BSI Grundschutz-Baustein Qubes

Obwohl Qubes in der Lage ist, ein hohes Maß an Sicherheit zu bieten, kann dies, wie bei jedem anderen Betriebssystem auch, durch ausreichend dummen Gebrauch untergraben werden. Die Installation, Konfiguration und Nutzung kann so erfolgen, dass die hervorragenden Eigenschaften des Systems falsch oder gar nicht genutzt werden.

Um den Anwendern bei der Einrichtung einer sicheren Betriebsumgebung zu helfen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem IT-Grundschutz einen hervorragenden Standard definiert, der die meisten relevanten Fragen abdeckt, und zwar in einer viel detaillierteren Weise als dies in ISO 27001 geschieht.

Da ein Baustein für Qubes OS hilfreich sein könnte, habe ich einen solchen Baustein geschrieben (was nicht allzu viel Arbeit ist, da diese Bausteine auf maximal 10 Seiten beschränkt sind). Der Baustein beschreibt 5 spezifische Gefährdungen für die Benutzung von Qubes und 18 Anforderungen an Sicherheitsmaßnahmen, die helfen können, diesen Bedrohungen entgegenzuwirken.

Nachdem die Abstimmung mit dem BSI abgeschlossen ist, steht nun die endgültige Version des Qubes Bausteins zur Verfügung und wird - hoffentlich bald - auf der Website des BSI Grundschutzes veröffentlicht. Sobald dies geschieht, werde ich hier eine Notiz einfügen.

Mit der Verfügbarkeit dieses Bausteins können Qubes-Systeme bei der Erstellung eines IT-Sicherheitskonzeptes auf Grundschutz-Basis nun wie jedes andere System behandelt werden. Da es sich derzeit um einen benutzerdefinierten Baustein handelt, wird er für eine Zertifizierung nach ISO 27001 auf Grundschutz-Basis zwar nicht relevant sein, kann aber zu einer besseren Konsistenz des Sicherheitskonzepts beitragen.

Die aktuelle Version des Bausteins kann (in deutsch oder englisch) von folgender URL geladen werden: https://github.com/QubesOS/qubes-issues/issues/5976

5 Likes