IT-Grundschutz++ durch BSI vorgestellt
Autor: Tobias Harmes | 19. November 2024
Wie lässt sich der IT-Grundschutz anwenderfreundlicher und effizienter gestalten? Das BSI setzt künftig auf maschinenlesbare und schlankere Dokumentationen für die Informationssicherheit in Unternehmen und Behörden. Ein frühzeitiges Verständnis der Reformen könnte sich als wertvoll erweisen.
Das sind die Kernanliegen der Reform
Auf der IT-Sicherheitsmesse it-sa hat das BSI seine Vorstellungen eines IT-Grundschutzes skizziert. Es ergeben sich folgende Kernanliegen:
- Höherer Automatisierungsgrad: Die Sicherheitsbausteine sollen zukünftig in maschinenlesbarer Form bereitstehen. Das eröffnet neue Möglichkeiten für die Automatisierung. Eine Integration des IT-Grundschutzes in die bestehenden IT-Systeme soll künftig über digitale Schnittstellen und Automatisierungstools möglich sein.
- Steigerung der Effizienz: Durch das Wegfallen redundanter Anforderungen und eine straffere Dokumentation sollen sich zukünftig erhebliche Kosteneinsparungen erreichen lassen. Unternehmen und Behörden sollen damit Zeit und Ressourcen sparen und von einem verringerten Verwaltungsaufwand profitieren.
- Deutlichere Praxisorientierung: Der IT-Grundschutz soll zukünftig praxisorientierter und benutzerfreundlicher sein. Unternehmen und Behörden sollen auf Module zurückgreifen können, die verständlich und anwenderfreundlich sind. Jeder muss nur die Module auswählen, die für seinen Anwendungsfall relevant sind.
- Weniger Redundanzen: Zur Kritik am bisherigen IT-Grundschutz gehören dessen zu großer Umfang und die vielen Redundanzen. Letztere sollen durch die Reform minimiert werden und es soll das Ziel sein, die Dokumentationspflichten zu vereinfachen.
- Objektorientierte Struktur: Bisher erfolgte die Dokumentation in textbasierten Listen, die eine hohe Komplexität erreichen konnten. Diese möchte das BSI durch eine objektorientierte Struktur ersetzen. Die Organisation des IT-Grundschutzes erfolgt dabei in modularen und digitalen Bausteinen. Auch diese sollen wieder maschinenlesbar sein.
- Höhere Kompatibilität mit internationalen Standards: Auch der IT-Grundschutz++ soll weiterhin mit den internationalen Sicherheitsstandards wie ISO/IEC 27001 kompatibel sein. Das soll den Anforderungen global tätiger Unternehmen entsprechen.
- Mehr Schulungen: Um den Übergang zum IT-Grundschutz++ reibungslos zu gestalten, sind Unterstützungen durch Schulungen und Online-Kurse vorgesehen. Das BSI möchte damit helfen, dass Unternehmen die neuen Anforderungen besser verstehen.
Technische Umsetzung
Der Einsatz der IT-Sicherheitsbausteine soll im Rahmen des IT-Grundschutzes++ effizienter und praxisnäher sein. Für die technische Umsetzung ist es dabei entscheidend, dass die Grundschutz-Bausteine in maschinenlesbaren Formaten vorliegen. Hier sind insbesondere JSON-Objekte zu nennen. Bei JSON (JavaScript Object Notation) handelt es sich um eine besonders weitverbreitete und leichtgewichtige Syntax. Sie bietet den Vorteil, in vielen Programmiersprachen und Systemen problemlos gelesen und verarbeitet werden zu können. Vorteilhaft sind die einfache Integration und Aktualisierung sowie die Versionskontrolle.
Zudem erweisen sich JSON-Objekte in der Praxis als sehr flexibel und lassen sich auf einfache Weise erweitern. Es ist daher naheliegend, für den prozessorientierten Aufbau auf ein digitales Regelwerk zu setzen, das auf dieser Syntax basiert. Das IT-Grundschutz-Kompendium in Textform ist damit nicht mehr notwendig, es wird durch das neue digitale Regelwerk abgelöst. Managementsysteme für Informationssicherheit (ISMS) können dank der Maschinenlesbarkeit des Regelwerks jetzt Anforderungen an die Cybersicherheit modellieren und die Einhaltung der Anforderungen überwachen. Das war mit einem nur durch Menschen lesbaren und zum Beispiel als PDF oder in Textform vorliegenden Regelwerk nicht möglich.
Übergangsfristen für die Umsetzung
Wer bisher noch auf den Grundschutz in seiner alten Form setzt, hat für die Umstellung auf den IT-Grundschutz++ mehrere Jahre Zeit. Ein paralleler Betrieb beider Versionen ist erst einmal möglich. Erweiterungen für KI- und Cloudanwendungen sollen auch noch hinzukommen, und zwar bis zum Jahr 2026. Doch auch sonst ist das BSI darum bemüht, die Umstellung auf den neuen Grundschutz so einfach wie möglich zu gestalten.
Das Projekt Weg in die Basissicherung (WiBA) dient dabei als Vorbild. Es hilft den Kommunen bereits seit dem Jahr 2023 dabei, die Anforderungen des IT-Grundschutzes zu verstehen und die notwendigen Anpassungen vorzunehmen. Bausteine und Checklisten sollen dabei unterstützen, nach und nach den Weg zu einem erfolgreich realisierten Grundschutz zu finden.
Erhebliche Vereinfachungen bei der Dokumentation
Der hohe Dokumentationsaufwand gehört zu den größten Kritikpunkten am bisherigen Grundschutz. Gerade hier möchte die Reform ansetzen, die Informationen zur Dokumentation sollen direkt in den Praktiken enthalten sein. Zudem stellt das BSI eine Dokumentenpyramide als Hilfsmittel bereit. Sie soll Orientierung bieten für die thematische Gliederung der Dokumentationsaufwände:
- Strategisch: Die Spitze der Pyramide sieht insbesondere Aussagen zu den Zielen, dem Umfeld oder den Leitgedanken und den Rahmenwerken der Institution vor. Welche Cloud-, Notfall- und Dienstleister-Strategien liegen vor?
- Taktisch: Der mittlere Teil der Pyramide soll konkrete Vorgaberichtlinien bzw. Anforderungen enthalten. Diese taktische Ebene stellt das Bindeglied zwischen der strategischen und der operativen Ebene dar.
- Operativ: Die Basis der Pyramide konzentriert sich auf die operative Ebene. Zentral für die Umsetzung der Sicherheitsmaßnahmen sind etwa Verfahrensdokumente und Checklisten, und auch Berichte und Protokolle gehören dazu.
Fazit
Der BSI-IT-Grundschutz erfährt eine deutliche Modernisierung. Vereinfachungen und eine höhere Effizienz stehen im Fokus. Zu den bedeutendsten Änderungen gehört die Verwendung einer maschinenlesbaren Syntax, damit der Automatisierung in Bezug auf Sicherheitsanforderungen nichts mehr im Weg steht. Der administrative Aufwand soll künftig deutlich geringer und die Flexibilität höher ausfallen. So sind dynamische Anpassungen an neue Bedrohungsszenarien möglich. Damit reagiert das BSI auf die komplexen Herausforderungen in der modernen Informationssicherheit. Der Standard IT-Grundschutz++ geht hier auf die Bedürfnisse der KMU ebenso wie auf jene großer Organisationen ein und fördert als zukunftsweisender Ansatz nachhaltige Sicherheitsprozesse.
Mehr Informationen:
Unterstützung benötigt?
Mit unserem Beratungsangebot unterstützen wir Sie bei der Verbesserung Ihrer Informationssicherheit. Dabei orientieren wir uns an bewährte, vom Markt anerkannte Standards wie die ISO 27001 und dem BSI Grundschutzkatalog. Hier mehr erfahren: Beratung zu IT-Sicherheit nach ISO 27001 und BSI Grundschutz