Fakultät Ingenieurwissenschaften und Informatik. Diplomarbeit. über das Thema

Transkript

1 Fakultät Ingenieurwissenschaften und Informatik Diplomarbeit über das Thema Erstellung des Bausteins "Client unter Windows" für die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vorgelegt durch Autor: René Paegelow Matrikel: Studiengang: Medieninformatik Abgabedatum: Erstprüfer: Prof. Dr.-Ing. Alfred Scheerhorn (HS Osnabrück) Zweitprüfer: Dipl. Inf. Holger Schildt (BSI Bonn)

2

3 3 Abstract Die vorliegende Diplomarbeit beschreibt und erläutert die Entstehung eines versionsunabhängigen IT-Grundschutz-Bausteins nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für das Microsoft Windows Betriebssystem in den Versionen Windows XP, Windows Vista und Windows 7. Der daraus resultierende versionsübergreifende IT-Grundschutz-Baustein "Client unter Windows" richtet sich nach der internen Autorenrichtlinie für versionsunabhängige IT-Grundschutzbausteine des BSI. Ein wichtiger Aspekt im Rahmen der Bearbeitung dieser Diplomarbeit ist die Verwendung des neuen Gefährdungskatalogs "G 0 Elementare Gefährdungen" zur Beschreibung der Gefährdungslage des versionsunabhängigen IT-Grundschutzbausteins "Client unter Windows". Dieser Gefährdungskatalog wird unter dem Ansatz der Integration verwendet und umfasst die punktuelle Ersetzung von bestehenden Gefährdungen aus den Gefährdungskatalogen G 1 bis G 5 durch elementare Gefährdungen. This thesis describes the creation of a version-independent IT-Grundschutz module for the Microsoft Windows operating systems in the versions of Windows XP, Windows Vista and Windows 7 as specified by the Federal Office for Information Security (BSI). The resulting IT-Grundschutz module "Client unter Windows" is based on the internal BSI-directive for versionindependent IT-Grundschutz modules. Another important aspect of this thesis is to use the threat catalogue "G 0 Elementary threats" to describe the threat situation of the version-independent IT-Grundschutz module "Client unter Windows". In this thesis, the elementary threat catalogue is used for the selective replacement of existing threats in the threat catalogues G 1 to G 5.

4 4 Inhaltsverzeichnis Abstract...3 Danksagung...6 Tabellenverzeichnis...7 Abbildungsverzeichnis...8 Einleitung...9 Aufgabenstellung IT-Grundschutz Ziel, Idee und Konzeption IT-Grundschutz-Standards BSI-Standard BSI-Standard BSI-Standard BSI-Standard IT-Grundschutz-Kataloge Bausteine Gefährdungskataloge Maßnahmenkataloge Zertifizierung nach ISO Erstellung des Bausteins "Client unter Windows" Definition des Untersuchungsgegenstandes Abgrenzung des Untersuchungsgegenstandes Abstraktionsmodell Gefährdungsanalyse Identifikation bereits beschriebener Gefährdungen Konsolidierung der Gefährdungskataloge G 0 und G 1 bis G Ermittlung zusätzlicher Gefährdungen Gefährdungsbewertung Bewertung der Sicherheitsmaßnahmen Kriterien für die Bewertung der Sicherheitsmaßnahmen Vorgehen bei der Bewertung der Sicherheitsmaßnahmen Konsolidierung der Maßnahmen Baustein "Client unter Windows" (UB) Kreuzreferenztabelle...66

5 5 3.2 Logo B 3.cuw Client unter Windows Fazit...68 Abkürzungsverzeichnis...70 Literaturverzeichnis...72 Erklärung...74 Anhangverzeichnis...75

6 6 Danksagung An dieser Stelle möchte ich mich bei allen Menschen bedanken, die mich unterstützt haben. Insbesondere danke ich meinem Mentor, Herrn Holger Schildt, der stets für mich erreichbar war und mir die Freiheit gelassen hat, die Diplomarbeit nach eigenen Vorstellungen zu entwerfen und zu entwickeln. Auch meinem betreuenden Professor, Herrn Alfred Scheerhorn, möchte ich danken, durch seinen Einfluss auf mein Studium wurde ich für das Thema IT-Sicherheit begeistert. Bedanken möchte ich mich auch bei allen Mitarbeitern des Bundesamtes für Sicherheit in der Informationstechnik, besonders bei den Mitarbeitern des Referates IT-Sicherheitsmanagement und IT-Grundschutz - für Ihre Unterstützung bei der Erstellung dieser Diplomarbeit. Großer Dank gebührt auch meinen Freunden und meiner Familie, besonders meinen Eltern möchte ich für die gesamte Unterstützung während des Studiums danken.

7 7 Tabellenverzeichnis Tabelle 1: Vorläufige Gefährdungsübersicht für UB...34 Tabelle 2: Aktualisierte vorläufige Gefährdungsübersicht für UB...45 Tabelle 3: Gefährdungsübersicht der relevanten G 0 Gefährdungen für UB...50 Tabelle 4: Gefährdungsübersicht für UB...53 Tabelle 5: Maßnahmenübersicht für UB...65

8 8 Abbildungsverzeichnis Abbildung 1: Aufbau der IT-Grundschutz-Kataloge...18 Abbildung 2: Abstraktionsmodell...27 Abbildung 3: Gefährdungsanalyse...29

9 9 Einleitung In der heutigen Geschäftswelt werden viele Arbeitsprozesse elektronisch gesteuert und mithilfe der Informationstechnik (IT) bearbeitet. Informationen werden dazu digital gespeichert, verarbeitet und in Netzen übermittelt. Mit der weiten Verbreitung der IT in Unternehmen und Institutionen und der damit stets steigenden Abhängigkeit davon ist eine gut funktionierende und sichere IT-Struktur unabdingbar geworden. Ein Hilfsmittel, um mehr Sicherheit zu erreichen, stellt der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) dar. Die BSI-Standards enthalten Empfehlungen und Vorgehensweisen um mit Hilfe der IT-Grundschutz-Kataloge (IT-GSK), bestehend aus Bausteinen, Gefährdungen und Maßnahmen, praxisorientierte Sicherheitsmaßnahmen für einen Informationsverbund zu identifizieren und umzusetzen. Stetiger Wandel und Neuerungen im Bereich der IT fordern eine ständige Aktualisierung und Anpassung der IT-GSK. Im Bereich der Windows Betriebssysteme ist mit dem Betriebssystem Windows 7 im Jahr 2009 eine neue Version auf dem Markt erschienen. Diese wird zusätzlich als separater Baustein zu den Vorgängern, "B Client unter Windows XP" und "B Client unter Windows Vista", in die IT-GSK aufgenommen. Mit der Einführung einer neuen Version eines Betriebssystems verlieren auch ältere Versionen oft an Relevanz und werden in der Geschäftswelt nicht mehr genutzt. Dies betrifft z. B. Windows 2000 und damit auch den Baustein "B Client unter Windows 2000". Dieser Baustein soll dann mit der 13. Ergänzungslieferung (EL) aus den IT-GSK entfernt werden. Die komplette Neuerstellung eines Bausteins, z. B. für Windows 7, ist mit sehr viel Aufwand hinsichtlich Zeit und Kosten verbunden. In der Vergangenheit entstanden insbesondere durch die Ähnlichkeit der unterschiedlichen Versionen der Windows-Betriebssysteme unnötige Redundanzen unter den Windows-Bausteinen. Mit der Erstellung eines versionsunabhängigen Windows-Bausteins könnte dessen zukünftige Aktualisierung schneller und kosteneffizienter gestaltet und die Veröffentlichung zeitlich erheblich beschleunigt werden.

