SAVe
| SAVe® Security Audit and Verification
| |
|---|---|
| |
 Erfassung und Analyse von IT-Strukturen | |
| Basisdaten
| |
| Entwickler | INFODAS GmbH |
| Erscheinungsjahr | 2001 |
| Aktuelle Version | 6 / Browserbasiert (2019) |
| Betriebssystem | Webbasiert / Unabhängig |
| Lizenz | proprietär |
| deutschsprachig | ja |
| save-infodas.de | |
SAVe (Security Audit and Verification) ist eine webbasierte und modular aufgebaute ISMS-Lösung zur Unterstützung der Vorgehensweise des IT-Grundschutzes. Die Anwendung ist seit über 20 Jahren in einer zivilen und einer militärischen Version im Einsatz und stellt eine Alternative zur bereits vorhandenen Datenbankanwendung GSTOOL des Bundesamtes für Sicherheit in der Informationstechnik (BSI) dar.
Das IT-Grundschutz Modul von SAVe unterstützt das Vorgehen der BSI-Standards 100-1 bis 100-4 sowie 200-1 bis 200-3. Unterstützt werden alle Arbeitsschritte für die Erstellung eines Informationssicherheitskonzeptes:
- Erfassung / Analyse der IT-Strukturen,
- Schutzbedarfsfeststellung,
- Modellierung,
- Soll-Ist-Vergleich im Rahmen eines IT-Grundschutzchecks,
- Risikoanalyse,
- Berichtserstellung,
- GS – Audit
ISO 27001 Audits auf der Basis von IT-Grundschutz
Mit SAVe erstellte IT-Sicherheitskonzepte werden im Rahmen von Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz von der Zertifizierungsstelle des BSI anerkannt. Für den durchführenden Auditteamleiter bietet SAVe zusätzliche Funktionen zur Abgabe eines Votums sowohl auf Baustein- als auch auf Maßnahmenebene.
Funktionalität und Bedienung
Der für einfache Umgebungen und normalen Schutzbedarf ausreichende „Standardmodus“ (Verzicht auf komplexe Strukturen/Abläufe) kann während des Betriebes zum „Expertenmodus“ (erlaubt die Erstellung komplexer, redundanzarmer Konzepte) geändert werden. Zudem kann in beiden Modi ein „Konzept-Assistent“ zur Schritt-für-Schritt Erstellung eines Sicherheitskonzeptes genutzt werden.
Für die Datenübernahme aus dem GSTOOL Version 4.8 bzw. der SAVe-Version 4.4 steht ein separater Konverter zur Verfügung. Modelle, die mit früheren Versionen des GSTOOL oder von SAVe erstellt wurden, als oben angegeben, müssen zuvor nutzerseitig in die jeweils erforderliche Version umgewandelt werden.[HIK1]
Anforderungen an die Systemumgebung (Client):
- Microsoft Windows 7, 8 oder 10; 32/64 Bit.
- Microsoft SQL-Server Compact 4.0 SP1 (32 und 64 Bit)
- Microsoft .Net Framework 4.6.2 (32 und 64 Bit)
Anforderungen an die Systemumgebung (Server):
- Windows Server 2012 R2
- Microsoft SQL Server 2008 R2 oder höher
- Microsoft .Net Framework 4.6.2 oder höher
Nutzbare Browser:
- Chrome
- Firefox
- Edge
- IE 11
Verbreitung nach Einsatzgebiet
SAVe ist so konzipiert, dass für unterschiedliche Zielumgebungen aufbauend auf der Methodik und den Katalogen des IT-Grundschutzes weitere Methodiken und Kataloge eingebunden werden können.
Zivil
SAVe wird hauptsächlich im Umfeld komplexer und großer Infrastrukturen eingesetzt (bspw. Betreiber großer Rechen- und Landesrechenzentren). Im Behördenumfeld wird aufgrund der kostenfreien Bereitstellung für alle öffentlichen Institutionen zumeist das GSTool eingesetzt.
Militärisch
SAVe integriert die militärische Regelung A-960/1, Informationssicherheit in der Bundeswehr, mit allen Katalogen des GSBw ab 2015 für projekt- und dienststellenbezogene Informationssicherheitskonzepte. Diese Methodik erweitert die IT-Grundschutzkataloge um bundeswehrspezifische Kataloge und Funktionalitäten.
Aufgrund der Spezialisierung für den militärischen Bereich und der möglichen Abbildung der Zentrale Dienstvorschrift (ZDv) 54/100 ("IT-Sicherheit in der Bundeswehr") mit SAVe hat die Bundeswehr eine Generallizenz erworben und setzt SAVe standardmäßig in allen militärischen Bereichen ein.
Unterschiede GSTOOL
Die wohl größten Unterschiede zum GSTOOL sind unter anderem die Abbildung und Einbindung verschiedener Sicherheitsmodelle (zum Beispiel ZDv 54/100, ISO 27799, BDSG, ISO 27001 und IT-Grundschutz) und die Schutzbedarfsfeststellung basierend auf Informationen. Auch die Erstellung detaillierter und individueller Berichte, Konsistenzprüfung zur Überprüfung der Modellierung sowie die Möglichkeit, eigene Maßnahmenkataloge zu hinterlegen unterscheiden die Tools voneinander. Die implementierten Kreuzreferenztabellen erleichtern in SAVe die Durchführung der Risikoanalyse nach BSI-Standard 100-3. Aus betrieblich-technischer Sicht ist das GSTOOL ein klassischer Fat-Client und bedingt für jeden Arbeitsplatz eine eigene Installation. Im Gegensatz dazu ist SAVe ab der Version 5 clientseitig mittels Standard-Webbrowser nutzbar. Dadurch minimiert sich der Administrationsaufwand u. a. im Rollout der Clientsoftware und ermöglicht z. B. ein zentrales Update von neuen Katalogen und Software-Versionen.
Weitere Unterschiede:
- Datenexport zu Microsoft Office
- Datenimport von Microsoft Office, beispielsweise für Bulk-Imports großer Datenmengen
- Datenimport von GSTOOL
- Vereinfachte Gefährdungs- und Risikoanalyse nach BSI-Standard 100-3
- Wechsel zwischen verschiedenen Versionen der Grundschutzkataloge
- Schutzbedarfsfeststellung von Prozessen
- Unterstützung Notfallvorsorge nach BSI-Standard 100-4 (Dokumentation der Kritikalität der IT für die Durchführung der Geschäftsprozesse)
Kritik
- proprietäre Software
SAVe® ist eine proprietäre Software. Eigene Entwicklungen oder individuelle Erweiterungen sind durch den Endanwender nicht ohne Weiteres möglich.
Einzelnachweise
1. ↑ BSI: GSTOOL – Andere Tools zum IT-Grundschutz. (Nicht mehr online verfügbar.) Archiviert vom Original am 25. September 2014; abgerufen am 29. April 2013.
2. ↑ INFODAS GmbH: Bundeswehr erwirbt Generallizenz von SAVe® (PDF). (PDF; 193 kB) 3. Juni 2011, abgerufen am 3. Juni 2011.
