Bedeutung der GAiN-Veröffentlichung des BSI für KRITIS-Betreiber?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterscheidet in seinen Audits in der Regel folgende drei Abweichungsarten: 1. **Empfehlung** 2. **Geringfügige Abweichung** 3. **Wesentliche Abweichung** Die **wesentliche Abweichung** ist die dritte Kategorie, die du suchst. Sie bezeichnet Abweichungen, die die Erfüllung der Anforderungen erheblich beeinträchtigen und in der Regel vor einer Zertifikatserteilung behoben werden müssen. Weitere Informationen findest du direkt beim [BSI](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Audits-und-Zertifizierungen/audits-und-zertifizierungen_node.html).

Ja, Accountsharing widerspricht den Anforderungen des BSI IT-Grundschutz. Der BSI IT-Grundschutz fordert in mehreren Bausteinen und Maßnahmen eine eindeutige Benutzeridentifikation und die Nachvollziehbarkeit von Aktivitäten (z. B. in den Bausteinen ORP.4 Identitäts- und Berechtigungsmanagement sowie SYS.1.1 Allgemeiner Server). Das Teilen von Benutzerkonten (Accountsharing) führt dazu, dass nicht mehr eindeutig nachvollzogen werden kann, wer welche Aktion durchgeführt hat. Dies steht im Widerspruch zu den Anforderungen an Authentisierung, Protokollierung und Verantwortlichkeit. Konkret heißt es im BSI IT-Grundschutz-Kompendium (z. B. Maßnahme ORP.4.A3): „Jede Benutzerkennung darf nur einer natürlichen Person zugeordnet werden und nicht gemeinsam genutzt werden.“ Accountsharing ist daher aus Sicht des BSI IT-Grundschutz nicht zulässig und sollte vermieden werden. Weitere Informationen findest du direkt beim [BSI IT-Grundschutz-Kompendium](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/it-grundschutz_node.html).

Das Verbot des Accountsharings, also der Weitergabe von Passwörtern, ist im IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) geregelt. Die entsprechenden Anforderungen findest du im Baustein **"ORP.4 Identitäts- und Berechtigungsmanagement"**. Konkret wird im **Anforderungstext ORP.4.A18 "Verbot der Weitergabe von Authentisierungsmerkmalen"** festgelegt, dass Authentisierungsmerkmale wie Passwörter nicht weitergegeben werden dürfen. Dort heißt es sinngemäß, dass Benutzerinnen und Benutzer verpflichtet sind, ihre Authentisierungsmerkmale geheim zu halten und nicht an Dritte weiterzugeben. Weitere Informationen findest du direkt beim BSI: [BSI IT-Grundschutz-Kompendium – ORP.4 Identitäts- und Berechtigungsmanagement](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/baustein-orp-4.html)

Im BSI Grundschutz-Kompendium 2023 gibt es keine eigenen Bausteine, die ausschließlich und explizit das Thema REST-API behandeln. REST-APIs werden jedoch als Teil von Anwendungen, Webanwendungen oder Schnittstellen betrachtet und sind damit in mehreren Bausteinen inhaltlich mitadressiert. Die wichtigsten relevanten Bausteine sind: 1. **APP.4.4 Webanwendungen** Dieser Baustein behandelt Sicherheitsanforderungen an Webanwendungen, zu denen auch REST-APIs zählen, da sie häufig als Webanwendungen oder deren Komponenten implementiert werden. Themen wie Authentisierung, Autorisierung, Eingabevalidierung und Schutz vor typischen Web-Schwachstellen (z. B. Injection, Cross-Site Scripting) sind hier relevant. [APP.4.4 Webanwendungen](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Grundschutz-Kompendium/bausteine/app/app-4-4.html) 2. **APP.4.3 Webserver** REST-APIs werden oft über Webserver bereitgestellt. Die Absicherung des Webservers ist daher für REST-APIs essenziell. [APP.4.3 Webserver](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Grundschutz-Kompendium/bausteine/app/app-4-3.html) 3. **APP.2 Allgemeine Anwendungen** Dieser Baustein behandelt generische Anforderungen an Anwendungen, die auch für REST-APIs gelten, z. B. sichere Entwicklung, Patch-Management und Logging. [APP.2 Allgemeine Anwendungen](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Grundschutz-Kompendium/bausteine/app/app-2.html) 4. **OPS.1.1.5 Logging und Protokollierung** Für REST-APIs ist eine angemessene Protokollierung von Zugriffen und Fehlern wichtig. [OPS.1.1.5 Logging und Protokollierung](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Grundschutz-Kompendium/bausteine/ops/ops-1-1-5.html) 5. **CON.4 Schnittstellen** Dieser Baustein adressiert die Absicherung von Schnittstellen allgemein, wozu auch REST-APIs gehören. [CON.4 Schnittstellen](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Grundschutz-Kompendium/bausteine/con/con-4.html) **Fazit:** REST-APIs werden im BSI Grundschutz-Kompendium 2023 nicht als eigenständiger Baustein behandelt, sondern sind in den genannten Bausteinen mit abgedeckt. Für eine umfassende Absicherung von REST-APIs sollten die Anforderungen aus diesen Bausteinen gemeinsam betrachtet und umgesetzt werden.

