072: Der BSI Grundschutz und die ITQ Basisprüfung

00:00:00: Hi und willkommen zurück bei Blue Screen, dem Tech-Podcast, wieder mit einer Wissen-Folge.

00:00:04: Und ja, ich wollte mal fragen, ob ihr zufälligerweise Zeit habt,

00:00:09: euch über 4.800 Seiten Dokumente und Kataloge durchzulesen.

00:00:13: Ich auch nicht. Und deswegen geht es in der heutigen Folge mal darum,

00:00:17: was fordert denn eigentlich der BSI-Grundschutzkatalog bzw.

00:00:21: Die Kataloge und was kann man tun, wenn man nicht die Zeit hat,

00:00:24: so viele Seiten zu lesen. Viel Spaß mit der neuen Folge.

00:00:33: Ja, ich habe es gerade gesagt, BSI-Grundschutzkatalog, das hat mit Sicherheit

00:00:38: jeder schon mal irgendwann gehört und wie gerade auch schon erwähnt, das Ding ist riesig.

00:00:44: Also der BSI-Grundschutzkatalog oder die Kataloge haben wirklich mehr als fast

00:00:50: 5000 Seiten und da steht eigentlich alles so drin, was man wissen sollte.

00:00:54: Als Unternehmen, was sich mit IT-Systemen beschäftigt und das ist nun mal eigentlich

00:00:58: faktisch jedes Unternehmen.

00:01:00: Und ja, das ist natürlich eine durchaus schwierige Aufgabe, das alles nicht

00:01:05: nur zu lesen, sondern auch zu verstehen und sich daran zu halten.

00:01:09: Deswegen gibt es Gott sei Dank Tools, die einem hier ein ganz,

00:01:13: ganz großes Stück Arbeit abnehmen können.

00:01:15: Und da werden wir heute einfach mal ein bisschen drüber sprechen.

00:01:18: Werde ich euch ein bisschen was dazu erzählen.

00:01:20: Und zwar, vielleicht habt ihr es ja schon mal von uns gehört,

00:01:24: gehört, gibt es ein wirklich wunderbares Werkzeug, nämlich die ITQ-Basisprüfung.

00:01:29: Die ITQ-Basisprüfung ist eine Software,

00:01:32: die von einem deutschen Systemhaus entwickelt wird und wir als Partner von ITQ

00:01:38: sind eben in der Lage, in der tollen Situation mit einem Toolkit arbeiten zu

00:01:44: können, wo diese ganzen verschiedenen Themen,

00:01:47: wie zum Beispiel Schutz von IT-Systemen, Antivirus, Sicherheit von Netzwerken,

00:01:52: Sicherheit von WLANs, Sicherheit von Cloud-Lösungen etc.

00:01:55: Pp. Verteilt über 16 Kapitel, mit euch gemeinsam durchzugehen.

00:02:00: Und dann kriegen wir hier sehr schnell tatsächlich einen wunderbaren Angleich

00:02:05: an das, was der BSI Grundschutzkatalog so fordert. Wie läuft das Ganze ab?

00:02:10: Ähnlich wie bei einem Schwachstellen-Scanner geht es erstmal darum,

00:02:13: Informationen zu sammeln und Daten zu sammeln.

00:02:16: Das kann entweder in reiner Interviewform stattfinden, wenn wir uns in einem

00:02:20: Teams-Call zum Beispiel zusammentreffen.

00:02:22: Dann reden wir einfach darüber, was bei euch so die Situation ist.

00:02:26: Oder ich, meine Kollegen, die auch entsprechend zertifiziert sind, kommen bei euch vorbei.

00:02:31: Wir machen auch eine Begehung. Wir gucken uns die Infrastruktur vor Ort an.

00:02:34: Wie sind die Räumlichkeiten?

00:02:36: Wie schaut es aus? Grundsätzliche Dinge, sowas wie Rauchmelder,

00:02:39: Brandmelder, sind Feuerlöscher da und so weiter und so fort.

00:02:43: Und diese ganzen Informationen, die fassen wir dann in einer Lösung zusammen,

00:02:49: eben in der Software von ITQ.

00:02:51: Und ja, kriegen dann auch schon relativ schnell ein erstes Ergebnis,

00:02:56: um mal zu gucken, wie nah dran sind wir denn an dem, was der BSI fordert.

00:03:01: Oder aber natürlich auch an dem, was zum Beispiel eine Versicherung fordert.

00:03:05: Also möglicherweise habt ihr eine Cyberversicherung, dann kennt ihr das ja schon.

00:03:09: Auch eine Cyberversicherung fordert Dinge und möchte halt sehen,

00:03:14: dass ihr euch um gewisse Dinge kümmert.

00:03:16: Ja, meinetwegen Multifaktor-Authentifizierung für Admins, für die User.

00:03:20: Gibt es ein vernünftiges Backup-Konzept im Sinne von 3-2-1, Großvater,

00:03:25: Vater, Sohn oder Ähnlichem? Ja, und das sind eben alles Themen,

00:03:28: die wir im Fragenkatalog behandeln und wozu wir euch dann auch eine Auswertung geben.

00:03:34: Das heißt, wenn wir mit der Begehung oder dem Interview oder beiden entsprechend

00:03:37: fertig sind, dann geht der Auditor, also meinetwegen ich, wieder zurück ins

00:03:42: Stelle Kämmerlein und macht eine Auswertung von den ganzen Informationen.

00:03:46: Die wir dort gesammelt haben.

00:03:47: Wir sind quasi so eine Art TÜV für euer Auto, aber eben für das IT-System,

00:03:51: Betriebssystem oder die IT-Systemumgebung.

00:03:54: Und ja, dann haben wir am Ende dieser Auswertung ein Dokument,

00:03:59: wo ganz klar nochmal zusammengefasst wurde, wen haben wir denn da eigentlich geprüft?

00:04:05: Wie ist die Situation des Unternehmens? Gibt es einen Standort oder mehrere?

00:04:09: Wo sind die Standorte? Wie viele Leute arbeiten dort? Etc.

00:04:12: Dann eben durch die 16 Kapitel durchgegangen, wie sollte denn der Wunschzustand

00:04:17: laut dem Grundschutzkatalog sein und wie ist die Realität bei euch im Unternehmen?

00:04:21: Geben dann auch schon direkt erste Empfehlungen ab, was sollte man jetzt tun,

00:04:25: um hier einfach sich besser aufzustellen.

00:04:28: Und hinter diesen ganzen Bewertungen hängt ein Punktesystem.

00:04:31: Das heißt, ihr könnt maximal eine Erreichung von 100% bekommen,

00:04:35: einen Erfüllungsgrad entsprechend von 100% erreichen und ja,

00:04:40: an den Stellen, wo halt noch was fehlt, da muss man dann halt hinterher Hand anlegen.

00:04:45: Was wir zusätzlich auch machen, ist, diese ganzen Maßnahmenempfehlungen in einer

00:04:49: Tabelle euch aufzubereiten.

00:04:51: Jeweils mit dem Hinweis auf das Kapitel, in dem diese Sachen abgefragt wurden

00:04:55: und dem entsprechenden Artikel im Grundschutzkatalog, damit man dann auch nochmal

00:05:00: in der Tiefe nachlesen kann.

00:05:02: Jedes Kapitel ist auch mit einem Management-tauglichen Summary versehen.

00:05:07: Das heißt, hier gibt es auch nochmal eine kurze Beschreibung für Manager,

00:05:10: die jetzt nicht die Zeit haben Oder die Lust, sich hier großartig mit dem BSI

00:05:14: vorher zu beschäftigen.

00:05:15: Und daraus kann man dann halt auch sehr schnell ableiten und verstehen,

00:05:19: wo hängt der Hammer, wo ist das Problem, was für ein Risiko ist vor allem damit verbunden.

00:05:24: Und da kommt man eben sehr schnell zum Ziel. Was wir immer mit anbieten,

00:05:29: ist dann auch eine Produktempfehlung, wenn der Kunde das möchte,

00:05:32: um eben das eine oder das andere Problem zu behandeln.

00:05:35: Und ja, dann kann man im Prinzip in die Planung gehen, mit dem Kunden gemeinsam

00:05:40: Prioritäten festlegen, auch anhand von Kosten,

00:05:44: anhand von Aufwänden mal einfach sich vielleicht erst die low hanging fruits

00:05:48: schnappen, damit man zumindest mal ein bisschen in die richtige Richtung geht.

00:05:52: Und im Grunde genommen ist es so, es ist eigentlich fast egal,

00:05:56: wo man anfängt, Hauptsache man fängt überhaupt damit an.

00:05:59: Ein ganz, ganz, ganz großes Thema ist allerdings auch dabei,

00:06:02: das Thema Regulieren von Dingen, also in Form von Dokumenten, in Form von Papier.

00:06:09: Einfach Grundlagen und Richtlinien zu haben, die halt diverse Sachen regeln.

00:06:15: Meinetwegen, was muss ich tun, wenn mein Gerät sagt, es hat irgendwie komische

00:06:19: Software entdeckt Oder mir wurde mein Laptop, mein Telefon, was auch immer, gestohlen.

