Gefährdungskataloge des IT-Grundschutzes
Inhaltsverzeichnis
Was ist der Gefährdungskataloge des IT-Grundschutzes?
Gefährdungskataloge des IT-Grundschutzes sind wichtige Elemente der Informationssicherheit. Denn fast alle Geschäftsprozesse und Fachaufgaben werden heute elektronisch gesteuert. Dabei speichern und verarbeiten die verschiedensten Medien von einfachen Desktop PCs ohne Netzwerkanbindung über mobile Endgeräte bis zu Cloud-Servern eine Vielzahl an Informationen.
Diese beinahe unendliche Ansammlung an Daten und die damit verbundene Hardware und Software erfordert zuverlässigen Schutz vor dem Zugriff durch unbefugte Dritte. Der IT Grundschutz und die darin enthaltenen Gefährdungskataloge legen den Grundstein für umfangreiche IT-Sicherheitsmaßnahmen.
Was ist der IT Grundschutz?
Der IT-Grundschutz ist eine Sammlung verschiedenster Empfehlungen zur IT-Sicherheit, die vom Bundesamt für Sicherheit in der Informationspolitik erarbeitet und ständig aktualisiert werden. Innerhalb des IT-Grundschutzes befinden sich verschiedene IT-Grundschutz Kataloge, wie beispielsweise die Gefährdungskataloge des IT-Grundschutzes. Die einzelnen Kataloge empfehlen situationsbezogene Standard-Sicherheitsmaßnahmen für Geschäftsprozesse, IT-Systeme und Anwendungen.
Diese Kataloge sind eine wertvolle Unterstützung, um Gefahren wie Backdoors innerhalb des Systems und andere Risiken zu erkennen und die IT-Sicherheitsmaßnahmen im eigenen Unternehmen auf den modernsten Stand zu bringen. Alle unter dem IT-Grundschutz dargestellten Maßnahmen erfüllen die Mindestanforderung für die ISO-Zertifizierung 27001 in diesem Bereich.
Die sechs Gefährdungskataloge des IT-Grundschutzes
Die Gefährdungskataloge des IT-Grundschutzes beinhalten ausführliche Beschreibungen verschiedenster Gefährdungen und ihrer Auswirkungen auf die Prozesse und Informationen. Um die Übersichtlichkeit zu gewährleisten, sind sie in mehrere Gefährdungskataloge unterteilt.
– Elementare Gefährdungen
– Höhere Gewalt
– Organisatorische Mängel
– Menschliche Fehlhandlungen
– Technisches Versagen
– Vorsätzliche Handlungen
Aufbau der Gefährdungskataloge des IT-Grundschutzes
Der Gefährdungskatalog G0 befasst sich unter anderen mit dem Risiko G0.1 Feuer. Die möglichen Auswirkungen von Feuer und alle damit verbundenen Risiken wie Löschwasserschäden sind hier angeführt. Dabei verweist der Katalog auch auf indirekt verursachte Folgen. Dazu zählt beispielsweise die chemische Reaktion aus der Verbrennung von PVC in Verbindung mit Luftfeuchtigkeit. Es bildet sich Salzsäure, die über Lüftungskanäle auch weit entfernte IT-Komponenten schädigen kann.
Nach der ausführlichen Beschreibung der Risiken, ihrer Ursachen und der möglichen Folgen enthalten die Grundschutzkataloge des IT-Grundschutzes zum Teil noch sehr allgemein gehaltene Hinweise zu möglichen Maßnahmen. Auf diese Weise versuchen die Ersteller der Gefährdungskataloge des IT-Grundschutzes im ersten Schritt die allgemeine Wahrnehmung für die Vielzahl an Risiken zu sensibilisieren.
Was beinhaltet der Gefährdungskatalog des IT-Grundschutzes?
Laut Aussage des Bundesamtes für Sicherheit in der Informationstechnik (BIS) ist für die Erstellung eines wirkungsvollen Sicherheitskonzepts kein detailliertes Wissen über die Inhalte der Gefährdungskataloge des IT-Grundschutzes erforderlich. Allerdings leisten die ausführlichen Beschreibungen der möglichen Risiken und ihrer Folgen einen wichtigen Beitrag zum allgemeinen Verständnis der in den Maßnahmenkatalogen empfohlenen Maßnahmen.
G0 Elementare Gefährdungen und G1 Höhere Gewalt
Dieser Katalog beschreibt alle nur erdenklichen Risiken, die sich aus elementaren Gefahren wie Feuer, ungünstigen klimatischen Bedingungen oder dem Ausfall oder einer Störung der Versorgungsnetze ergeben. Aber auch die Folgen eines Kabelbrands oder Personalausfall sind ein Thema.
G2 – Organisatorische Mängel
Dieser Gefährdungskatalog ist der umfangreichste der Katalogserie. Er beginnt mit fehlenden oder unzureichenden Regelungen, befasst sich mit den Auswirkungen einer unzureichenden Trassendimensionierung und den Verzögerungen durch temporär eingeschränkte Erreichbarkeit der Telearbeiter und schließt mit G 2.214, der fehlenden oder unzureichenden Konzeption des Identitäts- und Berechtigungsmanagements ab.
G 3 – Menschliche Fehlhandlungen
Der Gefahrenkatalog G3 setzt sich ausschließlich mit den durch Menschen verursachten Fehlern und den damit verbundenen Gefahren und Folgen auseinander. Dazu zählt der Integritätsverlust von Daten gleichermaßen wie G 3.124, fehlende Implementierungen in einer SOA.
G4 – Technisches Versagen
Mehr als 100 Risiken beschreibt dieser Gefahrenkatalog. Beginnend mit dem Ausfall der Stromversorgung bis zu den Folgen des Ausfalls eines zentralen Identitäts- und Berechtigungsmanagement-Systems.
G5 – Vorsätzliche Handlungen
Mehr als 200 vorsätzliche Handlungen definiert dieser Katalog und benennt die Gefahren des Reverse Engineerings genauso wie die Risiken vom Missbrauch der WS Notification Broker in einer SOA.
Die große Anzahl der Risiken, die die Gefährdungskataloge des IT-Grundschutzes, beinhalten, zeigt auf, wie hilfreich diese Dokumente sind. Ohne diese Unterstützung würden viele Unternehmen so manches Risiko für sich nicht als solches erkennen und keine entsprechenden Maßnahmen ergreifen.
Sie haben noch Fragen?