10 10 Aufgabenstellung Gegenstand dieser Diplomarbeit ist die Erstellung des IT-Grundschutz- Bausteins "Client unter Windows". Dabei werden die bisher veröffentlichten Bausteine (Stand: 11. EL) für Windows XP, Windows Vista und das neue Windows 7 in einem Baustein, "Client unter Windows" abgebildet. Grundlage für die Erstellung dieses neuen Bausteins bildet die interne "Autorenrichtlinie für versionsunabhängige IT-Grundschutz-Bausteine" des Bundesamtes für Sicherheit in der Informationstechnik. Diese Vorgehensweise soll die zukünftige Aktualisierung und Neuerstellung von Bausteinen beschleunigen und den damit verbundenen Aufwand verringern. Ein weiteres Ziel ist die Reduzierung der Komplexität bei den Gefährdungen durch die Verwendung des neuen, noch unveröffentlichten Gefährdungskatalogs "G 0 Elementare Gefährdungen". Insbesondere das redundante Auftreten von Inhalten unter den einzelnen Windows-Bausteinen, entstanden durch die separate Abbildung der ähnlichen Windows-Versionen, soll vermieden werden. Im Ergebnis der Arbeit wird ein konkreter Baustein für einen Windows- Client Betriebssysteme Windows XP, Windows Vista und Windows 7 vorgestellt. Dieser umfasst neben den Baustein selbst auch die zugehörigen Gefährdungen und Maßnahmen.

11 1 IT-Grundschutz 11 1 IT-Grundschutz "Viele Arbeitsprozesse werden elektronisch gesteuert und große Mengen von Informationen sind digital gespeichert, werden verarbeitet und in Netzen übermittelt. Damit sind die Institutionen in Wirtschaft und Verwaltung und jeder Bürger von dem einwandfreien Funktionieren der eingesetzten IT abhängig. Angesichts der vielfältigen und wachsenden Gefährdungspotentiale und der steigenden Abhängigkeit stellen sich damit für alle Anwender hinsichtlich der Informationssicherheit die Fragen, wie kann ich, wo, mit welchen Mitteln mehr Sicherheit erreichen. [...] IT-Grundschutz bietet eine einfache Methode, dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Das BSI stellt zahlreiche Werkzeuge zur Verfügung, um ein angemessenes Sicherheitsniveau zu erreichen, wie die BSI-Standards zum Informationssicherheitsmanagement, die IT-Grundschutz-Kataloge und das GSTOOL. Dazu gehört aber auch die ISO Zertifizierung auf Basis von IT-Grundschutz, die sowohl eine Prüfung des Informationssicherheitsmanagements als auch der konkreten Sicherheitsmaßnahmen auf Basis von IT-Grundschutz umfasst." [BSIGS]

12 1.1 Ziel, Idee und Konzeption Ziel, Idee und Konzeption "In den IT-Grundschutz-Katalogen werden Standard-Sicherheitsmaßnahmen für typische Geschäftsprozesse, Anwendungen und IT-Systeme empfohlen. Ziel des IT-Grundschutzes ist es, einen angemessenen Schutz für alle Informationen einer Institution zu erreichen. IT-Grundschutz verfolgt dabei einen ganzheitlichen Ansatz. Durch die geeignete Kombination von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen wird ein Sicherheitsniveau erreicht, das für den normalen Schutzbedarf angemessen und ausreichend ist, um geschäftsrelevante Informationen zu schützen. Darüber hinaus bilden die Maßnahmen der IT-Grundschutz- Kataloge nicht nur eine Basis für hochschutzbedürftige IT-Systeme und Anwendungen, sondern liefern an vielen Stellen bereits höherwertige Sicherheit. Um den sehr heterogenen Bereich der Informationstechnik einschließlich der Einsatzumgebung besser strukturieren und aufbereiten zu können, verfolgt der IT-Grundschutz das Baukastenprinzip. Die einzelnen Bausteine spiegeln typische Abläufe von Geschäftsprozessen und Bereiche des IT- Einsatzes wider, wie beispielsweise Notfall-Management, Client-Server- Netze, bauliche Einrichtungen, Kommunikations- und Applikationskomponenten. In jedem Baustein wird zunächst die zu erwartende Gefährdungslage beschrieben, wobei sowohl die typischen Gefährdungen als auch die pauschalisierten Eintrittswahrscheinlichkeiten berücksichtigt werden. Diese Gefährdungslage bildet die Grundlage, um ein spezifisches Maßnahmenbündel aus den Bereichen Infrastruktur, Personal, Organisation, Hard- und Software, Kommunikation und Notfallvorsorge zu generieren. Die Vorgehensweise nach IT-Grundschutz hilft dabei, Sicherheitskonzepte einfach und arbeitsökonomisch zu erstellen. Bei der traditionellen Risikoanalyse werden zunächst die Bedrohungen ermittelt und mit Eintrittswahrscheinlichkeiten bewertet, um dann die geeigneten Sicherheitsmaßnahmen auszuwählen und anschließend noch das verbleibende Restrisiko bewerten zu können. Diese Schritte sind beim IT-

13 1.1 Ziel, Idee und Konzeption 13 Grundschutz bereits für jeden Baustein durchgeführt und die für typische Einsatzszenarien passenden Sicherheitsmaßnahmen ausgewählt worden. Bei Anwendung des IT-Grundschutzes reduziert sich die Analyse auf einen Soll-Ist-Vergleich zwischen den in den IT-Grundschutz-Katalogen empfohlenen und den bereits realisierten Maßnahmen. Dabei festgestellte fehlende und noch nicht umgesetzte Maßnahmen zeigen die Sicherheitsdefizite auf, die es durch die empfohlenen Maßnahmen zu beheben gilt. Erst bei einem signifikant höheren Schutzbedarf muss zusätzlich eine ergänzende Sicherheitsanalyse unter Beachtung von Kosten- und Wirksamkeitsaspekten durchgeführt werden. Hierbei reicht es dann aber in der Regel aus, die Maßnahmenempfehlungen der IT- Grundschutz-Kataloge durch entsprechende individuelle, qualitativ höherwertige Maßnahmen zu ergänzen. Eine einfache Vorgehensweise hierzu ist im BSI-Standard "Risikoanalyse auf der Basis von IT- Grundschutz" beschrieben. Auch wenn besondere Komponenten oder Einsatzumgebungen vorliegen, die in den IT-Grundschutz-Katalogen nicht hinreichend behandelt werden, bieten diese dennoch eine wertvolle Arbeitshilfe. Die dann notwendige ergänzende Analyse kann sich auf die spezifischen Gefährdungen und Sicherheitsmaßnahmen für diese Komponenten oder Rahmenbedingungen konzentrieren. Bei den in den IT-Grundschutz-Katalogen aufgeführten Maßnahmen handelt es sich um Standard-Sicherheitsmaßnahmen, also um diejenigen Maßnahmen, die für die jeweiligen Bausteine nach dem Stand der Technik umzusetzen sind, um eine angemessene Basis-Sicherheit zu erreichen. Dabei stellen die Maßnahmen, die für die Zertifizierung nach ISO auf der Basis von IT-Grundschutz gefordert werden, das Minimum dessen dar, was in jedem Fall vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist. Die als "zusätzlich" gekennzeichneten Maßnahmen haben sich ebenfalls in der Praxis bewährt, sie richten sich jedoch an Anwendungsfälle mit erhöhten Sicherheitsanforderungen. Sicherheitskonzepte, die auf IT-Grundschutz basieren, können kompakt gehalten werden, da innerhalb des Konzepts jeweils nur auf die

