# Grund-Schutz-Analyse: lasshacken.com ###### tags: `bsi` ## :memo: META ### ToDos :rocket: - [ ] Präambel - [ ] Analyse der Geschäftsprozesse - [ ] Bestandsaufnahme der IT-Infrastruktur - [ ] Gefährungsanalyse - [ ] Wahl und Begründung einer IT-Grundschutz-Methodik - [ ] Überblick über erforderliche Schutzmaßnahmen ### Markdown **HackMD nutzt Markdown.** ==man kann dabei in Real-time zusammen an einem Dokument arbeiten.== Einfach niederschreiben, was einem in den Sinn kommt und formatieren: **Bold**, *Italic*, Super^script^, Sub~script~, ~~Crossed~~, ==Highlight== :::info :bulb: **Tipp:** man kann dazu auch die obere toolbar nutzen :arrow_upper_left:  ::: > Bilder lassen sich auch per Drag-n-Drop einfügen :::info :pushpin: mehr unter ➜ [HackMD Tutorials](https://hackmd.io/c/tutorials) ::: > in-line Kommentar mit Farbe [color=#3b75c6] --- ## Inhaltsverzeichnis [ToC] ## Grundlagendokumente | Dokument | Link | | ------------------ |:------------------| | BSI Standard 200-1, 00-2, 200-3, 200-4| [:link:][200-1] [:link:][200-2] [:link:][200-3] [:link:][200-4]| | BSI Die Lage der IT-Sicherheit in Deutschland 2020| [:link:][Lage2020] | | BSI ICS-Security-Kompendium | [:link:][ICS-Komp] | | BSI IT-Grundschutz Kompendium | [:link:][ITGS-Komp] | | BSI ICS-Security-Kompendium | [:link:][ICS-Komp] | | BSI Kriterienkatalog Cloud Computing C5:2020 | [:link:][C5:2020] | | BKA Bundeslagebild Cybercrime 2020 | [:link:][BKS-CC-2020] | [200-1]: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1 [200-2]: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2 [200-3]: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3 [200-4]: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_4_CD [Lage2020]:https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html [ICS-Komp]: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf [ITGS-Komp]: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2021 [C5:2020]:https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/Anforderungskatalog/2020/C5_2020 [BKS-CC-2020]:https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2020 ## Präambel Die LHC lasshacken.com UG haftungsbeschränkt bestand noch von wenigen Jahren aus einem Trio vormals selbständiger Penetrationtester. Deren zunächst leienhaft betriebene Lernplattform war ursprünglich für rein interne Weiterbildungen und zum Erfahrungsaustasch unter Pentester-Kollegen gedachte. Nach einer spontanen Veröffentlichung für Hacking-Interessierte im Adventskalender-Format mit täglich neu freigeschalteten Hacking-Challenges, hat sich diese im deutschsprachigen Raum jedoch rasch zu einer beliebten Anlaufstelle für neugierige Hacking-Neulinge entwickelt. Sie kann mittlerweile eine Anzahl von registrierten Benutzern im fünfstelligen Bereich und tausende aktive Nutzer täglich vorweisen. Auch die Qualität der Plattform hat sich seitdem mit zunehmender Nutzerfreundlichkeit und professionell aufbereiteten Inhalten mit stets wachsendem nutzergenerierten Anteil drastisch gesteigert. Da das Gründer-Trio im IT-Sicherheitsbereich zuhause ist, kümmern sie sich seit jeher gut um die Sicherheit der Plattform und der sensiblen Mitglieder-Daten. Bei manchen Daten sprechen die drei von ihren "Jewels", den Kronjuwelen also. Von diesen einmal abgesehen zeichnet sich was die umfassende Konzeption der Informationssicherheit ihres Unternehmens anbelangt jedoch ein eher mittelprächtiges Bild ab. In den Grundmustern sind noch deutlich die zum Teil nicht vorhandenen Geschäftsstrukturen und -prozesse der drei spontanen Startup-Gründer samt fehlender IT-Grundschutz-Methodik zu erkennen. Da die Gesellschafter um die vielversprechende Erfolgsperspektive ihrer stetig Wachsenden Mitglieder-Community inklusive zahlender Premium-Abonnenten wissen und auch schon des öfteren von potentiellen Geschäftspartnern wie beispielsweise Softwareherstellern, Zertifizierungsstellen, Werbeagenturen, Versicherungen und sogar Invetoren darauf angesprochen wurden, haben sie einen gemeinsamen Entschluss gefasst. Ihr Unternehmen soll durch ein professionelles IT-Grundschutz-Konzept rasch fit für die weitere Expansion und damit einhergehenden beziehungsweise notwendigen Partnerschaften, Vertragsbedingungen, Angestelltenverhältnisse und Versicherungsvoraussetzungen gemacht werden. > Neue Chancen: IT-Security als „enabling Technology“ Das DELTA des zu erbringenden Sicherheits-Mehrwerts liegt bei LHC also weniger in einer Diskrepanz an derzeit gegebenen vs. einzuhaltenden Schutzeigenschaften, als vielmehr in den mittel- und langfristig stark gehemmten Entwickluungsmöglichkeiten mangels subjektiver Geschäftspartnerattraktivität und objektiver Versicherungsfähigkeit. Da die drei erfahrenen Penetrationtester in ihrer fachlichen Summe bestens mit der technischen Umsetzung und Prüfung jeglicher IT-Sicherheits-Maßnahmen vertraut sind, haben sie sich - nicht zuletzt auch um Zeit zu sparen - für die Ausschreibung eines Auftrags für eine abstrakt gehaltene IT-Grundschutz-Analyse entschieden. Wichtigstes Augenmerk soll dabei auf die ganzheitliche Betrachtung der zum Teil zukünftig zu unterstüzenden und zu schützenden Organisationsstrukturen und zugehöriger Geschäftsprozesse fallen. Auf Grundlage einer Bedrohungs- und Risikoanalyse soll die Wahl und Begründung einer IT-Grundschutz-Methodik erfolgen. Die dafür erforderlichen Maßnahmen hat der Auftragnehmer jedoch lediglich grob zu skizzieren, die technische Umsetzung fällt in die Kompetenz des Auftraggebers. ## Analyse der Geschäftsprozesse - UML-Diagram der Kundeninteraktion ```sequence Mitglied->Server: Bezahlvorgang Server-->Bezahldienst: Meldet Transaktion Note right of Bezahldienst: Prüft Bezahldienst-->Server: Bestätigung Server->Mitglied: Freischaltung Note left of Mitglied: Abo Mitglied->Server: Anfrage Server -> Cloud: Abruf Note right of Cloud: Start Cloud -> Server: Bestätigung Server->Mitglied: Bereitstellung Mitglied->Cloud: Nutzung ``` ## Bestandsaufnahme der IT-Infrastruktur ## Gefährungsanalyse ## Wahl und Begründung einer IT-Grundschutz-Methodik ## Überblick über erforderliche Schutzmaßnahmen