Update des IT-Grundschutz-Kompendiums
Schicht für Schicht
Jedes Jahr aktualisiert das BSI sein IT-Grundschutz-Kompendium. In der Edition 2019 gesellen sich zu den 80 bisherigen 14 neue Bausteine.
Edition 2019 heißt die neue Ausgabe des BSI IT-Grundschutz-Kompendiums, die im Februar erschien. Neu sind vierzehn Bausteine. 36 der 80 Bausteine aus der Edition 2018 hat das BSI zudem überarbeitet, 25 davon im größeren Umfang. Von den meisten Änderungen sind die Schichten APP (Applikationen) und SYS (Systeme) betroffen (siehe Abbildung 1). Einen Überblick über das Baustein-Update gibt die Tabelle „Änderungen der Bausteine“. Erweitert hat da BSI außerdem die Rollen, also die Aufgaben von Zuständigen. Solche Änderungen sind ein zweischneidiges Schwert. Einerseits ergeben sich aus der Überarbeitung neue konkrete Sicherheitshinweise, andererseits besteht die Pflicht, bei Sicherheitskonzepten und Zertifizierungen immer die aktuellen Bausteine für eine bestimmte Plattform, Anwendung oder Technik zu verwenden.
Erster in der Liste der neuen Bausteine ist APP.1.4 Mobile Anwendungen. Er betrachtet die Sicherheit von Apps für die Betriebssysteme iOS und Android, insbesondere die prozessualen und betrieblichen Anforderungen, die bei deren Beschaffung, Konfiguration, Installation und im Betrieb zu berücksichtigen sind. Besonderes Augenmerk liegt auf Berechtigungen, Datenspeicherung und -abfluss und Authentifizierung.
APP.2.3 OpenLDAP umfasst nur sechs Seiten und konzentriert sich auf die für OpenLDAP spezifischen Gefährdungen und Anforderungen sowie die Best Practices. Insofern ergänzt der Baustein nur die Palette der speziellen Verzeichnisdienste. Leider ist das Kapitel 4 mit den weiterführenden Informationen in der Onlineversion vollständig leer.
Den ehemaligen Baustein aus den IT-Grundschutzkatalogen zu SAP hat das BSI in die Bausteine APP.4.2 SAP-ERP-System und APP.4.6 SAP ABAP-Programmierung zerlegt, um die Themen Betrieb und Entwicklung zu trennen. Entsprechend beschreibt der Baustein 4.2 ausführlich, welche Gefährdungen für SAP-ERP-Systeme zu beachten sind und wie man diese Systeme sicher installieren, konfigurieren und betreiben kann. Dabei betrachtet der IT-Grundschutz nur die Kerninstallation und die spezifischen Merkmale des zugrunde liegenden SAP-NetWeaver-Applikationsservers.
APP.4.6 ergänzt die Bausteine CON.8 Softwareentwicklung, CON.4 Auswahl und Einsatz von Standardsoftware und CON.5 Entwicklung und Einsatz von allgemeinen Anwendungen um technische Risiken, die sich durch ABAP-Eigenentwicklungen ergeben können. Die daraus resultierenden Anforderungen bilden die Basis, will man ABAP-Programme sicher entwickeln und einsetzen.
Industrielle Systeme absichern
Mit einer besonderen Gruppe industrieller Systeme befasst sich der Baustein IND.2.7 Safety Instrumented Systems (SIS). Sie dienen hauptsächlich dazu, Gefahren für technische Anlagen, die Umwelt und Personen abzuwehren. Die Anforderungen an ihre Zuverlässigkeit sind außerordentlich hoch.