Das verinice.TEAM arbeitet mit Hochdruck an der Bereitstellung des IT-Grundschutz-Kompendiums der Edition 2021 in verinice 1.22.
Das BSI hat in seiner 120-seitigen Änderungsdokumentation eine Vielzahl an Änderungen gegenüber der Edition 2020 festgehalten. Die Änderungen umfassen in diesem Jahr sowohl die Umbenennnung und Umsortierung von Bausteinen und Anforderungen wie auch Baustein übergreifende Konsolidierungen von Anforderungen.
Darüber hinaus werden 6 neue Umsetzungshinweise eingeführt, für alle anderen Bausteine verweist das BSI nach wie vor auf die Umsetzungshinweise der Edition 2019.
Aufgrund der Vielzahl der Änderungen ist die weitere Verwendung der alten Umsetzungshinweise zu hinterfragen. Das verinice.TEAM versucht für alle Anwenderinnen und Anwender das Maximum ann Wiederverwertbarkeit bei der Migration auf die Edition 2021 zu gewährleisten.
Weitere Details werden in den kommenden Tagen hier mitgeteilt.
Im Änderungsdokument des BSI zur Edition 2021 des IT-Grundschutz-Kompendiums haben sich einige offensichtliche Abweichungen gegenüber dem IT-Grundschutz-Kompendium eingeschlichen.
Das verinice.TEAM wird diese in der in Kürze für verinice veröffentlichten Version des IT-Grundschutz-Kompendiums wie unten aufgeführt korrigieren. Wir hoffen alle Abweichungen identifiziert zu haben, andernfalls freuen wir uns über jegliche Hinweise zu weiteren Korrekturen.
Hinweis: Das verinice.TEAM korrigiert dabei keinerlei fachliche Inhalte!
Neue Anforderung
Die folgende neue Anforderung wird im Änderungsdokument nicht erwähnt. Der Änderungstyp in verinice wird auf „Neu“ korrigiert:
SYS.3.2.1.A35 Verwendung einer Firewall (H): Auf Smartphones und Tablets SOLLTE eine Firewall installiert und aktiviert sein.
Entfernt > Geändert
Die folgenden Anforderungen werden im Änderungsdokument des BSI als „Entfernt“ aufgeführt, obwohl nur Teilanforderungen entfallen sind. Der Änderungstyp in verinice wird auf „Geändert“ korrigiert:
SYS.4.4.A9 Regelungen des Einsatzes von IoT-Geräten: Die Teilanforderung zum Aspekt Informieren über Meldewege bei Sicherheitsvorfällen wurde entfernt, da sie redundant zur Anforderung DER.1.A4 Sensibilisierung der Mitarbeiter ist.
SYS.4.4.A19 Schutz der Administrationsschnittstellen: Die Teilanforderungen zu Administrationsschnittstellen und Protokollierung der Administration wurden entfernt, da sie redundant zu den Anforderungen OPS.1.1.2.A16 Zugangsbeschränkungen für administrative Zugänge und OPS.1.1.2.A18 Durchgängige Protokollierung administrativer Tätigkeiten sind.
SYS.4.4.A20 Geregelte Außerbetriebnahme von IoT-Geräten: Die Teilanforderung zum Löschen von Daten bei der Außerbetriebnahme wurde entfernt, da sie redundant zur Anforderung CON.6.A4 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Datenträgern ist.
Neu > Geändert
Die folgenden Anforderungen existierten bereits in der Edition 2020 und wurden lediglich um Teilanforderungen erweitert. Abweichend von der Änderungsdokumentation wird der Änderungstyp in verinice auf „Geändert“ korrigiert:
SYS.3.2.4.A3 Einsatz des Multi-User- und Gäste-Modus: Der Aspekt zur Nutzung eines Gerätes von mehreren Personen wurde aufgenommen.
SYS.3.2.1.A2 Festlegung einer Strategie für die Cloud-Nutzung: Die Teilanforderung zum Aspekt Nutzung von Cloud-Diensten, wenn eine private Nutzung der Geräte erlaubt ist, wurde hinzugefügt.