Im IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden die Themen API (Programmierschnittstelle) und REST (Representational State Transfer) nicht in eigenen, dedizierten Bausteinen behandelt. Sie werden jedoch in mehreren Bausteinen thematisiert, insbesondere im Kontext von Webanwendungen, Softwareentwicklung und Schnittstellenmanagement. Relevante Bausteine sind: 1. **APP.4.4 Webanwendungen** Dieser Baustein behandelt die Sicherheit von Webanwendungen, zu denen auch REST-APIs zählen. Hier werden Anforderungen an Authentisierung, Autorisierung, sichere Kommunikation und Schutz vor typischen Web-Schwachstellen (z. B. Injection, Cross-Site Scripting) gestellt. [APP.4.4 Webanwendungen](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/bausteine/app/app-4-4.html) 2. **APP.4.3 Entwicklung von Individualsoftware** Dieser Baustein adressiert die sichere Entwicklung von Software, einschließlich APIs. Hier werden sichere Programmierpraktiken, Testen auf Schwachstellen und der Umgang mit Schnittstellen behandelt. [APP.4.3 Entwicklung von Individualsoftware](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/bausteine/app/app-4-3.html) 3. **SYS.1.6 Virtualisierung und Container** APIs werden häufig in virtualisierten oder containerisierten Umgebungen bereitgestellt. Dieser Baustein behandelt Sicherheitsaspekte solcher Umgebungen, die auch für APIs relevant sein können. [SYS.1.6 Virtualisierung und Container](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/bausteine/sys/sys-1-6.html) 4. **INF.1 Schnittstellenmanagement** Dieser Baustein behandelt das Management und die Absicherung von Schnittstellen allgemein, wozu auch APIs zählen. [INF.1 Schnittstellenmanagement](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/bausteine/inf/inf-1.html) **Fazit:** Die Themen API und REST werden im BSI-Grundschutz-Kompendium vor allem in den Bausteinen **APP.4.4 Webanwendungen**, **APP.4.3 Entwicklung von Individualsoftware** und **INF.1 Schnittstellenmanagement** adressiert. REST-APIs sind als Teil von Webanwendungen und Schnittstellen explizit mitgemeint, auch wenn sie nicht immer namentlich genannt werden.