14 1.1 Ziel, Idee und Konzeption 14 entsprechenden Maßnahmen in den IT-Grundschutz-Katalogen verwiesen werden muss. Dies fördert die Verständlichkeit und die Übersichtlichkeit. Um die Maßnahmenempfehlungen leichter umsetzbar zu machen, sind die Sicherheitsmaßnahmen in den IT-Grundschutz-Katalogen detailliert beschrieben. Bei der verwendeten Fachterminologie wird darauf geachtet, dass die Beschreibungen für diejenigen verständlich sind, die die Maßnahmen realisieren müssen. Um die Realisierung der Maßnahmen zu vereinfachen, werden die IT- Grundschutz-Kataloge ebenso wie die meisten Informationen rund um IT- Grundschutz auch in elektronischer Form zur Verfügung gestellt. Darüber hinaus wird die Realisierung der Maßnahmen auch durch Hilfsmittel und Musterlösungen unterstützt, die teilweise durch das BSI und teilweise auch von IT-Grundschutz-Anwendern bereitgestellt werden. Da die Informationstechnik sehr innovativ ist und sich ständig weiterentwickelt, sind die vorliegenden Kataloge auf Aktualisierbarkeit und Erweiterbarkeit angelegt. Das Bundesamt für Sicherheit in der Informationstechnik aktualisiert auf der Grundlage von Anwenderbefragungen die IT-Grundschutz-Kataloge ständig und erweitert sie um neue Themen" [BSIBASIS]

15 1.2 IT-Grundschutz-Standards IT-Grundschutz-Standards "BSI-Standards enthalten Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit. Das BSI greift dabei Themenbereiche auf, die von grundsätzlicher Bedeutung für die Informationssicherheit in Behörden oder Unternehmen sind und für die sich national oder international sinnvolle und zweckmäßige Herangehensweisen etabliert haben. Einerseits dienen BSI-Standards zur fachlichen Unterstützung von Anwendern der Informationstechnik. Behörden und Unternehmen können die Empfehlungen des BSI nutzen und an ihre eigenen Anforderungen anpassen. Dies erleichtert die sichere Nutzung von Informationstechnik, da auf bewährte Methoden, Prozesse oder Verfahren zurückgegriffen werden kann. Auch Hersteller von Informationstechnik oder Dienstleister können auf die Empfehlungen des BSI zurückgreife, um ihre Angebote sicherer zu machen. Andererseits dienen BSI-Standards auch dazu, bewährte Herangehensweisen in ihrem Zusammenwirken darzustellen. BSI-Standards sind zitierfähig, so dass auf diese Weise ein Beitrag zur Vereinheitlichung der Fachbegriffe geleistet wird." [BSISTD] BSI-Standard Managementsysteme für Informationssicherheit (ISMS) [BSI100-1] "Der vorliegende BSI-Standard definiert allgemeine Anforderungen an ein ISMS. Er ist vollständig kompatibel zum ISO-Standard und berücksichtigt weiterhin die Empfehlungen der anderen ISO-Standards der ISO 2700x-Familie wie beispielsweise ISO (früher ISO 17799). Er bietet Lesern eine leicht verständliche und systematische Einführung und Anleitung, unabhängig davon, mit welcher Methode sie die Anforderungen umsetzen möchten. Das BSI stellt den Inhalt dieser ISO-Standards in einem eigenen BSI-Standard dar, um einige Themen ausführlicher beschreiben zu können und so eine didaktischere Darstellung der Inhalte zu ermöglichen. Zudem wurde die Gliederung so gestaltet, dass sie zur IT- Grundschutz-Vorgehensweise kompatibel ist. Durch die einheitlichen Überschriften in beiden Dokumenten ist eine Orientierung für die Leser sehr einfach möglich." [BSISTD]

16 1.2.2 BSI-Standard BSI-Standard IT-Grundschutz-Vorgehensweise [BSI100-2] "Die IT-Grundschutz-Vorgehensweise beschreibt Schritt für Schritt, wie ein Managementsystem für Informationssicherheit in der Praxis aufgebaut und betrieben werden kann. Die Aufgaben des Sicherheitsmanagements und der Aufbau von Organisationsstrukturen für Informationssicherheit sind dabei wichtige Themen. Die IT-Grundschutz-Vorgehensweise geht sehr ausführlich darauf ein, wie ein Sicherheitskonzept in der Praxis erstellt werden kann, wie angemessene Sicherheitsmaßnahmen ausgewählt werden können und was bei der Umsetzung des Sicherheitskonzeptes zu beachten ist. Auch die Frage, wie die Informationssicherheit im laufenden Betrieb aufrecht erhalten und verbessert werden kann, wird beantwortet. IT- Grundschutz interpretiert damit die sehr allgemein gehaltenen Anforderungen der ISO-Standards der 2700x-Reihe und hilft den Anwendern in der Praxis bei der Umsetzung mit vielen Hinweisen, Hintergrundinformationen und Beispielen. Im Zusammenspiel mit den IT- Grundschutz-Katalogen wird in der IT-Grundschutz-Vorgehensweise nicht nur erklärt, was gemacht werden sollte, sondern es werden auch konkrete Hinweise gegeben, wie eine Umsetzung (auch auf technischer Ebene) aussehen kann. Ein Vorgehen nach IT-Grundschutz ist somit eine erprobte und effiziente Möglichkeit, allen Anforderungen der oben genannten ISO- Standards nachzukommen." [BSISTD] BSI-Standard Risikoanalyse auf der Basis von IT-Grundschutz [BSI100-3] "Die IT-Grundschutz-Kataloge des BSI enthalten Standard-Sicherheitsmaßnahmen aus den Bereichen Organisation, Personal, Infrastruktur und Technik, die bei normalen Sicherheitsanforderungen in der Regel angemessen und ausreichend zur Absicherung von typischen Geschäftsprozessen und Informationsverbünden sind. Viele Anwender, die bereits erfolgreich mit dem IT-Grundschutz-Ansatz arbeiten, stehen vor der Frage, wie sie mit Bereichen umgehen sollen, deren Sicherheitsanforderungen deutlich über das normale Maß hinausgehen. Wichtig ist dabei, dass die zugrundeliegende Methodik möglichst wenig zusätzlichen Aufwand mit sich bringt und möglichst viele Ergebnisse aus der IT-Grundschutz-Vorgehensweise wiederverwendet. Vor diesem

17 1.2.3 BSI-Standard Hintergrund hat das BSI einen Standard zur Risikoanalyse auf der Basis von IT-Grundschutz erarbeitet. Diese Vorgehensweise bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit den IT-Grundschutz- Maßnahmen arbeiten und möglichst nahtlos eine Risikoanalyse an die IT- Grundschutz-Analyse anschließen möchten. Hierfür kann es verschiedene Gründe geben: - Die Sicherheitsanforderungen des Unternehmens bzw. der Behörde gehen teilweise deutlich über das normale Maß hinaus (hoher oder sehr hoher Schutzbedarf). - Die Institution betreibt wichtige Anwendungen oder Komponenten, die (noch) nicht in den IT-Grundschutz-Katalogen des BSI behandelt werden. - Die Zielobjekte werden in Einsatzszenarien (Umgebung, Anwendung) betrieben, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind. Die Vorgehensweise richtet sich sowohl an Anwender der Informationstechnik (Sicherheitsverantwortliche und -beauftragte) als auch an Berater und Experten. Häufig ist es allerdings empfehlenswert, bei der Durchführung von Risikoanalysen auf Expertensachverstand zurückzugreifen." [BSISTD] BSI-Standard Notfallmanagement [BSI100-4] "Mit dem BSI-Standard wird ein systematischer Weg aufgezeigt, ein Notfallmanagement in einer Behörde oder einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen. Aufgaben eines Notfallmanagements sind daher, die Ausfallsicherheit zu erhöhen und die Institution auf Notfälle und Krisen adäquat vorzubereiten, damit die wichtigsten Geschäftsprozesse bei Ausfall schnell wieder aufgenommen werden können. Es gilt, Schäden durch Notfälle oder Krisen zu minimieren und die Existenz der Behörde oder des Unternehmens auch bei einem größeren Schadensereignis zu sichern." [BSISTD]

18 1.3 IT-Grundschutz-Kataloge IT-Grundschutz-Kataloge "In den IT-Grundschutz-Katalogen wird beschrieben, wie auf der Basis von Standard-Sicherheitsmaßnahmen Sicherheitskonzepte erstellt und geprüft werden können. [...] Um den sehr heterogenen Bereich der IT einschließlich der Einsatzumgebung besser strukturieren und aufbereiten zu können, verfolgt der IT-Grundschutz das Baukastenprinzip. Die einzelnen Bausteine, die in den IT-Grundschutz-Katalogen beschrieben werden, spiegeln typische Bereiche und Aspekte der Informationssicherheit in einer Institution wider, von übergeordneten Themen, wie dem IS-Management, der Notfallvorsorge oder der Datensicherungskonzeption bis hin zu speziellen Komponenten einer IT-Umgebung. Die IT-Grundschutz-Kataloge umfassen die Gefährdungslage und die Maßnahmenempfehlungen für verschiedene Komponenten, Vorgehensweisen und IT-Systeme, die jeweils in einem Baustein zusammengefasst werden." [BSI100-2] Folgende Abbildung 1 [BSIFOLIEN] verdeutlicht den Aufbau der IT- Grundschutz-Kataloge: Abbildung 1: Aufbau der IT-Grundschutz-Kataloge

19 1.3.1 Bausteine Bausteine "Die Bausteine spielen eine zentrale Rolle in der Methodik des IT- Grundschutzes. Sie sind einheitlich aufgebaut, um ihre Anwendung zu vereinfachen. Jeder Baustein beginnt mit einer kurzen Beschreibung der betrachteten Komponente, der Vorgehensweise bzw. des IT-Systems. [...] Die Bausteine der IT-Grundschutz-Kataloge enthalten jeweils eine Kurzbeschreibung für die betrachteten Komponenten, Vorgehensweisen und IT-Systeme sowie einen Überblick über die Gefährdungslage und die Maßnahmen" [BSI100-2] "Die Bausteine sind nach dem IT-Grundschutz-Schichtenmodell in die folgenden Kataloge gruppiert: - B 1: Übergreifende Aspekte der Informationssicherheit - B 2: Sicherheit der Infrastruktur - B 3: Sicherheit der IT-Systeme - B 4: Sicherheit im Netz - B 5: Sicherheit in Anwendungen" [BSIBASIS] Gefährdungskataloge "Dieser Bereich enthält die ausführlichen Beschreibungen der Gefährdungen, die in den einzelnen Bausteinen als Gefährdungslage genannt wurden. Die Gefährdungen sind in fünf Kataloge gruppiert: - G 1: Höhere Gewalt - G 2: Organisatorische Mängel - G 3: Menschliche Fehlhandlungen - G 4: Technisches Versagen - G 5: Vorsätzliche Handlungen" [BSIBASIS] In dieser Diplomarbeit wird zusätzlich zu den genannten der Gefährdungskatalog "G 0 Elementare Gefährdungen" 1 verwendet. 1 Siehe Anhang A4

20 1.3.3 Maßnahmenkataloge Maßnahmenkataloge "Bei den in den IT-Grundschutz-Katalogen aufgeführten Maßnahmen handelt es sich um Standard-Sicherheitsmaßnahmen, also um diejenigen Maßnahmen, die für die jeweiligen Bausteine nach dem Stand der Technik umzusetzen sind, um eine angemessene Basis-Sicherheit zu erreichen. Dabei stellen die Maßnahmen, die für die Zertifizierung nach ISO auf der Basis von IT-Grundschutz gefordert werden, das Minimum dessen dar, was in jedem Fall vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist. Diese Maßnahmen werden in den IT-Grundschutz- Katalogen mit A, B und C gekennzeichnet. Die als "zusätzlich" gekennzeichneten Maßnahmen haben sich ebenfalls in der Praxis bewährt, sie richten sich jedoch an Anwendungsfälle mit erhöhten Sicherheitsanforderungen. Darüber hinaus gibt es auch noch mit "W" gekennzeichnete Maßnahmen, die dem Wissenstransfer dienen." [BSI100-2] "Die Maßnahmen sind in sechs Maßnahmenkataloge gruppiert: - M 1: Infrastruktur - M 2: Organisation - M 3: Personal - M 4: Hard- und Software - M 5: Kommunikation - M 6: Notfallvorsorge" [BSIBASIS]

21 1.4 Zertifizierung nach ISO Zertifizierung nach ISO "Die Vorgehensweise nach IT-Grundschutz und die IT-Grundschutz- Kataloge werden nicht nur für die Sicherheitskonzeption, sondern auch zunehmend als Referenz im Sinne eines Sicherheitsstandards verwendet. Durch eine Zertifizierung nach ISO auf Basis von IT-Grundschutz kann eine Institution nach innen und außen hin dokumentieren, dass sie sowohl ISO als auch IT-Grundschutz in der erforderlichen Tiefe umgesetzt hat. Das Niveau der Qualifizierung wird dabei in drei verschiedene Stufen unterteilt, die sich sowohl im Hinblick auf die Güte (d. h. den erforderlichen Umsetzungsgrad der Sicherheitsmaßnahmen) als auch in Bezug auf die Vertrauenswürdigkeit unterscheiden. Das Eingangsniveau kann durch einen zertifizierten Auditor nachgewiesen werden, das höchste Niveau erfordert zusätzlich eine Prüfung durch eine Zertifizierungsstelle. Das Prüfungsschema für Zertifizierungen nach ISO auf Basis von IT- Grundschutz sowie das entsprechende Zertifizierungsschema für Auditoren sind auf dem Webserver des BSI erhältlich." [BSIBASIS]

