defense.at Onlinemagazin

GSHB - Grundschutzhandbuch

Was ist das GSHB - Grundschutzhandbuch? Das Grundschutzhandbuch ist Ihre Pflichtlektüre, wenn Sie sich mit IT-Sicherheitskonzepten beschäftigen.

Da in der heutigen Zeit die meisten Arbeitsprozesse elektronisch gesteuert und große Mengen an Informationen digital gespeichert werden, sind alle Wirtschaftsunternehmen, Verwaltungen und jeder Bürger von einem einwandfreien Funktionieren der IT abhängig. Da das Internet jedoch immer mehr Gefahren mit sich bringt, müssen einige Sicherheitsvorkehrungen getroffen werden. Das IT-Grundschutzhandbuch bringt eine große Sammlung an Dokumenten des Deutschen Bundesamtes für Sicherheit in der Informationstechnik mit sich. Diese können Schwachstellen in IT-Umgebungen erkennen und bekämpfen. Auf diese Weise kann in Unternehmen ein höheres Maß an Sicherheit gewährt werden.

Aufbau des Grundschutzhandbuches

Das Grundschutz Handbuch wird seit 2005 als "IT-Grundschutz-Katalog" bezeichnet. Zunächst kann sich der Leser mit dem Handbuch vertraut machen, Da ein Glossar mit Begriffs- und Rollendefinitionen bereitgestellt wird. Im Folgenden wird man einen Bausteinkatalog, einen Gefährdungskatalog und einen Maßnahmenkatalog finden. Basis für die Anwendung der IT-Grundschutz-Kataloge ist die IT-Grundschutz Vorgehensweise selbst, die in den BSI-Standards 100-1 bis 100-3 beschrieben wird. 

Bausteinkatalog

Im Baustein Katalog werden die 5 Schichten Infrastruktur, IT-Systeme, Netze, übergreifende Aspekte und IT-Anwendungen beschrieben. Da die einzelnen Faktoren in Schichten eingeteilt wurden, lassen sie sich besonders gut in die betroffenen Personengruppen aufteilen. Die übergeordneten Aspekte der IT Sicherheit sprechen vor allem das Management an, die Sicherheit der Infrastruktur die Haustechniker, die Sicherheit der IT-Systeme die IT-Nutzer und die Administratoren, die Sicherheit im Netz dient den System Administratoren und die Sicherheit in Anwendungen ist für die IT-Anwendungs-Verantwortlichen vorgesehen.

Gefährdungskataloge

Diese gehen näher auf die möglichen Gefährdungen für IT-Systeme ein. Diese Kataloge folgen dem allgemeinen Aufbau nach Schichten. Im Gefährdungskatalog werden die Schichten: menschliche Verhandlungen, Technisches Versagen, organisatorische Mängel, höhere Gewalt und vorsätzliche Handlungen unterschieden.

Maßnahmenkataloge

In den Maßnahmenkatalogen werden die Schichten Organisationen, Personal, Kommunikation, Infrastruktur, Notfall-Vorsorge und Hardware/Software unterschieden. Erst einmal werden die einzelnen Maßnahmen beschrieben. Danach werden verschiedene Kontrollfragen genannt, um eine korrekte Umsetzung zu gewähren. Es muss zunächst überprüft werden, ob eine Anpassung der Maßnahme in der jeweiligen Firma sinnvoll ist. Am Ende wird eine Art Checkliste zur Verfügung gestellt, die überprüft, ob die Maßnahmen auch richtig durchgeführt wurden.

Das Bundesamt für Informationssicherheit stellt neben diesen drei Katalogen auch noch weiteres Material bereit, welches keine Fragen mehr offen lässt. Zu diesen Materialien gehören unter anderem bestimmte Formulare, die der Erhebung des Schutzbedarfs für bestimmte Bausteine des IT-Systems dienen. Darüber hinaus gibt es eine Tabelle, die umzusetzende Maßnahmen für die einzelnen Bausteine zusammenfasst. Hierbei wird jede Maßnahme genannt und der Umsetzungsgrad erfasst. Unterschieden werden müssen die Umsetzungsgrade "Ja", "teilweise", "entbehrlich" und "nein". Danach wird ein Verantwortlicher bestimmt und die Umsetzung terminiert. Falls die Umsetzung nicht möglich sein sollte, dann müssen die Gründe in das dafür vorgesehene Kästchen eingetippt werden. Den Abschluss bildet eine Kostenschätzung. Weiterhin werden Kreuzreferenztabellen zur Verfügung gestellt. Diese fassen die Maßnahmen für die einzelnen Bausteine und die wichtigsten Gefährdungen zusammen. Der Tabelle kann also entnommen werden, welche Maßnahmen welchen Gefährdungen entgegenwirken. Es muss jedoch beachtet werden, dass diese Tabelle nur die relevantesten Gefährdungen nennt. Generell kann der Grundschutz nur dann gewährleistet werden, wenn alle Maßnahmen fachgerecht umgesetzt wurden.