BSI-Grundschutz – Anforderungen an Dokumentation

Sicherheitsdokumentation – nur für den Grundschutz-Auditor?

Mit den Bausteinen aus dem Grundschutz-Kompendium hat der „modernisierte“ IT-Grundschutz des BSI auf Anforderungen umgestellt. Damit hat man mehr Spielraum, sich einen Weg zur Umsetzung, d.h. zur Festlegung zu entsprechenden Maßnahmen, zu wählen. Das ist erst einmal positiv. Man kann Lösungswege auf die eigenen Rahmenbedingungen und den eigenen Sicherheitsbedarf zuschneiden.

Allerdings ist in der Beratungspraxis beim Thema geforderte Dokumentation zu Sicherheitsthemen eine zunehmende Verunsicherung zu beobachten.

Reichen bereits vorhandene Dokumente mit Sicherheitsvorschriften?

Sind Abschnitte zu Sicherheitsaspekten in einem vorhandenen technischen Konzept genug, die zum Thema eines Bausteins passen? Oder muss man diese noch mal als Summary in formale Sicherheitsdokumente zusammenführen?

Muss man vorhandene Dokumente, die für andere Zertifizierungen erstellt wurden, umbenennen oder mit einem im Grundschutzkompendium genannten Begriff als Untertitel versehen? Wird sonst ein Grundschutz-Auditor ein solches Dokument nicht als Umsetzung einer Dokumentations-Anforderung im Kompendium anerkennen?

Wer bei solchen und ähnlichen Fragen „auf Nummer sicher gehen will“ und den Weg über die Oder-Fragen wählt, macht Dokumentation teilweise doppelt. Das bedeutet nicht nur doppelte Schreibarbeit. Wo bisher ein gelenktes Dokument für jede Revision und Aktualisierung durch einen Prüf- und Freigabeprozess musste, sind es dann plötzlich zwei.

Das klingt nach einem unschönen Beispiel von Bürokratie-Overhead. Muss das sein?

BSI-Intention: Dokumentation mit Mehrwert für Informationssicherheit

Wer aufgrund der Inhalte von BSI-Standards 200-1ff, Grundschutzkompendium, RECPLAST-Beispiel usw. noch unsicher war, kann es jetzt explizit und schriftlich vom BSI lesen:

Im IT-Grundschutz-Newsletter Nr. 03, 03.07.2024 schreibt das BSI, Dokumentation habe keinen Selbstzweck. Sie solle einen relevanten Mehrwert für die Informationssicherheit bieten. So leitet der Newsletter einen Beitrag ein, in dem auf die Veröffentlichung von „FAQs und Hilfsmittel zum Thema Dokumentation im IT-Grundschutz“ hingewiesen wird.

Die entsprechende Hilfestellung zum besseren Verständnis, was an Dokumentation erwartet wird und wie diese zu gestalten ist, wird als Community Draft veröffentlicht (siehe https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Drafts/it-grundschutz-drafts_node.html, Kommentierungen sind noch bis 31.08.2024 möglich).

Als Entwurf zur Kommentierung bereitgestellt werden

• ein Textdokument als „FAQ und Einführung“ und
• eine Excel-Datei mit konkretisierenden Hilfen dazu, wie man einen Satz von Dokumentation im Sinne der Anforderungen des Grundschutz-Kompendiums anlegen kann.

Das Textdokument erläutert unter anderem, wie die verschiedenen Tabellenblätter der Excel-Datei gemeint und zu verwenden sind. Es soll zudem auch die aktuellen BSI-Standards 200-1 und 200-2 ergänzen, bis seine Inhalte in überarbeitete Fassungen der Standards eingearbeitet sind.

Das heißt für die Praxis: Auf Aussagen in den FAQ- und Einführungsabschnitten dieses Dokuments kann man sich stützen und berufen, spätestens wenn der Schritt vom Draft zur Version 1.0 geschafft ist.

FAQs und Hilfen: Mitdenken und sinnvolle Anwendung bleiben Hausaufgaben

Zugegeben, wenn man in die bereitgestellten Entwürfe hineinschaut, kann man je nach Erwartungshaltung enttäuscht sein:

• keine leichte Kost
  Die Herangehensweise zur Klarstellung, was und wie Dokumentation im Sinne des IT-Grundschutzes sein sollte, ist sehr formal. Schon der verwendete Begriff Dokumentationsaufwände, in dem „was und wie“ verklausuliert erscheint, ist in der verwendeten Art gewöhnungsbedürftig. Bei (reinen) FAQs erwartet man einen Katalog von Fragen und hilfreichen Antworten, eher kurz und knackig.
  Man sieht den Inhalten an, dass hier Texte für die Aktualisierung der Standards zur Grundschutzmethodik vorbereitet werden. Reine Arbeitshilfen sähen anders aus.

• Mitdenken und für die eigene Situation auslegen bleibt nötig
  Wer als „Hilfen“ eine sklavisch abzuarbeitende Liste an Pflichtdokumentation erwartet hat, liegt falsch. Ebenso wenig handelt es sich um eine möglichst vollständige Sammlung von Mustern der Art „so sollte das aussehen“, „das gehört an Punkten hinein, in folgender Reihenfolge etc.“.
  Das BSI folgt hier der Linie des modernisierten Grundschutzes: Über Passagen der Art „erwartete Inhalte“, „erforderliche Lenkung“ und „notwendige weitere Merkmale“ werden Anforderungen formuliert. Beim Wie der Umsetzung hat man Gestaltungsspielraum.
  Auch die Excel-Tabelle ist nicht als Vorschrift in Art einer Liste von Pflichtdokumenten und deren Pflichttiteln gemeint. Darauf wird Wert gelegt: In Fettdruck und mit roter Umrandung wird herausgestellt, dass die vorgestellte Dokumentenstruktur nur als Möglichkeit zur Umsetzung zu verstehen ist.

Sneak-Preview: Wichtige Klarstellungen für die Grundschutz-Praxis

Man wird sich weiterhin damit beschäftigen müssen, wie man für den eigenen Fall und Bedarf sinnvoll mit den Konkretisierungen der BSI-Erwartungen an sicherheitsrelevante Dokumentation umgeht. Mitdenken und Ausdeuten bleiben Pflicht. Gut aber ist: Im Vergleich zu den vorrangig fordernden Texten der Bausteine im Grundschutz-Kompendium gibt es klare Aussagen der Art, wo man vom Vorgestellten abweichen kann und was man in der Umsetzungspraxis nicht zwingend machen muss.

Daher lohnt es sich auch für jemanden, der keine Zeit und Motivation zur Kommentierung hat, bereits einen Blick in die Fassung als Community Draft zu werfen. Ehe man im Zweifelsfall den aufwändigen „Oder-Weg“ (siehe oben) geht, kann ein gezieltes Durchsuchen der neuen BSI-Unterlage vor unnötigem Aufwand bewahren. Hier sind ein paar Beispiele dazu:

• Minimale oder vollständige Lenkung von Dokumenten
  Als „minimale Lenkung“ werden leicht erkennbare Aktualität, (gute) Zugänglichkeit für Berechtigte, doch kein Zugang oder Zugriff für Unbefugte, und Schutz vor unbeabsichtigten Änderungen genannt. Wo minimale Lenkung reicht, kann man in der Praxis ohne formale Vorgaben aus dem eigenen Qualitätsmanagement-Bereich auskommen. Eine geeignet strukturierte Ablage solcher Dokumente und Rechtemanagement, das mit einem File-Service realisierbar ist, können als technische Basis ausreichen. Ein Dokumentenmanagementsystem, technisch geführte Workflows usw. sind dann „nice-to-have“. So verwaltete Dokumente lassen sich mit weniger Formalitäten und damit flexibler anpassen. Reaktion auf aktuelle Erkenntnisse und akuten Bedarf ist schneller möglich.
  Im Kapitel über die Eigenschaften erforderlicher Dokumentation wird darauf aufbauend deutlich gesagt, dass in Fällen, in denen eine „voll umfängliche Lenkung“ gefordert ist, auf einen Abschnitt im BSI-Standard 200-2 verwiesen wird. Dieser benennt Mindestanforderungen an die Kennzeichnung von Dokumenten. Wer sich dazu passend bereits etwas Geeignetes überlegt und eine funktionierende technisch-organisatorische Lösung etabliert hat, kann damit getrost weiterarbeiten.

• Verzichtbare Eigenschaften erforderlicher Dokumentation
  Auf den Punkt gebracht: Geforderte Art der Lenkung und gemäß Kompendium geforderte Inhalte von Dokumentation sind Pflicht, mehr nicht. Ansonsten hat man Gestaltungsfreiheit.
  Dazu werden einige Beispiele genannt. Diese zeigen, dass nicht immer die modernste oder eine bemüht einheitliche Form gewählt werden muss.
  Die papierbasierte Dokumentation kann weiterhin genutzt werden, bis ihre Handhabung unzweckmäßig wird oder die Anforderungen an Lenkung nicht mehr sinnvoll erfüllt werden können. Das Dateiformat kann frei gewählt werden. Unsinn der Art „Kopieren eines Bilds in eine nur dafür angelegte Word-Datei“, um einheitlich alles in diesem Dateiformat vorlegen zu können, kann entfallen. Das wäre Unsinn, solange nicht über ergänzenden Text eine Dokumentation entsteht, die deutlich aussagekräftiger ist als das Bild alleine.
  (Teil-)automatische Erzeugung von Dokumentationsinhalten, über Exporte, Berichte usw., ist ausdrücklich zulässig. Das heißt für die Praxis auch: Solange eine so erzeugte Dokumentation für fachkundige Personen hinreichend übersichtlich und „lesbar“ ist, ist das akzeptabel. Wer eine andere Form gewöhnt ist, muss sich evtl. an in einer konkreten Institution gewählte Erzeugung und deren Optik anpassen. Zumindest ist ein pauschales Argument „das entspricht so nicht dem Grundschutz“ als Grund für die Ablehnung derartiger Dokumentation nicht belastbar. Aussagefähigkeit und plausible Aktualität gehen vor. Mühselige Nachformatierung oder gar Copy- & Paste-Aufwand wegen Formvorschriften können optimaler Aktualität deutlich im Weg stehen!
  Eine sehr spannende Aussage im FAQ-Dokument, weil oft in der Grundschutz-Praxis aus vorauseilendem Gehorsam doch gemacht, lautet: Vorhandene Dokumentation muss nicht zwingend, etwa nach Grundschutz-Themen oder als Sicherheitsdokumentation, in eigenständige Dokumente zerlegt werden. Als Beispiel wird die Möglichkeit genannt, in wenig komplexen Umgebungen sämtliche Dokumentation zum IT-Betrieb in einem IT-Betriebskonzept zusammenzufassen. Und: Eine Wiederholung von Inhalten der Grundschutz-Bausteine in Umsetzungsdokumentation ist nicht erforderlich. Für die Praxis also: Zitate, wo das z.B. zum Verständnis hilft, wie man etwas macht und warum . Ansonsten kann der Text des Kompendiums als bekannt vorausgesetzt werden. Ein Beispiel für eine sinnlos aufgeblähte Dokumentation sind einleitende Passagen zu Sicherheitskonzepten nach Grundschutz, welche langatmig Aufbau und Vorgehensweise mit Zitaten aus den Grundschutzstandards erläutern.

• Reverse Engineering von Herleitungsdokumentation zu Bestands-IT nicht nötig
  Die Quintessenz des „FAQ“-Abschnitts zur möglichen Entbehrlichkeit von Dokumentation ist die folgende: Solange man mit vorhandener Dokumentation zeigen kann, dass bereits vorhandene Lösungen die maßgeblichen Sicherheitsanforderungen erfüllen, reicht dies. Eine nachträgliche Dokumentation, warum man sich für ein bestimmtes Produkt entschieden hat etc., muss nicht erfolgen. Natürlich kann es hilfreich sein, eine entsprechende Anforderungsliste und wichtige Entscheidungsgründe zu rekonstruieren, wenn man sich mit der Wahl einer nötigen Nachfolgelösung beschäftigt. Doch wird eine nachträgliche Entscheidungsdokumentation, nur um zu zeigen, dass man etwas planvoll und insbesondere unter Berücksichtigung von Sicherheitsaspekten ausgesucht und eingeführt hat, vom BSI nicht gefordert. Dies ist ein wichtiger Punkt z.B. bei Gap-Analysen zum Dokumentationsbestand aus Sicht eines Sicherheitsmanagements!

Fazit

Das BSI arbeitet daran, mehr Klarheit zu schaffen, wie eine Dokumentation zu sicherheitsrelevanten Aspekten aussehen muss, um Grundschutz-konform zu sein. Die zur Kommentierung veröffentlichte Unterlage dazu ist ein begrüßenswerter Schritt in diesem Sinne.

Man darf dabei nicht erwarten, dass zukünftig auf Dokumentation zu Aspekten verzichtet werden kann, die gemäß zutreffenden Bausteinen des Grundschutzkompendiums plausibel umgesetzt sein sollen.

Der Dokumentationsaufwand im Kontext des Grundschutzes kann in der Praxis dennoch spürbar reduziert werden, wenn man klar gestellte Freiheitsgrade gezielt nutzt. Mit vorauseilendem Gehorsam, weitererzählten Missverständnissen der Art „das BSI will das so“ und ähnlichen Gründen für vermeidbaren Dokumentations-Mehraufwand kann aufgeräumt werden. Findet man eine plausible Begründung in der neuen Unterlage, kann man für die eigene Entscheidung zur Optimierung des Dokumentationsaufwands „das BSI lässt das zu“ argumentieren.

Wer sich beizeiten an dieser neuen Veröffentlichung des BSI orientiert und seine Dokumentationsweise darüber optimiert, handelt zugleich zukunftsorientiert: Der Weg vom Hilfsdokument zum integrierten Inhalt der Grundschutz-Standards ist bereits vorgezeichnet.