IT-Grundschutz

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Durch Vernetzung, Nutzung des Internets vom Arbeitsplatz und eine Client/Server Architektur sind die Gefährdungen der Informationstechnik sehr komplex geworden. Verschiedene Internationale Standards ermöglichen Verantwortlichen die Risikominimierung für den Betrieb von Informationstechnik. Auf nationaler Ebene hat sich bei Behörden und größeren Unternehmen der IT-Grundschutz etabliert. Bei internationalen Unternehmen wird dagegen eher die ISO 27001 angewandt, für KMU die VdS 3473 zur Vermeidung organisatorischer oder finanzieller Überforderungen empfohlen.

Ausgangslage

IT-Grundschutz ist ein pauschaliertes Vorgehen zur Minimierung der Gefährdungslage bei IT-Anwendungen bei einem normalen (früher niedrig bis mittel) Schutzbedarf. Ausgangspunkt des IT-Grundschutzes ist die Annahme, dass bei IT-Anwendungen mit normalem Schutzbedarf eine individuelle Sicherheits-Ist-Analyse und eine darauf abgestimmte Maßnahmenauswahl (Sicherheitskonzept) nicht in einem angemessenen Kosten-Nutzen-Verhältnis zu erstellen sind. Aus diesem Grunde wurde ein Katalog mit Standardmaßnahmen aus den Bereichen Organisation, Personalwesen, Gebäude, Hardware, Software, Netze - die Grundschutz-Kataloge (früher: Grundschutzhandbuch) - definiert, um diese in pauschalierter Form im Sinne einer Mindestanforderung an ein IT-Sicherheitskonzept anzuwenden.

Die Dokumente zum IT-Grundschutz werden durch das BSI erstellt und regelmäßig an den technologischen Fortschritt angepasst. Sie bestehen im Wesentlichen aus zwei Teilen: Grundlagen des IT-Grundschutzes sowie Gefährdungen und Maßnahmen. Im ersten Teil werden die Grundlagen für die Erstellung eines IT-Sicherheitskonzepts erläutert und Hinweise für ein geeignetes Sicherheitsmanagement gegeben (BSI-Standards). Im zweiten Teil (IT-Grundschutz-Kataloge) werden die Gefährdungen ausführlich beschrieben und anhand von Beispielen erläutert. Anschließend wird ein Katalog mit geeigneten Maßnahmen aufgelistet, die durch Kontrollfragen ergänzt werden.


BSI-Standards

Derzeit sind 4 IT-Grundschutz-Standards des BSI verfügbar:

  1. BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
  2. BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
  3. BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
  4. BSI-Standard 100-4: Notfallmanagement


IT-Grundschutz-Kataloge

Die einzelnen Maßnahmen der Grundschutzkataloge sind an die realen IT-Einsatzkonfigurationen zu approximieren. Die Einsatzrandbedingungen werden dabei in den Grundschutzkatalogen beschrieben und müssen ebenfalls berücksichtigt werden. Das Prinzip des Grundschutzes funktioniert nach dem "Baukasten"-Prinzip, wonach für jede (Standard-)IT-Konfiguration ein Maßnahmenbündel zur Erhöhung der Sicherheit dieser Konfiguration beschrieben ist.


Umfeld des IT-Grundschutzes

Das BSI hat ein regelrechtes Umfeldsystem für den IT-Grundschutz geschaffen. Für IT-Verbünde und Rechenzentren besteht die Möglichkeit, sich auf Basis von IT-Grundschutz zertifizieren zu lassen. Die Prüfung, ob die hierfür festgelegten Anforderungen erfüllt werden, führt ein vom BSI lizenzierter Auditor durch. Zum Erwerb des Status als Auditor bietet das BSI Lehrgänge mit anschließender Prüfung an. Auch organisiert das BSI die jährlichen Auditorentreffen. Für den praktischen IT-Betrieb nach IT-Grundschutz kann ein von der Bundesakademie für öffentliche Verwaltung (BAköV) (im Zusammenwirken mit dem BSI) offerierter Lehrgang "IT-Sicherheitsbeauftragter der Öffentlichen Verwaltung" ebenfalls mit anschließender Prüfung und Zertifikatserteilung absolviert werden.

Ergänzt wird die Zertifizierung durch die IS-Revision. Diese können bereits am Anfang des Sicherheitsprozesses durchgeführt werden.

Auf Grund der umfassenden Behandlung bietet sich die IT-Grundschutz-Vorgehensweise für größere Unternehmen/Verwaltungen zur Standardisierung an (in der Bundesverwaltung und einigen Ländern ist der IT-Grundschutz bereits IT-Sicherheits-Standard).

Für kleinere Unternehmen hat das BSI einen "Leitfaden IT-Sicherheit" entwickelt. Zwischenzeitlich wurde jedoch auch eine etwas besser systematisierte und klarer strukturierte ISO-Norm (ISO 27003) hierfür entwickelt.


Reformpläne

Im Februar 2014 teilte das BSI mit, dass eine Reform des IT-Grundschutzes geplant sei[1] und lud zu einem Workshop auf die CeBIT 2014 ein, um die Wünsche und Bedürfnis der Anwender des Standards kennzulernen und in die Reform einzubeziehen.

Auf dem 14. Deutschen IT-Sicherheitskongress (19.-21.5.2015) berichtete der Abteilungsleiter "Cyber-Sicherheit" des BSI, Dr. Hartmut Isselhorst, dass im Jahr 2016 die ersten neuen Komponenten des reformierten IT-Grundschutzes online zur Diskussion gestellt werden sollen[2]. Eine umfangreiche Vorstellung der Ergebnisse sollen auf der it-sa 2017 präsentiert werden.


Einzelnachweis

  1. SecuPedia Aktuell: Beitrag "IT-Grundschutz soll grundlegend reformiert werden"
  2. BSI-Vortrag "IT-Grundschutz im Cyber-Raum" beim 14. Deutschen IT-Sicherheitskongress


Weblinks

Das BSI betreibt eine Informationsseite zum IT-Grundschutz.

Bei der Verarbeitung von personenbezogenen Daten sollten immer Maßnahmen nach Vorgabe der Grundschutzkataloge getroffen werden. Bestellung ist möglich über buchshop.secumedia.de

Mit verschiedenen auf dem Markt erhältlichen Softwaretools können die Maßnahmen rechnergestützt abgearbeitet und komfortabel aktualisiert werden werden. Eine Liste ist beim BSI einzusehen.


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 29. August 2017 um 12:22 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl, Lutz Gollan, Admin, M. Albert und Walter Ernestus.

Anzeigen