BSI veröffentlicht neue Version des IT-Grundschutz-Kompendiums

Sicherheit (Pexels, allgemeine Nutzung)Kurzer Hinweis für Administratoren und IT-Dienstleister, die im Unternehmensumfeld aktiv sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gerade die neue Version des IT-Grundschutz-Kompendiums veröffentlicht. Es sind 10 neue Bausteine hinzugekommen. Das reicht von Hinweisen zum IT-Betrieb über Schulungen bis hin zu Windows Server. Diese Bausteine beschreiben einen bestimmten Aspekt der Informationssicherheit, typische Gefährdungen und Sicherheitsanforderungen.


Anzeige

Ich hatte ja bereits im Dezember 2022 im Beitrag BSI legt 19 IT-Grundschutz-Bausteine als Final Draft vor berichtet, dass das BSI eine Aktualisierung des IT-Grundschutz-Kompendiums für die Edition 2023 plant. Nun bin ich auf Mastodon auf die entsprechende Meldung des BSI gestoßen, dass das IT-Grundschutz-Kompendiums Edition 2023 freigegeben wurde.

IT-Grundschutz-Kompendiums Edition 2023 des BSI

Das IT-Grundschutz-Kompendium ist die grundlegende Veröffentlichung des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis für alle, die sich umfassend mit dem Thema Informationssicherheit befassen möchten.

Im Fokus des IT-Grundschutz-Kompendiums stehen die sogenannten IT-Grundschutz-Bausteine. In diesen Texten wird jeweils ein Thema zu allen relevanten Sicherheitsaspekten beleuchtet. Im ersten Teil der IT-Grundschutz-Bausteine werden mögliche Gefährdungen erläutert, im Anschluss wichtige Sicherheitsanforderungen.

Die IT-Grundschutz-Bausteine sind in zehn unterschiedliche Schichten aufgeteilt und reichen thematisch von Anwendungen (APP) über Industrielle IT (IND) bis hin zu Sicherheitsmanagement (ISMS).

Das IT-Grundschutz-Kompendium wird jährlich im Februar in einer neuen Edition veröffentlicht. Das BSI stellt ganzjährig Entwürfe von Bausteinen zur Verfügung, die von Anwendern kommentiert werden können. Die Edition 2023 kann hier abgerufen werden.

IT-Grundschutz-Bausteine (Edition 2023) im PDF-Format als ZIP-Datei
IT-Grundschutz-Bausteine (Edition 2023) im MS-Word-Format als ZIP-Datei
Kreuzreferenztabellen zum IT-Grundschutz-Kompendium (Edition 2023) MS-Excel-Format

ISMS: Sicherheitsmanagement


Anzeige

ISMS.1 Sicherheitsmanagement

ORP: Organisation und Personal

ORP.1 Organisation
ORP.2 Personal
ORP.3 Sensibilisierung und Schulung zur Informationssicherheit
ORP.4 Identitäts- und Berechtigungsmanagement
ORP.5 Compliance Management (Anforderungsmanagement)

CON: Konzeption und Vorgehensweise

CON.1 Kryptokonzept
CON.2 Datenschutz
CON.3 Datensicherungskonzept
CON.6 Löschen und Vernichten
CON.7 Informationssicherheit auf Auslandsreisen
CON.8 Software-Entwicklung
CON.9 Informationsaustausch
CON.10 Entwicklung von Webanwendungen
CON.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)

OPS: Betrieb

OPS.1.1.1 Allgemeiner IT-Betrieb
OPS.1.1.2 Ordnungsgemäße IT-Administration
OPS.1.1.3 Patch- und Änderungsmanagement
OPS.1.1.4 Schutz vor Schadprogrammen
OPS.1.1.5 Protokollierung
OPS.1.1.6 Software-Tests und -Freigaben
OPS.1.1.7 Systemmanagement
OPS.1.2.2 Archivierung
OPS.1.2.4 Telearbeit
OPS.1.2.5 Fernwartung
OPS.1.2.6 NTP -Zeitsynchronisation
OPS.2.2 Cloud-Nutzung
OPS.2.3 Nutzung von Outsourcing
OPS.3.2 Anbieten von Outsourcing

DER: Detektion und Reaktion

DER.1 Detektion von sicherheitsrelevanten Ereignissen
DER.2.1 Behandlung von Sicherheitsvorfällen
DER.2.2 Vorsorge für die IT-Forensik
DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle
DER.3.1 Audits und Revisionen
DER.3.2 Revision auf Basis des Leitfadens IS-Revision
DER.4 Notfallmanagement

APP: Anwendungen

APP.1.1 Office-Produkte
APP.1.2 Webbrowser
APP.1.4 Mobile Anwendung (Apps)
APP.2.1 Allgemeiner Verzeichnisdienst
APP.2.2 Active Directory Domain Services
APP.2.3 OpenLDAP
APP.3.1 Webanwendungen und Webservices
APP.3.2 Webserver
APP.3.3 Fileserver
APP.3.4 Samba
APP.3.6 DNS-Server
APP.4.2 SAPERP-System
APP.4.3 Relationale Datenbanksysteme
APP.4.4 Kubernetes
APP.4.6 SAP ABAP-Programmierung
APP.5.2 Microsoft Exchange und Outlook
APP.5.3 Allgemeiner E-Mail-Client und -Server
APP.5.4 Unified Communications und Collaboration
APP.6 Allgemeine Software
APP.7 Entwicklung von Individualsoftware

SYS: IT-Systeme

SYS.1.1 Allgemeiner Server
SYS.1.2.2 Windows Server 2012
SYS.1.2.3 Windows Server
SYS.1.3 Server unter Linux und Unix
SYS.1.5 Virtualisierung
SYS.1.6 Containerisierung
SYS.1.7 IBM Z
SYS.1.8 Speicherlösungen
SYS.1.9 Terminalserver
SYS.2.1 Allgemeiner Client
SYS.2.2.3 Clients unter Windows 10
SYS.2.3 Clients unter Linux und Unix
SYS.2.4 Clients unter macOS
SYS.2.5 Client-Virtualisierung
SYS.2.6 Virtual Desktop Infrastructure
SYS.3.1 Laptops
SYS.3.2.1 Allgemeine Smartphones und Tablets
SYS.3.2.2 Mobile Device Management (MDM)
SYS.3.2.3 iOS (for Enterprise)
SYS.3.2.4 Android
SYS.3.3 Mobiltelefon
SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte
SYS.4.3 Eingebettete Systeme
SYS.4.4 Allgemeines IoT-Gerät
SYS.4.5 Wechseldatenträger

IND: Industrielle IT

IND.1 Prozessleit- und Automatisierungstechnik
IND.2.1 Allgemeine ICS-Komponente
IND.2.2 Speicherprogrammierbare Steuerung (SPS)
IND.2.3 Sensoren und Aktoren
IND.2.4 Maschine
IND.2.7 Safety Instrumented Systems
IND.3.2 Fernwartung im industriellen Umfeld

NET: Netze und Kommunikation

NET.1.1 Netzarchitektur und -design
NET.1.2 Netzmanagement
NET.2.1 WLAN-Betrieb
NET.2.2 WLAN-Nutzung
NET.3.1 Router und Switches
NET.3.2 Firewall
NET.3.3 VPN
NET.3.4 Network Access Control
NET.4.1 TK-Anlagen
NET.4.2 VoIP
NET.4.3 Faxgeräte und Faxserver

INF: Infrastruktur

INF.1 Allgemeines Gebäude
INF.2 Rechenzentrum sowie Serverraum
INF.5 Raum sowie Schrank für technische Infrastruktur
INF.6 Datenträgerarchiv
INF.7 Büroarbeitsplatz
INF.8 Häuslicher Arbeitsplatz
INF.9 Mobiler Arbeitsplatz
INF.10 Besprechungs-, Veranstaltungs- und Schulungsraum
INF.11 Allgemeines Fahrzeug
INF.12 Verkabelung
INF.13 Technisches Gebäudemanagement
INF.14 Gebäudeautomation

Bei der Erstellung der Bausteine wurde bereits eine Risikobewertung für Bereiche mit normalem Schutzbedarf durchgeführt. Die Anforderungen in den Bausteinen bilden den aktuellen Stand der Technik ab.

