31.07.2006

ZDv 54/100 "IT-Sicherheit in der Bundeswehr"

Vorweg: der folgende Text basiert auf meinen Notizen aus der Zeit meiner Diplomarbeit. Das Streitkräfteamt hatte mir damals im Zeitraum Okt. 04 - Jan. 05 Ausgaben der ZDv 54/100 sowie der AU 248 und AU 249 zu Forschungszwecken zur Verfügung gestellt. Auch an dieser Stelle nochmals meinen Dank dafür.

ZDv 54/100 ist die Zentrale Dienstvorschrift für "IT-Sicherheit in der Bundeswehr".

Sie wird flankiert durch die beiden Allgemeinen Umdrucke MIL AU 248 "Handbuch IT-Sicherheitsanforderungen" und AU 249 "Handbuch zur Erstellung vorhabensbezogener IT-Sicherheitskonzepte" (beide im August 1996 verabschiedet) und dient zur Erstellung von IT-Sicherheitskonzepten auf organisatorischer Massnahmenebene.

Die Entwicklung der ZDv 54/100 erfolgte ab etwa Mitte 1996, die Leitsetzung fand im Oktober 1999 statt.

Ursprünglich sollte die ZDv 54/100 (gemäß dem Kapitel "Vorbemerkung") weiterhin durch die ZDv 54/101 “IT-Sicherheit in Dienststellen der Bundeswehr” und die ZDv 54/102 “IT-Sicherheit in Vorhaben der Bundeswehr” unterstützt werden. Diese hätten meines Wissens nach dann detaillierte/konkrete Schutzmassnahmen für IT-Systeme im Blocksystem enthalten, vergleichbar zum IT-Grundschutzhandbuch des BSI, wurden aber wohl aufgrund von Abstimmungsproblemen o.ä. verzögert und schliesslich ausgesetzt.

Die ZDv 54/100 ist wie folgt strukturiert: sie behandelt im Teil A "Grundlagen der IT-Sicherheit" und in Teil B "IT-Sicherheitsmassnahmen. Dazu folgen noch je ein Anhang zu den beiden Teilen, in welchen Auflistungen relevanter bzw. verwandter Weisungen/Regelungen/Vorschriften, Kontaktinformationen und Muster für verschiedene Dokumente wie Berichte gesammelt geführt werden.

Prinzipiell definiert Teil A den gesamten benötigten Rahmen für Organisation und Durchführung/Erstellung von IT-Sicherheitskonzepten, hierbei werden so auch die Anforderungen an die jeweiligen Projekte definiert, welche zwingend zu beachten sind, um den organisatorischen/dienstlichen Forderungen zu genügen, um schliesslich nach Abnahme der tolerierbaren Restrisiken eine Nutzungsfreigabe zu erhalten. Hierzu können so z.B. auch Untersuchungen zur Abstrahlsicherheit, Fernwartung und Verwendung von Kryptomitteln herangezogen werden.

Für mich interessantes:
Zusätzlich zu den allgemeinen drei Grundbegriffen der Sicherheit (Vertraulichkeit/Confidentiality, Integrität/Integrity und Verfügbarkeit/Availability, CIA triangle) definiert die ZDv 54/100 in Teil A den Begriff der "Verbindlichkeit" als den "Zustand, in dem geforderte oder zugesicherte Eigenschaften oder Merkmale von Informationen und Übertragungsstrecken sowohl für die Nutzer verbindlich feststellbar als auch Dritten gegenüber beweisbar sind". [ZDv 54/100, Nr. 103]
(Im englischen wäre dies "Liability". Manchmal wird auch "Accountability" verwendet, dieses ist meiner Auffassung nach aber eine Teilmenge und beinhaltet nur den Aspekt der Abrechenbarkeit von Dienstleistungen, aber nicht den Verantwortlichkeitsaspekt.)

Hier wird auch die Einteilung von Daten in die Informationsstruktur erläutert, ergo in die Stufen der Verschlusssachen (VS), Personenbezogene Daten (PersDat, entsprechen der Legaldefinition § 3 Abs. 1 BDSG) oder Sonstige schutzbedürftige Informationen (SchutzInfo, effektiv "alles verbliebene").

