Bundespolizei

Projekt „Automatisierter Grundschutz“:
Entwicklung einer neuen Methodik zur effizienteren Umsetzung des IT-Grundschutz

Die Anwendung der klassischen Verfahrensweisen des BSI-Grundschutzes war in der Bundespolizei mit den verfügbaren Ressourcen nicht möglich. Deshalb hat sie in dem Projekt „Automatisierter Grundschutz“ (aGS), sowohl Sicherheitsarchitektur als auch –betrieb umgebaut. Mit dem völlig neuen Ansatz ist es der Bundespolizei gelungen, überprüfbare einheitliche Standards zu definieren, damit Ressourcenaufwände - auch in einer sehr komplexen Infrastruktur mit hohem Schutzbedarf - deutlich zu reduzieren und gleichzeitig den Anforderungen nach IT-Grundschutz für sämtliche Fachverfahren kontinuierlich gerecht zu werden.

Das Projekt umfasste folgende Schritte:

1.   Etablierung einer standardisierten und konsolidierten IT-Infrastruktur und für den Gesamtinformationsverbund einheitlich festgelegte, umgesetzte, geprüfte und dokumentierte Sicherheitsmaßnahmen.

2.   Weitere Konkretisierung der Grundschutzbausteine durch Modellierung sogenannter Sicherheitsmodule (SiM) – diese enthalten zusätzliche Maßnahmen,  die auf Hersteller- und anderen Best-Practice-Empfehlungen basieren, und legen jeweils auch die Prüfungen zur Umsetzung der Maßnahme fest. Dadurch lässt sich ein toolgestützter Basis-Sicherheitscheck der Maßnahmenumsetzung realisieren.

3.   Einführung eines toolgestützten Basis-Sicherheitschecks, bei dem die Umsetzungsprüfung der Sicherheitsmaßnahmen soweit möglich durch eine Software vollautomatisch erfolgt. Nicht-technische Maßnahmen oder technische Maßnahmen, deren Umsetzung nicht automatisch überprüfbar ist, werden online durch Web-basierte Multiple-Choice-Fragebögen von den zuständigen Mitarbeitern abgefragt. Somit ist es nun möglich, alle Zielobjekte automatisierbar und belastbar auszuwerten, zu prüfen und Abweichungen zur Soll-Spezifikation zu identifizieren und zu beheben.

4.   Einführung der zentralen Verwaltung von Verfahrensinformationen bezogen auf sämtliche Fachverfahren, den unterschiedlichen Rechenzentren und dem Gesamt-Informationsverbund.

5.   Automatisierte, softwarebasierte Erstellung der IT-Sicherheitskonzepte (BSI-200-x, inkl. Referenzdokumente A.1-A.7) auf Basis der zugrunde liegenden SiM, der Ergebnisse der Umsetzungsprüfungen und weiterer, im System hinterlegter Informationen zu den einzelnen Informationsverbünden.

Als einer von drei Projektpartnern hat secunet die Bundespolizei mit seiner langjährigen Projekterfahrung im Bereich IT-Grundschutz unterstützt: Neben dem Vorschlag für das  Gesamtkonzept, war secunet für die fachliche Beratung, Sicherstellung der BSI-Konformität und Qualitätssicherung zuständig. Hierzu zählen auch die Erstellung der Sicherheitsmodule, die Identifikation der erforderlichen Prozesse, die Erstellung der dazugehörigen Ablaufbeschreibungen und Verfahrensanweisungen sowie die Evaluation der technischen, prozessualen und organisatorischen Rahmenbedingungen und deren Umsetzung in einer neuen Softwarelösung (SMDB).

Die Bundespolizei kann anhand der aGS-Methodik dauerhaft das Niveau der Informationssicherheit deutlich erhöhen, den Nachweis über die umgesetzten Compliance-Anforderungen sehr viel leichter und präziser dokumentierten und profitiert von einer erheblichen Zeit-, Kosten- und Ressourcenersparnis.