Administratoren müssen nach den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) verschiedene Punkte beachten, um die IT-Sicherheit zu gewährleisten. Wichtige Aspekte sind: 1. **Risikomanagement**: Identifikation und Bewertung von Risiken für die IT-Systeme und Daten. 2. **Sicherheitskonzepte**: Entwicklung und Implementierung von Sicherheitskonzepten, die auf die spezifischen Anforderungen der Organisation abgestimmt sind. 3. **Zugriffssteuerung**: Sicherstellung, dass nur autorisierte Personen Zugriff auf Systeme und Daten haben. 4. **Sicherheitsupdates**: Regelmäßige Aktualisierung von Software und Systemen, um Sicherheitslücken zu schließen. 5. **Schulung und Sensibilisierung**: Durchführung von Schulungen für Mitarbeiter, um das Bewusstsein für IT-Sicherheit zu erhöhen. 6. **Dokumentation**: Führen von umfassenden Dokumentationen über Sicherheitsmaßnahmen und Vorfälle. 7. **Notfallmanagement**: Entwicklung von Notfallplänen zur Wiederherstellung der Systeme im Falle eines Sicherheitsvorfalls. Diese Punkte sind Teil der BSI-Standards und -Empfehlungen, die Administratoren helfen, ein sicheres IT-Umfeld zu schaffen.

Der BSI IT-Grundschutz ist wichtig, weil er eine systematische und umfassende Methode zur Identifizierung und Minimierung von IT-Sicherheitsrisiken bietet. Er hilft Organisationen, ein angemessenes Sicherheitsniveau zu erreichen, indem er bewährte Praktiken und Standards bereitstellt. Durch die Implementierung des IT-Grundschutzes können Unternehmen ihre IT-Infrastruktur besser schützen, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten gewährleisten und rechtlichen Anforderungen nachkommen. Zudem fördert er ein Bewusstsein für IT-Sicherheit innerhalb der Organisation und unterstützt die kontinuierliche Verbesserung der Sicherheitsmaßnahmen.

Im BSI Standard 200-4 wird die sichere Ablage von Notfalldokumenten im Kontext des Notfallmanagements behandelt. Insbesondere sind die Anforderungen an die Dokumentation und die Verfügbarkeit von Notfalldokumenten in den Abschnitten zu den Notfall- und Krisenmanagementprozessen zu finden. Es wird empfohlen, Notfalldokumente an einem sicheren, aber zugänglichen Ort zu speichern, um sicherzustellen, dass sie im Notfall schnell verfügbar sind. Eine genaue Seitenangabe kann variieren, daher ist es ratsam, den Standard direkt zu konsultieren, um die spezifischen Anforderungen und Empfehlungen zu finden.

Der BSI-Standard bezieht sich auf die Normen und Richtlinien, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland entwickelt werden. Diese Standards dienen der Verbesserung der IT-Sicherheit und der Informationssicherheit in Organisationen. Ein bekanntes Beispiel ist der BSI-Standard 200-1, der ein Rahmenwerk für das Management von Informationssicherheit bietet. Die Standards helfen Unternehmen und Behörden, Sicherheitsrisiken zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikominderung zu implementieren. Sie sind besonders relevant für die öffentliche Verwaltung, kritische Infrastrukturen und Unternehmen, die mit sensiblen Daten arbeiten.

Das BSI-Grundschutz-Kompendium ist ein Leitfaden des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Deutschland, der Organisationen dabei unterstützt, ein angemessenes Sicherheitsniveau für ihre IT-Systeme zu erreichen. Es bietet eine strukturierte Vorgehensweise zur Identifizierung und Bewertung von Risiken sowie zur Umsetzung von Sicherheitsmaßnahmen. Das Kompendium umfasst verschiedene Bausteine, die spezifische Sicherheitsanforderungen und -maßnahmen für unterschiedliche Bereiche und Technologien beschreiben. Es ist in der Regel in drei Hauptteile gegliedert: 1. **Basis-Schutz**: Grundlegende Sicherheitsmaßnahmen, die für alle Organisationen empfohlen werden. 2. **Erweiterte Maßnahmen**: Zusätzliche Sicherheitsmaßnahmen für Organisationen mit höheren Sicherheitsanforderungen. 3. **Spezielle Maßnahmen**: Maßnahmen, die auf spezifische Bedrohungen oder Technologien abzielen. Das Ziel des BSI-Grundschutz-Kompendiums ist es, ein einheitliches und praxisnahes Konzept zur Informationssicherheit zu bieten, das sowohl für kleine als auch für große Organisationen anwendbar ist.