IT-Grundschutz- Kompendium 4. Auflage IT-Grundschutz-Kompendium_einsteck_A4.indd 4        08.01.2020 13:33:25

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Reguvis Fachmedien GmbH Amsterdamer Str. 192 50735 Köln www.reguvis.de Reguvis ist Kooperationspartner der Bundesanzeiger Verlag GmbH · Amsterdamer Straße 192 · 50735 Köln Beratung und Bestellung: E-Mail: wirtschaft@reguvis.de ISBN (Print): 978-3-8462-0906-6 © 2021 Reguvis Fachmedien GmbH © 2021 Bundesamt für Sicherheit in der Informationstechnik, Bonn Alle Rechte vorbehalten. Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der Grenzen des Urheberrechtsgesetzes bedarf der vorherigen Zustimmung des Verlags. Dies gilt auch für die fotomechanische Vervielfältigung (Fotokopie/Mikrokopie) und die Einspeicherung und Verarbeitung in elektronischen Systemen. Hinsichtlich der in diesem Werk ggf. enthaltenen Texte von Normen weisen wir darauf hin, dass rechtsverbindlich allein die amtlich verkündeten Texte sind. Herausgeber: Bundesamt für Sicherheit in der Informationstechnik, Bonn Gesamtverantwortung und Chefredaktion: Holger Schildt Redaktion: Katrin Alberts, Stefanie Förster, Fabian Nißing, Jessika Welticke und Christoph Wiemers Redaktionsteam IT-Grundschutz-Bausteine: Alex Didier Essoh, Stefanie Förster, Daniel Gilles, Florian Göhler, Florian Hillebrand, Brigitte Hoffmann, Cäcilia Jung, Birger Klein, Alexander Nöhles, Johannes Oppelt und Christoph Wiemers Herstellung: Günter Fabritius Satz: Cicero Computer GmbH, Bonn Druck und buchbinderische Verarbeitung: Medienhaus Plump GmbH, Rheinbreitbach Printed in Germany

Vorwort Vorwort Die Digitalisierung zählt zu den drängenden Themen der Gegenwart für Wirtschaft und Verwaltung. Die Herausfor- derungen für Informations- und Cyber-Sicherheit nehmen dabei stetig zu, sei es durch Vernetzung und mobiles Arbeiten oder immer ausgefeiltere Cyber-Angriffe. Der IT-Grundschutz ist ein wesentliches Angebot des BSI, um die Digitalisierung sicher zu gestalten. Als die Cyber-Sicherheitsbehörde des Bundes gestalten wir die sichere Digita- lisierung in Deutschland. Für uns gehören Informationssicherheit und Digitalisierung wie zwei Seiten einer Medaille untrennbar zusammen. Ohne Sicherheit kein Nutzen für unsere Gesellschaft. Seit über 25 Jahren ist der IT-Grundschutz dabei Methode, Handlungsanweisung, Empfehlung und weltweit aner- kannter Standard in einem. Er ist anwendbar für alle Institutionen, die in Zeiten der Digitalisierung ihre IT-Systeme und Datennetze und damit ihre Geschäfts- oder Verwaltungsprozesse nach dem Stand der Technik absichern wol- len. Bewährte Veröffentlichungen werden durch Schulungsangebote und Personenzertifizierungen ergänzt: Über 1.000 IT-Grundschutz-Praktiker und fast 100 zertifizierte IT-Grundschutz-Berater unterstützen Institutionen in der Praxis bei allen Herausforderungen zur Informationssicherheit. Die aktuelle Edition des IT-Grundschutz-Kompendiums bietet erneut eine breite, aktuelle und geprüfte Expertise zu allen Facetten der Informationssicherheit. Genau wie Informationssicherheit ein Prozess ist, der von vielen Beteilig- ten kontinuierlich gelebt und umgesetzt werden muss, wird auch das IT-Grundschutz-Kompendium stetig weiter- entwickelt, aktualisiert und fortgeschrieben. Aktuelle Erkenntnisse des BSI zu Schwachstellen und Angriffsmetho- den finden ebenso ihren Eingang in den IT-Grundschutz wie neue Technologien und Anwendungsfelder der Digita- lisierung. Neu im IT-Grundschutz-Kompendium 2021 ist etwa das Thema automatisiertes und vernetztes Fahren, ein neuer IT-Grundschutz-Baustein liefert Sicherheitsanforderungen an Fahrzeuge. Wie Webanwendungen sicher entwickelt werden können, zeigt ein weiterer neuer Baustein. Das IT-Grundschutz-Kompendium kann der Einstieg in ein Managementsystem für Informationssicherheit sein, es kann aber auch für erste Schritte und Orientierung heran- gezogen werden. Der Schlüssel zur Informationssicherheit in Ihrer Institution ist es in jedem Fall. Ich wünsche Ihnen viel Erfolg bei der Umsetzung des IT-Grundschutzes. Arne Schönbohm Präsident des Bundesamtes für Sicherheit in der Informationstechnik IT-Grundschutz-Kompendium: Stand Februar 2021                                                                        1

Vorwort 2       IT-Grundschutz-Kompendium: Stand Februar 2021

Dankesworte Dankesworte Die Inhalte des IT-Grundschutz-Kompendiums sind aufgrund der rasanten Entwicklungen in der Informationstech- nik sowie immer kürzer werdender Produktzyklen ständigen Veränderungen ausgesetzt. Neben dem BSI leisten auch IT-Grundschutz-Anwender1 einen wertvollen Beitrag, indem sie Texte bis hin zu ganzen Bausteinen für den IT-Grundschutz erstellen, Bausteine kommentieren oder neue Themen anregen. Folgende Institutionen und Personen haben bei der Bausteinerstellung und -überarbeitung ihr Fachwissen in das IT-Grundschutz-Kompendium einfließen lassen. IT-Grundschutz-Anwender Für die Mitarbeit an der Edition 2021 des IT-Grundschutz-Kompendiums sei an dieser Stelle zahlreichen IT-Grund- schutz-Anwendern gedankt. Sie haben einzelne IT-Grundschutz-Bausteine kommentiert und ihr Fachwissen in die neue Edition eingebracht. Besonderer Dank gilt hierbei folgenden Anwendern, die mehrere IT-Grundschutz-Bausteine umfangreich kommen- tiert und sich so an der Überarbeitung der vorliegenden Edition beteiligt haben: • Roger Fischlin (msg systems AG) • Claus Irion (Kommando Cyber- und Informationsraum) • Dr. Tatjana Loewe (secunet Security Networks AG) • Dagmar Stefanie Moser (blueheads) • Holger Scharrel (BWI GmbH) • Dr. Gerhard Weck (INFODAS GmbH). Mitarbeiter des Bundesamts für Sicherheit in der Informationstechnik In die aktuelle Überarbeitung des IT-Grundschutz-Kompendiums ist zudem das Fachwissen von zahlreichen BSI- Mitarbeiterinnen und Mitarbeitern eingeflossen. Ihnen gebührt an dieser Stelle besonderer Dank: Adil Aden, Dr. Stephan Arlt, Julian Backhaus, Christopher Basting, Bernd Becker, Kirsten Beiss, Markus de Brün, Thorsten Dietrich, Michael Dwucet, Dr. Kai Fuhrberg, Jan Greve, Wilfried Kister, Robert Krause, Dr. Marcel Langen- berg, Marc Meyer, Andreas Neth, Dr. Harald Niggemann, Detlef Nuß, Yvonne Omlor, Michael Otter, Ehad Qorri, Martin Reuter, Christoph Sackmann, Rudolf Schick, Karl Hubert Schmitz, Carsten Schulz, Jens Sieberg, Matthäus Wander, Frank Weber, Dr. Dietmar Wippig Besonderer Dank gilt auch Frau Isabel Münch, die als ehemalige Leiterin des IT-Grundschutz-Referates den IT- Grundschutz nachhaltig geprägt hat. Fortschreibung und Weiterentwicklung vorhergehender Editionen Auch bei der Fortschreibung und Weiterentwicklung vorhergehender Editionen des IT-Grundschutz-Kompendiums haben zahlreiche Institutionen sowie Personen aus der öffentlichen Verwaltung, Wirtschaft, Wissenschaft und dem BSI mitgewirkt. Auch ihnen sei hiermit Dank ausgesprochen. 1 Aus Gründen der leichteren Lesbarkeit wird in allen Texten auf eine geschlechtsspezifische Differenzierung verzichtet. Sämtliche Personenbezeichnun- gen gelten gleichermaßen für alle Geschlechter. IT-Grundschutz-Kompendium: Stand Februar 2021                                                                                                       1

Dankesworte 2           IT-Grundschutz-Kompendium: Stand Februar 2021

Gesamtinhaltsverzeichnis Gesamtinhaltsverzeichnis Vorwort Dankesworte Inhaltsverzeichnis Neues im IT-Grundschutz-Kompendium IT-Grundschutz – Basis für Informationssicherheit Schichtenmodell und Modellierung Rollen Glossar Elementare Gefährdungen •  G 0.1 Feuer •  G 0.2 Ungünstige klimatische Bedingungen •  G 0.3 Wasser •  G 0.4 Verschmutzung, Staub, Korrosion •  G 0.5 Naturkatastrophen •  G 0.6 Katastrophen im Umfeld •  G 0.7 Großereignisse im Umfeld •  G 0.8 Ausfall oder Störung der Stromversorgung •  G 0.9 Ausfall oder Störung von Kommunikationsnetzen •  G 0.10 Ausfall oder Störung von Versorgungsnetzen •  G 0.11 Ausfall oder Störung von Dienstleistern •  G 0.12 Elektromagnetische Störstrahlung •  G 0.13 Abfangen kompromittierender Strahlung •  G 0.14 Ausspähen von Informationen (Spionage) •  G 0.15 Abhören •  G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten •  G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten •  G 0.18 Fehlplanung oder fehlende Anpassung •  G 0.19 Offenlegung schützenswerter Informationen •  G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle •  G 0.21 Manipulation von Hard- oder Software •  G 0.22 Manipulation von Informationen •  G 0.23 Unbefugtes Eindringen in IT-Systeme •  G 0.24 Zerstörung von Geräten oder Datenträgern •  G 0.25 Ausfall von Geräten oder Systemen •  G 0.26 Fehlfunktion von Geräten oder Systemen •  G 0.27 Ressourcenmangel •  G 0.28 Software-Schwachstellen oder -Fehler •  G 0.29 Verstoß gegen Gesetze oder Regelungen •  G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen •  G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen •  G 0.32 Missbrauch von Berechtigungen •  G 0.33 Personalausfall •  G 0.34 Anschlag •  G 0.35 Nötigung, Erpressung oder Korruption •  G 0.36 Identitätsdiebstahl •  G 0.37 Abstreiten von Handlungen •  G 0.38 Missbrauch personenbezogener Daten IT-Grundschutz-Kompendium: Stand Februar 2021                                                       1

Gesamtinhaltsverzeichnis • G 0.39 Schadprogramme • G 0.40 Verhinderung von Diensten (Denial of Service) • G 0.41 Sabotage • G 0.42 Social Engineering • G 0.43 Einspielen von Nachrichten • G 0.44 Unbefugtes Eindringen in Räumlichkeiten • G 0.45 Datenverlust • G 0.46 Integritätsverlust schützenswerter Informationen • G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe Prozess-Bausteine ISMS: Sicherheitsmanagement • ISMS.1 Sicherheitsmanagement ORP: Organisation und Personal • ORP.1 Organisation • ORP.2 Personal • ORP.3 Sensibilisierung und Schulung zur Informationssicherheit • ORP.4 Identitäts- und Berechtigungsmanagement • ORP.5 Compliance Management (Anforderungsmanagement) CON: Konzepte und Vorgehensweisen • CON.1 Kryptokonzept • CON.2 Datenschutz • CON.3 Datensicherungskonzept • CON.6 Löschen und Vernichten • CON.7 Informationssicherheit auf Auslandsreisen • CON.8 Software-Entwicklung • CON.9 Informationsaustausch • CON.10 Entwicklung von Webanwendungen OPS: Betrieb OPS.1 Eigener Betrieb OPS.1.1 Kern-IT-Betrieb • OPS.1.1.2 Ordnungsgemäße IT-Administration • OPS.1.1.3 Patch- und Änderungsmanagement • OPS.1.1.4 Schutz vor Schadprogrammen • OPS.1.1.5 Protokollierung • OPS.1.1.6 Software-Tests und -Freigaben OPS.1.2 Weiterführende Aufgaben • OPS.1.2.2 Archivierung • OPS.1.2.4 Telearbeit • OPS.1.2.5 Fernwartung OPS.2 Betrieb von Dritten • OPS.2.1 Outsourcing für Kunden • OPS.2.2 Cloud-Nutzung OPS.3 Betrieb für Dritte • OPS.3.1 Outsourcing für Dienstleister 2                                                                IT-Grundschutz-Kompendium: Stand Februar 2021

Gesamtinhaltsverzeichnis DER: Detektion und Reaktion DER.1 Detektion von sicherheitsrelevanten Ereignissen DER.2 Security Incident Management • DER.2.1 Behandlung von Sicherheitsvorfällen • DER.2.2 Vorsorge für die IT-Forensik • DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle DER.3 Sicherheitsprüfungen • DER.3.1 Audits und Revisionen • DER.3.2 Revisionen auf Basis des Leitfadens IS-Revision DER.4 Notfallmanagement System-Bausteine APP: Anwendungen APP.1 Client-Anwendungen • APP.1.1 Office-Produkte • APP.1.2 Webbrowser • APP.1.4 Mobile Anwendungen (Apps) APP.2 Verzeichnisdienst • APP.2.1 Allgemeiner Verzeichnisdienst • APP.2.2 Active Directory • APP.2.3 OpenLDAP APP.3 Netzbasierte Dienste • APP.3.1 Webanwendungen • APP.3.2 Webserver • APP.3.3 Fileserver • APP.3.4 Samba • APP.3.6 DNS-Server APP.4 Business-Anwendungen • APP.4.2 SAP-ERP-System • APP.4.3 Relationale Datenbanken • APP.4.6 SAP ABAP-Programmierung APP.5 E-Mail/Groupware/Kommunikation • APP.5.2 Microsoft Exchange und Outlook • APP.5.3 Allgemeiner E-Mail-Client und -Server APP.6 Allgemeine Software APP.7 Entwicklung von Individualsoftware SYS: IT-Systeme SYS.1 Server • SYS.1.1 Allgemeiner Server • SYS.1.2 Windows Server ◦ SYS.1.2.2 Windows Server 2012 • SYS.1.3 Server unter Linux und Unix • SYS.1.5 Virtualisierung • SYS.1.7 IBM Z-System • SYS.1.8 Speicherlösungen SYS.2 Desktop-Systeme • SYS.2.1 Allgemeiner Client • SYS.2.2 Windows-Clients ◦ SYS.2.2.2 Clients unter Windows 8.1 ◦ SYS.2.2.3 Clients unter Windows 10 • SYS.2.3 Clients unter Linux und Unix IT-Grundschutz-Kompendium: Stand Februar 2021                                       3

Gesamtinhaltsverzeichnis • SYS.2.4 Clients unter macOS SYS.3 Mobile Devices • SYS.3.1 Laptops • SYS.3.2 Tablet und Smartphone ◦ SYS.3.2.1 Allgemeine Smartphones und Tablets ◦ SYS.3.2.2 Mobile Device Management (MDM) ◦ SYS.3.2.3 iOS (for Enterprise) ◦ SYS.3.2.4 Android • SYS.3.3 Mobiltelefon SYS.4 Sonstige Systeme • SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte • SYS.4.3 Eingebettete Systeme • SYS.4.4 Allgemeines IoT-Gerät • SYS.4.5 Wechseldatenträger IND: Industrielle IT • IND.1 Prozessleit- und Automatisierungstechnik IND.2 ICS-Komponenten • IND.2.1 Allgemeine ICS-Komponente • IND.2.2 Speicherprogrammierbare Steuerung (SPS) • IND.2.3 Sensoren und Aktoren • IND.2.4 Maschine • IND.2.7 Safety Instrumented Systems NET: Netze und Kommunikation NET.1 Netze • NET.1.1 Netzarchitektur und -design • NET.1.2 Netzmanagement NET.2 Funknetze • NET.2.1 WLAN-Betrieb • NET.2.2 WLAN-Nutzung NET.3 Netzkomponenten • NET.3.1 Router und Switches • NET.3.2 Firewall • NET.3.3 VPN NET.4: Telekommunikation • NET.4.1 TK-Anlagen • NET.4.2 VoIP • NET.4.3 Faxgeräte und Faxserver INF: Infrastruktur •  INF.1 Allgemeines Gebäude •  INF.2 Rechenzentrum sowie Serverraum •  INF.5 Raum sowie Schrank für technische Infrastruktur •  INF.6 Datenträgerarchiv •  INF.7 Büroarbeitsplatz •  INF.8 Häuslicher Arbeitsplatz •  INF.9 Mobiler Arbeitsplatz •  INF.10 Besprechungs-, Veranstaltungs- und Schulungsräume •  INF.11 Allgemeines Fahrzeug •  INF.12 Verkabelung 4                                                           IT-Grundschutz-Kompendium: Stand Februar 2021