Groupware-Anwendungen – wie Microsoft Exchange – sind aus dem geschäftlichen Umfeld nicht
mehr wegzudenken. Groupware beschleunigt indes nicht nur die Prozesse, sondern kann bei Betreibern
und Diensteanbietern großen Schaden verursachen: Nichtverfügbarkeit des Systems oder Bekanntwerden
von vertraulichen Informationen sind hier prominente Beispiele. Nicht zuletzt die gesetzlichen
Anforderungen gemäß § 109 Telekommunikationsgesetz (TKG) zwingen den Betreiber von
Kommunikationssystemen zur Abwehr von akuten Gefährdungen auf seine Daten und Infrastruktur.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit den BSI-Standards und den
IT-Grundschutzkatalogen – zusammengefasst als „IT-Grundschutz“ – eine über die Grenzen
Deutschlands hinweg akzeptierte Vorgehensweise für die Behandlung von allgemeinen und speziellen
Gefährdungen an. Diese werden für typische Infrastrukturkomponenten und übergreifende Aspekte in
Form der so-genannten IT-Grundschutzbausteine mit entsprechenden Maßnahmen angereichert. Die
Bausteine werden in den IT-Grundschutzkatalogen kostenlos veröffentlicht und regelmäßig aktualisiert.
Inhalt dieser Arbeit ist die Erstellung eines versionsunabhängigen IT-Grundschutzbausteins am Beispiel
von Microsoft Exchange. Nach einer kurzen Vorstellung der Zusammenhänge von IT-Grundschutz
werden Microsoft Exchange und Microsoft Outlook betrachtet. Es werden die Anforderungen
an einen neuen Baustein untersucht und Folgerungen für den Bausteinentwurf gezogen. Dabei wird
besonderer Wert auf die Betrachtung von Versionsunterschieden und die Lösung des Problems der
bisherigen Versionsabhängigkeiten innerhalb der IT-Grundschutzkataloge gelegt. Darauf aufbauend
wird ein formales Verfahren zur Abstraktion und Konkretisierung bei der Bausteinerstellung entwickelt,
anhand dessen der Baustein für Microsoft Exchange schrittweise erarbeitet wird.
Als Ergebnis dieser Arbeit wird ein neuer versionsunabhängiger IT-Grundschutzbaustein „Microsoft
Exchange / Outlook“ vorgestellt, der in einer nächsten Ergänzungslieferung zu den IT-Grundschutzkatalogen
veröffentlicht wird.
Inhaltsverzeichnis
- 1. Einleitung
- 1.1. Motivation
- 1.2. Aufbau der Arbeit
- 2. Grundlagen
- 2.1. Definitionen und Begriffe
- 2.1.1. Groupware
- 2.1.2. Client-Anwendung (Client)
- 2.1.3. Server-Anwendung (Server)
- 2.1.4. Client-Server-System
- 2.1.5. Gefährdung
- 2.1.6. Risiko
- 2.2. Bundesamt für Sicherheit in der Informationstechnik (BSI)
- 2.3. Standards zu Informationssicherheit
- 2.3.1. BSI-Standards
- 2.3.1.1. BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
- 2.3.1.2. BSI-Standard 100-2: IT-Grundschutzvorgehensweise
- 2.3.1.3. BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
- 2.3.1.4. BSI-Standard 100-4: Notfallmanagement
- 2.3.2. IT-Grundschutzkataloge
- 2.3.3. IT-Grundschutzbausteine
- 2.3.3.1. Gefährdungen
- 2.3.3.2. Maßnahmen
- 2.3.3.3. Lebenszyklusmodell
- 2.3.3.4. Siegelstufen
- 2.3.4. Internationale Standards der ISO/IEC-27000-Reihe
- 2.3.4.1. ISO/IEC 27000
- 2.3.4.2. ISO/IEC 27001:2005
- 2.3.4.3. ISO/IEC 27002:2005
- 2.3.4.4. ISO/IEC 27005:2008
- 2.3.5. Weitere relevante Standards und Referenzen
- 2.3.1. BSI-Standards
- 2.4. Analysemethodik
- 2.4.1. Untersuchung versionsabhängiger IT-Grundschutzbausteine
- 2.4.1.1. Ausprägungen der Versionsabhängigkeit
- 2.4.1.2. Existierende Lösungen für Versionsunabhängigkeit
- 2.4.1.3. Versionsunabhängige Lösungsmöglichkeiten
- 2.4.2. Anforderungen an die Sicherheitsanalyse
- 2.4.2.1. Definition des Untersuchungsgegenstandes
- 2.4.2.2. Abgrenzung des Untersuchungsgegenstandes
- 2.4.2.3. Lebenszyklusmodell
- 2.4.2.4. Gefährdungsanalyse auf Basis existierender Gefährdungskataloge
- 2.4.2.5. Neue Gefährdungen
- 2.4.2.6. Konsolidierung der Gefährdungslage
- 2.4.2.7. Bewertung der Gefährdungslage
- 2.4.2.8. Maßnahmenentwicklung
- 2.4.2.9. Entwicklung der Prüffragen
- 2.4.2.10. Goldene Regeln
- 2.4.1. Untersuchung versionsabhängiger IT-Grundschutzbausteine
- 2.5. Grundlagen zu Microsoft Exchange
- 2.5.1. Aufbau und Funktionsumfang der Server-Anwendung
- 2.5.2. Versionshistorie des Microsoft-Exchange-Servers
- 2.5.2.1. Microsoft Exchange Server 2003
- 2.5.2.2. Microsoft Exchange Server 2007
- 2.5.2.3. Microsoft Exchange Server 2010
- 3. Versionsabhängigkeit der IT-Grundschutzbausteine
- 3.1. Ausprägungen der Versionsabhängigkeit
- 3.2. Zusammenfassung bisheriger Lösungen
- 3.3. Alternative Lösungsmöglichkeiten für den Bausteinentwurf
- 4. Sicherheitsanalyse zu Microsoft Exchange
- 4.1. Definition des Untersuchungsgegenstandes
- 4.2. Sicherheitsbetrachtung
- 4.3. Zusammenfassung der Sicherheitsanalyse
- 5. Entwurf eines versionsunabhängigen IT-Grundschutzbausteins zu Microsoft Exchange
- 5.1. Anforderungen
- 5.2. Entwurfsphase
- 5.3. Zusammenfassung der Entwurfsphase
- 6. Evaluation des versionsunabhängigen IT-Grundschutzbausteins zu Microsoft Exchange
- 6.1. Untersuchung der Anforderungen
- 6.2. Bewertung und Empfehlung
- 6.3. Zusammenfassung der Evaluation
- 7. Fazit und Ausblick
Zielsetzung und Themenschwerpunkte
Ziel dieser Masterarbeit ist die Entwicklung eines versionsunabhängigen IT-Grundschutzbausteins für Microsoft Exchange, der in den IT-Grundschutzkatalogen veröffentlicht werden soll. Die Arbeit soll zeigen, wie man IT-Grundschutzbausteine für verschiedene Versionen einer Software entwickeln kann, ohne dass die einzelnen Versionen explizit berücksichtigt werden müssen.
- Versionsabhängigkeit von IT-Grundschutzbausteinen
- Sicherheitsanalyse von Microsoft Exchange
- Entwurf eines versionsunabhängigen IT-Grundschutzbausteins
- Evaluation des IT-Grundschutzbausteins
- Relevanz und Anwendung des IT-Grundschutzes in der Praxis
Zusammenfassung der Kapitel
Die Arbeit beginnt mit einer Einleitung, die die Motivation und den Aufbau der Arbeit erläutert. Im zweiten Kapitel werden die Grundlagen des IT-Grundschutzes und von Microsoft Exchange vorgestellt. Im dritten Kapitel wird die Versionsabhängigkeit von IT-Grundschutzbausteinen untersucht und verschiedene Lösungen für dieses Problem vorgestellt. Im vierten Kapitel erfolgt eine Sicherheitsanalyse von Microsoft Exchange, die die wichtigsten Sicherheitsbedrohungen identifiziert. Im fünften Kapitel wird der Entwurf eines versionsunabhängigen IT-Grundschutzbausteins für Microsoft Exchange vorgestellt. Im sechsten Kapitel wird der Baustein evaluiert und die Ergebnisse werden zusammengefasst. Im siebten Kapitel werden die Ergebnisse der Arbeit zusammengefasst und ein Ausblick auf zukünftige Arbeiten gegeben.
Schlüsselwörter
IT-Grundschutz, Microsoft Exchange, Versionsunabhängigkeit, Sicherheitsanalyse, Bausteinentwurf, Evaluation, Informationssicherheit, Groupware.
- 2.1. Definitionen und Begriffe
- Citation du texte
- Philipp Rothmann (Auteur), 2009, Konzept und Umsetzung eines versionsunabhängigen IT-Grundschutzbausteins am Beispiel von MS Exchange, Munich, GRIN Verlag, https://www.grin.com/document/146560