22 2 Erstellung des Bausteins "Client unter Windows" 22 2 Erstellung des Bausteins "Client unter Windows" Das BSI hat für die Erstellung eines IT-Grundschutz-Bausteins 2 drei Richtlinien für externe Dienstleister entwickelt und zu Verfügung gestellt. Diese Richtlinien beschreiben die Vorgehensweise bei der Erstellung eines Bausteins 3 für die IT-Grundschutz-Kataloge [BSIGSK], die sprachliche Gestaltung eines Bausteins) 4 7, Formatierungsvorgaben für einen Baustein 5 und für goldene Regeln 6. Aus den genannten Richtlinien gehen folgende Forderungen hervor, die für einen IT-Grundschutz-Konformen Baustein benötigt werden: - Der Baustein "Client unter Windows" 7 - Die bausteinspezifischen Gefährdungen 8 - Die bausteinspezifischen Maßnahmen 9 - Die "Goldenen Regeln" 10 - Die Kreuzreferenztabelle 11 - Die Änderungen und Ergänzungen bestehender Dokumente und die Zusammenfassung von Teilergebnissen der Untersuchung 12 2 Im folgenden "Baustein" genannt 3 Siehe Anhang A1 4 Siehe Anhang A2 5 Siehe Anhang A3 6 Siehe Anhang A8 7 Siehe Anhang B1 8 Siehe Anhang B2 9 Siehe Anhang B3 10 Siehe Anhang B4 11 Siehe Anhang B5 12 Siehe Anhang B6

23 2 Erstellung des Bausteins "Client unter Windows" 23 Bei der Erstellung des Bausteins wird die BSI-interne "Autorenrichtlinie für versionsunabhängige IT-Grundschutz-Bausteine" 13 angewandt. Diese Richtlinie bildet die Grundlage für die Erstellung des Bausteins "Client unter Windows" und gibt mit dem BSI-Standard "Risikoanalyse auf der Basis von IT-Grundschutz" [BSI100-3] und der zugehörigen Ergänzung zum BSI-Standard "Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen" [BSI100-3ERG] die Vorgehensweise in dieser Diplomarbeit vor. 13 Siehe Anhang A5

24 2.1 Definition des Untersuchungsgegenstandes Definition des Untersuchungsgegenstandes Ausgangspunkt für die Untersuchung in dieser Diplomarbeit ist die veröffentlichte 11. Ergänzungslieferung der IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik. 14 Der Untersuchungsgegenstand U B beinhaltet alle Komponenten eines IT-Grundschutz-Bausteins nach den Vorgaben des BSI 15. U B ist in der Baustein-Schicht 3 "B 3: IT-Systeme" im IT-Grundschutz angesiedelt und trägt den Arbeitstitel "B 3.cuw Client unter Windows". U B soll die bisherigen Bausteine B Client unter Windows XP 16, B Client unter Windows Vista 17 und den noch nicht veröffentlichten Baustein mit dem BSI-internen Arbeitstitel B 3.win Client unter Windows 7 18 zusammenfassen. U B zeichnet sich durch die Spezialisierung auf Windows Clients 19 aus und ordnet sich dem Baustein B Allgemeiner Client 20 unter. Die Sicherheitsmaßnahmen 21 von U B können sowohl umfassenden als auch U B -spezifischen Gefährdungen entgegenwirken (siehe Kapitel "2.3 Abstraktionsmodell"). U B besitzt einen "normalen Schutzbedarf" für die drei Grundwerte der Informationssicherheit [BSI100-2, Kapitel 4.3]. Eine weitere Besonderheit des Untersuchungsgegenstandes ist die Anwendung des noch unveröffentlichten Gefährdungskatalogs "G 0 Elementare Gefährdungen" 22. Die Verwendung von G 0 wird unter dem Ansatz der Integration verwendet, dieses umfasst die punktuelle Ersetzung von bestehenden, unter den Referenz-Bausteinen veröffentlichten Gefährdungen aus den Gefährdungskatalogen G 1 bis G 5 durch Gefährdungen aus dem Gefährdungskatalog G 0. Auf Grundlage der hier erzielten Ergebnisse wird im BSI diskutiert werden, ob U B die drei einzelnen Windows Client-Bausteine 23 im IT-Grundschutz ersetzen soll. 14 Der zu erstellende IT-Grundschutzbaustein "Client unter Windows". 15 Siehe Anhang A1 16 Siehe Anhang C2 17 Siehe Anhang C2 18 Siehe Anhang C1 19 Im folgenden "Windows" genannt 20 Siehe Anhang C2 21 Im folgenden "Maßnahme" genannt 22 Siehe Anhang A4, im folgenden G 0 genannt 23 Im folgenden "Windows-Baustein" genannt

25 2.2 Abgrenzung des Untersuchungsgegenstandes Abgrenzung des Untersuchungsgegenstandes Der Untersuchungsgegenstand U B soll keine umfassenden Maßnahmen enthalten, die durch anderweitige Bausteine bzw. direkt durch den übergeordneten, abstrakten Baustein hinreichend behandelt werden (siehe Kapitel "2.3 Abstraktionsmodell"). Umfassende Maßnahmen definieren sich durch eine unzureichende Spezialisierung auf Windows-Client- Betriebssysteme. Der Baustein B Allgemeiner Client 24 entspricht in seiner jetzigen, veröffentlichten Form (11. EL) noch nicht dem Abstraktionsmodell (siehe Kapitel "2.3 Abstraktionsmodell"). Die Konformität und Vollständigkeit des Bausteins B Allgemeiner Client in seiner Rolle als abstrakter, U B übergeordneter Baustein sowie andere referenzierte und erwähnte Bausteine werden in dieser Diplomarbeit als gegeben vorausgesetzt. Die Bausteine zu dem Thema Windows-Server-Betriebssysteme werden nicht mit betrachtet. Der Baustein B Client unter Windows ist nicht Bestandteil von U B, da der Baustein mit der 13. EL aus dem IT-Grundschutz-Katalog entfernt wird. Der Baustein zu Windows 2000 wird nur im Rahmen der Gefährdungsanalyse (siehe Kapitel "2.4 Gefährdungsanalyse") betrachtet. 24 Siehe Anhang C2 25 Siehe Anhang C2

26 2.3 Abstraktionsmodell Abstraktionsmodell "Aus den vorgeschlagenen Entwurfsmodellen für versionsunabhängige IT-Grundschutzbausteine lassen sich unterschiedliche Konstellationen ableiten; sowohl Abstraktionsmodelle, in denen bisher kein abstrakter Baustein vorhanden ist, als auch Spezialisierungen von abstrakten Bausteinen können umgesetzt werden. [ ] Zielsetzung der Abstraktion "ist die wesentliche Erleichterung für die Erstellung und Pflege von neuen IT-Grundschutzbausteinen. [...] Weiterhin ist das Entwurfsmodell auf IT-Grundschutzbausteine fokussiert, bei denen eine Abstraktion möglich und sinnvoll ist. [...] Das Entwurfsmodell für versionsunabhängige Bausteine eignet sich für neue und aktuelle IT-Grundschutz-Bausteine von Betriebssystemen der Schicht "IT-Systeme" und Software der Schicht "Anwendungen" mit dem Potenzial der Verallgemeinerung." [BSIARL] Die Grundidee des Abstraktionsmodells beruht auf der Trennung von umfassenden und spezifischen Inhalten. Der übergeordnete, abstrakte Baustein enthält in diesem Abstraktionsmodell nur Inhalte, die für alle untergeordneten Bausteine, und somit auch für U B, zutreffend sind. In den untergeordneten Bausteinen entfallen dann diese umfassenden Inhalte. Diese untergeordneten Bausteine enthalten somit nur ihre bausteinspezifischen Inhalte. Die umfassenden Inhalte des übergeordneten abstrakten Bausteins müssen bei der Modellierung eines Informationsverbundes mit einbezogen werden. Bei der Neuerstellung oder bei der Risikoanalyse (bei erhöhtem Schutzbedarf) eines untergeordneten Bausteins sollten die umfassenden Inhalte mit betrachtet werden und bei Bedarf durch bausteinspezifische weiterführende Inhalte ergänzt werden. Abweichend zur Autorenrichtlinie werden in dieser Arbeit spezifische Maßnahmen nicht als Hilfsmittel ausgelagert, sondern verbleiben als spezifische Maßnahmen in den Maßnahmenkatalogen erhalten. Ein weiterer Vorteil dieser Methodik liegt in der Minimierung von aktuell vorhandenen, inhaltlichen Redundanzen der vergleichbaren untergeordneten Bausteine und der daraus folgenden Volumenreduzierung des jeweiligen untergeordneten Bausteins. Die inhaltlichen Überschneidungen der vergleichbaren, untergeordneten Bausteine ergeben sich

27 2.3 Abstraktionsmodell 27 z. B. aus den Gefährdungen der Schicht 1 (Höhere Gewalt) und Schicht 2 (Organisatorische Mängel) und deren zugehörigen Maßnahmen. Abbildung 2 zeigt das an U B angepasste Abstraktionsmodell aus der Autorenrichtlinie 26 und legt die Vorgehensweise bei der Sicherheitsbetrachtung von U B in dieser Diplomarbeit dar. Abbildung 2: Abstraktionsmodell Das Abstraktionsmodell kann bei notwendigem Bedarf noch erweitert werden, indem eine weitere Abstraktions-Stufe über dem abstrakten Baustein hinzugefügt wird. Damit wird der abstrakte Baustein dann als untergeordneten Baustein behandelt. 26 Siehe Anhang A5, Abbildung 1

28 2.4 Gefährdungsanalyse Gefährdungsanalyse Bei der Erstellung des Bausteins "B3.cuw Client unter Windows" 27 (U B ) muss als erster Punkt eine Gefährdungsanalyse für U B durchgeführt werden. Diese Gefährdungsanalyse unterteilt sich in vier wesentliche Schritte: - Schritt 1: Identifikation bereits beschriebener G 1 bis G 5 Gefährdungen auf Basis von U B -relevanten Bausteinen aus den IT-GSK. Erstellung einer vorläufigen Gefährdungsübersicht für U B. - Schritt 2: Konsolidierung der Gefährdungen des Gefährdungskatalogs G 0 mit den Gefährdungen aus den Gefährdungskatalogen G 1 bis G 5. Das umfasst den inhaltlichen Vergleich, die eventuelle Ersetzung von vorhandenen Gefährdungen der Gefährdungskataloge G 1 bis G 5 aus der vorläufigen Gefährdungsübersicht für U B mit den elementaren Gefährdungen aus dem Gefährdungskatalog G 0, sowie eventuelle Anpassungen des Gefährdungskatalogs G 0. - Schritt 3: Ermittlung zusätzlicher Gefährdungen für U B auf Basis des Gefährdungskatalogs G 0. - Schritt 4: Konsolidierung der Gefährdungsübersicht für U B. 27 Siehe Anhang B1

29 2.4 Gefährdungsanalyse 29 Das Vorgehen bei der Gefährdungsanalyse wird durch die Abbildung 3 grafisch dargestellt. Abbildung 3: Gefährdungsanalyse

30 2.4.1 Identifikation bereits beschriebener Gefährdungen Identifikation bereits beschriebener Gefährdungen Der erste Schritt der Gefährdungsanalyse umfasst die Identifikation bereits beschriebenen Gefährdungen auf Grundlage der für U B relevanten Bausteine. Die Kriterien für die Identifizierung werden durch die Autorenrichtlinie 28 beschrieben. Anschließend wird eine vorläufige Gefährdungsübersicht der relevanten Gefährdungen erstellt. Diese vorläufige Gefährdungsübersicht bildet die Grundlage für die weiteren Schritte der Gefährdungsanalyse Kriterien für die Gefährdungsanalyse von U B "Ausgangsbasis für die Erstellung neuer Bausteine sind die aktuellen Versionen der IT-Grundschutz-Vorgehensweise sowie der IT-Grundschutz- Kataloge. [...] Bestehende IT-Grundschutz-Bausteine [...] werden dann in die Sicherheitsanalyse [...] einbezogen, wenn diese direkten Einfluss [...] nehmen können, komplementär [...] wirken oder Redundanzen [...] aufweisen. Obligatorisch ist der Einfluss eines vorhandenen Vorgängerbausteins. [...] Für die Identifizierung bietet sich auf der Ebene der Gefährdungen die Analyse der bereits veröffentlichten Gefährdungen [...] aus den Gefährdungskatalogen an." [BSIARL] Ein bestehender Baustein U G 29 und dessen Gefährdungen G i 30 aus den IT-GSK werden in die Gefährdungsanalyse von U B einbezogen, falls Folgendes zutrifft 31 : - U G ist ein Vorgänger-Baustein von U B und G i wurde unter U G veröffentlicht. - U G ist ein abstrakter, direkt übergeordneter Baustein von U B und G i wurde unter U G veröffentlicht. 28 Siehe Anhang A5 29 Bestehender IT-Grundschutzbaustein aus den IT-GSK 30 Gefährdung eines IT-Grundschutzbausteins aus den IT-GSK 31 Siehe Anhang A5

31 Kriterien für die Gefährdungsanalyse von UB 31 - U G ist ein Baustein eines Konkurrenzproduktes von U B und G i wurde unter U G veröffentlicht. mit Hilfe dieser Kriterien sind für U B folgende Bausteine U G und deren Gefährdungen G i als relevant eingestuft worden. Diese relevanten Bausteine dienen U B bei den nachfolgenden Schritten als Referenz- Bausteine. Vorgänger-Bausteine von U B: - B Client unter Windows B Client unter Windows XP 33 - B Client unter Windows Vista 34 - B 3.win Client unter Windows 7 35 (BSI-interne Arbeitsversion, nicht veröffentlicht) Direkt übergeordneter Baustein von U B: - B Allgemeiner Client 36 Baustein eines Konkurrenzproduktes von U B: - B Client unter Unix 37 - B 3.mac Client unter Mac OS X 38 (BSI-interne Arbeitsversion, noch nicht veröffentlicht) 32 Siehe Anhang C2 33 Siehe Anhang C2 34 Siehe Anhang C2 35 Siehe Anhang C1 36 Siehe Anhang C2 37 Siehe Anhang C2 38 Siehe Anhang C2

32 Vorläufige Gefährdungsübersicht Vorläufige Gefährdungsübersicht Die Gefährdungen (G i ), denen die Referenz-Bausteine (U G ) ausgesetzt sind, liegen als eine tabellarische Übersicht 39 vor. Spezifische, bausteinabhängige Gefährdungen im Sinne des Abstraktionsmodells, die nicht auf U B übertragbar sind, wurden vorgreifend zum Kapitel "2.4.4 Gefährdungsbewertung" als nicht relevant eingestuft. Die irrelevanten Gefährdungen 40 wurden mit Begründung kenntlich gemacht 41 und aus der vorläufigen Gefährdungsübersicht 42 entfernt. Daraus ergibt sich folgende vorläufige Gefährdungsübersicht mit den potenziell relevanten Gefährdungen für U B : G-Nr. Gefährdungsüberschrift 1.1 Personalausfall 1.2 Ausfall von IT-Systemen 1.4 Feuer 1.5 Wasser 1.8 Staub, Verschmutzung 2.1 Fehlende oder unzureichende Regelungen Verlust der Arbeitsfähigkeit von Vista-Clients durch fehlende Reaktivierung vor SP Fehlende Zentralisierung durch Peer-to-Peer 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern 2.22 Fehlende Auswertung von Protokolldaten 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen 2.48 Ungeeignete Entsorgung der Datenträger und Dokumente 2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen 2.7 Unerlaubte Ausübung von Rechten 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz 3.17 Kein ordnungsgemäßer PC-Benutzerwechsel 39 Siehe Anhang D1 40 Siehe Anhang C4 41 Siehe Anhang D1, Tabellenspalte "Kommentar" 42 Siehe Anhang D1, Tabellenspalte "Relevanz"

33 Vorläufige Gefährdungsübersicht 33 G-Nr. Gefährdungsüberschrift 3.2 Fahrlässige Zerstörung von Gerät und Daten 3.22 Fehlerhafte Änderung der Registrierung 3.3 Nichtbeachtung von Sicherheitsmaßnahmen 3.48 Fehlerhafte Konfiguration von Windows basierten IT-Systemen 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal 3.8 Fehlerhafte Nutzung von IT-Systemen 3.9 Fehlerhafte Administration von IT-Systemen 3.97 Vertraulichkeitsverletzung trotz BitLocker Drive Encryption unter Windows Vista 3.98 Verlust von BitLocker-verschlüsselten Daten 3.win 7-1 Unauthorisierte oder falsche Nutzung von Installations-Abbildern bei der Nutzung von Windows DISM 4.1 Ausfall der Stromversorgung 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen 4.13 Verlust gespeicherter Daten 4.2 Ausfall interner Versorgungsnetze 4.23 Automatische Erkennung von Wechseldatenträgern 4.7 Defekte Datenträger 4.73 Beeinträchtigung von Software-Funktionen durch Kompatibilitätsprobleme von Windows Vista und Windows Bekanntwerden von Softwareschwachstellen 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör Vertraulichkeitsverlust durch Auslagerungsdateien 5.18 Systematisches Ausprobieren von Passwörtern 5.19 Missbrauch von Benutzerrechten 5.2 Manipulation an Informationen oder Software 5.21 Trojanische Pferde 5.23 Schadprogramme Spyware 5.28 Verhinderung von Diensten 5.4 Diebstahl 5.40 Abhören von Räumen mittels Rechner mit Mikrofon 5.43 Makro-Viren 5.52 Missbrauch von Administratorrechten bei Windows- Betriebssystemen 5.7 Abhören von Leitungen

34 Vorläufige Gefährdungsübersicht 34 G-Nr. Gefährdungsüberschrift 5.71 Vertraulichkeitsverlust schützenswerter Informationen 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows- Systemen 5.8 Manipulation an Leitungen 5.83 Kompromittierung kryptographischer Schlüssel 5.85 Integritätsverlust schützenswerter Informationen 5.89 Hijacking von Netz-Verbindungen 5.9 Unberechtigte IT-Nutzung Tabelle 1: Vorläufige Gefährdungsübersicht für U B

35 2.4.2 Konsolidierung der Gefährdungskataloge G 0 und G 1 bis G Konsolidierung der Gefährdungskataloge G 0 und G 1 bis G 5 Im nächsten Schritt werden die potenziell relevanten Gefährdungen aus der vorläufigen Gefährdungsübersicht (siehe Tabelle 1) mit den Gefährdungen des elementaren Gefährdungskatalogs G 0 43 verglichen. Ziel dieser Konsolidierung ist die Erfassung von inhaltlichen Übereinstimmungen zwischen den Gefährdungen aus der vorläufigen Gefährdungsübersicht und den elementaren Gefährdungen. Die gefundenen Übereinstimmungen geben dann Aufschluss, welche potenziell relevanten Gefährdungen aus den Gefährdungskatalogen G 1 bis G 5 umfassende Inhalte enthalten und durch elementare Gefährdungen ersetzt werden Der Gefährdungskatalog G 0 Die IT-Grundschutz-Kataloge enthalten zum Zeitpunkt dieser Arbeit fünf Gefährdungskataloge, G 1, G 2, G 3, G 4 und G 5 (siehe Kapitel "1.3.2 Gefährdungskataloge"). "Mittlerweile umfassen diese fünf Gefährdungskataloge circa 450 Einzelgefährdungen. Dies erschwert die Betrachtung und Bewertung sämtlicher Gefährdungen bei Risikoanalysen. Daher hat das BSI aus den teilweise sehr spezifischen Einzelgefährdungen die generellen Aspekte herausgearbeitet und 45 generische Gefährdungen erarbeitet. Diese sogenannten elementaren Gefährdungen (G 0) werden im Zuge der 12. Ergänzungslieferung in den IT-Grundschutz-Katalogen veröffentlicht. Bei der Erstellung der elementaren Gefährdungen wurden die im Folgenden aufgeführten Ziele verfolgt. Elementare Gefährdungen sind - für die Verwendung bei der Risikoanalyse optimiert, - produktneutral (immer), - technikneutral (möglichst bestimmte Technologien prägen so stark den Markt, dass sie auch die abstrahierten Gefährdungen beeinflussen), 43 Siehe Anhang A4

36 Der Gefährdungskatalog G kompatibel mit vergleichbaren internationalen Katalogen, - nahtlos in den IT-Grundschutz-Ansatz integriert. [...] Bei der praktischen Umsetzung der BSI-Standards haben Anwender somit die Wahl, ob sie Risikoanalysen gemäß BSI-Standard mittels der Einzelgefährdungen aus den Gefährdungskatalogen G 1 bis G 5 oder anhand der neuen elementaren Gefährdungen aus Gefährdungskatalog G 0 durchführen. Für die Durchführung neuer Risikoanalysen empfiehlt das BSI die Verwendung der elementaren Gefährdungen, da dies im Vergleich zur Nutzung der Einzelgefährdungen meist einen geringeren Aufwand mit sich bringt, ohne dass Abstriche beim erreichbaren Sicherheitsniveau in Kauf genommen werden müssen." [BSI100-3ERG] Motivation für die Verwendung G 0 In den Gefährdungskatalogen G 1 bis G 5 ergaben sich durch die große und stetig wachsende Anzahl an Gefährdungen sehr oft inhaltliche Redundanzen untereinander, z. B. zwischen den beiden Gefährdungen G 5.20 Missbrauch von Administratorrechten und G 5.52 Missbrauch von Administratorrechten bei Windows-Betriebssystemen. Durch diese und andere Mehrfach-Beschreibungen von ähnlichen Gefährdungssachverhalten in den verschiedenen Gefährdungen der Gefährdungskataloge ist ein intensiver Mehraufwand bei der "Gefährdungsanalyse auf Basis existierender Gefährdungskataloge" [BSIARL] erforderlich. Die elementaren Gefährdungen dienen zur Erfassung und Beschreibung von grundlegenden Gefährdungen eines Informationsverbunds. Sie bieten so die Möglichkeit, den Anwender auf grundlegende Gefährdungen aufmerksam zu machen ohne das dieser die bisherigen Gefährdungskataloge komplett analysieren muss. Die Einbringung der elementaren Gefährdungen in die IT-Grundschutz- Kataloge und die zukünftige Vorgehensweise bei der Verwendung dieses Katalogs wurde durch das BSI noch nicht beschlossen, da die Praxiserprobungen, auch maßgeblich unterstützend durch die Ergebnisse meiner Diplomarbeit, derzeit noch andauern.

