IT-Betrieb hält Einzug in die neue Edition des BSI-IT-Grundschutz-Kompendiums

Der IT-Betrieb – Rückgrat des Arbeitsalltags

Ohne einen gut funktionierenden IT-Betrieb ist unser Arbeitsalltag kaum denkbar. Der in die Jahre gekommene Laptop möchte jetzt gar nicht mehr? Kein Problem, der IT-Betrieb hat ein Ersatzgerät und kümmert sich um die Einrichtung des neuen Laptops. Selbstverständlich! Ebenso selbstverständlich, dass die IT-Infrastruktur auf dem aktuellen Stand gehalten werden muss und das Einspielen von Updates oder Patches wichtig ist. Doch muss das ausgerechnet jetzt sein? Dann sind es „die von der IT“, die Schuld sind, dass man nicht anständig arbeiten kann.

Ein gut funktionierender IT-Betrieb ist das Rückgrat unseres Arbeitsalltags. Reibungslose Abläufe in beispielsweise Inbetriebnahme oder Austausch von IT und auch der IT-Administration sind grundlegend wichtig und werden doch häufig von den Kollegen außerhalb des IT-Betriebs als selbstverständlich angesehen. Dabei ist „IT-Betrieb“ mehr als nur den Kollegen funktionsfähige IT-Komponenten zur Verfügung zu stellen. Vielmehr umfasst der Begriff IT-Betrieb die entsprechende Organisationseinheit ebenso wie den Geschäftsprozess, der wiederum die Aufgaben und Tätigkeiten der Organisationseinheit IT-Betrieb umfasst. Zu diesen Aufgaben zählen neben der In- und Außerbetriebnahme von IT, der Verwaltung und der IT-Administration auch das IT-Monitoring, das IT Incident Management sowie die Mitwirkung bei der Beschaffung von IT-Komponenten. Diese Aufgaben sind nicht nur essentiell für eine funktionsfähige IT, sie haben auch eine große Bedeutung für die Informationssicherheit. Gerade die eigenen IT-Komponenten des IT-Betriebs, die zur Erfüllung dieser Aufgaben benötigt werden, sind in Bezug auf die Informationssicherheit besonders interessant. Wichtige Informationen zu IT-Komponenten und deren Funktionsfähigkeiten sind in diesen Betriebsmitteln enthalten. Eine mangelnde Verfügbarkeit der Betriebsmittel oder unberechtigte Zugriffe auf sie stellen ernst zu nehmende Gefahren für die Informationssicherheit einer Institution dar.

Der neue Baustein OPS.1.1.1 Allgemeiner IT-Betrieb

Die Wichtigkeit des IT-Betriebs für die Informationssicherheit einer Institution spiegelt sich nun im BSI-IT-Grundschutz-Kompendium wider. In zahlreichen Anforderungen der einzelnen Bausteine des IT-Grundschutz-Kompendiums wird der IT-Betrieb als grundsätzlich zuständige Organisationseinheit für die Umsetzung einer Anforderung schon lange adressiert. Bausteine, die sich explizit mit einzelnen Tätigkeitsfeldern eines sicheren IT-Betriebs befassen, sind ebenfalls in der Ebene OPS.1.1 Kern-IT-Betrieb wie bspw. das Patch- und Änderungsmanagement oder die Protokollierung schon seit der ersten Version des IT-Grundschutz-Kompendiums von 2018 enthalten (siehe OPS.1.1.3 Patch- und Änderungsmanagement oder OPS.1.1.5 Protokollierung). Ein dedizierter Baustein zu den übergreifenden Aspekten des IT-Betriebs fehlte bisher im IT-Grundschutz-Kompendium. Diese Lücke ist in der Anfang Februar erschienenen Edition 2023 des BSI-IT-Grundschutz-Kompendiums (siehe [1]) mit dem Baustein OPS.1.1.1 Allgemeiner IT-Betrieb (siehe [2]) geschlossen worden. Der neue Baustein OPS.1.1.1 Allgemeiner IT-Betrieb ordnet sich als erster Baustein der Ebene OPS.1.1 Kern-IT-Betrieb der Schicht OPS: Betrieb in der aktuellen Version des IT-Grundschutz-Kompendiums ein. Er gehört damit zu den Prozess-Bausteinen und ist auf jeden Informationsverbund anzuwenden.

Ein wesentliches Merkmal des neuen Bausteins besteht in der konsequenten Berücksichtigung der doppelten Bedeutung des Begriffs IT-Betrieb als Organisationseinheit und den zugehörigen Geschäftsprozessen. Dies spiegelt sich bereits in der in Kapitel 2 des Bausteins beschriebenen Gefährdungslage wider. Hier werden auf der einen Seite Gefährdungen dargestellt wie beispielsweise „Unzureichende Personalkapazität“ oder „Fehlleiten des IT-Betriebs“, die den IT-Betrieb als Organisationseinheit betreffen. Doch werden ebenso Gefährdungen, die auf Prozesse des IT-Betriebs wirken, einbezogen. Dazu gehören z. B. „Verlust betriebsrelevanter Informationen“ oder „Verhinderung von Betriebsprozessen“.

Ein weiterer Bereich, der bereits in der Darstellung der Gefährdungslage im neuen Baustein prominent behandelt wird, sind die eigenen Betriebsmittel des IT-Betriebs. Die Gefährdungen „Eingeschränkte Verfügbarkeit von Betriebsmitteln“ sowie „Erreichbarkeit oder Ausspähen von Betriebsmitteln und betriebsrelevanten Informationen durch Unbefugte“ unterstreichen die Wichtigkeit dieser Betriebsmittel für die Informationssicherheit und für den sicheren Betrieb der IT-Komponenten innerhalb einer Institution.

Anforderungen im Baustein – Verankerung von Pflichten und Rechten

Nur ein gut organisierter und dokumentierter IT-Betrieb ist auch ein sicherer IT-Betrieb. Verzögerungen durch Unklarheiten über Zuständigkeiten oder undurchsichtige Prozesse mit der Begründung „Das haben wir immer schon so gemacht“ sollten bei Befolgen der Anforderungen im neuen Baustein der Vergangenheit angehören. Bereits in der ersten Anforderung OPS.1.1.1.A1 Festlegung der Aufgaben und Zuständigkeiten des IT-Betriebs werden die Definition von Rechten, Pflichten und die durch den IT-Betrieb zu erledigenden Aufgaben und Tätigkeiten bezüglich der betriebenen IT-Komponenten verlangt. Ebenso wird eine Festlegung von Schnittstellen und Meldewegen zwischen dem IT-Betrieb und anderen Organisationseinheiten gefordert. Wird diese Anforderung in die Praxis umgesetzt, werden Betriebsstörungen oder -behinderungen aufgrund eines Zuständigkeitsvakuums hoffentlich weniger.

Im neuen Baustein werden der Organisationseinheit IT-Betrieb nicht nur Anforderungen auferlegt und Vorgaben für die Geschäftsprozesse erlassen. Vielmehr zielen auch Anforderungen auf die Stärkung der Position des IT-Betriebs innerhalb der Institution ab. So beinhaltet die Anforderung OPS.1.1.1.A4 Bereitstellen ausreichender Personal- und Sachressourcen die Forderung nach einer angemessenen personellen Ausstattung des IT-Betriebs inklusive Redundanzen und Reserven. In der Praxis zeigt sich häufig, dass Personalmangel zu den größten Gefährdungen für einen reibungslosen und sicheren IT-Betrieb zählt. Des Weiteren wird in dieser Anforderung die Bereitstellung von ausreichenden Sachressourcen für den IT-Betrieb verlangt. Damit sind hier die Betriebsmittel des IT-Betriebs gemeint – nicht das Vorhalten von Ersatznotebooks für die Kollegen anderer Organisationseinheiten.

Ebenso wird das Einbeziehen des IT-Betriebs in die Konzeption und Beschaffung von neuen IT-Komponenten die Qualität und die Sicherheit des IT-Betriebs in Zukunft erhöhen – so die Idee (siehe OPS.1.1.1.A14 Berücksichtigung der Betreibbarkeit bei Konzeption und Beschaffung). So kann bereits bei der Auswahl neuer IT-Komponenten die Betreibbarkeit mit in die Entscheidungsfindung einfließen. Der maßgebliche Punkt hierbei ist, dass die Betreibbarkeit von IT bewertet wird. Andernfalls wird der IT-Betrieb vor vollendete Tatsachen gestellt und muss einen Weg finden, eine neue IT-Komponente, die sich nur schwer in die bestehende Infrastruktur eingliedern lässt, zu betreiben. Der Faktor personelle Ressourcenplanung kann so auch berücksichtigt werden.

Ein weiteres Thema, das im neuen Baustein adressiert wird, betrifft das Schwachstellenmanagement. Zu diesem Thema verfügt das BSI-IT-Grundschutz-Kompendium über keinen speziellen Baustein. Bisher war die Grundlage für das Schwachstellenmanagement im Baustein OPS.1.1.3 Patch- und Änderungsmanagement in der Anforderung OPS.1.1.3.A16 Regelmäßige Suche nach Informationen zu Patches und Schwachstellen zu finden. Nun hat der Baustein OPS.1.1.1 die führende Rolle im Thema Schwachstellenmanagement übernommen und erweitert die Anforderungen zu diesem Thema im Baustein OPS.1.1.3. Der IT-Betrieb erhält in der Anforderung OPS.1.1.1.A10 Führen eines Schwachstelleninventars den Auftrag, ein Inventar aller Schwachstellen der von ihm betriebenen IT-Komponenten zu pflegen und einen Prozess zur Behandlung von Schwachstellen zu definieren und zu unterhalten. Dazu gehört natürlich auch das regelmäßige Einholen von Informationen über bekannt gewordene Schwachstellen sowie ein regelmäßiges Testen der betriebenen IT-Komponenten. Dies findet sich in der Anforderung OPS.1.1.1.A20 Prüfen auf Schwachstellen wieder, durch welche die Anforderung OPS.1.1.3.A16 überflüssig geworden ist und daher aus dem zugehörigen Baustein gestrichen wurde. Ergänzend schlägt der neue Baustein bei erhöhtem Schutzbedarf automatisierte Tests auf Schwachstellen vor (vgl. OPS.1.1.1.A22 Automatisierte Tests auf Schwachstellen). Insbesondere hier wird die Verankerung der Informationssicherheit im IT-Betrieb deutlich: Es sind nicht nur neue Prozesse und Verantwortlichkeiten, sondern auch Kompetenzen notwendig, um die Anforderungen zu erfüllen.

Natürlich verfügt der neue Baustein OPS.1.1.1 ebenso über Anforderungen, die sich explizit mit dem Schutz der eigenen Betriebsmittel des IT-Betriebs befassen. Dazu gehören die Anforderungen OPS.1.1.1.A13 Absicherung der Betriebsmittel und der Dokumentation sowie OPS.1.1.1.A15 Planung und Einsatz von Betriebsmitteln. Im Fokus steht die Beschränkung des Zugriffs auf die Betriebsmittel und die Betriebshandbücher des IT-Betriebs für berechtigtes Personal innerhalb des IT-Betriebs sowie die bedarfsgerechte Planung und einen entsprechenden Einsatz der Betriebsmittel. Im Falle von erhöhtem Schutzbedarf werden die vorgenannten Anforderungen an die Betriebsmittel um die Forderung nach unabhängig funktionierenden Betriebsmitteln ergänzt, die auch bei äußeren Störungen wie beispielsweise einem Ausfall des Internets nutzbar bleiben (siehe OPS.1.1.1.A25 Sicherstellen von autark funktionierenden Betriebsmitteln). Anforderungen aus dem Business Continuity Management oder Notfallmanagement halten hiermit Einzug in spezifische Bereiche des IT-Betriebs.

IT-Betrieb und IT-Administration

Eine wesentliche Aufgabe des IT-Betriebs ist ebenfalls die IT-Administration. Bisher wurde diese durch den Baustein OPS.1.1.2 Ordnungsgemäße IT-Administration abgedeckt. Für die Edition 2023 des BSI-IT-Grundschutz-Kompendiums wurde auch dieser Baustein vollständig überarbeitet, und die grundsätzlichen Rahmenbedingungen für IT-Administrierende sind in den neuen Baustein OPS.1.1.1 überführt worden. Zudem ist der Baustein OPS.1.1.2 um insgesamt 10 Anforderungen erweitert worden (siehe [3]).

