Skip to content Skip to footer

Basis­ab­si­che­rung

Lese­dau­er 3 Minu­ten

Eine Basis­ab­si­che­rung kann als Ein­stieg und Grund­la­ge für eine umfas­sen­de Absi­che­rung nach IT-Grund­schutz die­nen. Sie ist ins­be­son­de­re für Orga­ni­sa­tio­nen inter­es­sant, die einen Ein­stieg in den IT-Grund­schutz suchen und schnell alle rele­van­ten Geschäfts­pro­zes­se mit Basis­maß­nah­men absi­chern wollen.

Cyber­crime

Da Bun­des­kri­mi­nal­amt und der Digi­tal­ver­band Bit­kom stell­ten im August die­se Jah­res das „Bun­des­la­ge­bild Cyber­crime 2022“ vor. Danach befin­den sich Straf­ta­ten im Bereich Cyber­crime in Deutsch­land wei­ter­hin auf einem Rekord­hoch. Behör­den regis­trier­ten im ver­gan­ge­nen Jahr 136.865 Fäl­le von Cyber­crime und bezif­fer­ten den damit ver­bun­den Scha­den im Wirt­schafts­schutz­be­richt 2022 auf 203 Mil­li­ar­den Euro. Das Scha­dens­po­ten­ti­al durch Cyber­crime ran­giert damit nach wie vor auf den obers­ten Plätzen.

Weg in die Basisabsicherung

Mit dem Pro­jekt „Weg in die Basis­ab­si­che­rung (WiBA)“ unter­stützt das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) beim Ein­stieg in den IT-Schutz. Hier­zu wur­den 18 Check­lis­ten für Kom­mu­nen als Com­mu­ni­ty Draft ver­öf­fent­licht und bestehen aus Prüf­fra­gen und Umset­zungs­hil­fen für die drin­gends­ten Sicher­heits­maß­nah­men. Auch klei­ne und mit­tel­stän­di­ge Unter­neh­men kön­nen sich die­sen Ansatz als nie­der­schwel­li­gen Ein­stieg zu Nut­ze machen.

Bis zum 15. Sep­tem­ber 2023 konn­ten alle die einen Bei­trag leis­ten woll­ten, das Doku­ment kom­men­tie­ren und die end­gül­ti­ge Ver­öf­fent­li­chung des WiBA ist für Okto­ber 2023 vorgesehen.

Check­lis­ten des BSI

Die 18 Check­lis­ten befas­sen sich mit den tech­ni­schen-orga­ni­sa­to­ri­schen Maß­nah­men zur IT-Sicher­heit und glie­dern sich wie folgt:

  • Arbeit außer­halb der Institution
  • Arbeit inner­halb der Insti­tu­ti­on / Haustechnik
  • Back­up
  • Büro­soft­ware
  • Cli­ent
  • Dru­cker und Multifunktionsgeräte
  • IT-Admi­nis­tra­ti­on
  • Mobi­le Endgeräte
  • Net­ze
  • Orga­ni­sa­ti­on und Personal
  • Out­sour­cing und Cloud
  • Rol­len / Berech­ti­gun­gen / Authentisierung
  • Ser­ver­raum
  • Ser­ver­sys­te­me
  • Sicher­heits­me­cha­nis­men
  • Tele­fo­nie und Fax
  • Umgang mit Informationen
  • Vor­be­rei­tung für Sicherheitsvorfälle

Die Check­lis­te zum Back­up ent­hält die fol­gen­den sie­ben Fragen:

  • Ist fest­ge­legt, wel­che Daten gesi­chert werden?
  • Ist fest­ge­legt, in wel­chen zeit­li­chen Abstän­den die Daten gesi­chert werden?
  • Ist fest­ge­legt, auf wel­chem Spei­cher­me­di­um die Daten gespei­chert werden?
  • Ist fest­ge­legt, wie lan­ge Back­ups vor­ge­hal­ten wer­den müssen?
  • Wird ein geeig­ne­tes Back­up­sys­tem eingesetzt?
  • Wer­den die Daten­si­che­run­gen im Hin­blick auf Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät ange­mes­sen abgesichert?
  • Wer­den Back­ups regel­mä­ßig getestet?

Die Basis­ab­si­che­rung wird durch drei Schrit­ten vorgenommen:

Bestands­auf­nah­me
Hier wird die jewei­li­ge IT-Land­schaft erfasst und die wich­tigs­ten IT-Sys­te­me und ‑Pro­zes­se iden­ti­fi­ziert, wel­che für die Erfül­lung der Auf­ga­ben not­wen­dig sind.

Basis-Absi­che­rung
Die Check­lis­ten des BSI sind anzu­wen­den, um die Basis-Absi­che­rung für die aus­ge­wähl­ten IT-Sys­te­me und ‑Pro­zes­se zu errei­chen. Die Check­lis­ten ent­hal­ten kon­kre­te Maß­nah­men, die auf den IT-Grund­schutz-Stan­dards basieren.

Wei­ter­ent­wick­lung
Anschlie­ßend ist regel­mä­ßig die Wirk­sam­keit der Basis-Absi­che­rung zu über­prü­fen und sind mög­lichst wei­te­re Ver­bes­se­run­gen der IT-Sicher­heit vorzunehmen.

Was nun?

Beim The­ma Back­up dürf­ten die meis­ten erst unru­hig wer­den, wenn ein Pro­blem auf­taucht, doch dann ist es ja bekannt­lich meis­tens zuspät. Zudem stel­len sich beim The­ma IT– und Infor­ma­ti­ons­si­cher­heit vie­len klei­nen Unter­neh­men vie­le Fra­gen und eine Zer­ti­fi­zie­run­gen nach ISO 27001 oder dem IT-Grund­schutz ist zudem komplex.

Hier bie­tet der „Weg in die Basis-Absi­che­rung“ einen nied­rig­schwel­li­gen und kos­ten­güns­ti­gen Ein­stieg. Die bereit­ge­stell­ten Doku­men­te bzw. Check­lis­ten sind sogar kos­ten­los, doch bei dem Pro­jekt sind auch die ver­schie­de­nen Fak­to­ren, wie z.B. die Grö­ße und Kom­ple­xi­tät der IT-Land­schaft, dem vor­han­de­nen Per­so­nal und dem vor­han­de­nen Know-how und dem Rei­fe­grad der Orga­ni­sa­ti­on zu berück­sich­ti­gen. Als Start sind die kos­ten­frei­en Check­lis­ten in jedem Fall eine gute Orientierung.

Das Pro­jekt „Weg in die Basis-Absi­che­rung“ ist ursprüng­lich an Ver­wal­tun­gen adres­siert, aber die Check­lis­ten haben auch für die freie Wirt­schaft eine Bedeu­tung und einen Nut­zen, denn sie ste­hen frei zur Ver­fü­gung. Dies ermög­licht ins­be­son­de­re Kleinst­un­ter­neh­men einen Ein­stieg in die Thematik.

Wer zudem ein nach außen wirk­sa­mes Zer­ti­fi­kat erhal­ten möch­te, kommt auf Dau­er um ein Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­tem (ISMS) nicht herum.

Also las­sen Sie sich gut beraten.

Kommentar

Nach oben