Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Transkript

1 Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009

2 Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Tel.: / sicherheitsberatung@bsi.bund.de Internet: Bundesamt für Sicherheit in der Informationstechnik 2009 Bundesamt für Sicherheit in der Informationstechnik

3 Inhaltsverzeichnis Management Summary 4 Gesamtüberblick der Arbeitsschritte 6 Bezug zur IT-Grundschutz-Vorgehensweise 7 Strukturierte Vorgehensweise 8 Arbeitsschritt 1: Überprüfung bzw. Abschluss der Schutzbedarfsfeststellung nach IT- Grundschutz 9 Arbeitsschritt 2: Vertraulichkeits-/Integritätsanalyse 9 Arbeitsschritt 3: Kryptobedarfsanalyse 10 Arbeitsschritt 4: Meldung des Kryptobedarfs ans BSI 11 Arbeitsschritt 5: Erstellung des Kryptokonzepts 12 Empfehlung zur Datensicherheit 12 Literaturverzeichnis 13 Anlagen 13 Bundesamt für Sicherheit in der Informationstechnik 3

4 Management Summary Die Medien berichten täglich über Sicherheitsvorfälle in lokal betriebener Informationstechnik (IT) und in über das Internet erreichbaren Anwendungen. Als Ursache wird neben zunehmend krimineller Energie auch die Komplexität der vernetzten Welt genannt. Der Nationale Plan zum Schutz der Informationsinfrastrukturen in Deutschland (NPSI) und die davon abgeleiteten konkreten Maßnahmen zum Schutz der IT der Bundesverwaltung im Umsetzungsplan BUND (UP Bund) sind die zeitgemäße Reaktion auf steigende Risiken, die mit dem Einsatz der Informations- und Kommunikationstechnik verbunden sind. In der vernetzten IT-Welt steigt die Quantität der Informationen, die ausgetauscht werden. Daten bzw. Informationen werden damit für Angreifer zugänglicher und deutlich attraktiver. Insbesondere die Vertraulichkeit und Integrität der Daten sind bei der Nutzung von IT-Systemen dabei von besonderer Bedeutung. Im UP-Bund Kapitel 4 Vertraulichkeit gewährleisten werden deshalb besondere Anforderungen gestellt, die insbesondere die Durchführung einer Vertraulichkeits-/Integritätsanalyse, einer Kryptobedarfsanalyse und die Erstellung von Kryptokonzepten umfassen. Um hier eine Hilfestellung anzubieten, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im September 2008 den Leitfaden zur Erstellung von Kryptokonzepten [5] veröffentlicht. Die vorliegende Arbeitshilfe ist über die Informationen des Leitfadens hinaus eine ergänzende und praxisorientierte Unterstützung für alle Personen, die für die Informationssicherheit verantwortlich sind. Sie behandelt dabei folgende Aspekte: Durchführung der Vertraulichkeits-/Integritätsanalyse mittels konkreter Handlungsempfehlungen Ermittlung des Kryptobedarfs mit einem zielgerichteten und zur IT- Grundschutzvorgehensweise nach BSI-Standard [4] konformen Verfahren Effiziente Erstellung eines Kryptokonzepts unter Verwendung des vom BSI im September 2008 veröffentlichten Leitfadens Erstellung von Kryptokonzepten [5]. Der Ressort-IT-Sicherheitsbeauftragte hat damit ein Werkzeug in der Hand zur Erstellung von Ressort-Kryptokonzepten, um die sichere Kommunikation zwischen den Behörden des nachgeordneten Bereichs zu gewährleisten. IT-Sicherheitsbeauftragte (IT-Sibe) einer Behörde hingegen erstellen mit dieser Arbeitshilfe ein Kryptokonzept für den Geltungsbereich ihrer Behörde. Durch das beschriebene Vorgehen werden die folgenden Ergebnisse erreicht: 1. Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse: Der IT-Sibe erhält eine Übersicht über die sensitiven bzw. schutzbedürftigen Informationen in der 4 Bundesamt für Sicherheit in der Informationstechnik

5 betrachteten Organisation. Ferner kann der offene Bedarf an Kryptoprodukten erkannt und durch die Zusammenarbeit mit dem BSI bestmöglich gedeckt werden. 2. Kryptokonzept: Der IT-Sibe erhält als Ergebnis das vom UP Bund geforderte Kryptokonzept in enger Verzahnung mit der IT-Sicherheitskonzeption nach BSI- Standard Hierdurch können auch technische und organisatorische Mängel bei der Handhabung von Kryptotechnik erkannt und abgestellt werden. Zur besseren Veranschaulichung, wie die Vertraulichkeits-/Integritäts- und Kryptobedarfsanalyse und ein darauf aufbauendes Kryptokonzept aussehen sollten, wird das BSI zu beiden Themen Musterbeispiele veröffentlichen. Das BSI beabsichtigt den Kryptobedarf in der Bundesverwaltung noch intensiver zu untersuchen und bittet daher die Ressort-IT-Sicherheitsbeauftragten und die IT- Sicherheitsbeauftragten der Behörden, den ermittelten Kryptobedarf an das BSI zu melden. Ein entsprechendes Formular befindet sich in der Anlage 2. Durch die Mithilfe und durch das Bereitstellen der Daten ist es dem BSI möglich, neue Kryptosysteme zu entwickeln bzw. am Markt zu identifizieren, Rahmenverträge über die Beschaffung von Kryptolösungen mit Herstellern zu schließen sowie die Zulassung und Zertifizierung von entsprechenden Produkten voranzutreiben. Bundesamt für Sicherheit in der Informationstechnik 5

6 Gesamtüberblick der Arbeitsschritte 6 Bundesamt für Sicherheit in der Informationstechnik

7 Bezug zur IT-Grundschutz-Vorgehensweise Die nachstehende Grafik verdeutlicht den Zusammenhang zwischen der Erstellung eines Kryptokonzepts im Sinne dieser Arbeitshilfe und der Vorgehensweise nach IT-Grundschutz. Bundesamt für Sicherheit in der Informationstechnik 7

8 Strukturierte Vorgehensweise... noch kein aktuelles Sicherheitskonzept nach BSI Standard 100-2? In diesem Fall ist mit dem Arbeitsschritt 1 zu beginnen, und es sind die folgenden Bereiche nach BSI-Standard zu erarbeiten: Definition des Geltungsbereichs, Strukturanalyse, Schutzbedarfsfeststellung. Das BSI empfiehlt, unmittelbar im Anschluss daran die Erstellung des Kryptokonzeptes nach dem Leitfaden [5] und dieser Arbeitshilfe mit den Arbeitsschritten 1 bis 5 vorzunehmen und danach erst mit der Sicherheitskonzeption fortzufahren. Die Arbeitshilfe dient dazu, sich mit dem Schutzbedarf bzgl. Vertraulichkeit und Integrität ausführlich auseinanderzusetzen und nachvollziehbar zu dokumentieren. Hieraus können sich Anforderungen an die Kryptierung oder Integritätssicherung ergeben, die ein wesentlicher Bestandteil des Sicherheitskonzeptes sind bzw. mit Priorität zeitnah umgesetzt werden müssen.... ein Sicherheitskonzept nach BSI Standard 100-2, jedoch nur bis zur Schutzbedarfsfeststellung? In diesem Fall ist sicherzustellen, dass die Schutzbedarfsfeststellung für IT-Systeme, Datenträger und Kommunikationsverbindungen nach BSI-Standard vollständig abgeschlossen wurde. Es ist mit Arbeitsschritt 2 dieser Arbeitshilfe zu beginnen und anschließend Arbeitsschritt 3 bis 5 zu bearbeiten. Es sollte darauf geachtet werden, dass auch alle Datenträger (USB-Sticks, DVD, mobile Speichermedien etc. ) betrachtet wurden.... ein vollständiges Sicherheitskonzept nach BSI Standard 100-2, jedoch ohne Erstellung eines Kryptokonzepts? Die Schutzbedarfsfeststellung für IT-Systeme, Datenträger und Kommunikationsverbindungen nach BSI-Standard müssen vollständig sein. Es ist mit mit Arbeitsschritt 2 dieser Arbeitshilfe zu beginnen und anschließend Arbeitsschritt 3 bis 5 zu bearbeiten.... ein vollständiges Sicherheitskonzept und Kryptokonzept? In diesem Fall braucht kein neues Kryptokonzept erstellt werden. Nach Qualitätssicherung, Prüfung auf Vollständigkeit und Aktualität ist ausschließlich Arbeitsschritt 4 dieser Arbeitshilfe durchzuführen. 8 Bundesamt für Sicherheit in der Informationstechnik

