072: Der BSI Grundschutz und die ITQ Basisprüfung

Shownotes

In dieser Episode des Tech-Podcasts "Blue Screen" geht es um die Herausforderungen, die der BSI-Grundschutzkatalog mit seinen über 4.800 Seiten für Unternehmen mit sich bringt. Es wird diskutiert, wie Tools wie die ITQ-Basisprüfung Unternehmen dabei helfen können, die Anforderungen des Katalogs zu erfüllen und ihre IT-Systeme zu schützen. Die ITQ-Basisprüfung ermöglicht es, verschiedene Themen wie IT-Sicherheit, Antivirus, Netzwerksicherheit und Cloud-Lösungen durchzugehen, um den IST-Zustand mit den Anforderungen des BSI-Katalogs abzugleichen. Es werden Audits durchgeführt, Empfehlungen gegeben und Maßnahmen zur Verbesserung vorgeschlagen. Zudem wird das Thema Regulierung, Dokumentation und Notfallplanung angesprochen, um Unternehmen auf potenzielle Risiken vorzubereiten. Es wird betont, wie wichtig es ist, sich rechtzeitig mit solchen Themen auseinanderzusetzen, um im Falle eines Vorfalls gut vorbereitet zu sein.

Shownotes:

Transkript anzeigen

00:00:00: Hi und willkommen zurück bei Blue Screen, dem Tech-Podcast, wieder mit einer Wissen-Folge.

00:00:04: Und ja, ich wollte mal fragen, ob ihr zufälligerweise Zeit habt,

00:00:09: euch über 4.800 Seiten Dokumente und Kataloge durchzulesen.

00:00:13: Ich auch nicht. Und deswegen geht es in der heutigen Folge mal darum,

00:00:17: was fordert denn eigentlich der BSI-Grundschutzkatalog bzw.

00:00:21: Die Kataloge und was kann man tun, wenn man nicht die Zeit hat,

00:00:24: so viele Seiten zu lesen. Viel Spaß mit der neuen Folge.

00:00:33: Ja, ich habe es gerade gesagt, BSI-Grundschutzkatalog, das hat mit Sicherheit

00:00:38: jeder schon mal irgendwann gehört und wie gerade auch schon erwähnt, das Ding ist riesig.

00:00:44: Also der BSI-Grundschutzkatalog oder die Kataloge haben wirklich mehr als fast

00:00:50: 5000 Seiten und da steht eigentlich alles so drin, was man wissen sollte.

00:00:54: Als Unternehmen, was sich mit IT-Systemen beschäftigt und das ist nun mal eigentlich

00:00:58: faktisch jedes Unternehmen.

00:01:00: Und ja, das ist natürlich eine durchaus schwierige Aufgabe, das alles nicht

00:01:05: nur zu lesen, sondern auch zu verstehen und sich daran zu halten.

00:01:09: Deswegen gibt es Gott sei Dank Tools, die einem hier ein ganz,

00:01:13: ganz großes Stück Arbeit abnehmen können.

00:01:15: Und da werden wir heute einfach mal ein bisschen drüber sprechen.

00:01:18: Werde ich euch ein bisschen was dazu erzählen.

00:01:20: Und zwar, vielleicht habt ihr es ja schon mal von uns gehört,

00:01:24: gehört, gibt es ein wirklich wunderbares Werkzeug, nämlich die ITQ-Basisprüfung.

00:01:29: Die ITQ-Basisprüfung ist eine Software,

00:01:32: die von einem deutschen Systemhaus entwickelt wird und wir als Partner von ITQ

00:01:38: sind eben in der Lage, in der tollen Situation mit einem Toolkit arbeiten zu

00:01:44: können, wo diese ganzen verschiedenen Themen,

00:01:47: wie zum Beispiel Schutz von IT-Systemen, Antivirus, Sicherheit von Netzwerken,

00:01:52: Sicherheit von WLANs, Sicherheit von Cloud-Lösungen etc.

