Mit dem IT-Grundschutz stellt das BSI einen umfangreichen Leitfaden zur Absicherung digitaler Systeme von Organisationen bereit.
Im jährlich aktualisierten Kompendium sind die genauen Anforderungen des BSI beschrieben. Doch Kritiker betrachten den Maßnahmenkatalog als zu sperrig und zu bürokratisch für die Anwendung in der Privatwirtschaft.
Grundschutz-Kompendium
Durch meine Fortbildung zum IT-Grundschutz Praktiker betrachte ich jedoch gerade die ausführliche Behandlung der IT-Sicherheit als Stärke des Grundschutz-Kompendiums.
Andere Standards nutzen eher vage Formulierungen wie „angemessene Sicherheitsvorkehrungen“ oder „neuester Stand der Technik“, das BSI hat sich zum Ziel gesetzt, klare Vorgaben für sämtliche Anwendungsbereiche von Cybersecurity bereitzustellen. Dabei wird kein besonderes technisches Fachwissen vorausgesetzt, um das Dokument auch Verantwortlichen außerhalb der IT zugänglich zu machen.
Vorteile des BSI IT-Grundschutzes
Das Kompendium bietet zum einen klar definierte Anforderungen zur Informationssicherheit, welche die Umsetzung von konkreten Verbesserungen in der Organisation wesentlich erleichtert und zum anderen entfällt bei einer BSI-Zertifizierung in der Regel eine detaillierte Risikoanalyse, da der Grundschutz auf Basis von allgemeinen Bedrohungen konzipiert ist und Standardmaßnahmen für die IT-Sicherheit bereitstellt.
Organisationen, die ihre IT-Sicherheit generell verbessern oder sich auf einen anderen Compliance-Standard vorbereiten, können den IT-Grundschutz als Leitfaden für die Erhebung des Ist-Zustandes und das Anvisieren von möglichen Verbesserungen nutzen.
Bei der vollständigen Umsetzung des Grundschutzes ist zudem eine ISO 27001-Zertifizierung möglich, um internationale Vergleichbarkeit zu gewährleisten.
IT-Grundschutz
Im Zentrum des IT-Grundschutzes steht der Aufbau eines Managementsystems (MDM) für Informationssicherheit bzw. ISMS, also Richtlinien und Verfahren, die Informationssicherheit dauerhaft in einer Organisation verankern und klare Abläufe schaffen.
Standards als Grundlage
Die Grundlagen für die Erstellung eines solchen ISMS sind in den BSI-Standards 200–1 und 200–2 dokumentiert. Trotz der Bezeichnung als Standard handelt es sich bei diesen Dokumenten im Wesentlichen um eine Hilfestellung, die einen organisatorischen Rahmen für die Umsetzung des IT-Grundschutzes anbietet.
Bausteine
Konkrete Anforderungen, die Organisationen in Bereichen wie Infrastruktur, Software-Anwendungen, IT-Systemen oder Personal erfüllen müssen, sind im Grundschutz-Kompendium zusammengefasst. Das Kompendium besteht aus zahlreichen Bausteinen, die sich auf zehn verschiedene Themen wie Betrieb, Organisation oder Netzkommunikation aufteilen.
Dabei geht das Kompendium in jedem Kapitel, beispielsweise NET.2.1 WLAN-Betrieb, zunächst auf mögliche Gefahren ein und definiert anschließend konkrete Anforderungen, etwa „Access Points müssen zugriffs- und diebstahlsicher montiert werden.“
Der IT-Grundschutz unterscheidet dabei zwischen grundlegenden Basis-Anforderungen und weiterreichenden Standard-Anforderungen.
Es gibt drei mögliche Zertifizierungen auf Basis des IT-Grundschutzes nach BSI:
Basis-Absicherung
Bei der Basis-Absicherung werden die Grundlagen der IT-Sicherheit in allen Bereichen des Unternehmens umgesetzt. Diese Option bietet also einen breiten, aber nicht besonders umfassenden Schutz und dieses ist keine Basis für eine Zertifizierung.
Kern-Absicherung
Bei der Kern-Absicherung werden auch weiterführende Anforderungen des Kompendiums erfüllt, aber nur in besonders kritischen Bereichen. Somit bietet diese Variante einen vertieften Schutz für die wichtigsten Systeme. Auf Basis der Kern-Absicherung ist auch eine ISO 27001-Zertifizierung möglich.
Standard-Absicherung
Die Standard-Absicherung deckt alle empfohlenen Anforderungen des IT-Grundschutzes in sämtlichen Bereichen ab. Es werden also alle Empfehlungen des BSI umgesetzt. Auch hier ist eine ISO 27001-Zertifizierung durch einen BSI-Auditor möglich.
Strukturanalyse
Am Anfang steht die Strukturanalyse, bei der vorhandene Prozesse, Anwendungen und Systeme erfasst werden. Diese werden dann im Rahmen einer Schutzbedarfsfeststellung analysiert, um festzustellen, ob es Objekte im Unternehmen gibt, die zusätzliche Schutzmaßnahmen brauchen. Dabei wird jedem Element der passende Baustein aus dem Kompendium zugeordnet.
Risikoanalyse
Falls es Prozesse oder Systeme gibt, für die kein passender Baustein existiert, muss ein benutzerdefinierter Baustein erstellt werden. In diesem Fall ist auch eine Risikoanalyse notwendig.
Der IT-Grundschutz definiert klare Kriterien für Datensicherheit, dennoch haben Organisationen freie Hand, bei der Art des Weges diese Anforderungen umzusetzen. Damit der Aufwand so gering wie möglich ist, empfiehlt es sich, auf automatisierte Software-Lösungen zu setzen, welche die notwendigen Prozesse reibungslos in den Geschäftsalltag integrieren.
Identity & Access Management
Mit einer passenden Identity & Access Management Lösung bleibt die händische Verwaltung und Dokumentation von Zugriffsrechten, die im Baustein Identitäts- und Berechtigungsmanagement vorgegeben erspart. Selbstverständlich gibt es auch in vielen anderen Bereichen geeignete Software-Lösungen, wie zum Beispiel Endpunkt-Sicherheit, die Verwaltung von Passwörtern und Backup-Lösungen.
Prozesse der Datensicherheit
Mit passenden Tools lassen sich wesentliche Prozesse der Datensicherheit zusammenfassen und über zentrale Plattformen verwalten. Dabei decken Software-Produkte oft Anforderungen aus verschiedenen Bausteinen ab.
Überblick behalten
Um den Überblick zu behalten, empfiehlt es sich, sämtliche Kriterien intern durchzugehen, bevor ein Auditor kontaktiert wird.
Ein IT-Grundschutz Praktiker und der Informationssicherheitsbeauftragte (ISB) bieten hier zusammen die besten Voraussetzungen.
Also lassen Sie sich gut beraten.
2 Comments