Das GSTOOL des BSI

IT-Grundschutz sicher planen

Seite: 2/2

Firmen zum Thema

Der nächste Schritt umfasst die Modellierung nach IT-Grundschutz, d.h. das GSTOOL leitet unter Verwendung der Empfehlungen der IT-Grundschutz-Kataloge aus den integrierten Bausteinen und Maßnahmen Vorschläge für die Modellierung des IT-Verbundes ab. Hierbei handelt es sich ausdrücklich nur um Vorschläge, die jederzeit geändert werden können. Darüber hinaus können eine Vielzahl weiterer Informationen zu den Bausteinen und Maßnahmen erfasst werden und u.a. über Berichte ausgewertet werden.

Im Anschluss an den Modellierungsprozess werden im Rahmen des Basis-Sicherheitschecks die Maßnahmen bestimmt, die zur Erlangung des ISO 27001-Zertifikates umzusetzen sind und deren jeweils erreichte Zustände farblich markiert.

Bildergalerie

Bei Einsatz des GSTOOLS ab der Version 4.5. kann anschließend eine Risikoanalyse durchgeführt werden. Alle Schritte unterstützten die Ausgabe ausführlicher Berichte. Hierfür stellt das GSTOOL ca. 50 Berichtsvorlagen zur Verfügung. Mit Hilfe zahlreicher Filterfunktionen können die vorgegebenen Berichte an die eigenen Anforderungen angepasst werden.

Tools können IT-Grundschutzkenntnisse nicht ersetzen

Vor dem Einsatz von GSTOOL oder auch anderer Tools für das Sicherheitsmanagement ist zu beachten, dass diese nur unterstützend eingesetzt werden können. Richtigerweise weist das BSI ausdrücklich darauf hin, dass eine effektive Anwendung von GSTOOL nur mit hinreichenden Kenntnissen der IT-Grundschutz-Vorgehensweise möglich ist.

Erfreulicherweise stellt das BSI auf seiner Website kostenlos alle erforderlichen Informationen zum IT-Grundschutz zur Verfügung. Noch immer verankert mit dem Begriff Grundschutz ist das IT-Grundschutzhandbuch des BSI. Dieses aber heißt seit der Version 2005 IT-Grundschutz-Kataloge und ist in verschiedenen Bereichen umstrukturiert worden. Im Vordergrund stand hierbei die Hinwendung zu einem prozessorientierten Ansatz, weg von der zuvor angewandten funktionsorientierten Betrachtung. Dies beinhaltet auch, dass die Beschreibungen der Grundschutz-Vorgehensweisen und die IT-Grundschutz-Kataloge getrennt wurden. Die IT-Grundschutz-Kataloge enthalten hingegen nun die Baustein-, Maßnahmen- und Gefährdungskataloge, wohingegen Vorgehensweisen nach IT-Grundschutz, Ausführungen zum IT-Sicherheitsmanagement und zur Risikoanalyse bei den BSI-Standards zu finden sind.

Fazit

Dass das GSTOOL überwiegend im öffentlichen Bereich eingesetzt wird ist einfach zu erklären: Im Rahmen einer Behördenlizenz erfolgt die Abgabe des GSTOOL an unmittelbare Bundes-, Landes- und Kommunalverwaltungen kostenfrei. Alle anderen Kunden zahlen ca. 800 Euro pro Lizenz, abhängig von der Anzahl der benötigten Lizenzen.

Inwiefern ein Einsatz lohnt man selbst im Einzelfall prüfen. Vorteilhaft ist, dass die Vorgaben für einen IT-Grundschutz bereits mitgeliefert werden und mit Hilfe des Tools die Bausteine, Maßnahmen und Gefährdungen des IT-Grundschutzes systematisch erarbeitet, dokumentiert und fortgeschrieben werden.

Allerdings müssen sämtliche hierfür benötigten Daten ohne eine individuelle Schnittstellenprogrammierung in Bezug auf die vorhandene IT- und Sicherheitsinfrastruktur von Hand eingeben werden. Eine automatische Erfassung der Systemlandschaft erlaubt das Tool derzeit noch nicht. Auch eine Datenübernahme aus anderen Systemmanagement-Tools wird nicht unterstützt.

Ausführliche Informationen zum GSTOOL stellt das BSI auf seiner Webseite zur Verfügung. Dort kann man auch eine kostenlose 30-Tage Testversion herunterladen.

(ID:2021612)