header02.jpg
IT-Grundschutzkataloge Drucken

Neues in den IT-Grundschutzkatalogen.

Auf Basis der vom BSI jährlich durchgeführten Bedarfsabfrage bei registrierten Anwendern wurden die IT-Grundschutzkataloge weiterentwickelt. Die neuen Bausteine (in der Version 2006) befassen sich mit folgenden Themen:

  • Sicherheit in SAP Systemen

    Der Baustein B 5.13 SAP System fokussiert auf die Grundabsicherung von SAP-basierten Applikationen für Geschäftsprozesse auf Ebene der Basis-Administration. Hier werden die wichtigsten technischen Aspekte genannt, die aus Sicht der IT-Sicherheit bei der Planung und beim Einsatz von SAP Systemen zu beachten sind. Auf versionsbezogene Unterschiede verzichtet der Baustein, so dass er für mySAP ERP Systeme und für SAP R/3 Systeme eingesetzt werden kann. Auf die existierende und sehr umfangreiche SAP Dokumentation wird im Baustein verwiesen. Ziel des Bausteines ist es jedoch nicht, diese zu reproduzieren, sondern empfohlene sicherheitsrelevante Vorgehensweisen und beachtenswerte Besonderheiten darzustellen.

  • Speichersysteme und Speichernetze

    Thema des Bausteins B 3.303 Speichersysteme und Speichernetze sind Systeme und Netze, die zentralisierten Speicher für Applikationen zur Verfügung stellen. Der Baustein enthält Sicherheitsempfehlungen, die bei der Planung und beim Einsatz von Storage Area Networks (SAN) und Network Attached Storage (NAS) Systemen in der Organisation zu beachten sind.

  • Windows Server 2003

    Der Baustein B 3.108 Windows Server 2003 ergänzt die Reihe von Bausteinen, die sich mit dem sicheren Einsatz von Windows-Betriebssystemen beschäftigen. Hier wird der Anwender auf konzeptionelle Sicherheitsaspekte, aber auch auf Sicherheitsempfehlungen zu konkreten Konfigurationseinstellungen hingewiesen.

  • Wireless LAN (WLAN)

    Der Baustein B 4.6 WLAN behandelt den sicheren Einsatz von drahtlosen Netzen, die auf dem Standard IEEE 802.11 und dessen Erweiterungen basieren. Neben einem Überblick der Begrifflichkeiten bei WLANs werden Empfehlungen für Verschlüsselungs- und Authentisierungsmechanismen gegeben. Wichtige Teile sind die in der Planungsphase notwendige Konzeption eines WLANs und die Auswahl des richtigen WLAN-Standards. Darüber hinaus wurde auch an die Sensibilisierung und Schulung der Mitarbeiter und an eine Betreuung eines WLANs durch externe Dienstleister gedacht.

  • Voice over IP (VoIP)

    Der Baustein B 4.7 VoIP beschäftigt sich mit dem sicheren Einsatz von VoIP in Netzen. Die in dem Baustein betrachteten Empfehlungen wirken den Problemen, die bei der Telefonie über ein Datennetz entstehen können, entgegen. Neben Grundlagen, wie einer Übersicht über die verbreiteten Signalisierungs- und Medientransportprotokolle, werden unter anderem Hinweise zur Integration von VoIP in vorhandene Datennetze sowie zur Administration und Konfiguration von VoIP-Komponenten gegeben.

 

Neue Maßnahmen und Gefährdungen

Außerdem sind verschiedene neue Maßnahmen und Gefährdungen aufgenommen worden, bspw. zu den Themen

  • Verletzung von Brandschottungen/Änderung von Brandlasten
  • Einbeziehung des Brandschutzbeauftragten in Baumaßnahmen
  • Vermeidung elektrischer Zündquellen: Verwendung unzureichender Steckdosenleisten, verstaubte Lüfter, etc.
  • Sicherer Einsatz virtueller IT-Systeme
  • Umgang mit Ausnahmegenehmigungen
  • Softwareentwicklung durch Endbenutzer
  • Vertraulichkeitsvereinbarungen
  • Einsatz zentraler, netzbasierter Authentisierungsdienste, z. B. RADIUS-Server Aktualisierung und Überarbeitung

 

Der Baustein B 5.7 Datenbanken wurde überarbeitet, um technische Entwicklungen in den letzten Jahren zu berücksichtigen. So wurden die betrachteten Datenbankmodelle um das Netzwerkdatenbankmodell und das objektrelationale Datenbankmodell ergänzt. Auch der Datenbank-Zugriff über mobile Endgeräte (Mobiltelefone und PDAs) findet in dem aktualisierten Baustein Beachtung. Um Risiken durch SQL-Injections zu reduzieren, bietet der Baustein eine dedizierte neue Maßnahme, die eine Reihe von Sicherheitsempfehlungen hierzu vorstellt.

 

Darüber hinaus wurden zahlreiche einzelne Gefährdungen und Maßnahmen an neue technische Entwicklungen, neue Bedrohungsszenarien und neue Entwicklungen in der IT-Sicherheit angepasst.

Weitere strukturelle Veränderungen wurden in der aktualisierten Ausgabe der IT-Grundschutzkataloge nicht durchgeführt. Die Nummerierung bestehender Gefährdungen und Maßnahmen blieb erhalten, sodass ein im Vorjahr auf Basis der IT-Grundschutzkataloge erstelltes Sicherheitskonzept fortgeschrieben werden kann. Es empfiehlt sich dennoch, die ausgewählten Maßnahmen bei der Bearbeitung komplett zu lesen, um Ergänzungen berücksichtigen zu können und um das Wissen zur IT-Sicherheit aufzufrischen.

 
[ Zurück ]
IT AUDIT GmbH Wirtschaftsprüfungsgesellschaft
Schlossforum Bensberg | Schlossstraße 20 | D-51429 Bergisch Gladbach | Telefon +49 2204 95 08-600
Impressum | Disclaimer
| Copyright ©2008