetzung ist, dass die Umsetzung der im IT-Grundschutzhandbuch beschriebenen und im vorliegenden Fall relevanten Standard-Sicherheitsmaßnahmen durch einen lizenzierten Auditor bestätigt ist. Die Umsetzung aller für einen vorliegenden Anwendungsfall relevanten IT- Grundschutzmaßnahmen können jedoch unter Umständen mit erheblichem Aufwand verbunden sein. Die zwei Vorstufen des eigentlichen IT-Grundschutz-Zertifikats erlauben eine schrittweise Umsetzung der Standard- Sicherheitsmaßnahmen: 56

7 Wie komme ich als Unternehmen zum Zertifikat? Selbsterklärung»IT-Grundschutz Aufbaustufe«Voraussetzung für die Selbsterklärung»IT-Grundschutz Aufbaustufe ist, dass die Behörde oder das Unternehmen die wichtigsten Standard-Sicherheitsmaßnahmen des IT-Grundschutzhandbuchs umgesetzt hat. Zitat: IT-Grundschutzhandbuch, Version Mai 2002 Die notwendigen Vorarbeiten und Erhebungen können dabei sowohl von Dritten als auch von Mitarbeitern der eigenen Institution erfolgen. Die Selbsterklärung wird darauf basierend von einem zeichnungsbefugten Vertreter der Institution abgegeben. Selbsterklärung»IT-Grundschutz Einstiegsstufe«Die IT-Grundschutz-Qualifizierung in der Einstiegsstufe wird erreicht, wenn die Behörde oder das Unternehmen lediglich die unabdingbaren Standard- Sicherheitsmaßnahmen des IT-Grundschutzhandbuchs umgesetzt hat. Zitat: IT-Grundschutzhandbuch, Version Mai 2002 Wie bei der Aufbaustufe können die Vorarbeiten und Erhebungen sowohl durch Dritte als auch durch eigene Mitarbeiter erfolgen. Die Selbsterklärung wird wiederum von einem zeichnungsbefugten Vertreter der Institution abgegeben. Das durch die Selbsterklärung»IT-Grundschutz Einstiegsstufe«dargestellte Sicherheitsniveau ist das geringste der drei Ausprägungen. Abbildung 3.2: Darstellung der Sicherheitsausprägungen Die Einstiegs- bzw. Aufbaustufe dienen als Meilensteine bis zur Erreichung des IT-Grundschutz-Zertifikats. Nur das IT-Grundschutz-Zertifikat attestiert die Realisierung eines»umfassenden IT-Grundschutzes«. Zitat: IT-Grundschutzhandbuch, Version Mai

8 3 Zertifikat zur IT-Sicherheit Welche Maßnahmen müssen für welche Stufe der IT-Grundschutz-Qualifizierung umgesetzt sein? Zu jedem Baustein des IT-Grundschutzhandbuchs werden die Maßnahmen für die drei Ausprägungen gekennzeichnet:»a«die Umsetzung dieser Maßnahme ist für alle Stufen der IT-Grundschutz-Qualifizierung erforderlich.»b«die Umsetzung dieser Maßnahme ist für die Aufbaustufe und für das Zertifikat erforderlich.»c«die Umsetzung dieser Maßnahme ist nur für das IT-Grundschutz-Zertifikat erforderlich.»z«die Umsetzung dieser zusätzlichen IT-Sicherheitsmaßnahmen sollte zur Steigerung der IT-Sicherheit erfolgen, ist jedoch zur Qualifizierung nach IT-Grundschutz nicht erforderlich. Tab. 3.1: Auszug aus einem Baustein IT-Grundschutz Zusätz. Einstieg Aufbau Zertifikat Maßnahme Prio. Maßnahmentitel Begründung Z M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional) B M 2.3 (2) Datenträgerverwaltung B M 2.4 (2) Regelungen für Wartungs- und Reparaturarbeiten A M 2.9 (2) Nutzungsverbot nicht freigegebener Software C M 2.10 (3) Überprüfung des Software-Bestandes A M 2.13 (2) Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln Z M 2.22 (2) Hinterlegen des Passwortes A M 2.25 (1) Dokumentation der Systemkonfiguration Für die Qualifizierung nach IT-Grundschutz [4] ist ein Prozess zu durchlaufen, der sich in zwei Phasen unterteilen lässt: Die Erhebungsphase und die Qualifizierungsphase. Innerhalb dieser Phasen werden 8 Schritte durchlaufen, die nachfolgend dargestellt werden. 58

9 Wie komme ich als Unternehmen zum Zertifikat? Abbildung 3.3: Qualifizierungsprozess 59

10 3 Zertifikat zur IT-Sicherheit Erhebungsphase Bei der Erhebungsphase werden wie der Name schon sagt die Vorarbeiten im Hinblick auf die Qualifizierung durchgeführt. Schritt 1: Definition des Untersuchungsgegenstands. Es wird festgelegt, welcher Teilbereich des Unternehmens bzw. der Behörde untersucht werden soll. Der Untersuchungsgegenstand wird dabei als»it-verbund«bezeichnet. Um eine angemessene Sicherheitsaussage zu gewährleisten, sollte der betrachtete IT-Verbund mindestens die Fachanwendungen einer Organisationseinheit oder eines Geschäftsprozesses und alle hierzu benötigten informationstechnischen Komponenten umfassen. Zitat: Qualifizierung nach IT-Grundschutz, Eckpunktepapier Einzelne Clients, Server oder Netzverbindungen sind nicht geeignete Untersuchungsgegenstände. Schritt 2: Vorarbeiten. Grundlage für die Qualifizierung nach IT-Grundschutz ist das IT-Grundschutzhandbuch des BSI. Im einzelnen sind dies folgende Vorarbeiten: IT-Strukturanalyse (siehe Kapitel 2.1 im IT-Grundschutzhandbuch) Schutzbedarfsfeststellung (siehe Kapitel 2.2 im IT-Grundschutzhandbuch) Modellierung des IT-Verbunds (siehe Kapitel 2.3 im IT-Grundschutzhandbuch) Die Bausteine des IT-Grundschutzhandbuchs, die für den jeweiligen IT-Verbund obligatorisch für die Qualifizierung sind, werden im Kapitel 2.3 des Handbuchs definiert und sind bei der Modellierung zu berücksichtigen. Schritt 3: Basis-Sicherheitscheck. Die Vorgehensweise zur Durchführung eines Basis-Sicherheitschecks ist im IT-Grundschutzhandbuch beschrieben. Der Status für jede Maßnahme, die in modellierten Bausteinen des Handbuchs beschrieben sind, wird bei der Durchführung des Basis-Sicherheitschecks ermittelt. Dieser kann vier verschiedene Werte annehmen:»jaentbehrlichteilweisenein«alle Empfehlungen in der Maßnahme sind sinngemäß umgesetzt. Die Maßnahme muss im vorliegenden Umfeld nicht umgesetzt werden. Eine stichhaltige und nachvollziehbare Begründung liegt vor. Einige Empfehlungen in der Maßnahme sind nicht oder nur teilweise umgesetzt. Die Empfehlungen in der Maßnahme sind größtenteils nicht umgesetzt. 60

11 Wie komme ich als Unternehmen zum Zertifikat? Alle Standard-Sicherheitsmaßnahmen, die für die angestrebte Stufe der IT- Grundschutz-Qualifizierung erforderlich sind, müssen entweder den Umsetzungsstatus»entbehrlich«oder»ja«haben. Entscheidend ist dabei, dass die Maßnahmen nach Sinn und Zweck umgesetzt sind. Aufgrund der vielfältigen Einsatzumgebungen und individuellen Rahmenbedingungen ist eine»wortgetreue«umsetzung der IT-Grundschutzmaßnahmen in vielen Fällen nicht zweckmäßig. Schritt 4: Festlegung der weiteren Vorgehensweise. Nun kann eine Voraussage darüber getroffen werden, ob eine Qualifizierung nach IT-Grundschutz möglich ist: Haben praktisch alle mit»a«gekennzeichneten Maßnahmen den Status»ja«oder»entbehrlich«, können die nachfolgenden Schritte des Qualifizierungsprozesses mit dem Ziel der Selbsterklärung»Einstiegsstufe«durchlaufen werden. Haben praktisch alle mit»a«oder»b«gekennzeichneten Maßnahmen den Status»ja«oder»entbehrlich«, können die nachfolgenden Schritte des Qualifizierungsprozesses mit dem Ziel der Selbsterklärung»Aufbaustufe«durchlaufen werden. Haben praktisch alle mit»a«,»b«oder»c«gekennzeichneten Maßnahmen den Status»ja«oder»entbehrlich«, können die nachfolgenden Schritte des Qualifizierungsprozesses mit dem Ziel der Zertifizierung durchlaufen werden. Zitat: Qualifizierung nach IT-Grundschutz, Eckpunktepapier Eventuell sind Nachbesserungen erforderlich. Nach Umsetzung der fehlenden Maßnahmen ist der Umsetzungsstatus zu aktualisieren. Jetzt kann die eigentliche Qualifizierung beginnen. Qualifizierungsphase Schritt 5: Kann die eigentliche Qualifizierung beginnen? Plausibilitätsprüfung. Der Auditor nimmt folgende Plausibilitätsprüfungen vor: Der definierte IT-Verbund muss eine sinnvolle Mindestgröße haben und dient beispielsweise zur IT-Unterstützung einer Fachaufgabe oder einer Organisationseinheit. Die IT-Strukturanalyse und die Schutzbedarfsfeststellung müssen plausibel sein. Die Modellierung des IT-Verbundes muss ordnungsgemäß sein. Der Basis-Sicherheitscheck muss vollständig und die Ergebnisse, insbesondere die Begründungen, müssen plausibel sein. Zitat: Qualifizierung nach IT-Grundschutz, Eckpunktepapier Schritt 6: Realisierungsprüfung. Der im Basis-Sicherheitscheck ermittelte Umsetzungsstatus wird stichprobenartig überprüft. Hierzu ist die erarbeitete Modellierung des vorliegenden IT-Verbunds Ausgangsbasis. Der Auditor muss für die Realisierungsprüfung aus der Modellierung des vorliegenden IT-Verbunds folgende Bausteine auswählen: 61

12 3 Zertifikat zur IT-Sicherheit Der Baustein IT-Sicherheitsmanagement wird in jedem Fall überprüft. Hierdurch wird sichergestellt, dass IT-Sicherheit in der Institution ordnungsgemäß gesteuert wird. Aus jeder der fünf Schichten wird mindestens ein Baustein geprüft. Damit wird erreicht, dass sich die Realisierungsprüfung auf möglichst verschiedene Aspekte der IT-Sicherheit erstreckt. Der Auditor wählt weitere vier Bausteine in eigenem Ermessen. Dadurch können insbesondere Bausteine überprüft werden, deren wirksame Umsetzung für die Gesamtsicherheit besonders kritisch ist oder zweifelhaft erscheint. Zitat: Qualifizierung nach IT-Grundschutz, Eckpunktepapier Der Auditor muss dann die tatsächliche Realisierung dieser zehn Bausteine überprüfen. Eine Auskunft über die Realisierung der Maßnahme dieser Bausteine reicht hierbei nicht, sondern die praktische Realisierung wird im Detail anhand von Dokumentation, Begehung, Rechnerkonfiguration etc. überprüft. Zitat: Qualifizierung nach IT-Grundschutz, Eckpunktepapier Werden bei der Realisierungsprüfung sämtliche Angaben des Basis-Sicherheitschecks korrekt vorgefunden und wurden die erforderlichen Maßnahmen tatsächlich realisiert, wird davon ausgegangen, dass die Ergebnisse des Basis-Sicherheitschecks den tatsächlichen Sicherheitsstatus des IT-Verbunds widerspiegeln. Schritt 7: Selbsterklärung/Zertifizierung. Folgende Bedingungen müssen für die Selbsterklärung umgesetzt sein: Der Auditor hat die Plausibilitätsprüfung mit positivem Ergebnis durchgeführt. Der Auditor hat die Realisierungsprüfung mit positivem Ergebnis durchgeführt. Der Auditor stellt fest, dass praktisch sämtliche Maßnahmen der angestrebten Ausprägung der IT-Grundschutz-Qualifizierung erfüllt sind. Zitat: Qualifizierung nach IT-Grundschutz, Eckpunktepapier Jede Institution kann bei Erfüllung dieser Bedingungen eine IT-Grundschutz-Selbsterklärung abgeben. Die Selbsterklärung muss von einem zeichnungsbefugten Vertreter der Institution ausgesprochen werden. Eine unabhängige akkreditierte Zertifizierungsstelle kann der Institution das IT-Grundschutz-Zertifikat verleihen, wenn die obigen Voraussetzungen erfüllt sind. Die Schritte 5, 6 und 7 müssen dann von einem für IT-Grundschutz lizenzierten Auditor durchgeführt worden sein. Schritt 8: Re-Qualifizierung. Da der Baustein»IT-Sicherheitsmanagement«obligatorisch für die Realisierungsprüfung ist, wird bei einem funktionierenden IT-Sicherheitsmanagement davon ausgegangen, dass der nachge- 62

13 Wie kann ich meine erreichte IT-Sicherheit kundtun? wiesene IT-Sicherheitszustand für die Dauer von zwei Jahren aufrecht erhalten werden kann. Rechtzeitig vor Ablauf des Zertifikates sollte eine Wiederholungsprüfung (Re-Qualifizierung) angestoßen werden. 3.5 Wie kann ich meine erreichte IT-Sicherheit kundtun? Durch die Veröffentlichung des Ergebnisses wird ein Instrumentarium geschaffen, das dem Unternehmen die Möglichkeit gibt, seine Bemühungen um die IT-Sicherheit und das erreichte Sicherheitsniveau am Markt zu platzieren. Eine Selbsterklärung oder ein Zertifikat muss verschiedene Aspekte umfassen, die dann im Rahmen der Qualifizierungsaussage veröffentlicht werden: Abgrenzung Der IT-Verbund ist abzugrenzen und verbal zu beschreiben. Sicherheitsaussage Die Qualifizierungsstufe (Einstiegsstufe, Aufbaustufe, Zertifikat) ist anzugeben. Gültigkeitszeitraum Die Gültigkeit (Selbsterklärung, Zertifikat) ist auf einen Zeitraum von zwei Jahren zeitlich begrenzt, um Änderungen in der IT und neue Versionen des IT-Grundschutzhandbuchs einfließen lassen zu können. Version Diese Version des IT-Grundschutzhandbuchs ist in der Qualifizierungsaussage anzugeben. Qualifizierende Stelle Es ist anzugeben, wer die Qualifizierungsentscheidung gefällt hat und die Selbsterklärung bzw. das Zertifikat verantwortet. Bei einem Zertifikat ist im Gegensatz zu einer Selbsterklärung sowohl der Auditor als auch die Zertifizierungsstelle zu benennen. Hierzu ist ein Auditreport zu erstellen, der die Ergebnisse der Schritte 1 bis 7 umfasst. Der Auditreport, der vom Auditor und der qualifizierten Institution zu unterzeichnen ist, wird nicht veröffentlicht. Im Fall der Zertifizierung wird der Auditreport der Zertifizierungsstelle vorgelegt, nicht jedoch bei der Selbsterklärung. Die IT-Grundschutz-Selbsterklärungen und IT-Grundschutz-Zertifikate können auf dem BSI-WWW-Server veröffentlicht werden. Das BSI veröffentlicht auch regelmäßig das IT-Grundschutzhandbuch, die akkreditierten Zertifizierungsstellen und die lizenzierten IT-Grundschutz-Auditoren. 63

14 3 Zertifikat zur IT-Sicherheit 3.6 Was sagt das Zertifikat aus? Zusammenfassend sagt das IT-Grundschutz-Zertifikat aus, dass eine Behörde oder ein Unternehmen den im IT-Grundschutzhandbuch des BSI definierten IT-Sicherheitszustand erreicht hat. Das IT-Grundschutz-Zertifikat stellt einen ersten Schritt in Richtung»messbare«IT-Sicherheit in Behörden und Unternehmen dar. Anhand eines etablierten und praxisbewährten Katalogs von Standard-Sicherheitsmaßnahmen dem IT-Grundschutzhandbuch des BSI wird eine Aussage über den tatsächlich vorhandenen IT-Sicherheitszustand in dem betrachteten IT-Verbund getroffen. Neben dem eigentlichen IT-Grundschutz-Zertifikat, das von akkreditierten Zertifizierungsstellen vergeben wird, kann auch eine Qualifizierung in Form einer»selbsterklärung Einstiegsstufe«und einer»selbsterklärung Aufbaustufe«vorgenommen werden. Diese beiden Selbsterklärungen sind als Meilensteine auf dem Weg zum IT-Grundschutz-Zertifikat zu verstehen und dienen dazu, die Hürde beim Einstieg in den Qualifizierungsprozess zu verringern. Alle drei Ausprägungen der Qualifizierung nach IT-Grundschutz können auf Wunsch vom BSI veröffentlich werden. Auf diese Weise lassen sich die eigenen Bemühungen um IT-Sicherheit und die erfolgreiche Umsetzung der Standard-Sicherheitsmaßnahmen transparent machen. Literaturangaben: [1] IT-Grundschutzhandbuch, Version Mai 2002 [2] Zertifizierung nach IT-Grundschutz, Lizenzierungsschema für IT-Grundschutz-Auditoren, Stand , BSI [3] Prüfschema für Auditoren, Stand , BSI [4] Qualifizierung nach IT-Grundschutz, Eckpunktepapier 64