English

Mit dem Segen des BSI: VPN-Gateways nach IT-Grundschutzkatalog planen, installieren, betreiben

cog

von VPNHaus | 20.10.2015 |IT policy


IT-Administratoren, die sich auch noch um die IT-Sicherheit kümmern müssen, sind manchmal verunsichert. „Wie soll ich das richtig angehen? Woher soll ich wissen, dass mein Ansatz der richtige ist?“ Solche Fragen lassen sich leicht beantworten. Schauen Sie doch einfach in die Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Erstaunlich wenige IT-Profis kennen die knapp 4500 Seiten starke Infosammlung, die IT-Sicherheit mit deutscher Gründlichkeit in fast allen Aspekten beleuchtet. Das Schöne daran ist, dass die Anleitungen und Hinweise völlig herstellerunabhängig sind und sich auch in fast jeder Systemumgebung anwenden lassen. Aufgeteilt in Bausteine, Gefährdungen und Maßnahmen, liefern die IT-Grundschutzkataloge eine sehr strukturierte Anleitung, wie IT-Sicherheitsthemen behandelt werden können.

Bundesbehörden müssen, alle anderen Institutionen und Firmen können sich durch das BSI zertifizieren lassen. Basis der Zertifizierung, die mittlerweile ISO 27001 kompatibel ist, sind die Standards des BSI, die eigentliche Umsetzung wird in den Grundschutzkatalogen beschrieben. Aber auch wenn keine, relativ aufwändige, Zertifizierung angestrebt wird, ist die Beschäftigung mit den Grundschutzkatalogen sinnvoll. Zum einen sind die Grundschutzkataloge kostenlos, die aktuelle Version kann von der Website des BSI heruntergeladen werden, auch eine HTML-Version ist verfügbar. Nur für die Papierversion wird eine Gebühr verlangt. Zum anderen ist vor allem die klare Gliederung ein großes Plus. Sie verhindert, dass Firmen ohne ausreichende Planung und Blick auf IT-Sicherheit als Ganzes lediglich punktuell ansetzen. Alle Bausteine sind identisch aufgebaut, hat man verstanden, wie ein Baustein funktioniert, kann man den Ansatz für alle anderen Bausteine verwenden. Zum Thema VPN gibt es einen eigenen Baustein, der – unabhängig von der verwendeten Hardware – einen sehr umfassenden Fahrplan für die Planung, Umsetzung und den Betrieb von VPNs enthält.

VPNs werden im Baustein 4.4 behandelt, der zur Schicht „Netze“ gehört. Im Baustein selbst beschreibt das BSI kurz wozu VPNs dienen und welche Arten es gibt. Danach werden die durch das BSI erkannten und relevanten Gefährdungen aufgelistet. Getreu dem strukturierten Ansatz sind diese gruppiert, so gibt es die Kategorien „Höhere Gewalt“, „Organisatorische Mängel“, Menschliche Fehlhandlungen“, „Technisches Versagen“ und „Vorsätzliche Handlungen“. Die einzelnen Gefährdungen innerhalb der Gruppen sind nicht (nur) exklusiv für VPNs gültig. So behandelt G 3.16 „Fehlerhafte Administration von Zugangs- und Zugriffsrechten“ Probleme beim Umgang mit allen Arten von Zugriffsrechten. Wenn sich der Admin die Gefährdung als Anlass nimmt, auch andere Bereiche im Unternehmen hinsichtlich der korrekten Behandlung von Zugriffsrechten zu durchleuchten, profitiert das Sicherheitsniveau insgesamt davon. Nicht alle Gefährdungen müssen für alle Situationen relevant sein, wer nur Site-to-Site VPN-Verbindungen einsetzt, muss sich nicht um VPN-Clients auf mobilen Endgeräten kümmern. Die IT-Grundschutzkataloge lassen dem Admin freie Hand, welche Gefährdungen er als wichtig ansieht und wogegen er Maßnahmen ergreifen will.

Analog zu den Gefährdungen sind die Abhilfen aufgebaut, im BSI-Jargon „Maßnahmen“ genannt. Auch die Maßnahmen haben sowohl einen klar strukturierten Aufbau und sind auch nicht nur explizit für VPNs zutreffend. Sie folgen allerdings einer anderen Gliederung, die sich am Einsatz einer Technologie orientiert. Es geht von Planung über Beschaffung, Umsetzung und Betrieb bis hin zur Aussonderung. Zusätzlich wird die Notfallplanung in einer eigenen Kategorie behandelt. Das Spektrum der Maßnahmen kann von extrem fokussiert bis zu extrem umfassend reichen. Die erste Maßnahme im Bereich Planung ist beispielsweise die Durchführung einer Anforderungsanalyse. Sie fordert dazu auf, die betroffenen Geschäftsprozesse zu identifizieren und Anwendungsbereiche sowie Benutzer aufzulisten, die mit VPN in Berührung kommen. Verfügbarkeit, Beschränkungen, mögliche Bandbreiten – die Liste der abgedeckten Faktoren ist lang. Im Gegensatz dazu kommt M 4.322 „Sperrung nicht mehr benötigter VPN-Zugänge“ mit einer halben Seite Text aus.

Die IT-Grundschutzkataloge des BSI sind ein extrem sinnvolles Hilfsmittel für IT-Admins, die IT-Sicherheit strukturiert angehen wollen, egal ob es um das große Ganze geht, oder um einen Teilbereich wie VPN. Leider ist der Bekanntheitsgrad außerhalb von Behörden gering, oft schreckt auch der schiere Umfang ab. Es gibt jedoch auch verkürzte Anleitungen, mit denen Anwender im Taschenbuchformat das Wichtigste abhaken können, ohne sich auf 4500 Seiten mit allen Aspekten zu beschäftigen. Der Klick zur Website des BSI lohnt sich aber in jedem Fall.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK