Pünktlich zum 1. Februar 2023 wurde vom BSI die neue Edition des IT-Grundschutz-Kompendiums veröffentlicht. Zusammen mit den BSI-Standards bildet es den Kern für die Absicherung der Informationssicherheit gemäß BSI-Methodik. In der neuen Edition wurden 10 Bausteine ergänzt, 21 Bausteine grundlegend überarbeitet, und, neben der Überarbeitung einiger Rollen, sämtliche Bausteine strukturell und sprachlich überarbeitet sowie gendergerechter formuliert.
Die neuen Bausteine
Das BSI-IT-Grundschutz-Kompendium besteht nun aus 111 Bausteinen, die in 10 Schichten organisiert sind. Die folgende Abbildung zeigt diese 10 Schichten:
In der Schicht CON: Konzepte und Vorgehensweisen wurde der Baustein CON.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) ergänzt. Er soll sicherstellen, dass die Anforderungen zur Geheimhaltung von Informationen, die als Verschlusssachen nur für den Dienstgebrauch (VS-NfD) eingestuft worden sind, frühzeitig bei der Erstellung von Informationssicherheitskonzepten berücksichtigt werden.Die Schicht OPS: Betrieb wurde um drei Bausteine ergänzt:
- 1.1.1 Allgemeiner IT-Betrieb
- 2.3 Nutzung von Outsourcing (dieser Baustein ersetzt OPS.2.1 Outsourcing für Kunden)
- 3.2 Anbieten von Outsourcing (dieser Baustein ersetzt OPS.3.1 Outsourcing für Dienstleister)
Der Baustein OPS.1.1.1 Allgemeiner IT-Betrieb gehört zu den sechs Bausteinen, an deren Erstellung die ComConsult mitgearbeitet hat. Er bündelt die übergreifenden Aspekte des IT-Betriebs und stellt die Basis für viele betriebliche Aspekte dar. Damit schließt der Baustein eine wichtige Lücke.
Die Bausteine OPS.2.3 Nutzung von Outsourcing und OPS.3.2 Anbieten von Outsourcing behandeln das Outsourcing von IT. Einerseits aus der Sicht des Nutzenden und andererseits aus der Sicht des Anbietenden. Beide Bausteine setzen sich zum Ziel, die Grundwerte der Informationssicherheit über den gesamten Lebenszyklus des Outsourcings sicherzustellen.
In der Schicht APP: Anwendungen wurde der Baustein APP.5.4 Unified Communications und Collaboration (UCC) in Zusammenarbeit mit der ComConsult ergänzt. Dieser Baustein beschreibt, wie die verschiedenen Kommunikationsdienste von der klassischen Telefonie über Videos, Chats und Erreichbarkeitsanzeigen geeignet abgesichert werden können.
Die Schicht SYS: IT-Systeme wurde um die folgenden vier Bausteine erweitert:
- 1.2.3 Windows Server
- 1.9 Terminalserver
- 2.5 Client-Virtualisierung
- 2.6 Virtual Desktop Infrastructure
Diese Bausteine beschreiben, wie über den gesamten Lebenszyklus der Systeme hinweg Informationssicherheit als integraler Bestandteil etabliert werden kann.
Zudem wurde die Schicht NET: Netze und Kommunikation um den Baustein NET.3.4 Network Access Control erweitert. In diesem Baustein wird beschrieben, wie mittels NAC der Zugang zum Netz durch identitätsabhängige Autorisierungsregeln reglementiert werden kann.
Entfallene Bausteine
Die folgenden drei Bausteine wurden in der Edition 2023 gestrichen.
- 2.2.2 Clients unter Windows 8.1
Da der Support für das Betriebssystem ausgelaufen ist, sollte es nicht mehr eingesetzt werden.
- 2.1 Outsourcing für Kunden
Der neue Baustein OPS.2.3 Nutzung von Outsourcing löst diesen Baustein ab.
- 3.1 Outsourcing für Dienstleister
Der neue Baustein OPS.3.2 Anbieten von Outsourcing ersetzt diesen Baustein.
Überarbeitete Bausteine
Die folgenden Bausteine wurden umfangreich verändert, sodass diese Änderungen auch Auswirkungen auf Zertifizierungsverfahren und Sicherheitskonzepte haben können. Zu diesen Bausteinen gibt es auf den Seiten des BSI [2] Versionen mit Änderungshistorie.
- 1 Organisation
- 1 Kryptokonzept
- 2 Datenschutz
- 1.1.2 Ordnungsgemäße IT-Administration
- 1.1.3 Patch- und Änderungsmanagement
- 1.2.5 Fernwartung
- 1.2 Webbrowser
- 2.1 Allgemeiner Verzeichnisdienst
- 2.2 Active Directory
Der Baustein ist im IT-Grundschutz-Kompendium unter „Active Directory Domain Services“ zu finden. - 2.3 OpenLDAP
- 5.3 Allgemeiner E-Mail-Client und -Server
- 1.1 Allgemeiner Server
- 2.1 Allgemeiner Client
- 2.3 Clients unter Linux und Unix
- 2.2.3 Clients unter Windows 10
Der Baustein heißt nun „Clients unter Windows“ und behandelt mit Windows 10 und 11 die beiden vom Microsoft-Support unterstützten Versionen von Windows für Client-Systeme. - 4.3 Eingebettete Systeme
- 4.5 Wechseldatenträger
- 3.2 Fernwartung im industriellen Umfeld
- 1 Allgemeines Gebäude
- 2 Rechenzentrum sowie Serverraum
- 10 Besprechungs-, Veranstaltungs- und Schulungsraum
Insgesamt wurden alle Bausteine im IT-Grundschutz-Kompendium strukturell überarbeitet. Die Kreuzreferenztabellen stellen nun ausschließlich die Anforderung mit den elementaren Gefährdungen in Beziehung, gegen die sie direkt wirken. Indirekte Beziehungen werden in den Kreuzreferenztabellen nicht mehr gezeigt. Das Ziel war es, die Tabellen übersichtlicher zu gestalten, den Fokus auf die relevanten Gefährdungen zu legen und die Kreuzreferenztabellen mit weniger Aufwand für die Risikoanalyse nutzen zu können.
Darüber hinaus wurden Bausteine geringfügig sprachlich bzw. redaktionell geändert, wodurch keine Auswirkungen auf Zertifizierungsverfahren oder Sicherheitskonzepte bestehen. Für diese Bausteine stehen daher keine Versionen mit Änderungsvergleich zur Verfügung.
Insgesamt wurden damit sämtliche Bausteine überarbeitet, weswegen bei allen Bausteinen in der Fußzeile der Stand Februar 2023 angegeben ist.
Umsetzungshinweise
Zur Edition 2023 des IT-Grundschutz-Kompendiums gibt es Stand heute keine Umsetzungshinweise. Diese werden jedoch auch unterjährig aktualisiert bzw. ergänzt. Die Umsetzungshinweise zur Edition 2022 finden sich beim IT-Grundschutz-Kompendium [3] beim BSI. Diese können bis auf Weiteres auch für die neue Edition 2023 angewandt werden.
Rollen
Bei der Überarbeitung der Rollen wurde eine gendergerechte Formulierung gewählt. Dazu wurde teilweise der Plural gewählt, wobei die Verwendung nicht bedeutet, dass mehrere Personen die Rolle ausfüllen müssten oder sollten.
Wie geht es weiter?
Aktuell sind die Seiten des BSI mit den Community-Drafts und den Final-Drafts noch leer. Doch wer sich dafür interessiert, wie es weitergeht, findet im Laufe der Zeit die Community-Drafts [4], die erste Veröffentlichung neuer bzw. überarbeiteter Bausteine, die vier Wochen lang kommentiert werden können. Die finalen Versionen, die dann in die Edition 2024 aufgenommen werden, sind hier [5] zu finden.
Verweise