00:01:55: Pp. Verteilt über 16 Kapitel, mit euch gemeinsam durchzugehen.

00:02:00: Und dann kriegen wir hier sehr schnell tatsächlich einen wunderbaren Angleich

00:02:05: an das, was der BSI Grundschutzkatalog so fordert. Wie läuft das Ganze ab?

00:02:10: Ähnlich wie bei einem Schwachstellen-Scanner geht es erstmal darum,

00:02:13: Informationen zu sammeln und Daten zu sammeln.

00:02:16: Das kann entweder in reiner Interviewform stattfinden, wenn wir uns in einem

00:02:20: Teams-Call zum Beispiel zusammentreffen.

00:02:22: Dann reden wir einfach darüber, was bei euch so die Situation ist.

00:02:26: Oder ich, meine Kollegen, die auch entsprechend zertifiziert sind, kommen bei euch vorbei.

00:02:31: Wir machen auch eine Begehung. Wir gucken uns die Infrastruktur vor Ort an.

00:02:34: Wie sind die Räumlichkeiten?

00:02:36: Wie schaut es aus? Grundsätzliche Dinge, sowas wie Rauchmelder,

00:02:39: Brandmelder, sind Feuerlöscher da und so weiter und so fort.

00:02:43: Und diese ganzen Informationen, die fassen wir dann in einer Lösung zusammen,

00:02:49: eben in der Software von ITQ.

00:02:51: Und ja, kriegen dann auch schon relativ schnell ein erstes Ergebnis,

00:02:56: um mal zu gucken, wie nah dran sind wir denn an dem, was der BSI fordert.

00:03:01: Oder aber natürlich auch an dem, was zum Beispiel eine Versicherung fordert.

00:03:05: Also möglicherweise habt ihr eine Cyberversicherung, dann kennt ihr das ja schon.

00:03:09: Auch eine Cyberversicherung fordert Dinge und möchte halt sehen,

00:03:14: dass ihr euch um gewisse Dinge kümmert.

00:03:16: Ja, meinetwegen Multifaktor-Authentifizierung für Admins, für die User.

00:03:20: Gibt es ein vernünftiges Backup-Konzept im Sinne von 3-2-1, Großvater,

00:03:25: Vater, Sohn oder Ähnlichem? Ja, und das sind eben alles Themen,

00:03:28: die wir im Fragenkatalog behandeln und wozu wir euch dann auch eine Auswertung geben.

00:03:34: Das heißt, wenn wir mit der Begehung oder dem Interview oder beiden entsprechend

00:03:37: fertig sind, dann geht der Auditor, also meinetwegen ich, wieder zurück ins

00:03:42: Stelle Kämmerlein und macht eine Auswertung von den ganzen Informationen.

00:03:46: Die wir dort gesammelt haben.

00:03:47: Wir sind quasi so eine Art TÜV für euer Auto, aber eben für das IT-System,

00:03:51: Betriebssystem oder die IT-Systemumgebung.

00:03:54: Und ja, dann haben wir am Ende dieser Auswertung ein Dokument,

00:03:59: wo ganz klar nochmal zusammengefasst wurde, wen haben wir denn da eigentlich geprüft?

00:04:05: Wie ist die Situation des Unternehmens? Gibt es einen Standort oder mehrere?

00:04:09: Wo sind die Standorte? Wie viele Leute arbeiten dort? Etc.

00:04:12: Dann eben durch die 16 Kapitel durchgegangen, wie sollte denn der Wunschzustand

00:04:17: laut dem Grundschutzkatalog sein und wie ist die Realität bei euch im Unternehmen?

00:04:21: Geben dann auch schon direkt erste Empfehlungen ab, was sollte man jetzt tun,

00:04:25: um hier einfach sich besser aufzustellen.

00:04:28: Und hinter diesen ganzen Bewertungen hängt ein Punktesystem.

00:04:31: Das heißt, ihr könnt maximal eine Erreichung von 100% bekommen,

00:04:35: einen Erfüllungsgrad entsprechend von 100% erreichen und ja,

00:04:40: an den Stellen, wo halt noch was fehlt, da muss man dann halt hinterher Hand anlegen.

00:04:45: Was wir zusätzlich auch machen, ist, diese ganzen Maßnahmenempfehlungen in einer

00:04:49: Tabelle euch aufzubereiten.

00:04:51: Jeweils mit dem Hinweis auf das Kapitel, in dem diese Sachen abgefragt wurden

00:04:55: und dem entsprechenden Artikel im Grundschutzkatalog, damit man dann auch nochmal

00:05:00: in der Tiefe nachlesen kann.

00:05:02: Jedes Kapitel ist auch mit einem Management-tauglichen Summary versehen.

00:05:07: Das heißt, hier gibt es auch nochmal eine kurze Beschreibung für Manager,

00:05:10: die jetzt nicht die Zeit haben Oder die Lust, sich hier großartig mit dem BSI

00:05:14: vorher zu beschäftigen.

00:05:15: Und daraus kann man dann halt auch sehr schnell ableiten und verstehen,

00:05:19: wo hängt der Hammer, wo ist das Problem, was für ein Risiko ist vor allem damit verbunden.

00:05:24: Und da kommt man eben sehr schnell zum Ziel. Was wir immer mit anbieten,

00:05:29: ist dann auch eine Produktempfehlung, wenn der Kunde das möchte,

00:05:32: um eben das eine oder das andere Problem zu behandeln.

00:05:35: Und ja, dann kann man im Prinzip in die Planung gehen, mit dem Kunden gemeinsam

00:05:40: Prioritäten festlegen, auch anhand von Kosten,

00:05:44: anhand von Aufwänden mal einfach sich vielleicht erst die low hanging fruits

00:05:48: schnappen, damit man zumindest mal ein bisschen in die richtige Richtung geht.

00:05:52: Und im Grunde genommen ist es so, es ist eigentlich fast egal,

00:05:56: wo man anfängt, Hauptsache man fängt überhaupt damit an.

00:05:59: Ein ganz, ganz, ganz großes Thema ist allerdings auch dabei,

00:06:02: das Thema Regulieren von Dingen, also in Form von Dokumenten, in Form von Papier.

00:06:09: Einfach Grundlagen und Richtlinien zu haben, die halt diverse Sachen regeln.

00:06:15: Meinetwegen, was muss ich tun, wenn mein Gerät sagt, es hat irgendwie komische

00:06:19: Software entdeckt Oder mir wurde mein Laptop, mein Telefon, was auch immer, gestohlen.

00:06:24: Was muss ich jetzt tun? Wie ist der Meldeweg?

00:06:26: Wie darf ich sichere Informationen oder datenschutzrelevante Informationen übertragen?

00:06:32: Darf ich die einfach unverschlüsselt per Mail durch die Gegend schicken?

00:06:34: Oder gibt es vielleicht bessere Wege?

00:06:36: Das ist dieses ganze Paperwork, was da auch eben dazugehört.

00:06:40: Sachen, die geregelt sein müssen.

00:06:41: Und da scheitern halt sehr, sehr viele Unternehmen daran.

00:06:44: Selbst wenn wir ihnen jetzt den ITQ-Basisprüfung, den Report geben,

00:06:48: Da steht drin, du brauchst eine Regelung für Thema XY.

00:06:52: Ja, da scheitern halt die meisten dran, weil auch hier hat niemand die Zeit,

00:06:55: sich hinzusetzen, sich zu überlegen, wie könnte so eine Richtlinie ausschauen,

00:06:59: was muss denn da drinstehen.

00:07:01: Wenn ich das jetzt da reinschreibe, ist das dann auch irgendwie rechtsgültig?

00:07:04: Kann ich da irgendwie gegen den Grundschutz verstoßen, immer noch, wenn ich das so mache?

00:07:09: Und da gibt es ebenfalls ein schönes Ergänzungsmodul von ITQ,

00:07:13: nämlich das Richtlinienpaket. Da sind über 40 Richtlinienvorlagen drin.

00:07:19: Die man eigentlich nur noch ein bisschen anpassen muss.

00:07:22: Sprich, Name des Unternehmens rein, entsprechende Personen rein,

00:07:25: die halt dann für dieses spezielle Thema Sorge zu tragen haben.

00:07:29: Wer ist der Ansprechpartner und so weiter und so fort. Und da kriege ich eben

00:07:33: auch wieder eine ganz tolle Lösung an die Hand, um halt eben dieses ganze Paperwork

00:07:38: auf einem schnellen und schlanken Weg abzumanagen.

00:07:42: Am Ende geht es nur noch darum, ich muss nochmal jemanden drüber gucken lassen.

00:07:45: Passt das so? Man kann, wenn man möchte, das auch nochmal anwaltlich prüfen lassen.

00:07:49: Und dann hat man auch eben diese ganzen Regulatorien eigentlich schon fast fertig.

00:07:54: Zusätzlich in dem Richtlinienpaket drin enthalten ist auch eine Risikobewertung.

00:07:59: Sprich, wir gehen immer in dieses Dreiecksmodell aus kritischen IT-Systemen,

00:08:04: Anwendungen und Geschäftsprozessen und damit kriegt man auch superschnell einfach identifiziert,

00:08:11: wo haben wir denn hier heute einen Single Point of Failure zum Beispiel, wo müssen wir denn ran?

00:08:17: Und wenn ich jetzt mal, und das ist eigentlich mein Lieblingsbeispiel,

00:08:19: mal davon ausgehe, mein Kunde ist ein Online-Handel für Stifte.

00:08:25: So, und der ganze Betrieb baut nur darauf auf, dass eben Stifte verkauft werden

00:08:29: können über eine Website und hinten dran hängt noch ein Lager,

00:08:33: über das dann entsprechend der Paketversand geregelt wird.

00:08:36: Und auch das wäre einfach dann der Geschäftsprozess. Der Geschäftsprozess,

00:08:40: ich möchte Stifte verkaufen, wenn ich das nicht tun kann, verdiene ich kein

00:08:43: Geld. Was brauche ich dafür?

00:08:44: Ich brauche einen Web-Server, ich brauche ein funktionierendes DNS,

00:08:47: ich brauche vielleicht einen Datenbank-Server, einen Mail-Server und verschiedene andere Systeme.

00:08:52: Und wenn irgendwo eines dieser Zahnrädchen ausfällt, dann habe ich schon ein Problem.

00:08:56: Ich kann kein Geld mehr verdienen, mein Geschäft funktioniert nicht mehr.

00:08:59: Sprich, würde man so quasi dann das Ganze aufbereiten, dass man sagt,

00:09:03: der Geschäftsprozess Online-Handeln mit was auch immer bedingt,

00:09:06: kritisches System 1.3.4.5,

00:09:08: das Ganze ist vielleicht soweit okay redundant vorhanden, aber möglicherweise

00:09:13: gibt es halt einen E-Mail-Server, der noch im Betrieb steht,

00:09:16: den gibt es nur genau einmal und wenn der steht,

00:09:18: dann gibt eben kein Auftrag mehr rein, ich kann diesen Auftrag nicht weiter

00:09:22: bearbeiten, ich kann auch keinen Paketschein drucken und deswegen geht die Bestellung nicht raus.

00:09:25: So genannte Single Point of Failures oder kurz SPOVs, die kann ich damit wunderbar

00:09:30: identifizieren und das gehört natürlich eben auch dazu, dass man sich organisiert.

00:09:35: Was noch dazu kommt und dann haben wir es aber schon fast mit dem Grundschutzkatalog

00:09:39: beziehungsweise eben auch den Richtlinien, ist eben eine Notfallplanung.