00:06:24: Was muss ich jetzt tun? Wie ist der Meldeweg?

00:06:26: Wie darf ich sichere Informationen oder datenschutzrelevante Informationen übertragen?

00:06:32: Darf ich die einfach unverschlüsselt per Mail durch die Gegend schicken?

00:06:34: Oder gibt es vielleicht bessere Wege?

00:06:36: Das ist dieses ganze Paperwork, was da auch eben dazugehört.

00:06:40: Sachen, die geregelt sein müssen.

00:06:41: Und da scheitern halt sehr, sehr viele Unternehmen daran.

00:06:44: Selbst wenn wir ihnen jetzt den ITQ-Basisprüfung, den Report geben,

00:06:48: Da steht drin, du brauchst eine Regelung für Thema XY.

00:06:52: Ja, da scheitern halt die meisten dran, weil auch hier hat niemand die Zeit,

00:06:55: sich hinzusetzen, sich zu überlegen, wie könnte so eine Richtlinie ausschauen,

00:06:59: was muss denn da drinstehen.

00:07:01: Wenn ich das jetzt da reinschreibe, ist das dann auch irgendwie rechtsgültig?

00:07:04: Kann ich da irgendwie gegen den Grundschutz verstoßen, immer noch, wenn ich das so mache?

00:07:09: Und da gibt es ebenfalls ein schönes Ergänzungsmodul von ITQ,

00:07:13: nämlich das Richtlinienpaket. Da sind über 40 Richtlinienvorlagen drin.

00:07:19: Die man eigentlich nur noch ein bisschen anpassen muss.

00:07:22: Sprich, Name des Unternehmens rein, entsprechende Personen rein,

00:07:25: die halt dann für dieses spezielle Thema Sorge zu tragen haben.

00:07:29: Wer ist der Ansprechpartner und so weiter und so fort. Und da kriege ich eben

00:07:33: auch wieder eine ganz tolle Lösung an die Hand, um halt eben dieses ganze Paperwork

00:07:38: auf einem schnellen und schlanken Weg abzumanagen.

00:07:42: Am Ende geht es nur noch darum, ich muss nochmal jemanden drüber gucken lassen.

00:07:45: Passt das so? Man kann, wenn man möchte, das auch nochmal anwaltlich prüfen lassen.

00:07:49: Und dann hat man auch eben diese ganzen Regulatorien eigentlich schon fast fertig.

00:07:54: Zusätzlich in dem Richtlinienpaket drin enthalten ist auch eine Risikobewertung.

00:07:59: Sprich, wir gehen immer in dieses Dreiecksmodell aus kritischen IT-Systemen,

00:08:04: Anwendungen und Geschäftsprozessen und damit kriegt man auch superschnell einfach identifiziert,

00:08:11: wo haben wir denn hier heute einen Single Point of Failure zum Beispiel, wo müssen wir denn ran?

00:08:17: Und wenn ich jetzt mal, und das ist eigentlich mein Lieblingsbeispiel,

00:08:19: mal davon ausgehe, mein Kunde ist ein Online-Handel für Stifte.

00:08:25: So, und der ganze Betrieb baut nur darauf auf, dass eben Stifte verkauft werden

00:08:29: können über eine Website und hinten dran hängt noch ein Lager,

00:08:33: über das dann entsprechend der Paketversand geregelt wird.

00:08:36: Und auch das wäre einfach dann der Geschäftsprozess. Der Geschäftsprozess,

00:08:40: ich möchte Stifte verkaufen, wenn ich das nicht tun kann, verdiene ich kein

00:08:43: Geld. Was brauche ich dafür?

00:08:44: Ich brauche einen Web-Server, ich brauche ein funktionierendes DNS,

00:08:47: ich brauche vielleicht einen Datenbank-Server, einen Mail-Server und verschiedene andere Systeme.

00:08:52: Und wenn irgendwo eines dieser Zahnrädchen ausfällt, dann habe ich schon ein Problem.

00:08:56: Ich kann kein Geld mehr verdienen, mein Geschäft funktioniert nicht mehr.

00:08:59: Sprich, würde man so quasi dann das Ganze aufbereiten, dass man sagt,

00:09:03: der Geschäftsprozess Online-Handeln mit was auch immer bedingt,

00:09:06: kritisches System 1.3.4.5,

00:09:08: das Ganze ist vielleicht soweit okay redundant vorhanden, aber möglicherweise

00:09:13: gibt es halt einen E-Mail-Server, der noch im Betrieb steht,

00:09:16: den gibt es nur genau einmal und wenn der steht,

00:09:18: dann gibt eben kein Auftrag mehr rein, ich kann diesen Auftrag nicht weiter

00:09:22: bearbeiten, ich kann auch keinen Paketschein drucken und deswegen geht die Bestellung nicht raus.

00:09:25: So genannte Single Point of Failures oder kurz SPOVs, die kann ich damit wunderbar

00:09:30: identifizieren und das gehört natürlich eben auch dazu, dass man sich organisiert.

00:09:35: Was noch dazu kommt und dann haben wir es aber schon fast mit dem Grundschutzkatalog

00:09:39: beziehungsweise eben auch den Richtlinien, ist eben eine Notfallplanung.

00:09:43: Auch das ganz wichtig, eine Notfallplanung muss ich dann aufbauen,

00:09:47: wenn noch kein Notfall da ist, weil wenn es erstmal passiert ist,

00:09:51: dann ist alles andere wichtiger, aber dann fängt man normalerweise nicht an sich zu organisieren.

00:09:55: Deswegen vorher einen Plan aufbauen, welche Notfälle können denn eintreten,

00:10:00: zum Beispiel Stromausfall, Brand, Ransomware, was auch immer und welche Leute

00:10:05: sind jetzt die Ansprechpartner.

00:10:07: Da gehört dann auch rein, wenn ich eine Cyberversicherung habe.

00:10:09: Die Versicherungspolisen-Nummer von meiner Versicherung, der Ansprechpartner,

00:10:14: mögliche Ansprechpartner für Incident Response, Dienstleister,

00:10:18: Ansprechpartner beim Dienstleister und weisungsbefugte Personen.

00:10:21: Das gehört alles da rein und das sind eben Dokumente, die gehören nicht auf

00:10:25: einen File-Server, also schon vielleicht auch auf einen File-Server,

00:10:29: aber wenn dann der Notfall eintritt, ist es gern mal so, dass natürlich der

00:10:33: File-Server gerade dann nicht funktioniert.

00:10:35: Das heißt, solche Dokumente auch gerne in Papierform oder irgendwo außerhalb

00:10:39: vom Unternehmen, sodass ich die dann auch benutzen kann, wenn ich sie brauche, lagern.

00:10:43: Ja, und da gibt es eben auch wunderbare Vorlagen drin und das ist dann letzten Endes die Kirsche,

00:10:51: das Sahnehäubchen und die Kirsche obendrauf auf diesem Richtlinienpaket und

00:10:54: macht meiner Meinung nach komplett Sinn, sich damit zu beschäftigen.

00:10:58: Ja, und das ist tatsächlich für unsere heutige Folge fast schon wieder das Ende.

00:11:04: Wir werden uns nächste Folge noch über eine Besonderheit in diesem Themengebiet

00:11:09: unterhalten, nämlich wir sprechen

00:11:11: dann über das Netzwerkinformationssicherheitsgesetz 2, kurz NIST 2.

00:11:15: Und auch hier tun wir uns einen großen Gefallen, wenn wir uns vorher mit den

00:11:20: Themen aus dem BSI-Grundschutz oder auch einer ISO 27001,

00:11:25: also ISMS-Systeme beschäftigen, bevor denn das Ganze dann irgendwann im Laufe

00:11:29: dieses Jahres in Kraft tritt.

00:11:31: Wie immer, wenn ihr mir was sagen wollt, dann gerne eine Nachricht schicken.

00:11:35: Ihr findet die Kontaktdaten von mir unten in den Shownotes, könnt ihr jederzeit benutzen.

00:11:39: Ihr könnt uns auch seit neuestem eine Sprachnachricht hinterlassen.

00:11:44: Wir haben dort einen Service von Speakpipe.

00:11:46: Ihr braucht euch da nicht zu registrieren. Ihr könnt einfach auf den Knopf drücken,

00:11:49: findet ihr auch unten in den Shownotes.

00:11:50: Schickt mir eine Sprachnachricht und wenn ihr wollt, kommt ihr mit ein bisschen

00:11:53: Glück in einer unserer nächsten regulären

00:11:56: Folgen von Blue Screen mit eurem Redebeitrag dann auch dort zu Wort.

00:12:00: Natürlich werde ich den dann auch an dieser Stelle entsprechend kommentieren.

00:12:04: Ja, was bleibt mir noch zu sagen? Bewertet uns, wo man uns bewerten kann.

00:12:07: Folgt uns, wo man uns folgen kann.

00:12:09: Teilt diesen Podcast gerne mit euren Freunden. Und dann würde ich mich freuen,

00:12:12: wenn wir uns auch zum nächsten Mal von Blue Screen oder Blue Screen Wissen wiederhören.

00:12:16: Macht's gut. Bis dahin. Euer Alex. Ciao.

00:12:20: Music.