Vertiefende Informationen dazu, wie einzelne Maßnahmen umgesetzt werden können, sind in den sogenannten Umsetzungshinweisen zu finden. Sie beschreiben, wie die Anforderungen der Bausteine umgesetzt werden können und erläutern im Detail geeignete Sicherheitsmaßnahmen. Bislang gibt es noch nicht zu jedem Baustein einen Umsetzungshinweis. Weitere Umsetzungshinweise werden sukzessive vom BSI veröffentlicht. Diese sind ab dem IT-Grundschutz-Kompendium 2020 losgelöst von der jeweils aktuellen Edition zu verwenden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu BSI veröffentlicht neue Version des IT-Grundschutz-Kompendiums

  1. Dolly sagt:

    Gibt es regelmässige, zeitnaheUpdates für die "Umsetzungshinweise" z.B. nach Patchday, wenn wieder mal vieles anders ist?

  2. Steve Hunter sagt:

    Und der wichtigste Punkt ist die geschlechtergerechte Sprache…
    Wir haben offensichtlich andere Probleme…

    • Joerg sagt:

      das geht da aber noch, ich finde das Deppen "*" oder die Idioten ":" deutlich schlimmer, da bekomme ich einen Ausraster beim lesen, so wie die es in den meisten Fällen "Nutzende" usw. schreiben, bleibt der Text wenigstens leserlich.

  3. Joerg sagt:

    Siehe Punkt: OPS.1.2.4 Telearbeit

    nein.

    Alleine an der Begrifflichkeit kann man erkennen, das z.T. sehr sehr alte Referenzen und Beispiele enthalten sind, wenn man sich das ganze dann mal genauer betrachtet, bestätigt sich das leider immer wieder. Es gibt auch ein paar gute und aktuelle Punkte, aber "modern" ist das Framework nicht.

    Weiteres Beispiel:
    SYS.3.1.A12 Verlustmeldung für Laptops (S) [Benutzende]

    Benutzende SOLLTEN umgehend melden, wenn ein Laptop verloren gegangen ist oder gestohlen wurde. Dafür SOLLTE es in der Institution klare Meldewege geben. Wenn verlorene Laptops wieder auftauchen, SOLLTE untersucht werden, ob sie eventuell manipuliert wurden. Die darauf eingesetzte Software inklusive des Betriebssystems SOLLTE komplett neu installiert werden.

    "ich habe mein NB verloren oder es wurde gestohlen, erstmal frei machen, habe ja kein Werkzeug mehr" .. rly? Das ist z.B. einer der Punkte die micht total verwirren, das sind z.B. Vorgaben die mit einem "MUSS" gekennzeichnet werden, Datenverlust und ggf. sogar Verlust der Datenintegrität – das ist schon nahe an einem WorstCase Scenario. Und wenn es wieder auftaucht erst mal mit Admin Credentials anmelden und prüfen ob alles in Ordnung ist :p

    Direkt danach:
    SYS.3.1.A13 Verschlüsselung von Laptops (S)
    In Laptops verbaute Datenträger wie Festplatten oder SSDs SOLLTEN verschlüsselt werden.

    orly? Notebooks nicht zwangsverschlüsseln und der Verlust ist nicht meldepflichtig, da kann man ja z.T. froh sein, dass wir den BSI haben der so viele Optionale Vorschläge macht, das kann man sich am Ende brav zertifizieren lassen und ist dann fein raus der Verantwortung?

    :D

    Ist leider wie auch mit den meisten ISO Normen, vieles kann nichts muss :(, Hauptsache am Ende kann man sich für viel Geld und Aufwand ein tolles "Zertifikat" an die Wand nageln.

    • Kfr sagt:

      @Joerg
      du hast das Handbuch nicht verstanden. Sorry du machst es dir da einfach zu leicht.

      Basis-Anforderungen -> müssen erfüllt werden in Behörden / Bund und co.

      Standard-Anforderungen -> sollten erfüllt werden, " Stand der Technik" es kann aber begründete Ausnahmen geben. Das muss dann begründet werden.

      Anforderungen bei erhöhtem Schutzbedarf -> ist denke ich selbsterklärend. Man muss dann Abwegen und dokumentieren warum was umgesetzt wird oder auch nicht.
      l

  4. Paul sagt:

    War der interne Codename des Projektes nicht
    "Sysiphus"?

  5. janil sagt:

    Die Hackerei wird sich schlapp lachen…

Schreibe einen Kommentar zu Joerg Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.