00:09:43: Auch das ganz wichtig, eine Notfallplanung muss ich dann aufbauen,

00:09:47: wenn noch kein Notfall da ist, weil wenn es erstmal passiert ist,

00:09:51: dann ist alles andere wichtiger, aber dann fängt man normalerweise nicht an sich zu organisieren.

00:09:55: Deswegen vorher einen Plan aufbauen, welche Notfälle können denn eintreten,

00:10:00: zum Beispiel Stromausfall, Brand, Ransomware, was auch immer und welche Leute

00:10:05: sind jetzt die Ansprechpartner.

00:10:07: Da gehört dann auch rein, wenn ich eine Cyberversicherung habe.

00:10:09: Die Versicherungspolisen-Nummer von meiner Versicherung, der Ansprechpartner,

00:10:14: mögliche Ansprechpartner für Incident Response, Dienstleister,

00:10:18: Ansprechpartner beim Dienstleister und weisungsbefugte Personen.

00:10:21: Das gehört alles da rein und das sind eben Dokumente, die gehören nicht auf

00:10:25: einen File-Server, also schon vielleicht auch auf einen File-Server,

00:10:29: aber wenn dann der Notfall eintritt, ist es gern mal so, dass natürlich der

00:10:33: File-Server gerade dann nicht funktioniert.

00:10:35: Das heißt, solche Dokumente auch gerne in Papierform oder irgendwo außerhalb

00:10:39: vom Unternehmen, sodass ich die dann auch benutzen kann, wenn ich sie brauche, lagern.

00:10:43: Ja, und da gibt es eben auch wunderbare Vorlagen drin und das ist dann letzten Endes die Kirsche,

00:10:51: das Sahnehäubchen und die Kirsche obendrauf auf diesem Richtlinienpaket und

00:10:54: macht meiner Meinung nach komplett Sinn, sich damit zu beschäftigen.

00:10:58: Ja, und das ist tatsächlich für unsere heutige Folge fast schon wieder das Ende.

00:11:04: Wir werden uns nächste Folge noch über eine Besonderheit in diesem Themengebiet

00:11:09: unterhalten, nämlich wir sprechen

00:11:11: dann über das Netzwerkinformationssicherheitsgesetz 2, kurz NIST 2.

00:11:15: Und auch hier tun wir uns einen großen Gefallen, wenn wir uns vorher mit den

00:11:20: Themen aus dem BSI-Grundschutz oder auch einer ISO 27001,

00:11:25: also ISMS-Systeme beschäftigen, bevor denn das Ganze dann irgendwann im Laufe

00:11:29: dieses Jahres in Kraft tritt.

00:11:31: Wie immer, wenn ihr mir was sagen wollt, dann gerne eine Nachricht schicken.

00:11:35: Ihr findet die Kontaktdaten von mir unten in den Shownotes, könnt ihr jederzeit benutzen.

00:11:39: Ihr könnt uns auch seit neuestem eine Sprachnachricht hinterlassen.

00:11:44: Wir haben dort einen Service von Speakpipe.

00:11:46: Ihr braucht euch da nicht zu registrieren. Ihr könnt einfach auf den Knopf drücken,

00:11:49: findet ihr auch unten in den Shownotes.

00:11:50: Schickt mir eine Sprachnachricht und wenn ihr wollt, kommt ihr mit ein bisschen

00:11:53: Glück in einer unserer nächsten regulären

00:11:56: Folgen von Blue Screen mit eurem Redebeitrag dann auch dort zu Wort.

00:12:00: Natürlich werde ich den dann auch an dieser Stelle entsprechend kommentieren.

00:12:04: Ja, was bleibt mir noch zu sagen? Bewertet uns, wo man uns bewerten kann.

00:12:07: Folgt uns, wo man uns folgen kann.

00:12:09: Teilt diesen Podcast gerne mit euren Freunden. Und dann würde ich mich freuen,

00:12:12: wenn wir uns auch zum nächsten Mal von Blue Screen oder Blue Screen Wissen wiederhören.

00:12:16: Macht's gut. Bis dahin. Euer Alex. Ciao.

00:12:20: Music.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.