Teil B "IT-Sicherheitsmassnahmen" behandelt solche personeller, materieller (baulicher), organisatorischer und technischer Art. Diese IT-Sicherheitsmassnahmen sind Forderungen auf relativ abstraktem Niveau, welche durch die jeweilige Dienststelle konkretisiert umgesetzt werden müssen. Diese Forderungen werden zumeist mit Hinweisen auf weitere Dienstvorschriften oder Verordnungen indirekt konkretisiert.

Für mich interessantes:
die Definition der drei "Z" - Zutritt, Zugang und Zugriff.
"Zutritt" zu Gebäuden und Räumen, "Zugang" in Systeme als Nutzung der Geräte und "Zugriff" auf Daten und Informationen durch Ausüben von (Benutzer-)Rechten.

Im Rahmen der Anhänge A und B wären noch die "Zehn Regeln zur IT-Sicherheit am Arbeitsplatz" erwähnenswert, diese fassen nochmal kurz die als relevant eingestuften Verhaltensweisen zusammen, mit Fokus "auf" unberechtigten Systemzugang und Verlust/Diebstahl, aber auch Systeminfektion durch Malware.

Wie bereits erwähnt, wird die ZDv 54/100 durch die Allgemeinen Umdrucke MIL AU 248 "Handbuch IT-Sicherheitsanforderungen" und AU 249 "Handbuch zur Erstellung vorhabensbezogener IT-Sicherheitskonzepte" (beide im August 1996 verabschiedet) unterstützt.

Der AU 248 ist zusammengefasst die Risikomethodik, nach der für IT-Systeme und/oder Netze die Risikoaufnahme, - bewertung und - bekämpfung vorgenommen wird, sowie im Anhang ein äusserst umfangreicher Bedrohungskatalog. In diesem natürlich entsprechende Zweige für Bedrohungsfälle wie "Spionage" und "Beschuss" ;-)

Im AU 249 sind das Vorgehen bei Erstellung und die Anforderungen an Aufbau, Inhalt und Gestaltung eines IT-Sicherheitskonzeptes innerhalb der Bundeswehr festgelegt, dazu kam noch die Bedienungsanweisung für ein Windows 3.11 Programm, welches beim ausfüllen eines Word-Templates helfen soll.

Im Sommer 2005 waren meines Wissens nach mindestens drei verschiedene Vorschläge zur Aktualisierung der ZDV 54/100 in reger Diskussion, den aktuellen Sachstand kenne ich aber leider nicht.

Die ZDv 54/100 habe ich wie beschrieben im Rahmen der Nachforschungen meiner Diplomarbeit direkt vom SKA ausgeliehen bekommen, aber nach den google-treffern kann man die als VS-NfD eingestufte ZDv 54/100 auch von den diversesten Militaria-Anbietern beziehen... die Allgemeinen Umdrucke sehe ich dagegen in keinem Angebot - in Bezug auf den 249 vielleicht auch nicht weiter schlimm ;-)

Trackbacks

Kommentare

Bernd Eckenfels / 25.04.2007, 18:33

Liability - Es gibt hier die Begriffe "Non-Repudiation of Origin " und "NR-of Receipt" also die Nichtabstreitbarkeit der Urheberschaft (SigG!) und des Empfangs (Im Wesentlichen der Rückschein mit Signatur).

Im IT-Controlling ist das Accountability sehr wichtig... eigentlich sind das aber alles untergeordnete Schutzziele, meiner Meinung nach. Ergibt sich direkt aus der Integritätsanforderung.

Gruss
Bernd

Andreas Rauer / 25.04.2007, 18:55

Die Verbindlichkeit ist üblicherweise auch beim Militär ein tendenziell eher nachrangiges Schutzziel, dies ändert sich jedoch abrupt, wenn sich die IT-Systeme innerhalb eines Waffensystems befinden.

So ist z.B. auf den Fregatten Klasse F124 jeder Effektor (seien es die LFK-Starter, Torpedowerfer oder auch die "olle" Kanone von Oto Melara auf dem Bugdeck) an das zentrale "Combat Direction System" angeschlossen und kann von dort aus abgefeuert werden!
Und da möchte man schon nachvollziehen können, wer den Schuss ausgelöst hat...

(Btw: eine extrem gute Beschreibung der F124 befindet sich unter http://www.hansa-online.de/print.asp?artikelID=274)

[←neuere Einträge] [ältere Einträge→]