imported>SchlurcherBot: Bot: http → https

2025-10-10T02:20:12Z

Bot: http → https

Neue Seite

{{Veraltet|dieses Artikels|Das GSTOOL wurde eingestellt. Das BSI empfiehlt "Alternative IT-Grundschutz-Tools", siehe dort.|seit=2017}}
{{Infobox Software
|Name = 
|Logo =
|Screenshot = 
|Beschreibung = 
|Maintainer =
|Hersteller = Bundesamt für Sicherheit in der Informationstechnik
|Erscheinungsjahr = 1998
|AktuelleVersion = 4.8
|AktuelleVersionFreigabeDatum = Juni 2013
|AktuelleVorabVersion =
|AktuelleVorabVersionFreigabeDatum =
|Betriebssystem = Windows
|Programmiersprache =
|Kategorie = IT-Sicherheit
|Lizenz = proprietär
|Deutsch = ja
|Sonstiges = Das Werkzeug und dessen Entwicklung sind eingestellt und durch andere, freigegebene [[ISMS]] Tools ersetzt worden
}}

Das '''GSTOOL''' des [[Bundesamt für Sicherheit in der Informationstechnik|Bundesamtes für Sicherheit in der Informationstechnik]] (BSI) war eine datenbankbasierte Softwareanwendung zur Erstellung von [[Sicherheitskonzept]]en nach der Vorgehensweise des [[IT-Grundschutz]]es. Das GSTOOL erschien 1998, vier Jahre nach der Veröffentlichung des [[IT-Grundschutz-Kataloge|IT-Grundschutzhandbuches]]. Der Bezug war für öffentliche Einrichtungen (unmittelbare Bundes-, Landes- und Kommunalverwaltung) kostenlos. Ende 2016 wurde der Support für das Tool eingestellt.

== Historie ==
Die Version 2.0 wurde von [[Klaus Christian Plönzke|CSC Ploenzke]] erstellt. Die Versionen 1.0 und 2.0 waren Java-Anwendungen. Als Datenbanksystem kam das relationale Datenbanksystem [[InterBase]] von [[Borland]] zum Einsatz.

Die Versionen 3.0 bis 4.7 des GSTOOLs wurden von [[Sopra Steria Consulting]] im Auftrag und Namen des BSI entwickelt. Diese Versionen wurden mit den Programmiersprachen [[Visual Basic Classic]] 6.0 und [[Microsoft Visual C++|Visual C++]] entwickelt. Das GSTOOL wurde ab der Version 3.0 mit dem [[Microsoft SQL Server]] ausgeliefert.

Die Entwicklung der Version 4.1 (erschienen Mai 2007) wurde durch [[Bayer Business Services]] und das [[Zentrum für Informationsverarbeitung und Informationstechnik]] (ZIVIT) unterstützt. Die im Februar 2008 veröffentlichte Version 4.5 beinhaltete als wesentliche Erweiterung den BSI-Standard 100-3 ([[Risikoanalyse]] auf der Basis des IT-Grundschutzes). Durch die [[Hochschule Niederrhein]] wurde die Entwicklung der Version 4.6 unterstützt. Die Version 4.7 wurde erneut durch das [[Zentrum für Informationsverarbeitung und Informationstechnik|ZIVIT]] unterstützt.

Mit der Neuentwicklung des GSTOOL 5.0 wurde im Dezember 2008 das Unternehmen Persicon labs GmbH beauftragt. Die neue Version sollte als Webclient vor allem [[Plattformunabhängigkeit|plattformunabhängig]] eingesetzt werden können. Das ursprünglich geplante Erscheinungsjahr war 2010. Das BSI nannte auf dem IT-Grundschutztag im Oktober 2011 den 1. April 2012 als Erscheinungsdatum der finalen Version. Nachdem das BSI auf dem 4. IT-Grundschutztag 2012 auf der [[it-sa]] in Nürnberg verkündete, dass das GSTOOL 5.0 wegen schwerwiegender Mängel an den Hersteller zur Nachbesserung zurückgegeben wurde, konnten die Qualitätsanforderungen des BSI zum 1. IT-Grundschutztag 2013 nicht erfüllt werden. Daher wurde die Veröffentlichung der Version 5.0 auf unbestimmte Zeit verschoben.<ref>{{Internetquelle | url=https://heise.de/-1824176 | titel=BSI verweigert Abnahme des GSTOOL 5.0 | autor=Volker Briegleb | hrsg=[[iX – Magazin für professionelle Informationstechnik|iX]] | datum=2013-03-16 | zugriff=2013-03-18}}</ref>

Aufgrund mangelnder Wirtschaftlichkeit wurde die Weiterentwicklung des GSTOOLs eingestellt.<ref>{{Internetquelle |url=https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/BSI_stellt_Entwicklung_GSTOOL_5_ein_19092013.html |titel=BSI stellt Entwicklung des GSTOOL 5.0 ein |hrsg=BSI |datum=2013-09-19 |archiv-url=https://web.archive.org/web/20141113121042/https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/BSI_stellt_Entwicklung_GSTOOL_5_ein_19092013.html |archiv-datum=2014-11-13 |abruf=2021-05-23 |sprache=de}}</ref> Die Version 4.x wurde bis zum 31. Dezember 2014 vertrieben, eine Support-Unterstützung wurde bis Ende 2016 gegeben.<ref name=":0">{{Internetquelle |url=https://www.bsi.bund.de/DE/Themen/ITGrundschutz/GSTOOL/gstool_node.html |titel=BSI – IT-Grundschutz Tools – Startseite |hrsg=BSI |archiv-url=https://web.archive.org/web/20160309025809/https://www.bsi.bund.de/DE/Themen/ITGrundschutz/GSTOOL/gstool_node.html |archiv-datum=2016-03-09 |abruf=2021-05-23 |sprache=de}}</ref>

== Leistungsmerkmale ==
=== Fachlich ===
* Unterstützung folgender [[BSI-Standard]]s:
** BSI-Standard 100-1: Managementsysteme für Informationssicherheit
** BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
** BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
* Erfassung von Zielobjekten (IT-Systemen, Anwendungen, Netzen usw.) für Strukturanalyse
* Erfassen zusätzlicher Informationen zu Zielobjekten
* Modellierung und Schichtenmodell nach IT-Grundschutz
* [[ISO/IEC 27001|ISO/IEC-27001]]-Zertifikat auf der Basis von IT-Grundschutz
* Schutzbedarfsfeststellung
* Berichterstellung
* Auswertung der Kostenschätzungen in Berichten
* Revisionsunterstützung
* Versionierung benutzerdefinierter [[Metadaten]] (Bausteine, Maßnahmen und Gefährdungen)
* Verwaltung mehrerer voneinander unabhängiger Arbeitsbereiche

=== Technisch ===
* Verwaltung mehrerer Sicherheitskonzepte in einem Tool
* Netzwerkfähigkeit
* Mehrbenutzerfähigkeit durch Rechte- und Rollenkonzept
* Zweisprachigkeit: deutsch/englisch (mit der Möglichkeit, auch andere Sprachversionen einzubinden)
* Historienführung auf Feldebene
* Einfaches Update der Metadatenbasis über das Internet
* Importfunktion für Datenbestände aus der Vorversion
* Export von Teilarbeitsbereichen bei nicht vorhandener Netzwerkverbindung
* Berichtsfunktion durch ca. 50 vordefinierte Berichte
* Verschlüsselung von benutzerspezifischen Daten für Exporte (Dateiverschlüsselung)

== Wegfall der Verschlüsselung ==
Die bis zur Version 4.7 enthaltene Verschlüsselungsfunktion auf Basis von [[Chiasmus (Software)|Chiasmus]] wurde in Version 4.8 entfernt, da sie gebrochen wurde. Das BSI rät von der Verwendung ab.<ref>Jan Schejbal: ''[https://janschejbal.wordpress.com/2013/09/11/advisory-unsichere-verschluesselung-bei-gstool/ Advisory: Unsichere Verschlüsselung bei GSTOOL]'', 11. September 2013</ref> Trotzdem wurde Sicherheitsforschern mit juristischen Konsequenzen gedroht, falls sie Details zu der Sicherheitslücke veröffentlichen würden, da diese laut BSI nur mittels [[Reverse Engineering]] entdeckt werden konnte und dies damit eine [[Urheberrechtsverletzung]] darstelle.<ref>Jan Schejbal: ''[https://janschejbal.wordpress.com/2013/09/11/wie-das-bsi-deutsche-unternehmen-schuetzt-ein-rant/ Wie das BSI unsere Daten “schützt”. Ein Rant über die Schwachstelle im GSTOOL.]'', 11. September 2013</ref><ref>Hanno Böck: ''[https://www.golem.de/news/gstool-bsi-bedroht-sicherheitsforscher-1309-101531.html GSTool: BSI bedroht Sicherheitsforscher]'', Golem.de, 11. September 2013</ref>

== Supportende ==
Ende 2016 wurde der Support vom Bundesamt für Sicherheit in der Informationstechnik eingestellt. Der Vertrieb war schon 2014 eingestellt worden.<ref>{{Internetquelle |autor=Samira Sprengel |url=https://www.hiscout.com/zedis-grundschutz-tool-bundesverwaltung/ |titel=ZeDIS: einheitliches Grundschutz-Tool für die Bundesverwaltung |werk=HiScout |datum=2025-01-14 |sprache=de-DE |abruf=2025-03-01}}</ref><ref>{{Internetquelle |url=https://www.cio.bund.de/Webs/CIO/DE/digitale-loesungen/it-konsolidierung/dienstekonsolidierung/it-massnahmen/gs-tool/gs-tool-node.html |titel=CIO Bund - IT Grundschutztool |werk=Bundesministerium des Innern und für Heimat |hrsg=BMI |sprache=de |abruf=01.03.2025}}</ref> Die Entscheidung dafür wurde aus wirtschaftlichen Gründen getroffen.<ref>{{Internetquelle |url=https://www.pressekat.de/pressinfo1001606-das-gstool-und-opus-i-zwei-it-sicherheitsmanagementsysteme-die-sich-gut-verstehen.html |titel=PresseKat - Das GSTOOL und opus i - zwei IT-Sicherheitsmanagementsysteme, die sich gut verstehen |abruf=2025-03-01}}</ref> Die Einstellung des Supports sorgte bei IT-Sicherheitsverantwortlichen für Aufsehen, während das Bundesamt für Sicherheit in der Informationstechnik auf alternative Tools von anderen Herstellern verwies, die die Daten des GSTOOLs übernehmen könnten. Eigentlich war ursprünglich eine aktualisierte Version GSTOOL 5.0 geplant. Eine Neuerung in dieser Version wäre gewesen, ein Datenschutz-Verfahrensverzeichnis direkt im Tool führen zu können. Das GSTOOL galt nach Einführung des Betriebssystems Windows 10 technisch veraltet, war aber prinzipiell noch ausführbar und in gewohntem Umfang nutzbar. Auf Fehler, Inkompatibilitäten und Sicherheitslücken kann seit Supportende jedoch nicht mehr reagiert werden. Zudem werden die aktuellen Standards des Bundesamtes für Sicherheit in der Informationstechnik nicht mehr abgebildet.

== Literatur ==
* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/15JahreGrundschutz/15JahreITGrundschutz_Topp_BMZ_pdf.html 15 Jahre IT-Grundschutz / 10 Jahre GSTOOL]
* [https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/GSTOOL/gstoolmanual_pdf.html Benutzerhandbuch] (ca. 400 Seiten, PDF, Version 3.1)
* {{Cite book|publisher=Hanser|isbn=978-3-446-22984-6|last=Humpert|first=Frederik|title=IT-Grundschutz umsetzen mit GSTOOL: Anleitungen und Praxistipps für den erfolgreichen Einsatz des BSI-Standards|location=München Wien|series=IT-Sicherheitsmanagement|date=2005}}

== Weblinks ==
* [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Alternative-IT-Grundschutztools/IT-Grundschutztools_node.html Alternative IT-Grundschutz-Tools]
* [https://www.youtube.com/watch?v=MeUv4S0vA9s Webinar: GSTOOL Support ist ausgelaufen – i doit als Alternative]

== Einzelnachweise ==
<references />

[[Kategorie:IT-Sicherheit]]
[[Kategorie:Abkürzung]]

GSTOOL - Versionsgeschichte

imported>SchlurcherBot: Bot: http → https