IT-Grundschutz++ durch BSI vorgestellt

Autor: Tobias Harmes | 19. November 2024

2
IT-Grundschutz++

Wie lässt sich der IT-Grundschutz anwenderfreundlicher und effizienter gestalten? Das BSI setzt künftig auf maschinenlesbare und schlankere Dokumentationen für die Informationssicherheit in Unternehmen und Behörden. Ein frühzeitiges Verständnis der Reformen könnte sich als wertvoll erweisen.

Das sind die Kernanliegen der Reform

Auf der IT-Sicherheitsmesse it-sa hat das BSI seine Vorstellungen eines IT-Grundschutzes skizziert. Es ergeben sich folgende Kernanliegen:

  • Höherer Automatisierungsgrad: Die Sicherheitsbausteine sollen zukünftig in maschinenlesbarer Form bereitstehen. Das eröffnet neue Möglichkeiten für die Automatisierung. Eine Integration des IT-Grundschutzes in die bestehenden IT-Systeme soll künftig über digitale Schnittstellen und Automatisierungstools möglich sein.
  • Steigerung der Effizienz: Durch das Wegfallen redundanter Anforderungen und eine straffere Dokumentation sollen sich zukünftig erhebliche Kosteneinsparungen erreichen lassen. Unternehmen und Behörden sollen damit Zeit und Ressourcen sparen und von einem verringerten Verwaltungsaufwand profitieren.
  • Deutlichere Praxisorientierung: Der IT-Grundschutz soll zukünftig praxisorientierter und benutzerfreundlicher sein. Unternehmen und Behörden sollen auf Module zurückgreifen können, die verständlich und anwenderfreundlich sind. Jeder muss nur die Module auswählen, die für seinen Anwendungsfall relevant sind.
  • Weniger Redundanzen: Zur Kritik am bisherigen IT-Grundschutz gehören dessen zu großer Umfang und die vielen Redundanzen. Letztere sollen durch die Reform minimiert werden und es soll das Ziel sein, die Dokumentationspflichten zu vereinfachen.
  • Objektorientierte Struktur: Bisher erfolgte die Dokumentation in textbasierten Listen, die eine hohe Komplexität erreichen konnten. Diese möchte das BSI durch eine objektorientierte Struktur ersetzen. Die Organisation des IT-Grundschutzes erfolgt dabei in modularen und digitalen Bausteinen. Auch diese sollen wieder maschinenlesbar sein.
  • Höhere Kompatibilität mit internationalen Standards: Auch der IT-Grundschutz++ soll weiterhin mit den internationalen Sicherheitsstandards wie ISO/IEC 27001 kompatibel sein. Das soll den Anforderungen global tätiger Unternehmen entsprechen.
  • Mehr Schulungen: Um den Übergang zum IT-Grundschutz++ reibungslos zu gestalten, sind Unterstützungen durch Schulungen und Online-Kurse vorgesehen. Das BSI möchte damit helfen, dass Unternehmen die neuen Anforderungen besser verstehen.

Technische Umsetzung

Der Einsatz der IT-Sicherheitsbausteine soll im Rahmen des IT-Grundschutzes++ effizienter und praxisnäher sein. Für die technische Umsetzung ist es dabei entscheidend, dass die Grundschutz-Bausteine in maschinenlesbaren Formaten vorliegen. Hier sind insbesondere JSON-Objekte zu nennen. Bei JSON (JavaScript Object Notation) handelt es sich um eine besonders weitverbreitete und leichtgewichtige Syntax. Sie bietet den Vorteil, in vielen Programmiersprachen und Systemen problemlos gelesen und verarbeitet werden zu können. Vorteilhaft sind die einfache Integration und Aktualisierung sowie die Versionskontrolle.

Checkliste BSI-Grundschutzanforderungen für SAP-Systeme

Mit dieser Checkliste können Sie Schritt für Schritt überprüfen, ob ihr SAP-System den empfohlenen Sicherheitsanforderungen des BSI entspricht.

Jetzt anfordern

Zudem erweisen sich JSON-Objekte in der Praxis als sehr flexibel und lassen sich auf einfache Weise erweitern. Es ist daher naheliegend, für den prozessorientierten Aufbau auf ein digitales Regelwerk zu setzen, das auf dieser Syntax basiert. Das IT-Grundschutz-Kompendium in Textform ist damit nicht mehr notwendig, es wird durch das neue digitale Regelwerk abgelöst. Managementsysteme für Informationssicherheit (ISMS) können dank der Maschinenlesbarkeit des Regelwerks jetzt Anforderungen an die Cybersicherheit modellieren und die Einhaltung der Anforderungen überwachen. Das war mit einem nur durch Menschen lesbaren und zum Beispiel als PDF oder in Textform vorliegenden Regelwerk nicht möglich.