Zu den neuen Anforderungen gehören ebenso die beiden Basis-Anforderungen OPS.1.1.2.A21 Regelung der IT-Administrationsrollen sowie OPS.1.1.2.A22 Trennung von administrativen und anderen Tätigkeiten, die beide die strikte Trennung der Administration von anderen Tätigkeitsbereichen thematisieren. Zum einen müssen entsprechende Rollen zur IT-Administration definiert werden, die unterschiedliche Ebenen wie Betriebssystem- oder Anwendungsadministration berücksichtigen. Zum anderen muss den mit der IT-Administration betrauten Personen auch klar sein, wann sie administrative Tätigkeiten durchführen und welche expliziten IT-Administrationswerkzeuge dafür vorgesehen sind. Diese Forderungen klingeln banal, dennoch kommt es oft genug vor, dass mit Administrationsrechten z. B. aus Bequemlichkeit auch andere Tätigkeiten erledigt werden.

Die neuen Standard-Anforderungen im Baustein OPS.1.1.2 Ordnungsgemäße IT-Administration beschäftigen sich nochmals ausführlicher mit den Rollen und Berechtigungen für die IT-Administration (OPS.1.1.2.A23 Rollen- und Berechtigungskonzept für administrative Zugriffe) und der sicheren und nachvollziehbaren Durchführung der administrativen Tätigkeiten (OPS.1.1.1.A24 Prüfen von IT-Administration, OPS.1.1.2.A26 Backup der Konfiguration, OPS.1.1.2.A27 Ersatz für zentrale IT-Administrationswerkzeuge, OPS.1.1.2.A28 Protokollierung administrativer Tätigkeiten). Neu ist die Anforderung, dass administrative Tätigkeiten, die potentiell die üblichen Arbeitsabläufe stören können, in abgestimmten und dann auch verbindlich einzuhaltenden Zeitfenstern erfolgen sollen (OPS.1.1.2.A25 Zeitfenster für schwerwiegende IT-Administrationstätigkeiten). Man kann sich leicht vorstellen, dass die Umsetzung dieser Anforderung die Stimmung zwischen IT-Betrieb und anderen Organisationseinheiten mit Sicherheit positiv beeinflussen wird. Aus der Informationssicherheitsperspektive wird hier der Verfügbarkeit der Office-IT Genüge getan, genauso wie einer Nachvollziehbarkeit von Änderungen im Störungsfall.

Der Bereich Anforderungen bei erhöhtem Schutzbedarf ist ebenfalls um zwei Anforderungen erweitert worden. Diese befassen sich mit der Überwachung der Administrationswerkzeuge hinsichtlich ihrer Verfügbarkeit (OPS.1.1.2.A29 Monitoring der IT-Administrationswerkzeuge) sowie mit der Anbindung der Administrationswerkzeuge an eventuell vorhandene IT-Systeme zur Detektion und automatisierten Echtzeitüberprüfung von Ereignismeldungen (OPS.1.1.2.A30 Sicherheitsmonitoring administrativer Tätigkeiten). Mit dieser letzten Anforderung knüpft die überarbeitete Fassung des Bausteins OPS.1.1.2 an die sich aus dem § 8a Abs. 1a BSIG ergebende Verpflichtung für die Betreiber kritischer Infrastrukturen an, Systeme zur Angriffserkennung einzusetzen (siehe [4]).

Fazit

Der neue Baustein OPS.1.1.1 Allgemeiner IT-Betrieb schließt den bisher vorhandenen blinden Fleck bezüglich der übergreifenden Aspekte des IT-Betriebs im BSI-IT-Grundschutz-Kompendium und bietet eine umfassende Abdeckung der Thematik. Selbst wenn man nicht streng die Methodik des BSI-IT-Grundschutzes verfolgt oder gar eine Zertifizierung gemäß BSI-Anforderungen anstrebt, bietet es sich an, den Baustein OPS.1.1.1 gemeinsam mit der überarbeiteten Fassung des Bausteins OPS.1.1.2 Ordnungsgemäße IT-Administration zumindest als Leitfaden zum Schutz der Informationssicherheit in IT-Betrieb und -Administration im Auge zu behalten.

Verweise

[1] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html
[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/04_OPS_Betrieb/OPS_1_1_1_Allgemeiner_IT_Betrieb_Edition_2023.pdf?__blob=publicationFile&v=3#download=1
[3] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/04_OPS_Betrieb/OPS_1_1_2_Ordnungsgemaesse_IT_Administration_Edition_2023.pdf?__blob=publicationFile&v=3#download=1
[4] 2. IT-Sicherheitsgesetz, https://www.gesetze-im-internet.de/bsig_2009/