Das GSTOOL des BSI IT-Grundschutz sicher planen

Autor / Redakteur: Manuela Reiss / Peter Schmitz

Im vergangenen Jahr hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Version 4.5 seines IT-Grundschutztools (GSTOOL) veröffentlicht. Dieses Tool steht den Behörden seit einigen Jahren zur organisatorischen Absicherung der IT-Umgebungen zur Verfügung. Wir zeigen Ihnen, was sich hinter diesem Tool verbirgt, das in vielen Behörden im Einsatz ist, von Unternehmen aber oftmals übersehen wird.

Firmen zum Thema

Das GSTOOL des BSI ist maßgeschneidert für die Verwaltung von IT-Grundschutz.
Das GSTOOL des BSI ist maßgeschneidert für die Verwaltung von IT-Grundschutz.
( Archiv: Vogel Business Media )

Zusammenfassend lässt sich das GSTOOL des BSI als eine Softwarelösung beschreiben, dass die Erstellung, Verwaltung und Fortbeschreibung von IT-Sicherheitskonzepten entsprechend dem IT-Grundschutz nach den BSI-Standards 100-1 bis 100-3 unterstützt.

Der Begriff „IT-Grundschutz“ wurde vorrangig vom BSI geprägt und beschreibt eine Methode, mit der Standardsicherheitsmaßnahmen für typische IT-Systeme bzw. definierte Schutzniveaus identifiziert und umgesetzt werden können. Hierfür liefert das BSI eine Sammlung von Vorlagen. Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes wird ein Grundschutz-Zertifikat vergeben.

Bildergalerie

Was für Behörden quasi als verpflichtendes Regelwerk gilt ist auch für viele Unternehmen ein nicht zu unterschätzender Sicherheitsaspekt, da es kaum andere so detailliert ausgearbeitete Sicherheits-Vorgaben und Prüfungsmöglichkeiten gibt. Trotzdem waren von den 11.000 im Jahr 2008 registrierten GSTOOL-Lizenzen mehr als 75% im behördlichen Bereich im Einsatz. GSTOOL ist aber für Behörden und Unternehmen gleichermaßen ein maßgeschneidertes Tool zur Verwaltung von IT-Grundschutz

Funkionen des GSTOOL

Das GSTOOL bildet die IT-Grundschutz-Vorgehensweise gemäß BSI vollständig ab und unterstützt mit Hilfe u.a. der nachstehenden Funktionen die Erstellung eines entsprechenden IT-Sicherheitskonzepts:

  • Erfassung von IT-Systemen, Anwendungen, Netzen u.a.
  • Schutzbedarfsfeststellung
  • Modellierung nach IT-Grundschutz
  • Risikoanalyse auf der Basis von IT-Grundschutz gemäß BSI-Standard 100-3
  • ISO 27001 Zertifikat auf der Basis von IT-Grundschutz
  • Basissicherheitscheck
  • Maßnahmenumsetzung
  • Berichterstellung
  • Kostenauswertung

GSTOOL im Einsatz

Das GSTOOL basiert auf einer Datenbankanwendung (MSDE2000 oder SQLServer 2000), ist mehrsprachig (deutsch und englisch) sowie aufgrund des integrierten Rechte- und Rollenkonzepts mehrbenutzerfähig. So können auch mehrere von einander unabhängige IT-Umgebungen abgebildet werden (Mandantenfähigkeit).

Nach der einfach durchzuführenden Installation bietet die grafische Oberfläche Zugriff auf alle Funktionen, die es ermöglichen einerseits die erforderlichen Maßnahmen herauszufinden und andererseits auch die Umsetzung der durchzuführenden Maßnahmen zu dokumentieren und zu überwachen. Die Arbeit mit dem GSTOOL folgt dabei streng der Vorgehensweise des IT-Grundschutzes (BSI-Standard 100-2), sowie der Risikoanalyse auf der Basis von IT-Grundschutz (BSI-Standard 100-3).

Die ersten Schritte bestehen darin, den IT-Verbund festzulegen, d.h. den Ausschnitt der Informationstechnik, der betrachtet werden soll und die IT-Strukturanalyse durchzuführen. Im Rahmen der IT-Strukturanalyse sind alle beteiligten Komponenten (Gebäude, Räume, IT-Systeme, Netze, Anwendungen etc.) zu erfassen und zu beschreiben. Die Erfassung muss (sofern keine gesonderten Schnittstellen programmiert wurden) manuell erfolgen, eine automatisierte Erfassung ist leider nicht möglich. Bei diesen Arbeiten dient das GSTOOL ausschließlich als Werkzeug zur Dokumentation der erhobenen Informationen.

Nach der Erfassung der Stammdaten und dem Abschluss der IT-Strukturanalyse folgt die Schutzbedarfsfeststellung. Die Schutzbedarfsfeststellung wird durch das GSTOOL insoweit unterstützt, als allen Komponenten manuell Definitionen, Feststellungen und Begründungen hinzugefügt werden können

Seite 2: Tools können IT-Grundschutzkenntnisse nicht ersetzen

Der nächste Schritt umfasst die Modellierung nach IT-Grundschutz, d.h. das GSTOOL leitet unter Verwendung der Empfehlungen der IT-Grundschutz-Kataloge aus den integrierten Bausteinen und Maßnahmen Vorschläge für die Modellierung des IT-Verbundes ab. Hierbei handelt es sich ausdrücklich nur um Vorschläge, die jederzeit geändert werden können. Darüber hinaus können eine Vielzahl weiterer Informationen zu den Bausteinen und Maßnahmen erfasst werden und u.a. über Berichte ausgewertet werden.

Im Anschluss an den Modellierungsprozess werden im Rahmen des Basis-Sicherheitschecks die Maßnahmen bestimmt, die zur Erlangung des ISO 27001-Zertifikates umzusetzen sind und deren jeweils erreichte Zustände farblich markiert.

Bei Einsatz des GSTOOLS ab der Version 4.5. kann anschließend eine Risikoanalyse durchgeführt werden. Alle Schritte unterstützten die Ausgabe ausführlicher Berichte. Hierfür stellt das GSTOOL ca. 50 Berichtsvorlagen zur Verfügung. Mit Hilfe zahlreicher Filterfunktionen können die vorgegebenen Berichte an die eigenen Anforderungen angepasst werden.

Tools können IT-Grundschutzkenntnisse nicht ersetzen

Vor dem Einsatz von GSTOOL oder auch anderer Tools für das Sicherheitsmanagement ist zu beachten, dass diese nur unterstützend eingesetzt werden können. Richtigerweise weist das BSI ausdrücklich darauf hin, dass eine effektive Anwendung von GSTOOL nur mit hinreichenden Kenntnissen der IT-Grundschutz-Vorgehensweise möglich ist.

Erfreulicherweise stellt das BSI auf seiner Website kostenlos alle erforderlichen Informationen zum IT-Grundschutz zur Verfügung. Noch immer verankert mit dem Begriff Grundschutz ist das IT-Grundschutzhandbuch des BSI. Dieses aber heißt seit der Version 2005 IT-Grundschutz-Kataloge und ist in verschiedenen Bereichen umstrukturiert worden. Im Vordergrund stand hierbei die Hinwendung zu einem prozessorientierten Ansatz, weg von der zuvor angewandten funktionsorientierten Betrachtung. Dies beinhaltet auch, dass die Beschreibungen der Grundschutz-Vorgehensweisen und die IT-Grundschutz-Kataloge getrennt wurden. Die IT-Grundschutz-Kataloge enthalten hingegen nun die Baustein-, Maßnahmen- und Gefährdungskataloge, wohingegen Vorgehensweisen nach IT-Grundschutz, Ausführungen zum IT-Sicherheitsmanagement und zur Risikoanalyse bei den BSI-Standards zu finden sind.

Fazit

Dass das GSTOOL überwiegend im öffentlichen Bereich eingesetzt wird ist einfach zu erklären: Im Rahmen einer Behördenlizenz erfolgt die Abgabe des GSTOOL an unmittelbare Bundes-, Landes- und Kommunalverwaltungen kostenfrei. Alle anderen Kunden zahlen ca. 800 Euro pro Lizenz, abhängig von der Anzahl der benötigten Lizenzen.

Inwiefern ein Einsatz lohnt man selbst im Einzelfall prüfen. Vorteilhaft ist, dass die Vorgaben für einen IT-Grundschutz bereits mitgeliefert werden und mit Hilfe des Tools die Bausteine, Maßnahmen und Gefährdungen des IT-Grundschutzes systematisch erarbeitet, dokumentiert und fortgeschrieben werden.

Allerdings müssen sämtliche hierfür benötigten Daten ohne eine individuelle Schnittstellenprogrammierung in Bezug auf die vorhandene IT- und Sicherheitsinfrastruktur von Hand eingeben werden. Eine automatische Erfassung der Systemlandschaft erlaubt das Tool derzeit noch nicht. Auch eine Datenübernahme aus anderen Systemmanagement-Tools wird nicht unterstützt.

Ausführliche Informationen zum GSTOOL stellt das BSI auf seiner Webseite zur Verfügung. Dort kann man auch eine kostenlose 30-Tage Testversion herunterladen.

(ID:2021612)