Konzept und Umsetzung eines versionsunabhängigen IT-Grundschutzbausteins am Beispiel von MS Exchange

Inhaltsverzeichnis

1. Einleitung

1.1. Motivation

1.2. Aufbau der Arbeit

2. Grundlagen

2.1. Definitionen und Begriffe

2.1.1. Groupware

2.1.2. Client-Anwendung (Client)

2.1.3. Server-Anwendung (Server)

2.1.4. Client-Server-System

2.1.5. Gefährdung

2.1.6. Risiko

2.2. Bundesamt für Sicherheit in der Informationstechnik (BSI)

2.3. Standards zu Informationssicherheit

2.3.1. BSI-Standards

2.3.1.1. BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)

2.3.1.2. BSI-Standard 100-2: IT-Grundschutzvorgehensweise

2.3.1.3. BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz

2.3.1.4. BSI-Standard 100-4: Notfallmanagement

2.3.2. IT-Grundschutzkataloge

2.3.3. IT-Grundschutzbausteine

2.3.3.1. Gefährdungen

2.3.3.2. Maßnahmen

2.3.3.3. Lebenszyklusmodell

2.3.3.4. Siegelstufen

2.3.4. Internationale Standards der ISO/IEC-27000-Reihe

2.3.4.1. ISO/IEC 27000

2.3.4.2. ISO/IEC 27001:2005

2.3.4.3. ISO/IEC 27002:2005

2.3.4.4. ISO/IEC 27005:2008

2.3.5. Weitere relevante Standards und Referenzen

2.4. Analysemethodik

2.4.1. Untersuchung versionsabhängiger IT-Grundschutzbausteine

2.4.1.1. Ausprägungen der Versionsabhängigkeit

2.4.1.2. Existierende Lösungen für Versionsunabhängigkeit

2.4.1.3. Versionsunabhängige Lösungsmöglichkeiten

2.4.2. Anforderungen an die Sicherheitsanalyse

2.4.2.1. Definition des Untersuchungsgegenstandes

2.4.2.2. Abgrenzung des Untersuchungsgegenstandes

2.4.2.3. Lebenszyklusmodell

2.4.2.4. Gefährdungsanalyse auf Basis existierender Gefährdungskataloge

2.4.2.5. Neue Gefährdungen

2.4.2.6. Konsolidierung der Gefährdungslage

2.4.2.7. Bewertung der Gefährdungslage

2.4.2.8. Maßnahmenentwicklung

2.4.2.9. Entwicklung der Prüffragen

2.4.2.10. Goldene Regeln

2.5. Grundlagen zu Microsoft Exchange

2.5.1. Aufbau und Funktionsumfang der Server-Anwendung

2.5.2. Versionshistorie des Microsoft-Exchange-Servers

2.5.2.1. Microsoft Exchange Server 2003

2.5.2.2. Microsoft Exchange Server 2007

2.5.2.3. Microsoft Exchange Server 2010

2.5.3. Ausprägungen des Microsoft-Exchange-Servers

2.5.3.1. Microsoft Exchange 2003

2.5.3.2. Microsoft Exchange 2007

2.5.3.3. Microsoft Exchange 2010

2.5.4. Aufbau und Funktionsumfang der Client-Anwendung

2.5.5. Versionshistorie von Microsoft Outlook

2.5.5.1. Microsoft Outlook 2002

2.5.5.2. Microsoft Outlook 2003

2.5.5.3. Microsoft Outlook 2007

2.5.5.4. Microsoft Outlook 2010

2.5.6. Ausprägungen von Microsoft Outlook

3. Versionsabhängigkeit der IT-Grundschutzbausteine

3.1. Ausprägungen der Versionsabhängigkeit

3.2. Zusammenfassung bisheriger Lösungen

3.3. Alternative Lösungsmöglichkeiten für den Bausteinentwurf

4. Sicherheitsanalyse zu Microsoft Exchange

4.1. Definition des Untersuchungsgegenstandes

4.1.1. Typisches Einsatzszenario

4.1.2. Abgrenzung gegenüber komplementären Microsoft-Produkten

4.1.3. Abgrenzung zu existierenden IT-Grundschutzbausteinen

4.1.3.1. Grundlegende IT-Grundschutzbausteine

4.1.3.2. Ergänzende IT-Grundschutzbausteine

4.1.3.3. Zuordnung zu einem Bausteinkatalog

4.1.4. Spezifikation des Untersuchungsgegenstandes

4.2. Sicherheitsbetrachtung

4.2.1. Lebenszyklusmodell

4.2.2. Gefährdungen

4.2.2.1. Aufnahme existierender Gefährdungen

4.2.2.2. Identifizierung neuer Gefährdungen

4.2.2.3. Konsolidierung und Bewertung der Gefährdungslage

4.2.3. Sicherheitsmaßnahmen

4.2.3.1. Aufnahme der Sicherheitsmaßnahmen

4.2.3.2. Analyse der Sicherheitsmaßnahmen

4.2.3.3. Entwicklung der Prüffragen

4.2.4. Goldene Regeln aus der Sicherheitsanalyse

4.3. Zusammenfassung der Sicherheitsanalyse

5. Entwurf eines versionsunabhängigen IT-Grundschutzbausteins zu Microsoft Exchange

5.1. Anforderungen

5.1.1. Methodik

5.1.1.1. Das einfache Transformationsmodell (HB-VHF)

5.1.1.2. Das erweiterte Transformationsmodell (AB-HB-VHF)

5.1.2. Aufbauplanung

5.1.3. Zusammenfassung

5.2. Entwurfsphase

5.2.1. Entwurf der Gefährdungslage

5.2.2. Entwurf der Maßnahmenübersicht

5.2.3. Entwurf des Lebenszyklusmodells

5.2.4. Entwurf des IT-Grundschutzbausteins

5.2.5. Entwurf der „Goldenen Regeln“

5.2.6. Entwurf der versionsspezifischen Hilfsmitteldokumente

5.3. Zusammenfassung der Entwurfsphase

6. Evaluation des versionsunabhängigen IT-Grundschutzbausteins zu Microsoft Exchange

6.1. Untersuchung der Anforderungen

6.1.1. Evaluation des einfachen Modells (HB-VHF)

6.1.2. Evaluation des erweiterten Modells (AB-HB-VHF)

6.2. Bewertung und Empfehlung

6.2.1. Bewertung hinsichtlich der Gültigkeit

6.2.2. Bewertung aus Sicht der IT-Grundschutzanwender

6.3. Zusammenfassung der Evaluation

7. Fazit und Ausblick

Zielsetzung & Themen

Ziel dieser Masterarbeit ist die Entwicklung eines Modells zur Erstellung versionsunabhängiger IT-Grundschutzbausteine, demonstriert am Beispiel von Microsoft Exchange. Die zentrale Forschungsfrage befasst sich mit der methodischen Abstraktion von sicherheitsrelevanten Anforderungen, um IT-Grundschutzbausteine so zu gestalten, dass sie trotz kurzer Innovationszyklen und häufiger Versionswechsel bei Softwarelösungen wie Microsoft Exchange ihre Gültigkeit und praktische Anwendbarkeit behalten.

• Analyse der IT-Grundschutz-Methodik und deren Eignung für versionsabhängige IT-Umgebungen
• Untersuchung von Microsoft Exchange-Architekturen hinsichtlich versionsspezifischer Sicherheitsanforderungen
• Entwicklung eines Transformationsmodells zur Erstellung versionsunabhängiger Baustein-Inhalte
• Evaluation der entwickelten Modelle anhand von Anwendungsbeispielen und Expertenfeedback
• Erarbeitung von Hilfsmitteldokumenten zur praktischen Umsetzung in der Sicherheitsanalyse

Auszug aus dem Buch

Zusammenfassung der Kapitel

1. Einleitung: Diese Einleitung beleuchtet die zunehmende Abhängigkeit geschäftlicher Prozesse von IT-Systemen wie Microsoft Exchange und begründet die Notwendigkeit, Sicherheitsmodelle effizient an den technologischen Wandel anzupassen.

2. Grundlagen: Hier werden die methodischen Voraussetzungen geschaffen, indem Definitionen erläutert, die Rolle des BSI definiert und relevante Standards zur Informationssicherheit (wie BSI-Standards und ISO 27000-Reihe) vorgestellt werden.

3. Versionsabhängigkeit der IT-Grundschutzbausteine: Dieses Kapitel analysiert das bestehende Problem, dass IT-Grundschutzbausteine oft zu spezifisch für einzelne Softwareversionen ausgelegt sind, was deren Wartung und Aktualisierung erschwert.

4. Sicherheitsanalyse zu Microsoft Exchange: Basierend auf einem typischen Szenario wird eine detaillierte Gefährdungsanalyse für Microsoft Exchange durchgeführt, die sowohl technische als auch organisatorische Aspekte berücksichtigt.

5. Entwurf eines versionsunabhängigen IT-Grundschutzbausteins zu Microsoft Exchange: Dieses Kapitel präsentiert die methodische Entwicklung eines neuen Entwurfsmodells, welches sicherheitsrelevante Inhalte abstrahiert und für verschiedene Versionen nutzbar macht.

6. Evaluation der versionsunabhängigen IT-Grundschutzbausteine zu Microsoft Exchange: Die Arbeit schließt mit einer kritischen Bewertung des entwickelten Modells, wobei sowohl der Aufwand als auch der Nutzwert für Sicherheitsanwender untersucht werden.

7. Fazit und Ausblick: Das Fazit fasst die Ergebnisse zusammen und diskutiert die langfristige Bedeutung der erarbeiteten Transformationsmethodik für die Wartung von BSI-Grundschutzkatalogen.

Schlüsselwörter

IT-Grundschutz, Microsoft Exchange, Informationssicherheit, Sicherheitsanalyse, Versionsunabhängigkeit, Gefährdungsanalyse, IT-Grundschutzkataloge, ISMS, Risikomanagement, Sicherheitsmaßnahmen, Gruppenarbeit, Outlook, Standardisierung, BSI-Standards, Modellbildung

Häufig gestellte Fragen

Worum geht es in dieser Arbeit?

Die Arbeit beschäftigt sich mit der Herausforderung, IT-Grundschutzbausteine so zu gestalten, dass sie bei technologischen Änderungen und Software-Updates nicht veralten, am Beispiel von Microsoft Exchange.

Was sind die zentralen Themenfelder?

Die Themen umfassen IT-Sicherheitsmanagement, die Methodik des BSI-Grundschutzes, Sicherheitsanalysen von Kommunikationssystemen sowie die Erstellung abstrahierter Sicherheitsmodelle.

Was ist das primäre Ziel der Arbeit?

Das Ziel ist die Entwicklung eines Modells, das es ermöglicht, IT-Grundschutzbausteine versionsunabhängig zu entwerfen, um den Pflegeaufwand zu senken und die Sicherheit trotz Versionssprüngen zu gewährleisten.

Welche wissenschaftliche Methode wird verwendet?

Es werden Literaturanalysen, die formale Gefährdungsanalyse nach BSI-Standard, Modellentwicklungen (Transformationsmodelle) und eine abschließende Evaluation der Praxistauglichkeit angewendet.

Was wird im Hauptteil behandelt?

Der Hauptteil gliedert sich in die Ist-Analyse der bestehenden Versionsabhängigkeit, die detaillierte Sicherheitsanalyse von Microsoft Exchange-Umgebungen und den Entwurf sowie die Evaluation eines neuen, versionsunabhängigen Ansatzes.

Welche Schlüsselwörter charakterisieren die Arbeit?

Zu den Kernbegriffen zählen IT-Grundschutz, Microsoft Exchange, versionsunabhängiges Modell, Gefährdungsanalyse und Sicherheitsmaßnahmen.

Wie geht die Arbeit mit bestehenden IT-Grundschutzkatalogen um?

Die Arbeit nutzt die BSI-Standards als Basis und zeigt auf, wie deren Inhalte mittels Abstraktion in Modellen verarbeitet werden können, ohne die Vorgaben des Grundschutzes zu verletzen.

Was ist das Ergebnis der Evaluation?

Die Evaluation zeigt, dass der neue Modellansatz die Wartung der Bausteine effizienter macht, wenngleich ein initialer Mehraufwand bei der Modellbildung besteht, um die Komplexität der Abstraktion zu handhaben.