LF-Modellierung

Der Leitfaden zur Modellierung im BSI IT-Grundschutz beschreibt die strukturierte Erfassung und Darstellung von IT-Komponenten als Zielobjekte. Diese Zielobjekte werden gruppiert und modelliert, um geeignete Sicherheitsmaßnahmen abzuleiten. Der Leitfaden enthält Richtlinien zur effizienten Gruppierung von Assets, Modellierung der Zielobjekte und regelmäßigen Aktualisierung, um die Umsetzung des IT-Grundschutzes zu erleichtern und Sicherheitsrisiken zu minimieren.

Einleitung

Die Gruppierung von Komponenten (Assets) und die Modellierung von Zielobjekten ist ein zentraler Schritt im Rahmen des BSI IT-Grundschutzes. Zielobjekte repräsentieren die zu schützenden Werte einer Organisation und dienen als Basis für die Risikoanalyse und die Sicherheitsmaßnahmen. Dieser Leitfaden bietet eine strukturierte Vorgehensweise zur Gruppierung und Modellierung von Zielobjekten.

Gruppierung (Zusammenfassung gleichartiger Systeme) => Zielobjekte => Modellierung (Zuordnung von Bausteinen).

Eine sorgfältige Gruppierung der Komponenten (Assets) und Modellierung der Zielobjekte ist essentiell für eine effektive Umsetzung des BSI IT-Grundschutzes. Isbesondere kann eine gute Gruppierung die Aufwände für IT-Grundschutzchecks (GSC) deutlich reduzieren.

Zielsetzung

• Strukturierung und Übersichtlichkeit: Schaffung einer klaren und strukturierten Darstellung der zu schützenden Werte, um die Planung und Umsetzung von Sicherheitsmaßnahmen zu erleichtern.
• Effizienzsteigerung: Optimierung von Ressourcen und Reduktion des Aufwands durch gezielte und einheitliche Behandlung gleichartiger Assets.
• Risikomanagement: Identifikation und Bewertung von Risiken und Schwachstellen durch detaillierte Erfassung und Darstellung von Abhängigkeiten und Beziehungen zwischen Zielobjekten.
• Einhaltung von Standards und Compliance: Unterstützung der Normkonformität und Erfüllung von Anforderungen an Informationssicherheit und Datenschutz, wichtig für Audits und Zertifizierungen.
• Verbesserung der Kommunikation: Erhöhung der Transparenz und Verständlichkeit der Informationssicherheitsmaßnahmen für alle Beteiligten, Förderung der Zusammenarbeit durch klare Definitionen und eine einheitliche Sprache.

Geltungsbereich

Dieser Leitfaden gilt für das Sicherheitsmanagement der Organisation und für die Durchführung der Gruppierung und Modellierung aller Informationsverbünde der der Organisation.

Gruppierung der Assets

Bei der Gruppierung werden gleichartige Komponenten (Assets) zu Zielobjekten zusammengefasst, um die Anzahl der Zielobjekte und damit den Aufwand für die Modellierung und die nachfolgenden Grundschutz-Checks gering zu halten.

Welche Assets können gruppiert werden?

Der BSI IT-Grundschutz-Standard ermöglicht grunsätzlich die Gruppierung von Assets zu Zielobjekten.

Hier einige Beispiele für sinnvolle Grupppierungskandidaten:

• Infrastrukturen: Gebäude, Räume, Rechenzentren.
• IT-Systeme: Server, Netzwerke, Arbeitsplatzrechner.
• Anwendungen: Software, Datenbanken, Webanwendungen.
• Informationen: Daten, Dokumente, Geschäftsgeheimnisse.
• Personen: Mitarbeitende, externe Dienstleistende.
• Dienstleistungen: IT-Dienstleistungen, Support-Prozesse.

In all diesen Bereichen treten regelmäßig Assets in großer Zahl auf, die jedoch häufig alle gleich behandelt werden. Um den Aufwand für die Zuordnung und Überprüfung von Sicherheitsmaßnahmen zu reduzieren, können gleiche Assets gruppiert werden.

Voraussetzung für eine Gruppierung

Nicht alles was gleich aussieht kann auch gruppiert werden. Bei einer Gruppierung sind grundsätzlich folgende Regeln zu beachten: Assets können zu einem Zielobjekt gruppiert werden, sie

vom gleichen oder vergleichbaren Typ sind,

Z.B. können Windows 10 Clients gruppiert werden. Bei Client-Rechnern werden häufig die gleichen Images ausgerollt und sie werden zentral administriert. Clients mit unterschiedlich nen Betriebssystemen oder Clients die grundlegend anders genutzt werden, können i.d.R. nicht gruppiert werden.

den gleichen Schutzbedarf aufweisen,

Z.B. Clients für Mitarbeitende und Clients für Administratoren mit priveligierten Rechten haben wahrscheinlich unterschiedlichen Schutzbedarf, was unterschiedliche Sicherheitsmaßnahmen erfordert.

ähnliche Aufgaben und Funktionen haben und,

Nur wenn die Aufgaben und Funktionen der Komponenten gleich sind, kann davon ausgegangen werden, dass auch die zu ergreifenden Sicherheitsmaßnahmen gleich sind.

gleich oder ähnlich konfiguriert und administriert werden.

Auch völlig identische Komponenten können sehr unterschiedlich konfiguriert und administriert werden, was wiederum zu unterschiedlichen Sicherheitsmaßnahmen führen kann. Daher können nur Assets gruppiert werden, die gleich oder zumindest gleichartig konfiguriert und administriert werden.

Vorgehensweise zur Gruppierung

1. Erfassung aller Assets: Sammle alle relevanten Informationen über die bestehenden Assets im Unternehmen.
2. Analyse der funktionalen Abhängigkeiten: Bestimme, welche Assets miteinander in funktionaler Beziehung stehen.
3. Homogene Gruppenbildung: Fasse Assets mit ähnlichen Funktionen, Sicherheitsanforderungen und Schutzbedarfen zu Zielobjekten zusammen (siehe Anforderungen oben).
4. Hierarchische Struktur: Erstelle eine hierarchische Struktur, die von allgemeinen Kategorien zu spezifischen Zielobjekten führt.
5. Dokumentation: Halte alle Gruppen und deren Zugehörigkeit zu Zielobjekten schriftlich fest.

Modellierung der Zielobjekte

Die Gruppierung im IT-Grundschutz dient der strukturierten Erfassung und Darstellung von IT-Komponenten in Form von Zielobjekten.

Diesen Zielobjekte werden anschließend die relevanten Bausteinen aus dem IT-Grundschutz-Kompendium zugeordnet, um geeignete Sicherheitsmaßnahmen abzuleiten.

Modellierungsrichtlinien

Die Modellierung der Zielobjekte erfolgt gemäß den Richtlinien des BSI IT-Grundschutzes und des Grundschutz-Kompendiums. Diese Richtlinien beinhalten:

• Zielobjektstruktur: Zielobjekte müssen klar und eindeutig definiert sein.
• Detailgrad: Der Detailgrad der Modellierung hängt von der Komplexität und dem Schutzbedarf des Zielobjekts ab.
• Abhängigkeiten und Beziehungen: Alle relevanten Abhängigkeiten und Beziehungen zwischen den Zielobjekten müssen dokumentiert werden.
• Aktualität: Die Modelle müssen regelmäßig aktualisiert werden, um aktuelle Veränderungen widerzuspiegeln.

Vorgehensweise bei der Modellierung

1. Erstellung von Zielobjektmodellen: Nutze geeignete Werkzeuge wie Tabellenkalkulationen oder spezielle Software-Tools zur Modellierung.
2. Bestimmung des Detailgrads: Lege den notwendigen Detailgrad für jedes Zielobjekt fest:
   • Basisobjekte: Grundlegende Objekte wie Gebäude und Räume.
   • Erweiterte Objekte: Spezifischere Objekte wie einzelne Server oder Anwendungen.
3. Dokumentation der Verknüpfungen: Stelle Verknüpfungen zwischen den Zielobjekten her, um Abhängigkeiten und Beziehungen darzustellen.
4. Erstellung eines Zielobjektkatalogs: Führe alle modellierten Zielobjekte in einem umfassenden Zielobjektkatalog zusammen.
5. Beschreibung der Zielobjekte: Dokumentiere jedes Zielobjekt mit einer kurzen Beschreibung, den zugehörigen Sicherheitsanforderungen und Abhängigkeiten.
6. Zuweisung der Bausteine: Weise den Zielobjekten die relanten Bausteine aus dem IT-Grundschutz-Kompendium zu.
7. Regelmäßige Aktualisierung: Aktualisiere den Zielobjektkatalog regelmäßig, um Veränderungen und ne ue Erkenntnisse zu berücksichtigen.

Hinweis: Jeder Baustein des Kompendiums enthält in Kapitel 1.3 "Abgrenzung und Modellierung" Hinweise zu seiner Anwendung im Rahmen der Modellierung. Diese Modellierungshinweise sollten unbedingt beachtet werden.

Modellierung Prozessbausteine

Im Gegensatz zu Systembausteinen, die in der Regel pro System (Zielobjekt) angewendet werden, werden Prozessbausteine in der Regel nur einmal pro Informationsverbund angewendet, da diese Regelungen in der Regel übergreifend für den gesamten Verbund gelten.

In großen Verbünden kann es für Bereiche mit unterschiedlichem Schutzbedarf (z.B. Entwicklungsabteilung) oder für Bereiche mit unterschiedlicher Organisationsstruktur erforderlich sein, einzelne Prozessbausteine gesondert zu betrachten.