GSTOOL

Das GSTOOL des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist eine Datenbankanwendung zur Erstellung von Sicherheitskonzepten nach der Vorgehensweise des IT-Grundschutzes. Das GSTOOL erschien 1998, vier Jahre nach der Veröffentlichung des IT-Grundschutzhandbuches. Der Bezug ist für öffentliche Einrichtungen (unmittelbare Bundes-, Landes- und Kommunalverwaltung) kostenlos.

Entwicklung

Die Version 2.0 wurde von CSC-Ploenzke erstellt. Die Versionen 1.0 und 2.0 waren Java-Anwendungen. Als Datenbanksystem kam das relationale Datenbanksystem Interbase von Borland zum Einsatz.

Die Versionen 3.0-4.7 des GSTOOLs wurden von Steria Mummert Consulting im Auftrag und Namen des BSI entwickelt. Diese Versionen wurden mit den Programmiersprachen Visual Basic 6.0 und Visual C++ entwickelt. Das GSTOOL wird seit der Version 3.0 mit der MSDE ausgeliefert.

Die Entwicklung der Version 4.1 (erschienen Mai 2007) wurde durch Bayer Business Services und das ZIVIT unterstützt. Die im Februar 2008 veröffentlichte Version 4.5 beinhaltet als wesentliche Erweiterung den BSI-Standard 100-3 (Risikoanalyse auf der Basis des IT-Grundschutzes). Durch die Hochschule Niederrhein wurde die Entwicklung der Version 4.6 unterstützt. Die Version 4.7 wurde erneut durch das ZIVIT unterstützt.

Weiterentwicklung

Mit der Neuentwicklung des GSTOOL 5.0 wurde im Dezember 2008 die Firma PERSICON labs beauftragt. Die neue Version soll als Webclient vor allem plattformunabhängig eingesetzt werden können. Technologisch wird auf Java, Apache und Tomcat gesetzt. Als Datenbanksystem wird zukünftig Oracle zum Einsatz kommen, wobei auch andere Produkte eingesetzt werden können. Des BSI hat keine Angaben zum Erscheinungsdatum gemacht, spekuliert wird über ein Erscheinen der Version 5.0 frühestens Ende 2011.

Leistungsmerkmale

fachlich

• Unterstützung folgender BSI-Standards:
  • BSI-Standard 100-1: Managementsysteme für Informationssicherheit
  • BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
  • BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
• Erfassung von Zielobjekten (IT-Systemen, Anwendungen, Netzen u.s.w.)
• Erfassen zusätzlicher Informationen zu Zielobjekten
• Modellierung und Schichtenmodell nach IT-Grundschutz
• ISO 27001 Zertifikat auf der Basis von IT-Grundschutz
• Schutzbedarfsfeststellung
• Berichterstellung
• Auswertung der Kostenschätzungen in Berichten
• Revisionsunterstützung
• Versionierung benutzerdefinierter Metadaten (Bausteine, Maßnahmen und Gefährdungen)
• Verwaltung mehrerer voneinander unabhängiger Arbeitsbereiche

technisch

• Verwaltung mehrerer Sicherheitskonzepte in einem Tool
• Netzwerkfähigkeit
• Mehrbenutzerfähigkeit durch Rechte- und Rollenkonzept
• Zweisprachigkeit: deutsch/englisch (mit der Möglichkeit auch andere Sprachversionen einzubinden)
• Historienführung auf Feldebene
• Einfaches Update der Metadatenbasis über das Internet
• Importfunktion für Datenbestände aus der Vorversion
• Export von Teilarbeitsbereichen bei nicht vorhandener Netzwerkverbindung
• Berichtsfunktion durch ca. 50 vordefinierte Berichte
• Verschlüsselung von benutzerspezifischen Daten für Exporte (Dateiverschlüsselung)

Literatur

• Offizielles GSTOOL-Handbuch des BSI (ca. 400 Seiten, PDF)

Weitere Tools zur Erstellung von Sicherheitskonzepten auf Basis IT-Grundschutz

• SecuMax
• Verinice

Weblinks

• GSTOOL-Webseite des BSI
• Webkurs zum GSTOOL
• Download einer 30-Tage-Testversion (175 MB)