IT-Grundschutz

Durch eine Vernetzung, Nutzung des Internets vom Arbeitsplatz und eine Client/Server Architektur sind die Gefährdungen der Informationstechnik sehr komplex geworden. Verschiedene Internationale Standards ermöglichen Verantwortlichen die Risikominimierung für den Betrieb von Informationstechnik. Auf Nationaler Ebene hat sich der IT-Grundschutz etabliert.

[Bearbeiten] Ausgangslage

IT-Grundschutz ist ein pauschaliertes Vorgehen zur Minimierung der Gefährdungslage bei IT-Anwendungen bei einem normalen (früher niedrig bis mittel) Schutzbedarf. Ausgangspunkt des IT-Grundschutzes ist die Annahme, dass bei IT-Anwendungen mit normalem Schutzbedarf eine individuelle Sicherheits-Ist-Analyse und eine darauf abgestimmte Maßnahmenauswahl (Sicherheitskonzept) nicht in einem angemessenen Kosten-Nutzen-Verhältnis zu erstellen sind. Aus diesem Grunde wurde ein Katalog mit Standardmaßnahmen aus den Bereichen Organisation, Personalwesen, Gebäude, Hardware, Software, Netze - die Grundschutz-Kataloge (früher: Grundschutzhandbuch) - definiert, um diese in pauschalierter Form im Sinne einer Mindestanforderung an ein IT-Sicherheitskonzept anzuwenden.

Die Dokumente zum IT-Grundschutz werden durch das BSI erstellt und regelmäßig an den technologischen Fortschritt angepasst. Sie bestehen im Wesentlichen aus zwei Teilen: Grundlagen des IT-Grundschutzes sowie Gefährdungen und Maßnahmen. Im ersten Teil werden die Grundlagen für die Erstellung eines IT-Sicherheitskonzepts erläutert und Hinweise für ein geeignetes Sicherheitsmanagement gegeben (BSI-Standards). Im zweiten Teil (IT-Grundschutz-Kataloge) werden die Gefährdungen ausführlich beschrieben und anhand von Beispielen erläutert. Anschließend wird ein Katalog mit geeigneten Maßnahmen aufgelistet, die durch Kontrollfragen ergänzt werden.

[Bearbeiten] BSI-Standards

Derzeit sind 4 IT-Grundschutz-Standards des BSI verfügbar:

1. BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
2. BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
3. BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
4. BSI-Standard 100-4: Notfallmanagement

[Bearbeiten] IT-Grundschutz-Kataloge

Die einzelnen Maßnahmen der Grundschutzkataloge sind an die realen IT-Einsatzkonfigurationen zu approximieren. Die Einsatzrandbedingungen werden dabei in den Grundschutzkatalogen beschrieben und müssen ebenfalls berücksichtigt werden. Das Prinzip des Grundschutzes funktioniert nach dem "Baukasten"-Prinzip, wonach für jede (Standard-)IT-Konfiguration ein Maßnahmenbündel zur Erhöhung der Sicherheit dieser Konfiguration beschrieben ist.

[Bearbeiten] Umfeld des IT-Grundschutzes

Das BSI hat ein regelrechtes Umfeldsystem für den IT-Grundschutz geschaffen. Für IT-Verbünde und Rechenzentren besteht die Möglichkeit, sich auf Basis von IT-Grundschutz zertifizieren zu lassen. Die Prüfung, ob die hierfür festgelegten Anforderungen erfüllt werden, führt ein vom BSI lizenzierter Auditor durch. Zum Erwerb des Status als Auditor bietet das BSI Lehrgänge mit anschließender Prüfung an. Auch organisiert das BSI die jährlichen Auditorentreffen. Für den praktischen IT-Betrieb nach IT-Grundschutz kann ein von der Bundesakademie für öffentliche Verwaltung (BAköV) (im Zusammenwirken mit dem BSI) offerierter Lehrgang "IT-Sicherheitsbeauftragter der Öffentlichen Verwaltung" ebenfalls mit anschließender Prüfung und Zertifikatserteilung absolviert werden.

Ergänzt wird die Zertifizierung durch die IS-Revision. Diese können bereits am Anfang des Sicherheitsprozesses durchgeführt werden.

Auf Grund der umfassenden Behandlung bietet sich die IT-Grundschutz-Vorgehensweise für größere Unternehmen/Verwaltungen zur Standardisierung an (in der Bundesverwaltung und einigen Ländern ist der IT-Grundschutz bereits IT-Sicherheits-Standard).

Für kleinere Unternehmen hat das BSI einen "Leitfaden IT-Sicherheit" entwickelt. Zwischenzeitlich wurde jedoch auch eine etwas besser systematisierte und klarer strukturierte ISO-Norm (ISO 27003) hierfür entwickelt.

[Bearbeiten] Informationsdienst

IT-Grundschutz ist auch der Titel eines Informationsdienstes, der das Grundschutzkonzept des BSI zum Gegenstand hat, aber nicht vom BSI herausgegeben wird.

[Bearbeiten] Weblinks

Das BSI betreibt eine Informationsseite zum IT-Grundschutz.

Bei der Verarbeitung von personenbezogenen Daten sollten immer Maßnahmen nach Vorgabe der Grundschutzkataloge getroffen werden. Bestellung ist möglich über buchshop.secumedia.de

Es gibt eine spezielle Zeitschrift für den grundschutz. Sie heißt "Informationsdienst IT-Grundschutz" (www.grundschutz.info).

Mit verschiedenen auf dem Markt erhältlichen Softwaretools können die Maßnahmen rechnergestützt abgearbeitet und komfortabel aktualisiert werden werden. Eine Liste ist beim BSI einzusehen.

[Bearbeiten] Siehe übergeordnete Stichworte

• IT-Notfallmanagement
• IT-Sicherheitsstrategien
• IT-Sicherheitszertifizierung

AnzeigeService-Links

[Bearbeiten] Siehe auch

• Common Criteria / ISO15408
• Informationsdienst IT-Grundschutz
• IS-Revision
• ISO 27001-Zertifikat auf der Basis von IT-Grundschutz
• ISO/IEC 27001 (früher BS 7799)
• IT-Sicherheits-Policy
• IT-Sicherheitsarchitektur
• IT-Sicherheitsdomäne
• IT-Sicherheitsmanagement-Pyramide
• IT-Sicherheitsprozess
• ITSEC
• ITSEM
• Plattformübergreifende Sicherheit
• Re-Zertifizierung (IT)
• Schutzprofil (IT)
• Schwachstellenbewertung (IT)
• Sicherheitsmanagement
• Sicherheitssoftware
• Sicherheitsvorgaben (IT)
• Vulnerability Assessment (Schwachstellenanalyse)