IT-Grundschutz

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Durch Vernetzung, Nutzung des Internets vom Arbeitsplatz und eine Client/Server Architektur sind die Gefährdungen der Informationstechnik sehr komplex geworden. Verschiedene Internationale Standards ermöglichen Verantwortlichen die Risikominimierung für den Betrieb von Informationstechnik. Auf nationaler Ebene hat sich bei Behörden und größeren Unternehmen der IT-Grundschutz etabliert. Bei internationalen Unternehmen wird dagegen eher die ISO 27001 angewandt, für KMU wird die VdS 3473 zur Vermeidung organisatorischer oder finanzieller Überforderungen empfohlen.

Ausgangslage

IT-Grundschutz ist ein pauschaliertes Vorgehen zur Minimierung der Gefährdungslage bei IT-Anwendungen bei einem normalen (früher niedrig bis mittel) Schutzbedarf. Ausgangspunkt des IT-Grundschutzes ist die Annahme, dass bei IT-Anwendungen mit normalem Schutzbedarf eine individuelle Sicherheits-Ist-Analyse und eine darauf abgestimmte Maßnahmenauswahl (Sicherheitskonzept) nicht in einem angemessenen Kosten-Nutzen-Verhältnis zu erstellen sind. Aus diesem Grunde wurde ein Katalog mit Standardmaßnahmen aus den Bereichen Organisation, Personalwesen, Gebäude, Hardware, Software, Netze - das Grundschutz-Kompendium (früher Grundschutz-Kataloge/Grundschutzhandbuch) - definiert, um diese in pauschalierter Form im Sinne einer Mindestanforderung an ein IT-Sicherheitskonzept anzuwenden.

Die Dokumente zum IT-Grundschutz werden durch das BSI erstellt und regelmäßig an den technologischen Fortschritt angepasst. Sie bestehen im Wesentlichen aus zwei Teilen: Grundlagen des IT-Grundschutzes sowie Gefährdungen und Umsetzungshinweise (früher Maßnahmen). Im ersten Teil werden die Grundlagen für die Erstellung eines IT-Sicherheitskonzepts erläutert und Hinweise für ein geeignetes Sicherheitsmanagement gegeben (BSI-Standards). Im zweiten Teil (IT-Grundschutz-Kompendium/früher Grundschutz-Kataloge bzw. Grundschutzhandbuch) werden die Gefährdungen ausführlich beschrieben und anhand von Beispielen erläutert. Anschließend wird ein Katalog mit geeigneten Umsetzungshinweisen (früher Maßnahmen) aufgelistet.


Reform

Im Februar 2014 teilte das BSI mit, dass eine Reform des IT-Grundschutzes geplant sei[1] und lud zu einem Workshop auf die CeBIT 2014 ein, um die Wünsche und Bedürfnis der Anwender des Standards kennzulernen und in die Reform einzubeziehen.

Auf dem 14. Deutschen IT-Sicherheitskongress (19.-21.5.2015) berichtete der Abteilungsleiter "Cyber-Sicherheit" des BSI, Dr. Hartmut Isselhorst, dass im Jahr 2016 die ersten neuen Komponenten des reformierten IT-Grundschutzes online zur Diskussion gestellt werden sollen[2]. Die Ergebnisse wurden plangemäß auf der it-sa 2017 präsentiert[3]. Inhaltlich wurden die BSI-Standards 100-1, 100-2 und 100-3 zu den neuen Standards 200-1, 200-2 und 200-3 unter Beibehaltung der Grundausrichtung weiterentwickelt. Weiterhin wurden die früheren IT-Grundschutz-Kataloge auf das neue IT-Grundschutz-Kompendium mit besseren Strukturierung und Verschlankung (Umsetzungshinweise statt der früheren Maßnahmen) umgestellt.


IT-Grundschutz vor der Reform

BSI-Standards

Vor der Grundschutz-Modernisierung waren 4 IT-Grundschutz-Standards des BSI verfügbar:

  1. BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
  2. BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
  3. BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
  4. BSI-Standard 100-4: Notfallmanagement (aktuell noch weiterhin gültig)


IT-Grundschutz-Kataloge

Die einzelnen Maßnahmen der Grundschutzkataloge waren an die realen IT-Einsatzkonfigurationen approximiert. Die Einsatzrandbedingungen waren dabei in den Grundschutzkatalogen beschrieben und mussten ebenfalls berücksichtigt werden. Das Prinzip des Grundschutzes funktionierte nach dem "Baukasten"-Prinzip, wonach für jede (Standard-)IT-Konfiguration ein Maßnahmenbündel zur Erhöhung der Sicherheit dieser Konfiguration beschrieben war.


Umfeld des IT-Grundschutzes

Das BSI hat ein regelrechtes Umfeldsystem für den IT-Grundschutz geschaffen. Für IT-Verbünde und Rechenzentren besteht die Möglichkeit, sich auf Basis von IT-Grundschutz zertifizieren zu lassen. Die Prüfung, ob die hierfür festgelegten Anforderungen erfüllt werden, führt ein vom BSI lizenzierter Auditor durch. Zum Erwerb des Status als Auditor bietet das BSI Lehrgänge mit anschließender Prüfung an. Auch organisiert das BSI die jährlichen Auditorentreffen. Für den praktischen IT-Betrieb nach IT-Grundschutz kann ein von der Bundesakademie für öffentliche Verwaltung (BAköV) (im Zusammenwirken mit dem BSI) offerierter Lehrgang "IT-Sicherheitsbeauftragter der Öffentlichen Verwaltung" ebenfalls mit anschließender Prüfung und Zertifikatserteilung absolviert werden.

Ergänzt wird die Zertifizierung durch die IS-Revision. Diese können bereits am Anfang des Sicherheitsprozesses durchgeführt werden.

Auf Grund der umfassenden Behandlung bietet sich die IT-Grundschutz-Vorgehensweise für größere Unternehmen/Verwaltungen zur Standardisierung an (in der Bundesverwaltung und allen Bundesländern ist der IT-Grundschutz bereits IT-Sicherheits-Standard über die Leitlinie Informationssicherheit in der öffentlichen Verwaltung).

Für kleinere Unternehmen hat das BSI einen "Leitfaden zur Basis-Absicherung" entwickelt. Zwischenzeitlich wurde jedoch auch eine etwas besser systematisierte und klarer strukturierte ISO-Norm (ISO 27003) hierfür entwickelt.


Einzelnachweis

  1. SecuPedia Aktuell: Beitrag "IT-Grundschutz soll grundlegend reformiert werden"
  2. BSI-Vortrag "IT-Grundschutz im Cyber-Raum" beim 14. Deutschen IT-Sicherheitskongress
  3. SecuPedia Aktuell: Der neue IT-Grundschutz: Modernisierung erfolgreich abgeschlossen


Weblinks

Das BSI betreibt eine Informationsseite zum IT-Grundschutz.

Bei der Verarbeitung von personenbezogenen Daten sollten immer Maßnahmen nach Vorgabe des Grundschutz-Kompendiums/der Grundschutzkataloge getroffen werden. Bestellung ist möglich über buchshop.secumedia.de

Mit verschiedenen auf dem Markt erhältlichen Softwaretools können die Maßnahmen rechnergestützt abgearbeitet und komfortabel aktualisiert werden werden. Eine Liste ist beim BSI einzusehen.


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 12. Oktober 2017 um 21:11 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl, Lutz Gollan, Admin, Markus Albert und Walter Ernestus.

Anzeigen