BSI-Grundschutz++: Kompendium-Preview in Stand-der-Technik-Bibliothek auf GitHub veröffentlicht

Grundschutz++ und SdT-Bibliothek – der Startschuss mit digitalem Kompendium

Das Grundschutz-Kompendium zum „modernisierten IT-Grundschutz“ wurde bis 2023 jährlich in Form neuer Editionen aktualisiert und insbesondere um Bausteine zu vorher nicht abgedeckten Themen erweitert. Zwischenzeitlich erfolgten auch Anpassungen an den zugehörigen Kreuzreferenztabellen, welche den Zusammenhang zwischen Baustein-Anforderungen und Gefährdungen verdeutlichen – etwa als Hilfestellung bei Restrisikoabwägungen in Risikoanalysen.

Ab 2024 wurden jedoch keine neuen Editionen mehr veröffentlicht, was zunächst überraschend wirkte.

Mittlerweile ist der Grund bekannt: Angesichts der ständigen Veränderungen in der Produktlandschaft neuester technischer Erkenntnisse und der wachsenden Bedeutung künstlicher Intelligenz als neuem „Mitspieler“ plante das BSI eine umfassende Erneuerung des Grundschutzes – unter der Bezeichnung: Grundschutz++.

Die geplanten Änderungen sind umfangreich und im angestrebten Endausbau sehr ehrgeizig. Auf Anforderungsebene soll künftig stärker unabhängig von konkreten Produktlösungen gearbeitet werden. Die zugehörige Standortbestimmung und Fortschrittskontrolle bei der Umsetzung der Anforderung soll mithilfe von Fragenkatalogen und einer Kennzahl-Ermittlung unter anderem „einsteigertauglicher“ werden. Als Pilotprojekt für diesen messbaren Ansatz kann der bereits an anderer Stelle erläuterte BSI-Ansatz „Weg in die Basis-Absicherung (WiBA)“ betrachtet werden (siehe https://www.comconsult.com/einstieg-in-informationssicherheit-bsi-checklisten-nicht-nur-fuer-kommunen/).

Dies bedeutet keinen Rückzug des Grundschutzes vom Technikbezug. Vielmehr soll das Kompendium zukünftig Teil einer „Stand der Technik (SdT) – Cyberbibliothek“ werden. Die Hauptmotivation ist nicht, den Zugang zu relevanten Dokumenten und Hilfen zur Informationssicherheit mit mehr „Chic“ über modernes Auftreten aufzuwerten. Vielmehr sollen Zugriff und Nutzung der in der Bibliothek zusammengeführten Inhalte über standardisierte Formate und Schnittstellen (teil-)automatisiert möglich sein. Auf Dauer sollen maßgebliche Anforderungen ähnlich einem DevOps-Ablauf ermittelt und dann automatisiert, KI-gestützt in konkrete Vorschläge für Produktauswahl und Sicherheitsmaßnahmen umgesetzt werden. Auch Prüfmöglichkeiten zur Erreichung eines nach aktuellem Stand geeigneten Sicherheitsniveaus in der eigenen Umgebung sollen automatisiert erzeugt und bereitgestellt werden können.

Stichworte zur technischen Basis dieses Ansatzes sind GitHub, als Basis des Repositories zur Verwaltung der entsprechenden Dokumente, Libraries usw., sowie OSCAL (Open Security Controls Assessment Language) für eine einheitliche, maschinenlesbare Formatierung der Inhalte.

Bis das Zielbild zu Inhalten und Nutzen der Bibliothek im Sinne der Vision des BSI erreicht ist, wird noch viel Arbeit der zwecks „Stakeholderbeteiligung“ gebildeten Community-Arbeitsgruppen nötig sein (siehe z.B. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Informationssicherheitsmanagement/Stand-der-Technik/stand-der-technik_node.html).

Schon die Ankündigung, dass die Anzahl der Anforderungen gegenüber dem aktuellen IT-Grundschutz-Kompendium um 85 % reduziert werden soll, wird sicherlich Auswirkungen auf die zukünftige Struktur von Sicherheitskonzepten nach BSI-Methodik haben. Das kann sowohl erfahrene Grundschutz-Anwendende als auch vor dem Einstieg in solche Analysen und Konzepte Stehende interessieren: Soll ich für die Sicherheitskonzeption neu einzuführender IT-Lösungen weiterhin nach dem bisherigen Kompendium vorgehen oder meine Analysen und Überlegungen nach Grundschutz++-Anforderungen vorstrukturieren und priorisieren?

Wen solche oder ähnliche Fragen beschäftigen, oder wer das wachsende Grundschutz++-Repository im Auge behalten will, um sich schrittweise einzuarbeiten, kann jetzt einsteigen. Der Zugang zum Repository wird über eine GitHub-Seite des BSI ermöglicht: https://www.github.com/BSI-Bund/Stand-der-Technik-Bibliothek

Zugriff auf das digitale Grundschutz++-Kompendium – wie?

Derzeit kann das Grundschutz++-Kompendium allein mit dem Browser nicht genutzt werden. Die Startseite der SdT-Bibliothek führt über den Teilbereich Kompendien/Grundschutz++-Kompendium zu dem OSCAL-formatierten Kompendium in zwei Formaten: .json bzw. .xml. Durch Klicken auf eine der beiden Alternativen öffnet man jeweils eine neue Ansicht, erhält da jedoch derzeit keinen Inhalt, sondern die Meldung: „(Sorry about that, but we can’t show files that are this big right now.)“. Diese Meldung lässt hoffen, dass zukünftig ein direkter „Oscal-Viewer“ eingebunden wird, der die Inhalte der Raw-Dateien nach Anklicken sofort menschenlesbar öffnet und anzeigt.

Im Moment ist zum Öffnen die Verwendung eines geeigneten Werkzeuges notwendig, worauf in einer Anleitung unter „Pilotierung Grundschutz++“ hingewiesen wird. In der Publikation zum zweiten Beteiligungsworkshop „Stand der Technik & Grundschutz++“ wird für das reine Lesen ohne Weiterverarbeiten explizit der über https://viewer.oscal.io/ erreichbare OSCAL-Viewer benannt. Die Optik, in der das Kompendium über die dort angebotene OSCAL-Catalog-Viewer-Ansicht angezeigt wird, ist eher schlicht, doch die Inhalte lassen sich für den Menschen in gewohnter Weise per Mausklick bedienen.

Dabei wird die OSCAL-raw-Datei in den Online-Viewer hochgeladen. Erste Tests mit dem Viewer und dem Kompendium Grundschutz++ (Beta) haben ergeben: Es gibt drei Varianten, OSCAL-Inhalte in den Viewer zu laden (siehe Abbildung 1).

• Variante A wird in der Öffnungsanleitung im BSI-GitHub-Repository erklärt:

Die Raw-Datei lokal herunterladen und im OSCAL-Viewer per „Upload-Button“ wieder hochladen. Der Platzbedarf bei der lokalen Speicherung ist dabei derzeit (noch) unproblematisch, trotz der oben genannten Meldung bzgl. „big file“. Tatsächlich sind die derzeitigen wenigen MB nicht wirklich „big“. Ein möglicher Nachteil dieser Methode: Vor jedem Lesevorgang muss der aktuelle Stand erneut zwischengespeichert werden, um nicht unbeabsichtigt mit einer veralteten Version weiterzuarbeiten.

• Variante B wird in der Publikation zum zweiten Beteiligungsworkshop „Stand der Technik & Grundschutz“ aufgezeigt:

Das gesamte Repository über die auffallend grün hinterlegte Schaltfläche „Code“ als ZIP-Datei speichern. Nachteile sind die für Variante A bereits genannten. Der Platzbedarf bei dieser ebenfalls lokalen Speicherung fällt im Vergleich zur oben gelisteten Variante A schon jetzt mit fast 10 MB entsprechend größer aus. Dieser Weg kann sich dann lohnen, wenn man im OSCAL-Viewer nicht nur das Kompendium alleine, sondern gleich verschiedene Repository-Angebote mit einem Ladevorgang zum Durchstöbern hochladen will.

• Variante C nutzt den Reload-Button im OSCAL-Viewer und holt die Rohdatendatei direkt im BSI-GitHub ab.

Hierzu muss die passende URL zur JSON-Datei im entsprechenden Viewer-Feld eingegeben werden. Dies ist allerdings etwas tückisch: Einfach im Browser den Link kopieren, der in der GitHub-Ansicht zu „View raw“ hinterlegt ist, funktioniert nicht. Derzeit ist die folgende URL korrekt, über die sich der OSCAL-Viewer erfolgreich die aktuelle OSCAL-Datei zum Kompendiums-Stand abholt: https://raw.githubusercontent.com/BSI-Bund/Stand-der-Technik-Bibliothek/refs/heads/main/Kompendien/Grundschutz%2B%2B-Kompendium/Grundschutz%2B%2B-Kompendium.json. Nach dieser Eingabe kann man das Abholen der Inhalte durch den  OSCAL-Viewer per Reload-Button auslösen.

URLs zu Inhalten im Stand-der-Technik-Repository können sich zukünftig noch ändern. Wie lässt sich also die aktuelle URL, falls die genannte Eingabe-URL nicht mehr funktionieren sollte, ermitteln? Im Browser auf „View Raw“ klicken und über „Link in neuem Tab“ oder „Link in neuem Fenster“ die raw-Datei direkt im Browser öffnen. Die Darstellung ist wenig „menschenlesbar“, aber: Der Browser verrät die funktionierende URL, mit der der OSCAL-Viewer zurechtkommt.

Fazit

Gewusst wie und wo, und man kann im BSI-GitHub-Repository erste Eindrücke zu Grundschutz++ und SdT-Bibliothek gewinnen, die weitere Entwicklung verfolgen und sich schrittweise einarbeiten.

Ein solcher Einstieg und Know-how-Aufbau wirkt deutlich weniger abschreckend, als auf die fertigen Ergebnisse der Community-Arbeitsgruppen zu warten und sich diese große Menge von Ergebnissen von Grund auf zu erarbeiten. Die ein oder andere Hilfestellung zu akuten Themen lässt sich möglicherweise demnächst bereits aus Beta-Ständen der Bibliothek ableiten. Außerdem sind die Arbeitsgruppen offen für Hinweise, selbst wenn diese nur Vorschläge zur komfortableren Handhabung der Seiteninhalte betreffen.