9 Arbeitsschritt 1: Überprüfung bzw. Abschluss der Schutzbedarfsfeststellung nach IT-Grundschutz Folgende Bereiche der Sicherheitskonzeption für die zu betrachtende Behörde oder Organisation müssen gemäß BSI-Standard [4] - also nach der Grundschutzvorgehensweise - aktuell und vollständig vorliegen bzw. erstellt werden: Festlegung des Geltungsbereichs (Definition des IT-Verbundes) nach Kapitel 4.1 BSI- Standard [4]. Strukturanalyse nach Kapitel 4.2 BSI-Standard [4] Schutzbedarfsfeststellung nach Kapitel 4.3 BSI-Standard [4]. Es ist darauf zu achten, dass Datenträger (USB-Sticks, DVDs, etc.) mit betrachtet werden. Arbeitsschritt 2: Vertraulichkeits-/Integritätsanalyse Der zweite Arbeitsschritt dient zur Ermittlung des Vertraulichkeits- und Integritätsbedarfs der im IT-Verbund festgelegten IT-Systeme und Kommunikationsverbindungen. Hierbei wird sowohl die lokale Bearbeitung, als auch das gesamte Kommunikationsspektrum der Behörde berücksichtigt. U.a. sind zu betrachten: IT-Systeme / Datenträger: Server, Clientsysteme, Mobile Systeme (z.b. Notebook, PDA), Datenträger (mobile Speichermedien jeglicher Art) Kommunikationsverbindungen: Kommunikation in eigenen lokalen Netzen, Kommunikation in ressortinternen kontrollierten Netzen, Kommunikation über ressortübergreifende Regierungsnetze, Kommunikation über unkontrollierte Netze (z.b. Internet), Kommunikation mit mobilen Endgeräten. Bei einer vorhandenen Sicherheitskonzeption sind dem Sicherheitskonzept oder dem nach Arbeitsschritt 1 erarbeiteten Stand alle IT-Systeme und Kommunikationsverbindungen, die bei der durchgeführten Schutzbedarfsfeststellung einen hohen oder sehr hohen Schutzbedarf bezüglich der Vertraulichkeit oder Integrität aufweisen, zu entnehmen. Datenträger sind dabei zur Vereinfachung als IT-System zu behandeln. Abweichend zum Vorgehen nach BSI- Standard werden diese somit hier nicht als Anwendung erfasst, da Anwendungen für eine mögliche Verschlüsselung eine untergeordnete Rolle spielen. Die Vorgehensweise zur Strukturanalyse und der Schutzbedarfsfeststellung bleibt hiervon unberührt. Bundesamt für Sicherheit in der Informationstechnik 9

10 Die gewonnenen Informationen sind in die Spalten 1 bis 5 der Tabelle Kryptobedarf in Anlage 1 aufzunehmen. Das folgende Beispiel zeigt, wie die Tabelle befüllt werden kann. Arbeitsschritt 2 Arbeitsschritt 3 Anzahl Art der Daten (z.b. , Dateien) IT-Systeme / Datenträger / Kommunikationsverbindungen Schutzbedarf VS- Einstufung eingesetztes Kryptoprodukt Laptop 20 Offene Daten, personenbezogene Daten USB-Sticks 100 Personenbezogene Daten Internes Netz 1 Offene Daten, personenbezogene Daten, VS-NfD Hoch - - Hoch - Chiasmus Hoch VS-NfD - Verbindung zu den Außenstellen 5 Offene Daten, VS-NfD Hoch VS-NfD SINA Box S Besonderer Hinweis: Auf Grund der Vertraulichkeit dieser Informationen, kann es erforderlich sein, die ausgefüllte Tabelle als Verschlusssache (VS) einzustufen und entsprechend zu behandeln. Arbeitsschritt 3: Kryptobedarfsanalyse Zur Ermittlung des Kryptobedarfs ist zu prüfen, ob die in Arbeitsschritt 2 festgehaltenen IT- Systeme, Datenträger und Kommunikationsverbindungen bereits über eine Verschlüsselung bzw. Integritätssicherung verfügen, durch alternative Sicherheitsmaßnahmen gesichert oder noch ungesichert sind. Diese Informationen sind beispielsweise von der IT-Abteilung der Organisation zu erhalten und in die Spalte eingesetztes Kryptoprodukt der Tabelle Kryptobedarf in Anlage 1 einzutragen. Auf diesem Weg werden über die Tabelle Kryptobedarf alle Elemente des IT-Verbundes mit einem hohen bis sehr hohen Schutzbedarf im Bezug auf Vertraulichkeit oder Integrität ermittelt, die entweder bereits durch Kryptierung bzw. Integritätssicherung gesichert sind, oder eben über keine Kryptierung bzw. Intergritätssicherung oder andere adäquate Sicherheitsmaßnahmen verfügen. 10 Bundesamt für Sicherheit in der Informationstechnik

11 Grundsätzlich ist zu empfehlen, die Tabelle Kryptobedarf später im Rahmen der Sicherheitskonzeption zur Unterstützung der ergänzenden Sicherheitsanalyse zu verwenden. Abschließend ist anhand der als min. hoch schützenswert eingestuften Informationen und Geschäftsprozesse zu prüfen, dass keine Bereiche, wie beispielsweise die Datenübermittlung auf Datenträgern, übersehen wurden. Arbeitsschritt 4: Meldung des Kryptobedarfs ans BSI Falls in Arbeitsschritt 3 festgestellt wurde, dass IT-Systeme, Datenträger oder Kommunikationsverbindungen bislang über keine Kryptierung oder Integritätssicherung verfügen, dies aber als die adäquate Sicherheitsmaßnahme anzusehen ist, dann besteht für diese Komponenten ein Kryptobedarf. Hierfür ist das Formular Meldung des Kryptobedarfs an das BSI in Anlage 2 auszufüllen und an das Beratungsreferat des BSI zu senden. Mit den Informationen zum Kryptobedarf einschließlich Randbedingungen, Betrieb, Einsatzumgebung, sowie technologischen und funktionalen Anforderungen möchte das BSI insbesondere das Angebot an verfügbaren Kryptolösungen verbessern und den jeweiligen IT- Sicherheitsbeauftragten in der Bundesverwaltung in diesem Zusammenhang Unterstützung anbieten. Um neue Kryptosysteme zu entwickeln, Rahmenverträge über die Beschaffung von Kryptolösungen mit Herstellern zu schließen und die Zulassung sowie Zertifizierung von Produkten voranzutreiben, benötigt das BSI die erfragten Informationen. Nachfolgend eine beispielhaft aufgeführte Kryptobedarfsmeldung. Nr. Beschreibung der Anforderungen an das Produkt Übertagungsprotokoll VS-Einstufung Anzahl 1. Verschlüsselung der Laptops. Vor.: kompatibel zu Windows XP, Verschlüsselung mittels Smartcard- Token 2. Verschlüsselung der LAN- Kommunikation IPSEC VS-NfD 1 Besonderer Hinweis: Auf Grund der Vertraulichkeit dieser Informationen, kann es erforderlich sein, die ausgefüllte Tabelle als Verschlusssache (VS) einzustufen und entsprechend zu behandeln. Bundesamt für Sicherheit in der Informationstechnik 11

12 Auf der Grundlage Ihrer Kryptobedarfsmeldung kann das BSI Empfehlungen zu Kryptoprodukten geben oder Vorschläge zu alternativen Sicherheitsmaßnahmen machen. Sollten durch eine später durchgeführte Risikoanalyse Änderungen am Kryptobedarf entstehen, so ist die Kryptobedarfsmeldung entsprechend zu aktualisieren. Für Rückfragen steht das Beratungsreferat des BSI gerne zur Verfügung. Kontaktinformationen siehe nächster Abschnitt. Arbeitsschritt 5: Erstellung des Kryptokonzepts Die ausgefüllte Tabelle Kryptobedarf und die weiteren Informationen des BSI bilden die Grundlage zur Erstellung eines Kryptokonzeptes. Die maßgeblichen Informationen, die in einem solchen Konzept enthalten sein sollen, sind in den Kapiteln 8 bis 10 des Leitfadens zur Erstellung von Kryptokonzepten [5] beschrieben. Gegebenenfalls. ist eine Risikoanalyse zu erstellen und diese u.u. auch abhängig vom Kryptogeräte-Einsatz anzupassen. Das BSI bietet an, bei der Erstellung der Risikoanalyse durch Beratung zu unterstützen. Hierzu steht das Beratungsreferat des BSI gerne zur Verfügung: sicherheitsberatung@bsi.bund.de Internet: Telefon: Empfehlung zur Datensicherheit Mit dem Vorbehalt der individuellen Abwägung der Bedingungen der Informationssicherheit vor Ort, empfiehlt das BSI grundsätzlich nach Abschluss der Schutzbedarfsfeststellung das Kryptokonzept und die Kryptobedarfsmeldung entsprechend dieser Arbeitshilfe mit Priorität zu erstellen. Aufgrund hoher oder sehr hoher Anforderungen an die Vertraulichkeit und Integrität von Systemen oder Informationen, dies insbesondere im Hinblick auf personenbezogene Daten, können sich Anforderungen an IT-Sicherheitsmaßnahmen ergeben, die mit Priorität zeitnah umgesetzt werden müssen. Hintergrund ist, dass Datenverluste aus Sicht des BSI derzeit kritischer als andere Bedrohungen zu bewerten sind. 12 Bundesamt für Sicherheit in der Informationstechnik

13 Literaturverzeichnis [1] BMI, Nationaler Plan zum Schutz der Informationsinfrastrukturen, 2005 verfügbar unter [2] BMI, Nationaler Plan zum Schutz der Informationsinfrastrukturen in Deutschland Umsetzungsplan Bund VS-NUR FÜR DEN DIENSTGEBRAUCH, 2005 [3] BMI, Allgemeine Verwaltungsvorschrift des Bundeministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung VSA), 31. März 2006 [4] BSI, BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, Version 2.0, verfügbar unter [5] BSI, Leitfaden zur Erstellung von Kryptokonzepten, Version 1.0, Juli 2008 Anlagen 1. Tabelle: Kryptobedarf 2. Formular: Meldung des Kryptobedarfs an das BSI Bundesamt für Sicherheit in der Informationstechnik 13