SYS.3.3.A5 Nutzung der Sicherheitsmechanismen von Mobiltelefonen: Die Teilanforderung zur Nutzung von PIN/PUK wurde aufaufgenommen.
Neu und Geändert > Neu
In der Änderungsdokumentation wird die folgende Anforderung als „Geändert“ und „Neu“ aufgeführt. Da die Anforderung in der Edition 2020 noch nicht existierte, wird der Änderungstyp in verinice auf „Neu“ korrigiert:
ORP.1.A16 Mitarbeiterrichtlinie zur sicheren IT-Nutzung (Standard-Anforderung)
Geändert > Geändert und Umsortiert
Die folgende Anforderung wurde laut Beschreibung „Geändert“ und „Umsortiert“ (von Basis zu Standard), im Abschnitt umsortierte Anforderungen der Änderungsdokumentation aber nicht aufgeführt. In verinice wird die Anforderung mit beiden Änderungstypen geführt.
CON.8.A1 Definition von Rollen und Verantwortlichkeiten: Umbenennung in Definition von Rollen und Zuständigkeiten und Ergänzung von konkreten fachlichen Themen, die von den Rollen abgedeckt werden sollten. Verschiebung der Anforderung zu Standard-Anforderung, da diese nicht inhaltlich priorisiert im Rahmen der Basis-Absicherung durchgeführt werden muss.
Geändert > Neu
Die folgende Anforderung ist neu gegenüber der Edition 2020 und wird deshalb abweichend von der Änderungsdokumentation als „Neu“ und nicht als „Geändert“ in verinice deklariert.
IND.1.A18 Protokollierung: Die Teilanforderung zum Aspekt Protokollierung und Auswertung von sicherheitsrelevanten Ereignissen wurde entfernt, da sie bereits aus IND.1.A10 Monitoring, Protokollierung und Detektion hervorgeht.
Entfernt und Geändert > Entfernt
Die folgende Anforderung wird in der Änderungsdokumentation als „Geändert“ und „Entfernt“ aufgeführt. Nach Wegfall sämtlicher Teilanforderungen wird der Änderungstyp in verinice als „Entfernt“ deklariert.
NET.1.2.A20 Absicherung des Zugangs zu Netzmanagement-Lösungen: Die ersten beiden Teilanforderungen sind bereits durch die Anforderungen ORP.4.A1 Regelung für die Einrichtung und Löschung von Benutzern, ORP.4.A10 Schutz von Benutzerkennungen mit weitreichenden Berechtigungen, ORP.4.A18 Einsatz eines zentralen Authentisierungsdienstes sowie OPS.1.1.2.A5 Nachweisbarkeit von administrativen Tätigkeiten abgedeckt. Der Aspekt Zugriff auf Netz-Management-Werkzeuge wurde nach NET.1.2.A9 Absicherung der Netzmanagement-Kommunikation und des Zugriffs auf Netz-Management- Werkzeuge verschoben.
Sonderfall INF.12
Die Änderungen zu den Bausteinen INF.3 Elektrotechnische Verkabelung und INF.4 IT-Verkabelung zum neuen Baustein INF.12 Verkabelung sind unvollständig und missverständlich dargestellt:
Die Anforderungen zum Brandschott-Kataster wurden nicht mit übernommen. Das Thema wird im Baustein INF.1 Allgemeines Gebäude behandelt.
Die Anforderung EMV-taugliche Stromversorgung ist nun im Vergleich zum Ursprungsbaustein eine Basis-Anforderung.
Korrigiert für INF.3 Elektrotechnische Verkabelung
Entfallen sind die Anforderungen:
INF.3.A13 Sekundär-Energieversorgung
INF.3.A17 Brandschott-Kataster
Neu ist die Anforderung:
INF.12.A17 Redundanzen für die IT-Verkabelung
Umsortiert wurde die Anforderung:
INF.12.A4 EMV-taugliche Stromversorgung ist nun eine Basis-Anforderung
Korrigiert für INF.4 IT-Verkabelung
Entfallen sind die Anforderungen:
INF.4.A6 Laufende Fortschreibung und Revision der Netzdokumentation
INF.4.A14 Vermeidung von Ausgleichsströmen auf Schirmungen