37 Die Verwendung von G Die Verwendung von G 0 Für die Einbringung der elementaren Gefährdungen standen bei der Erstellung dieser Diplomarbeit folgende drei Varianten zur Auswahl: 1. Substitution: Der Gefährdungskatalog G 0 ersetzt die Gefährdungskataloge G 1 bis G 5 komplett. Bei dieser Variante läge der Vorteil in der sehr überschaubaren Anzahl an Gefährdungen und die dadurch einfachere Handhabung. Nachteilig könnte sich ggf. diese geringe Anzahl aber bei der Sensibilisierung des Anwenders für die Gefährdungslage sowie bei der Erschließung der Sinnhaftigkeit einiger (spezialisierten) Maßnahmen auswirken. Das betrifft insbesondere Gefährdungen, die komplizierte oder detaillierte Sachverhalte wiedergeben, gegen die Maßnahmen dann wirken. In dieser Diplomarbeit wird diese Variante nicht angewandt. 2. Integration: Die Gefährdungen aus dem Gefährdungskatalog G 0 ersetzen nur punktuell Gefährdungen aus dem Gefährdungskatalog G 1 bis G 5. Bei dieser Variante werden die jeweiligen Gefährdungen aus den Gefährdungskatalogen G 1 bis G 5 nur bei inhaltlicher Übereinstimmung durch die jeweilige Gefährdung aus den Gefährdungskatalog G 0 ersetzt. Ein Vorteil bei dieser Variante wäre die deutliche "Entschlackung" der Gefährdungskataloge G 1 bis G 5 durch den Wegfall von umfassenden, häufig auftretenden Gefährdungen mit inhaltlichen Redundanzen untereinander. Gefährdungen aus den Gefährdungskataloge G 1 bis G 5, die inhaltlich nicht hinreichend durch die elementaren Gefährdungen aus den Gefährdungskatalog G 0 beschrieben werden können, bleiben im Vergleich zur Variante 1 (Substitution) erhalten. Das ermöglicht dem Anwender auch weiterhin die Möglichkeit des Erschließens von detaillierten beziehungsweise von komplizierten Sachverhalten. Ein weiterer Vorteil wäre die Vermeidung der inhaltlichen Redundanzen bei zukünftigen Gefährdungsbeschreibungen. Möglich ist das durch die generische Struktur der elementaren Gefährdungen des Gefährdungskatalogs G 0 (siehe Kapitel " Der Gefährdungskatalog G 0"). Inhaltliche Redundanzen zwischen den Gefährdungen der Gefährdungs

38 Die Verwendung von G 0 38 kataloge G 1 bis G 5 entstehen z. B. durch die unvollständige Betrachtung der gesamten Gefährdungskataloge G 1 bis G 5 im Rahmen einer Risikoanalyse oder bei der Neuerstellung eines Bausteins. Die Ursache der unvollständigen Betrachtung liegt meist im erheblichen Strukturierungsaufwand der mittlerweile rund 450 Einzelgefährdungen. Die dadurch entstehenden Kenntnislücken von bereits beschriebenen Gefährdungssachverhalten können dann zu einer erneuten Beschreibung der Gefährdung führen (siehe o.g. Beispiel: Missbrauch von Administratorrechten), die dann wiederum den IT-GSK ohne signifikanten inhaltlichen Zugewinn vergrößert und die zukünftige Sichtung erschwert. Dieser Rückkopplungseffekt mit dem Resultat eines immer größer werdenden, unhandlichen Gefährdungskatalogs widerspricht der ursprünglichen Intention des IT-Grundschutzes, Sicherheitskonzepte einfach und mit möglichst wenig Aufwand zu erstellen. Dieser kontraproduktive Effekt wäre mit der Verwendung der elementaren Gefährdungen als Grundlage bei einer Risikoanalyse oder einer Neuerstellung eines Bausteins deutlich minimiert. Spezielle Gefährdungen der Gefährdungskataloge G 1 bis G 5 für einen Baustein, welche die elementaren Gefährdungen aus dem Gefährdungskatalog G 0 nicht ausreichend abbilden können (z. B. G 5.83 Kompromittierung kryptographischer Schlüssel) könnten durch die Entschlackung der Gefährdungskataloge G 1 bis G 5 mit weniger Strukturierungsaufwand gefunden, gesichtet und bewertet werden. Im besten Fall würden durch diese Integrations-Variante in Zukunft nur inhaltlich neue Gefährdungen beschrieben und in die IT-GSK aufgenommen werden. Nachteil dieser Variante ist der hohe, aber einmalige Arbeitsaufwand zur Bestimmung der Redundanzen von G 0 Gefährdungen zu den existenten Gefährdungen aus den Katalogen G 1 bis G 5.

39 Die Verwendung von G Koexistenz: Der Katalog G 0 existiert parallel zu den G 1 bis G 5 Gefährdungskatalogen. Der Vorteil wäre hierbei die freie Entscheidung, welcher Gefährdungskatalog bei einer Risikoanalyse oder einer Neuerstellung eines Bausteins zur Anwendung kommt. Der Nachteil wäre aber, dass die immer noch bestehenden Redundanzen zwischen Gefährdungen der Gefährdungskataloge G 1 bis G 5 und die neu hinzukommenden Redundanzen zwischen den Gefährdungskatalogen G 0 und G 1 bis G 5 den Strukturierungsaufwand bei der Sichtung erhöhen. Insbesondere dem oben erwähnten Rückkopplungseffekt (siehe Variante 2) wird nicht entgegengewirkt. Die Akzeptanz der Gefährdungskataloge in der Anwendergemeinde könnte durch noch mehr offensichtlich redundanten Gefährdungen leiden. Verwirrung kann entstehen, zu Uneinigkeit führen und die Verwendung des IT-Grundschutzes durch Unhandlichkeit gänzlich in Frage stellen. In dieser Diplomarbeit wird diese Variante nicht angewandt. In dieser Diplomarbeit wird die zweite Variante, die Integration des Gefährdungskatalogs G 0 in die bestehenden Gefährdungskataloge G 1 bis G 5, angewandt. Der Substitution entsprechend werden die Gefährdungen kategorisiert. Gefährdungen aus dem G 0 Gefährdungskatalog erhalten in dieser Diplomarbeit die Zusatzbezeichnung "elementar" und die Gefährdungen aus den Gefährdungskatalogen G 1 bis G 5 erhalten die Zusatzbezeichnung "vertiefend".