Tobias Harmes
17. August 2023

IT-Grundschutz nach BSI-Standard

15 | #Informationssicherheit
IT-Grundschutz BSI

Jedes Jahr im Februar veröffentlicht das Bundesamt für Sicherheit und Informationstechnik (BSI) eine aktuelle Version des IT-Grundschutzes. Dieses Kompendium dient als Hilfestellung bei der Durchführung komplexer Sicherheitskonzepte in allen Bereichen.

Der IT-Grundschutz schafft Abhilfe

Durch die fortschreitende Digitalisierung von Unternehmen wird es umso wichtiger, sensible Daten ausreichend vor ungewollten, externen Zugriffen zu schützen. Der Stellenwert der IT-Sicherheit steigt kontinuierlich für jegliche Unternehmen. Das Risikomanagement für IT-Systeme sollte deshalb auf gegebene Standards reagieren und diese umsetzen. Das Bundesamt für Sicherheit und Informationstechnik (BSI) bietet daher Methoden und Lösungen zur Prävention, Inspektion und ggf. Reaktion, um solchen Risiken ausgiebig vorzubeugen und mit diesen umzugehen. Mithilfe einer ISO-27001-Zertifizierung kann ein Unternehmen nachweisen, dass die umgesetzten Maßnahmen zur IT-Sicherheit dem internationalen Standards entsprechen.

Umfassender Schutz

Der IT-Grundschutz umfasst nicht nur technische Voraussetzungen. Er bietet ebenfalls wichtige Hinweise in infrastrukturellen, organisatorischen und personellen Bereichen. Best-Practices sollen auch technisch unversierte Personen einen barrierefreien Einstieg in den Bereich der IT-Sicherheit ermöglichen. Der Leitfaden richtet sich demnach nicht nur an Behörden und Unternehmen, sondern bietet auch Privatpersonen einen ausgiebigen Einblick. Dies beinhaltet sogar Praxistipps zur Verwendung von bestimmten Soft- und Hardwarekomponenten.

Im Webinar erfahren Sie, durch welche Anforderungen der ISO 27001 Sie Ihre Informationssicherheit optimieren können und wie ein Information Security Management System (ISMS) Sie dabei unterstützt – auch, wenn Sie sich nicht direkt zertifizieren lassen möchten.

Der umfassende Schutz behandelt diese Bereiche:

  • Sicherheitsmanagement
  • Konzeption und Vorgehensweise
  • IT-Systeme
  • Anwendungen
  • Industrielle IT
  • Netze und Kommunikation
  • Betrieb
  • Organisation und Personal
  • Infrastruktur
  • Detektion und Reaktion

Schutzziele

Die Sicherheit von Informationssystemen wird durch drei Hauptziele definiert, auch bekannt als die Grundwerte der Informationssicherheit:

  1. Vertraulichkeit: Vertrauliche Informationen müssen vor unbefugter Offenlegung geschützt werden.
  2. Integrität: Die Richtigkeit, Unveränderlichkeit und Unversehrtheit von IT-Systemen, Prozessen und Daten müssen gewährleistet sein. Dies beinhaltet auch die Authentizität von Informationen, um ihre Echtheit, Rückverfolgbarkeit und Glaubwürdigkeit zu garantieren.
  3. Verfügbarkeit: Dienste, Funktionen eines IT-Systems sowie Informationen müssen zum vorgesehenen Zeitpunkt zur Verfügung stehen.

Zusätzlich dazu hat der Anwender die Freiheit, weitere Schutzziele zu definieren, die als Grundwerte dienen. Einige Beispiele hierfür sind:

  • Nichtabstreitbarkeit (Verbindlichkeit): Es darf nicht möglich sein, durchgeführte Handlungen zu leugnen.
  • Authentizität: Die Gewährleistung, dass es sich tatsächlich um eine autorisierte Person (Identitätsnachweis) handelt oder dass Informationen echt und glaubwürdig sind.
  • Zuverlässigkeit: Die Verlässlichkeit und Konsistenz von IT-Systemen und Prozessen.

Diese Schutzziele sind essentiell, um die Sicherheit und Integrität von Informationssystemen zu gewährleisten.

Beitragsbild IT-Grundschutz nach BSI-Standard

Aufbau der IT-Grundschutzkataloge

Die IT-Grundschutz-Kataloge sind strukturiert aufgebaut, um schrittweise in die Thematik einzuführen. Sie beginnen mit Erklärungen, Herangehensweisen und einem Glossar. Anschließend folgen Bausteinkataloge, Gefährdungskataloge und Maßnahmenkataloge. Formulare und Kreuzreferenztabellen sind online verfügbar.

Bausteinkataloge

Die Bausteinkataloge sind in fünf Schichten gegliedert: übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und Anwendungen. Diese Schichten grenzen betroffene Personengruppen klar ab.

Gefährdungskataloge

Gefährdungskataloge behandeln mögliche Bedrohungen in sechs Schichten. Sie fördern das Verständnis und die Wachsamkeit.

Maßnahmenkataloge

Die Maßnahmenkataloge enthalten notwendige Maßnahmen für den Grundschutz und strukturieren sie in Schichten wie „Infrastruktur“, „Organisation“, „Personal“, „Hardware/Software“, „Kommunikation“ und „Notfallvorsorge“.

Zusätzliches Material

Formulare und Kreuzreferenztabellen ergänzen die Kataloge, um die Umsetzung des IT-Grundschutzes zu erleichtern.

Eine Ansammlung von Standardmaßnahmen

Diese Kollektion von Dokumenten wird vom BSI stetig überarbeitet, um aktuellen Risiken im Zeichen der Informationssicherheit vorzubeugen. Dabei wird jährlich eine neue Version im Februar veröffentlicht: BSI – Bundesamt für Sicherheit in der Informationstechnik – Änderungsdokumente (Edition 2022).

Neben dem IT-Grundschutz-Nachschlagewerk sind die BSI-Standards ein wichtiger Bestandteil. Diese dienen als Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik bei gewissen Komplikationen:

  • BSI-Standard 200-1: Beschreibt allgemeine Anforderungen an ein Informationssicherheitsmanagement (ISMS)
  • BSI-Standard 200-2: Erläuterungen zur IT-Grundschutz-Vorgehensweise. Unterteilung in Basis-, Standard- und Kern-Absicherung
  • BSI-Standard 200-3: Formuliert alle Maßnahmen im Bezug aufs Risikomanagement
  • BSI-Standard 200-4: Dient zum Aufbau eines Business Continuity Management Systems (BCMS)

Umfang und Verfügbarkeit

Die IT-Grundschutz-Standards sind in verschiedenen Versionen verfügbar und können kostenlos von der BSI-Website heruntergeladen werden.

Bezeichnung Veröffentlichung Version Umfang
BSI-Standard 200-1 Okt. 2017 Vers. 1.0 48 Seiten
BSI-Standard 200-2 Okt. 2017 Vers. 1.0 180 Seiten
BSI-Standard 200-3 Okt. 2017 Vers. 1.0 54 Seiten
BSI-Standard 200-4 Mai 2023 Vers. 1.0 310 Seiten

Gut zu wissen: Unsere Fachmail-Serie

E-Mail-MarketingIn unserer Mail-Serie geben wir Tipps, wie Sie Ihre Informationssicherheit verbessern und rechtliche Anforderungen (wie z. B. das IT-Sicherheitsgesetz 2.0) erfüllen können. Einmal in der Woche wird sie Ihnen zugesendet und Sie können sich jederzeit auch wieder austragen.
Zur Fachmail-Serie anmelden

IT-Grundschutz und SAP

Natürlich gibt es diesbezüglich seitens des IT-Grundschutzes auch Richtlinien und Empfehlungen gegenüber SAP-Systemen. Bei Interesse haben wir weiterführende Links beigefügt:

APP.4.2 SAP-ERP-System (bund.de)

APP.4.6 SAP ABAP-Programmierung (bund.de)
Für wen eignet sich der IT-Grundschutz?

Laut des Bundesamts für Sicherheit und Informationstechnik ist der IT-Grundschutz für viele Anwender nützlich. Besonders geeignet sei er für kleine und mittlere Unternehmen, die einen eigenständigen IT-Betrieb besitzen. Laut BSI ist der Aufbau und Betrieb eines vollwertigen ISMS nach IT-Grundschutz für kleine und Kleinstunternehmen nicht empfehlenswert.

Fazit

Je nach individuellem Bedarf kann man aus dem IT-Grundschutz die jeweiligen Dokumente separieren, welche zur Problemlösung führen. Der Detailreichtum überwiegt hierbei deutlich, womit jegliche Bereiche eines Unternehmens abgedeckt werden, um ausreichende Sicherheitskonzepte zu gewährleisten. Im Endeffekt ist es Ihnen überlassen, inwiefern Sie welche Konzepte ausführen bzw. durchführen möchten. Doch eine umfassende Informationssicherheit kann nur garantiert werden, wenn in jeglichen Bereichen eine dementsprechende Umstellung vollzogen wird. Eine zusätzliche ISO 27001-Zertifizierung bestätigt die erfolgreiche Umsetzung von Informationssicherheitsmaßnahmen im internationalen Kontext.

FAQ

Wozu dient der IT-Grundschutz vom BSI?

Dieser umfassende Ratgeber dient zur Einführung von vorbeugenden Sicherheitsmaßnahmen im Bereich der Informationssicherheit. Neben Standardmethoden sowie -Maßnahmen bieten Best-Practice-Beispiele wichtige Hinweise zur Umsetzung. Dies soll ein Mindestmaß an IT-Sicherheit in jeglichen Unternehmen garantieren. Der wesentliche Nutzen ist eine Vorbeugung vor Cyber-Kriminalität oder ähnlichen Risiken.

Was beinhaltet der IT-Grundschutz vom BSI?

Es ist eine Ansammlung von Dokumenten, um Sicherheitsstandards in der IT-Sicherheit zu gewährleisten. Diese kann man in vier Bereiche der IT-Grundschutz-Standards unterteilen:

  • Informationssicherheitsmanagementsysteme (ISMS).
  • IT-Grundschutz-Vorgehensweisen (Anleitungen zur Umsetzung).
  • Risikoanalyse auf Basis des IT-Grundschutzes (Schutz vor Gefährdungen).
  • Notfallmanagement (Beim Eintreten von Gefahren).

Wann weiß ich, dass der Schutz ausreichend ist?

Durch eine zusätzliche ISO 27001-Zertifizierung kann ein ausreichender Schutz bestätigt werden. Somit ist gewährleistet, dass die Informationssicherheit eines Unternehmens den Sicherheitsstandards des BSI entsprechen.

Weiterführende Informationen


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice