Hadmut Danisch
Ansichten eines Informatikers

„IT-Grundschutz++“

Hadmut
21.11.2024 13:03
Uncategorized

BSI im Schildkrötentempo.

Ich hatte früher mal einiges mit dem IT-Grundschutz usw. zu tun.

Erstmals so um 1999, als ich damals ein Kernkraftwerk abgesichert habe. Die kamen damals damit an, dass behördlich angefragt wurde, ob sie das neue Grundschutzhandbuch, und so weiter und blabla. Ich hatte mir das damals ausgiebig angesehen und kam zu dem Ergebnis, dass das (noch) nicht verwendbar war. Das waren nur ein paar nette Ideen und Allerweltsempfehlungen, aber nicht kernkraftwerkstauglich, eher so für neugierige ahnungslose Betriebe. Erst etwas später bekam das dann einen Schub (und offenbar mehr Arbeitsleistung zur Pflege und Erweiterung) und wurde gut und sinnvoll. Das brauchte anfangs ein paar Jahre.

Das war und ist zwar dann immer noch ein irrer – und immer größerer – Bürokratieaufwand, und in meiner Tätigkeit 2003 bis 2007 hatte ich das sogar mal als Dienstleistung angeboten, das für Firmen zu machen, aber doch wieder bleiben lassen, weil der Aufwand, sich da (auch mit den Tools) wissensaktuell zu halten enorm war, das alles dann ziemlich teuer, die Software murksig, und nur ein einziger Kunde überhaupt mal nach einem Angebot gefragt und sofort abgewinkt hatte, als er die Preise sah. Ich habe mal testweise die eigene Firma in Software eingegeben. Da kommt man ruckzuck vom Hundersten ins Tausende. Das ist so auf dem Labortisch entstanden, in der Realität steigt der Aufwand dann aber schnell polynomial oder gar exponentiell. Im Prinzip muss man jedes einzelne Zimmer, darin jeden einzelnen Server, darauf jede einzelne Anwendung erfassen, und dann für alles endlos Gefährdungen bewerten und Handlungsmaßnahmen abklappern. Um sich dann zertifizieren zu lassen, ob man Tausende von empfohlenen Maßnahmen beklickt und umgesetzt hat. Bürokratie auf Speed und LSD gleichzeitig.

So vor ungefähr 6, 7 oder 8 Jahren, ich weiß es nicht mehr genau, hatte ich in anderer beruflicher Hinsicht wieder mal Ärger mit dem Grundschutzhandbuch. Eigentlich nämlich finde ich das gar nicht so schlecht, das ist zwar eine etwas verkalkte und behördenmäßige, aber immerhin schon mal greifbare und Dritte beeindruckende Sammlung an Maßnahmen. Ich hatte überlegt, dass man das Softwareproblem eigentlich in relativ überschauberar Zeit (wenn nicht alles gleich so perfekt, geleckt und schön aussehen muss) als Ruby-on-Rails-Anwendung zusammenschrauben kann, denn viel mehr als das Befüllen zusammenhängender Datenbanken, Eingabemasken, und verschiedene Arten von Report-Erstellung ist das letztlich nicht. Ich dachte, das wäre doch mal eine Idee, das zusammenzubasteln und dann als Open-Source auf github und als Docker-Container auf dockerhub frei anzubieten. Was gegenüber manch gruseliger Software, die ich gesehen habe, die nur mühsam und instabil zu installieren war und dann nur lokal auf einem Arbeitsplatz lief, und fürchterlich gestrickt, unverständlich, zudem noch den schönen Vorteil hätte, dass man es nicht lokal installieren muss, sondern einfach mit dem Browser draufgeht und das dann irgendwo auf seinem Server laufen lässt (oder neuschick in Kubernetes). Ein Container mit der App per pull, Postgres-Container dazu, docker-compose außenrum – fertig. In einer Minute installiert, Browser drauf, kinderleicht.

Aber, ach.

Ich hatte mir zunächst mal ansehen wollen, wie man an die Grundschutzhandbuchdaten kommt, um sie maschinenlesbar zu verwerten. Gefährdungen, Bausteine, Maßnahmen, der ganze Kram, den man initial und hin und wieder zum Update in die Datenbank ziehen muss. Also nicht das, was der Benutzer dann über seinen Laden eingibt, sondern das, was das Grundschutzhandbuch selbst beschreibt. Kann man frei als 800-seitiges PDF-Handbuch runterladen, aber nicht maschinenlesbar. Das beste war noch, dass das alles auch online auf Webseiten zu finden ist, aber auch so als HTML. Ich habe noch überlegt und mir das mal angeschaut, ob man das mit einer Webseitenherunterkratzer-Software runterladen und parsen kann, aber irgendwie war das auch nicht konsistent und anscheinend nicht erlaubt. Ich hatte mal angefragt, ob es das alles nicht auch maschinenlesbar gibt, und irgendeine blöde Antwort bekommen, irgendwas mit nur für die Vertragsnehmer, die kommerziell Software anbieten, blablabla.

Damals dachte ich schon, dass das BSI genau der bürokratische Saftladen ist, für den ich es halte. Jeder, der einen ordentlichen Auftrag, die Sicherheit in Deutschland zu verbessern, seriös wahrnehmen würde und ohnehin schon aus Steuergeldern durchbezahlt ist, also nicht kommerziell tätig sein und keinen Gewinn einfahren oder seine eigenen Kosten erwirtschaften muss, würde das doch frei zur Verfügung stellen, damit es möglichst viele benutzen. Es ist doch eigentlich Zweck und Auftrag des BSI, möglichst viel Sicherheit zu erreichen und nicht, die teuer erstellten Sicherheitsmaßnahmenkataloge möglichst bürokratisch und unzugänglich zu halten. Denn selbst dann, wenn irgendwo eine kleine mittelständische Bude, die für Staat und Verwaltung völlig ohne Bedeutung ist, die Sicherheit verbessert, nutzt das allen, weil damit potentiell wieder ein Viren- und Hackernest reduziert wird. Jeder einzelne Laden, der weniger Malware-anfällig ist, weniger übernommen werden kann, besser auf Sicherheitsvorfälle reagieren kann, ist ein Sicherheitsgewinn für das ganze Land.

Ich dachte mir damals so, na wenn sie partout nicht wollen und sich so dagegen sperren, dass man ihren IT-Grundschutz verwendet – dann lassen wir es eben bleiben. Irgendwann sitzt man einfach da und schüttelt den Kopf darüber, dass sie es einem so schwer machen und gleichzeitig von Sicherheit tröten, und man letztlich nur ein fettes Handbuch zum manuellen Lesen und lausige Software bekommt.

Das ganze Ding war so ur-deutsch: Unendlich verschachtelt, beamtenmäßig unerbittlich und realitätsfern, rekursiv selbstzyklisch, und dann wollen sie nicht, dass man es verwendet, weil man verhindern will, dass es jemand benutzt ohne einen Vertrag mit ihnen zu haben, Urheberrechte und so weiter. So ministerial. Jeder vernünftige Mensch, der den ernstlichen Wunsch gehabt hätte, dass das Zeug eingesetzt wird, hätte das kostenlos auf die Webseite gepackt, in allen Darreichungsformen angeboten und drüber geschrieben „Hier, nehmt! Ist für Euch, habt Ihr schon bezahlt!“ Aber nein, nicht nur das Zeug ist überkompliziert, auch der Zugang dazu.

Gerade eben lese ich in einer Zeitschrift, dass das BSI inzwischen was gemerkt hätte, und jetzt, nach über 30 Jahren Grundschutz, auf die Idee kommt, den Grundschutzkatalog doch auch mal maschinenlesbar als JSON herauszugeben und per GIT als download.

Meine Güte, dachte ich eben, das fällt ihnen aber verdammt früh ein. Jetzt, wo die Russen wieder angreifen. Jetzt kommen sie auf den Gedanken.

Bis ich am Ende des Artikels zwei Informationen las.

Startschuss für den IT-Grundschutz++ soll der 1.1.2026 sein. Ach herrje, noch über ein Jahr.

Und dass sie es nicht freiwillig oder aus eigenem Antrieb täten, sondern das NIS2UmsuCG das BSI dazu verpflichte, das alles um- und zu überarbeiten.

Liebe Güte …

Manchmal habe ich schon gedacht, wäre ich doch lieber Gärtner geworden. Aber wenn man sieht, wieviele Vorschriften und Verbote es da gibt, haben die es auch nicht leichter. Ich hatte im Studentenwohnheim einen Chemiker auf dem Flur. Eigentlich ein begnadeter Chemiker, aber psychisch hielt er dem akademischem Wahnsinn nicht stand, der drehte dann zum Ende seines Studiums durch und landete für ein paar Monate in der Klapse. Ich habe ihn zwei, drei Jahre später mal in der Innenstadt getroffen und gefragt, wie es ihm jetzt gehe. Die Klapsdoktoren hatten sich ihn angeschaut und ihn dann zum Gärtner umschulen lassen, das passe besser für ihn. Bäume, Sträucher und Blumen seien besser und gesünder für ihn als die Akademiker. Die redeten nicht so viel dummes Zeug. Und die Luft sei auch frischer und besser als in der Chemie, besser für das Hirn. Jetzt habe er zwar völlig zerschundene Hände, aber ansonsten gehe es ihm jetzt viel besser, alles sei gut und er zufrieden. Seitdem kam mir beim Wahnsinn IT-Sicherheit schon manches Mal der Gedanke, ob Gärtner nicht vielleicht besser gewesen wäre.

Ein Kumpel, auch Informatiker, auch IT-Sicherheit, sagte so gelegentlich, er gebe jetzt auf, schmeiße hin und gehe nach Neuseeland, Schafe züchten. Bis ich mal in Neuseeland in einem Schafzuchtmuseum gesehen habe, was für ein Verwaltungsaufwand das ist und wieviel die dort mit computergestützten Anlagen zu tun haben und das dann erzählt habe.