Anzeige

BSI IT Grundschutz

Bild: Worawut

Mit dem IT-Grundschutz stellt das BSI einen umfangreichen Leitfaden zur Absicherung digitaler Systeme bereit. Aber ist der Grundschutz neben internationalen Normen wie ISO 27001 überhaupt relevant? Lohnt sich die Auseinandersetzung für Unternehmen?

Der IT-Grundschutz des Bundesministeriums für Sicherheit in der Informationstechnik ist als Hilfestellung für Behörden und Unternehmen gedacht, die ihre digitale Infrastruktur besser absichern möchten. Mit stolzen 810 Seiten Umfang schreckt das jährlich aktualisierte Kompendium, in dem die genauen Anforderungen des BSI beschrieben sind, allerdings viele Unternehmen ab. Kritiker betrachten den Maßnahmenkatalog als zu sperrig und zu bürokratisch für die Anwendung in der Privatwirtschaft.

Gerade die ausführliche Behandlung des Themas IT-Sicherheit lässt sich jedoch auch als Stärke des Grundschutz-Kompendiums betrachten: Während andere Standards auf vage Formulierungen wie „angemessene Sicherheitsvorkehrungen“ oder „neuester Stand der Technik“ zurückgreifen, hat sich das BSI zum Ziel gesetzt, klare Vorgaben für sämtliche Anwendungsbereiche von Cybersecurity bereitzustellen. Dabei wird kein besonderes technisches Fachwissen vorausgesetzt, um das Dokument auch Entscheidungsträgern außerhalb der IT zugänglich zu machen.

Aus diesem Aufbau ergeben sich zwei große Vorteile, die den BSI-IT-Grundschutz für Unternehmen interessant machen können: Zum einen bietet das Kompendium klar definierte Anforderungen in Sachen Informationssicherheit, die die Umsetzung von konkreten Verbesserungen in einer Organisation wesentlich erleichtern. Zum anderen entfällt bei einer BSI-Zertifizierung in der Regel eine detaillierte Risikoanalyse, da der Grundschutz auf Basis von allgemeinen Bedrohungen konzipiert ist und Standardmaßnahmen für die IT-Sicherheit bereitstellt.

Unternehmen, die ihre IT-Sicherheit generell verbessern oder sich auf einen anderen Compliance-Standard vorbereiten möchten, können den IT-Grundschutz entsprechend als Leitfaden für die Erhebung des Ist-Zustandes und das Anvisieren von möglichen Verbesserungen nutzen. Bei der vollständigen Umsetzung des Grundschutzes ist zudem eine ISO 27001-Zertifizierung möglich, um internationale Vergleichbarkeit zu gewährleisten.

Wie ist der IT-Grundschutz aufgebaut?

Im Zentrum des IT-Grundschutzes steht der Aufbau eines Managementsystems für Informationssicherheit bzw. ISMS, also Richtlinien und Verfahren, die Informationssicherheit dauerhaft in einer Institution verankern und klare Abläufe schaffen sollen. Die Grundlagen für die Erstellung eines solchen ISMS sind in den BSI-Standards 200-1 und 200-2 dokumentiert. Trotz der Bezeichnung als Standard handelt es sich bei diesen Dokumenten im Wesentlichen um eine Hilfestellung, die einen möglichen organisatorischen Rahmen für die Umsetzung des IT-Grundschutzes anbietet.  
 

Hacker analysiert Firmen-Systeme auf Schwachstellen und Sicherheitslücken (Bild: Robert Kneschke)

 

Die konkreten Anforderungen, die Unternehmen in Bereichen wie Infrastruktur, Software-Anwendungen, IT-Systemen oder Personal erfüllen müssen, sind im Grundschutz-Kompendium zusammengefasst. Das Kompendium besteht aus zahlreichen Bausteinen, die sich auf zehn verschiedene Themen wie Betrieb, Organisation oder Netzkommunikation aufteilen. Dabei geht das Kompendium in jedem Kapitel, beispielsweise NET.2.1 WLAN-Betrieb, zunächst auf mögliche Gefahren ein und definiert anschließend konkrete Anforderungen, etwa „Access Points MÜSSEN zugriffs- und diebstahlsicher montiert werden.“

Der IT-Grundschutz unterscheidet dabei zwischen grundlegenden Basis-Anforderungen und weiterreichenden Standard-Anforderungen. Insgesamt ergeben sich aus dieser Kombination gleich drei verschiedene Möglichkeiten für die Zertifizierung:

  1. Bei der Basis-Absicherung werden die Grundlagen der IT-Sicherheit in allen Bereichen des Unternehmens umgesetzt. Diese Option bietet also einen breiten, aber nicht besonders umfassenden Schutz.
     
