Der Weg vom statischen Dokument zum dynamischen Werkzeug

IT-Sicherheit | Digitalisierung der Verwaltung

Der BSI IT‑Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Vorgehensmodell, um Informationssicherheit in Organisationen systematisch aufzubauen und nachweisbar zu machen. Für viele Behörden und behördennahe Dienstleister ist ein Sicherheitskonzept nach BSI IT-Grundschutz unumgänglich. Doch während die zugrunde liegenden Methoden etabliert und bewährt sind, stößt ihre praktische Umsetzung mit gängigen Werkzeugen, wie Word, Excel und Templates, zunehmend an Grenzen. Die IT-Landschaften werden komplexer, Veränderungen erfolgen schneller und Sicherheitskonzepte müssen mit dieser Dynamik Schritt halten.

Die Gründe für die Erstellung eines Sicherheitskonzeptes reichen von gesetzlichen Vorgaben über vertragliche Anforderungen bis hin zur Nutzung als Grundlage für ISO-27001-Audits. Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, Risikoanalyse und Realisierungsplan greifen darin ineinander und bilden den zentralen Nachweis dafür, welche Bedrohungen abgedeckt sind und welche Maßnahmen noch ausstehen.

Der Lawineneffekt bei Sicherheitskonzepten

Die größte Herausforderung ist jedoch nicht das einmalige Erstellen eines Sicherheitskonzepts, sondern dessen Pflege. Informationsverbünde, welche die IT-Infrastruktur innerhalb eines Sicherheitskonzeptes repräsentiert, verändern sich permanent: Server werden ergänzt, Anwendungen umgezogen, Cloud-Komponenten eingebunden, Schutzbedarfe neu bewertet. Jede dieser Änderungen wirkt in mehrere Teilprozesse des Konzepts hinein. Wird etwa in der Strukturanalyse ein neuer Server eingetragen, müssen Schutzbedarf, Modellierung und Realisierungsplan nachgezogen werden, meist von Hand und in mehreren parallel gepflegten Dokumenten.

Hinzu kommen redundante Tätigkeiten, die viel Zeit binden, ohne einen zusätzlichen Sicherheitsgewinn zu erzeugen: Änderungen erkennen und übertragen, mehrere hierarchisch zueinanderstehende Sicherheitskonzepte synchronisieren sowie nach Lücken und Inkonsistenzen suchen.

Auch eigenständig erstellte Templates stellen ein Risiko dar. Durch die manuelle Arbeit in Word und Excel können sich Formatunterschiede einschleichen, die das Dokument zunehmend vom ursprünglichen Template abweichen lassen und damit eine einheitliche, maschinenlesbare Struktur erschweren. Schon verschobene Tabellen oder angepasste Formeln können solche Probleme verursachen; eine Folge ist beispielsweise, dass sich Inhalte deutlich schwerer zusammenführen lassen, wenn mehrere Personen parallel am Sicherheitskonzept arbeiten.

Der SiKo-Helper: Excel als Austauschformat, ein Tool als Arbeitsumgebung

An diesen Anforderungen setzt das SiKo-Tool an, das vom Geschäftsbereich Digital Public Services von Fraunhofer FOKUS entwickelt wurde. Das Werkzeug erzeugt eine dynamische Excel-Tabelle mit hinterlegten Formeln, die das Sicherheitskonzept gemäß des IT-Grundschutzes des BSI strukturiert abbildet. Die Tabelle bleibt das Austauschformat und ist damit kompatibel zu bestehenden Prozessen und Vorgaben. Darüber hinaus bietet das Tool Funktionen, die über das hinausgehen, was Excel-Formeln allein leisten können. Die Tabelle wird ins Tool eingelesen, dort weiterverarbeitet und mit zusätzlichen Auswertungen, Konsistenzprüfungen und Versionsständen angereichert. Das Tool stellt im Kern eine Operationalisierung des BSI-IT-Grundschutz-Standards dar.

Im praktischen Einsatz bietet das SiKo-Tool von Fraunhofer FOKUS insbesondere im laufenden Betrieb klare Mehrwerte:

• Transparenz über den gesamten Informationsverbund und alle relevanten Abhängigkeiten
• Konsistente und nachvollziehbare Änderungen über alle Bestandteile des Sicherheitskonzepts hinweg
• Reduzierter Pflegeaufwand, insbesondere bei wiederkehrenden Anpassungen
• Schnellere Identifikation von Handlungsbedarfen und offenen Maßnahmen
• Unterstützung von Audits und Übergaben durch strukturierte und nachvollziehbare Dokumentation

Diese Mehrwerte werden besonders in typischen Anwendungsszenarien aus dem Alltag der Verwaltung sichtbar:

• Sicherheitskonzepte zusammenführen. In größeren Behörden und Unternehmen existieren oft mehrere Sicherheitskonzepte parallel, etwa pro Standort, pro Abteilung oder pro Verbund. Werden Bereiche zusammengelegt, müssen die Konzepte konsolidiert werden. Das SiKo-Tool liest mehrere Konzepte ein, erkennt Überschneidungen bei Zielobjekten und Bausteinen, macht Konflikte sichtbar und stellt sicher, dass sie nicht unter den Tisch fallen.
• Dynamische Übersicht. Statt durch mehrere Tabellenblätter zu klicken, zeigt das Tool auf einen Blick, wie der Verbund aufgebaut ist, welche Bausteine welchen Zielobjekten zugewiesen sind und wo offene Enden bestehen. Filter und Querverweise machen sichtbar, was in einer reinen Excel-Sicht untergeht.
• Änderungen mit Wirkungsanalyse. Wird beispielsweise der Schutzbedarf einer Anwendung von "normal" auf "hoch" gesetzt, propagiert das Tool diese Änderung automatisch auf bisherige Anforderungen und Maßnahmen. Es zeigt, welche zusätzlichen Anforderungen jetzt greifen und welche Bausteine ergänzt werden müssen. Ergänzt wird das durch eine vollständige Änderungshistorie. Welcher Bearbeiter hat wann was angepasst und welche Auswirkungen hatte das? Bei Audits und Übergaben wird aus einer Vermutung so eine belegbare Aussage.