Ein Doppel-Jubiläum und ein Zukunftsausblick.
Ich erinnere mich als wäre es gestern gewesen. Wie könnte man dies auch vergessen? 1999, mein erster Job, der Arbeitsplatz eingerichtet und dann das: da liegt auf dem Schreibtisch ein riesiger Wälzer mit der sperrigen Aufschrift „IT-Grundschutzhandbuch“. Die Anweisung dazu: „Ließ Dir das mal durch.“ ‚Durchlesen? Diesen dicken Wälzer. Da werde ich heute aber nicht mehr fertig.‘ Das waren meine ersten Gedanken. Und richtig, fertig geworden bin ich bis heute damit nicht.
Was ist nun aber IT-Grundschutz und was fängt man damit an? IT-Grundschutz, so die Intention des BSI, war und ist der Versuch IT-Sicherheit jeder Institution näher zu bringen. Damals waberten, genau wie heute, Geschichten von heldenhaften Hackern durch die Welt. Jede Gegenwehr natürlich völlig zwecklos. Vermessen auch nur zu glauben, man hätte eine Chance. Umso überraschender waren da die Feststellungen, die das BSI aus jahrelangen Erkenntnissen von Sicherheitsvorfällen aus der Industrie und der Verwaltung gewonnen und destilliert hatte. Es waren immer wieder dieselben „kleinen“ Fehler, die Häckern und Datendieben Tür und Tor öffneten. Gegenwehr war relativ leicht möglich, ja geradezu simpel. Man musste sie nur konsequent anwenden und an alles, aber auch wirklich alles denken. Und genau hier war das IT-Grundschutzhandbuch unglaublich wertvoll. Versetzte es doch Otto-Normaluser in den Stand seine IT grundlegend abzusichern. Grundschutz eben. Hierfür ein Dankeschön an das BSI, welches das Grundschutzhandbuch seit 1994 aktualisiert und pflegt.
Und dennoch, heute steht Grundschutz in der Kritik: „Veraltet, verstaubt, nicht anwendbar, zu bürokratisch.“ So nur einige der zahlreichen Kritiken. Sicher, Grundschutz bedeutet zuerst einmal Arbeit, da sicher niemand seine IT in idealer Weise betreibt und dies auch nicht möglich ist. Kleine Änderungen können aber bereits Großes bewirken und ein signifikantes Sicherheitsplus erzeugen. Hierfür hat das BSI z.B. die Goldenen Regeln erfunden. Aber aufgrund des atemberaubenden Tempos in der IT ist es einfach schwer mit der Entwicklung Schritt zu halten. Dies ist meiner Meinung nach aber ein Problem der IT-Sicherheit insgesamt und ist nicht auf den IT-Grundschutz beschränkt. In einer Arbeitsgruppe „Zukunft des IT-Grundschutz“ hat das BSI Überlegungen gesammelt den Grundschutz zu verbessern, indem man ihn verschlankt. Erste Ergebnisse wurden vom BSI auf der it-sa vorgestellt (Folien 11ff). Ein sehr guter Ansatz. Manchmal kann weniger mehr sein. Gerade für den Einstieg in einen Sicherheitsprozess ist es wichtig, dass man nicht mit Tausenden Seiten erschlagen wird.
Wie aber sieht nun die Zukunft des Grundschutzes aus? Es scheint festzustehen, die Akzeptanz zu voluminöser Anforderungen nimmt ab. Die Komplexität des IT-Lebens steigt eh ständig, da ist eine wachsende Flut umzusetzender Sicherheitsmaßnahmen nicht mehr hilfreich, sondern belastend. Der Sicherheit wird nicht dadurch gedient, dass alles liegen bleibt, weil man gar nicht mehr weiß, wo man den Knäul aufnehmen soll. Also Entschlackung. Derzeit werden hier sogar radikale Konzepte diskutiert. Z.B. 10 Seiten pro Baustein. „10 Seiten?“ Richtig, der fachkundige Leser wird sich wundern, besitzen derzeitige Bausteine doch um die 170 Seiten. Ist dies überhaupt möglich? Ja, fast. Ich selbst durfte dies bei der Erstellung des benutzerbasierten Bausteins Tomcat-Server selbst ausprobieren. Gut, bei mir sind es 40 Seiten geworden. Aber dennoch eine deutliche Reduktion. Und viel Inhalt musste nicht weggelassen werden, wenn man sich konsequent auf das Thema fokussiert und Nebenaspekte ausblendet.
Ein Problem ist aber, den derzeit zusammengetragene Erfahrungsschatz, der sich auf tausenden Seiten der IT-Grundschutzkataloge befindet, zu bewahren. Diesen Schatz zu verlieren wäre schade. Daher könnte man sich hier Wissens- (W) Maßnahmen vorstellen, die die unterschiedlichen Best-Practices aufnehmen. Aber Wissen veraltet zunehmend schneller, gerade im IT-Bereich. Daher ist ein Vorschlag für die Zukunft des Grundschutzes auf Sicherheitsempfehlungen von Herstellern zurückzugreifen. Aber nicht in der Art: „schau mal, da gibt bestimmt irgendein Sicherheits-Tutorial“, damit wäre niemandem geholfen. Sondern dedizierte Links auf konkrete Empfehlungen des Herstellers.
Derzeit ist noch nichts in Stein gemeißelt, aber die Zukunft von IT-Grundschutz verspricht wieder spannend zu werden.
Frank Hanel