  2. Bei der Kern-Absicherung werden auch weiterführende Anforderungen des Kompendiums erfüllt, aber nur in besonders kritischen Bereichen. Somit bietet diese Variante einen vertieften Schutz für die wichtigsten Systeme. Auf Basis der Kern-Absicherung ist auch eine ISO 27001-Zertifizierung möglich.
     
  3. Die Standard-Absicherung deckt alle empfohlenen Anforderungen des IT-Grundschutzes in sämtlichen Bereichen ab. Es werden also alle Empfehlungen des BSI umgesetzt. Auch hier ist eine ISO 27001-Zertifizierung durch einen BSI-Auditor möglich.

Wie bereite ich mich auf die Zertifizierung vor?

Auch wenn es sich bei der Methodik der BSI-Standards eigentlich nur um eine Empfehlung handelt, ist es natürlich trotzdem sinnvoll, sich an dem vorgeschlagenen Ablauf zu orientieren. Am Beginn steht eine Strukturanalyse, bei der vorhandene Prozesse, Anwendungen und Systeme erfasst werden. Anschließend bewerten Sie im Rahmen einer Schutzbedarfsfeststellung, ob es Objekte im Unternehmen gibt, die zusätzliche Schutzmaßnahmen brauchen, und ordnen jedem Element die passenden Bausteine aus dem Kompendium zu. Falls es Prozesse oder Systeme gibt, für die kein passender Baustein existiert, muss ein benutzerdefinierter Baustein erstellt werden. In diesem Fall ist auch eine Risikoanalyse notwendig.

Tipp: Obwohl der IT-Grundschutz klare Kriterien für Datensicherheit definiert, haben Organisationen dennoch freie Hand, wenn es darum geht, auf welchem Weg Sie diese Anforderungen umsetzen möchten. Um den Aufwand so gering wie möglich zu halten, empfiehlt es sich daher, auf automatisierte Software-Lösungen zu setzen, die die notwendigen Prozesse reibungslos in den Geschäftsalltag integrieren. Mit einer passenden Identity & Access Management Lösung ersparen Sie sich etwa die händische Verwaltung und Dokumentation von Zugriffsrechten, die im Baustein Identitäts- und Berechtigungsmanagement vorgegeben ist. Selbstverständlich gibt es auch in vielen anderen Bereichen geeignete Software-Lösungen: Endpunkt-Sicherheit, die Verwaltung von Passwörtern, Backup-Lösungen und so weiter.

Mit den passenden Tools lassen sich wesentliche Prozesse der Datensicherheit zusammenfassen und über zentrale Plattformen verwalten. Oft decken Software-Produkte somit Anforderungen aus verschiedenen Bausteinen ab. Um den Überblick zu behalten, empfiehlt es sich, sämtliche Kriterien intern durchzugehen, bevor ein Auditor kontaktiert wird. 

Michael Ugrinovich, Senior Manager Products & Services
Michael Ugrinovich
Senior Manager Products & Services, tenfold
Michael Ugrinovich ist Senior Manager Products & Services beim Software-Hersteller tenfold. Der diplomierte IT-Experte war richtungsweisend an der Entwicklung des Standard-Software Produkts tenfold beteiligt.

Weitere Artikel

Google Assistant

Sprachassistenten und das Fake-Wake-Phänomen

In einem gemeinsamen Projekt mit einem Forschungsteam der chinesischen Zhejiang Universität in Hangzhou haben Forschende des System Security Lab an der TU Darmstadt das sogenannte „Fake-Wake-Phänomen“ systematisch untersucht. Dieses Phänomen führt bei…
USA EU

Datentransfer in die USA so sicher wie möglich gestalten

Fast alle Unternehmen übermitteln über ihre eingesetzte Software unbemerkt Daten in die USA. Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung.
Smartphone

Deutsche Smartphone-Nutzer legen viel Wert auf Privatsphäreeinstellungen

Anlässlich des Release der neuen iPhone 13-Reihe und der bedeutenden Datenschutz-Offensive von Apple haben die Datenschutzexperten von heyData, der digitalen Plattform für Datenschutzlösungen, eine Untersuchung veröffentlicht, die Aufschluss über die…
Kunden

6 Tipps für die datenschutzkonforme Lead-Generierung

Online-Marketing per E-Mail oder Newsletter wird immer mehr von der Kür zur Pflicht. Ein wichtiges Ziel ist die Lead-Generierung. Doch wer Direktmarketing im Netz betreibt, der sammelt personenbezogene Daten. Und deren Schutz verschärft der Gesetzgeber mehr…
DSGVO

Datenschutz setzt Unternehmen unter Dauerdruck

Ein aufwändiger Prüfprozess vor der Einführung jedes digitalen Tools, regelmäßig neue Entscheidungen der Aufsichtsbehörden und Gerichtsurteile in ganz Europa, die Auswirkungen auf das eigenen Unternehmen haben können – die Anforderungen an den Datenschutz…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.