IT-Grundschutz-Kompendium
Jedes Jahr im Februar wird die Veröffentlichung des IT-Grundschutzes, das IT-Grundschutz-Kompendium, in einer neuen Ausgabe vom Bundesamt für Sicherheit in der Informationstechnik (BSI) publiziert. Basis dieser Edition bilden jeweils die sogenannten Bausteine, innerhalb derer potenzielle Gefährdungen thematisiert und Sicherheitsanforderungen beleuchtet werden.
Diese Bausteine sind im IT-Grundschutz-Kompendium enthalten.
- ISMS: Sicherheitsmanagement
- ORP: Organisation und Personal
- CON: Konzeption und Vorgehensweise
- OPS: Betrieb
- DER: Detektion und Reaktion
- APP: Anwendungen
- SYS: IT-Systeme
- IND: Industrielle IT
- NET: Netze und Kommunikation
- INF: Infrastruktur
Die hierin beschriebenen Anforderungen bilden den sogenannten Stand der Technik ab.
Seit dem 01.02.2020 ist Edition 2020 des IT-Grundschutz-Kompendiums zertifizierungsrelevant. Die aktuelle Edition enthält zwei neue IT-Grundschutz-Bausteine, sowie eine sprachliche Überarbeitung aller Bausteine der Edition 2019. Neu sind
- CON.8 Software-Entwicklung sowie
- INF.5 Raum sowie Schrank für technische Infrastruktur
CON.8 bezieht sich hierbei auf individuelle oder modifizierte Softwarelösungen. Der Baustein stellt die Informationssicherheit bei der Eigenentwicklung, Anpassung oder Erweiterung von IT-Anwendungen in den Vordergrund und ist eine Erweiterung des CON.5 (Entwicklung und Einsatz von Individualsoftware).
INF.5 gilt für Container und insgesamt Räume, in denen technische Infrastruktur untergebracht wird. Ziel ist, dessen Komponenten elektronisch, mechanisch und baulich zu schützen, so dass die Funktionsfähigkeit gewährleistet ist.
Für Benutzer besonders relevant ist ORP.4 Identitäts- und Berechtigungsmanagement.
Hierin geht es um die zweifelsfreie Identifizierung und Authentifizierung von IT-Komponenten. Vor allem im Berechtigungsmanagement wurde vom BSI eine inhaltliche Änderung vorgenommen, die sich auf den regelmäßigen Passwortwechsel bezieht.
Die britische Communications Electronics Security Group (CESG), eine Abteilung des Nachrichtendiensts GCHQ, rät bereits seit 2016 davon ab, Änderungen von Passwörtern regelmäßig durchführen zu lassen, das National Institute of Standards and Technology (NIST) in den Vereinigten Staaten zog mit dieser Empfehlung ein Jahr später nach.
Hintergrund ist der aktuelle Forschungsstand, demnach die Erzwingung eines periodischen Passwortwechsels zu weniger sicheren Passwörtern führte. Das Kapitel zur Regelung des Passwortgebrauchs in ORP.4.A8 enthält nun keine entsprechende Änderungsempfehlung und keine Verpflichtung fester Regeln für die Komplexität und Länge von Passwörtern mehr. Vielmehr bezieht sich das BSI darauf, dass ein Passwort geändert werden müsse, sollte es in fremde Hände geraten.