Übergangsfristen für die Umsetzung

Wer bisher noch auf den Grundschutz in seiner alten Form setzt, hat für die Umstellung auf den IT-Grundschutz++ mehrere Jahre Zeit. Ein paralleler Betrieb beider Versionen ist erst einmal möglich. Erweiterungen für KI- und Cloudanwendungen sollen auch noch hinzukommen, und zwar bis zum Jahr 2026. Doch auch sonst ist das BSI darum bemüht, die Umstellung auf den neuen Grundschutz so einfach wie möglich zu gestalten.

Webinar: Informationssicherheit verbessern durch ISMS und ISO 27001

Im Webinar erfahren Sie, durch welche Anforderungen der ISO 27001 Sie Ihre Informationssicherheit optimieren können und wie ein Information Security Management System (ISMS) Sie dabei unterstützt – auch, wenn Sie sich nicht direkt zertifizieren lassen möchten.
Jetzt anmelden

Das Projekt Weg in die Basissicherung (WiBA) dient dabei als Vorbild. Es hilft den Kommunen bereits seit dem Jahr 2023 dabei, die Anforderungen des IT-Grundschutzes zu verstehen und die notwendigen Anpassungen vorzunehmen. Bausteine und Checklisten sollen dabei unterstützen, nach und nach den Weg zu einem erfolgreich realisierten Grundschutz zu finden.

Erhebliche Vereinfachungen bei der Dokumentation

Der hohe Dokumentationsaufwand gehört zu den größten Kritikpunkten am bisherigen Grundschutz. Gerade hier möchte die Reform ansetzen, die Informationen zur Dokumentation sollen direkt in den Praktiken enthalten sein. Zudem stellt das BSI eine Dokumentenpyramide als Hilfsmittel bereit. Sie soll Orientierung bieten für die thematische Gliederung der Dokumentationsaufwände:

  • Strategisch: Die Spitze der Pyramide sieht insbesondere Aussagen zu den Zielen, dem Umfeld oder den Leitgedanken und den Rahmenwerken der Institution vor. Welche Cloud-, Notfall- und Dienstleister-Strategien liegen vor?
  • Taktisch: Der mittlere Teil der Pyramide soll konkrete Vorgaberichtlinien bzw. Anforderungen enthalten. Diese taktische Ebene stellt das Bindeglied zwischen der strategischen und der operativen Ebene dar.
  • Operativ: Die Basis der Pyramide konzentriert sich auf die operative Ebene. Zentral für die Umsetzung der Sicherheitsmaßnahmen sind etwa Verfahrensdokumente und Checklisten, und auch Berichte und Protokolle gehören dazu.

Fazit

Der BSI-IT-Grundschutz erfährt eine deutliche Modernisierung. Vereinfachungen und eine höhere Effizienz stehen im Fokus. Zu den bedeutendsten Änderungen gehört die Verwendung einer maschinenlesbaren Syntax, damit der Automatisierung in Bezug auf Sicherheitsanforderungen nichts mehr im Weg steht. Der administrative Aufwand soll künftig deutlich geringer und die Flexibilität höher ausfallen. So sind dynamische Anpassungen an neue Bedrohungsszenarien möglich. Damit reagiert das BSI auf die komplexen Herausforderungen in der modernen Informationssicherheit. Der Standard IT-Grundschutz++ geht hier auf die Bedürfnisse der KMU ebenso wie auf jene großer Organisationen ein und fördert als zukunftsweisender Ansatz nachhaltige Sicherheitsprozesse.

Mehr Informationen:


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

IT Security

ISO 27001: Die DIN-Norm im Überblick

ISO 27001
Die ISO 27001 ist der internationale Standard für IT-Security. Was Unternehmen leisten müssen, um zertifziert zu werden, erfahren Sie in diesem Beitrag.
#Informationssicherheit
Artikel lesen
IT Security

Von der Norm in die Praxis: ISO 27001 umsetzen

ISO 27001 umsetzen
Wie Sie die ISO 27001 umsetzen und dabei bei Ihren Lieferanten und Kunden zeigen, dass Sie Informationssicherheit ernst nehmen.
#Informationssicherheit
Artikel lesen
Knowhow

IT-Grundschutz nach BSI-Standard

IT-Grundschutz BSI
Jedes Jahr veröffentlicht das BSI eine aktuelle Version des IT-Grundschutzes. Dieser hilft bei Sicherheitskonzepten in allen Bereichen.
#Informationssicherheit
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage