Neue BSI-Standards: Empfehlungen, Vorgehensweisen, Maßnahmen

Der IT-Grundschutz wird modernisiert

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Gerade kleine und mittlere Unternehmen finden in den neuen BSI-Standards Unterstützung dabei, das komplexe und vielschichtige IT-Sicherheitsmanagement Schritt für Schritt in ihrem Unternehmen einzuführen.
Gerade kleine und mittlere Unternehmen finden in den neuen BSI-Standards Unterstützung dabei, das komplexe und vielschichtige IT-Sicherheitsmanagement Schritt für Schritt in ihrem Unternehmen einzuführen. (© MH - stock.adobe.com)

Die hohe Zahl erfolgreicher Cyber-Attacken zeigt: Viele Unternehmen haben Schwierigkeiten bei der Entwicklung und Umsetzung ihrer IT-Sicherheitsstrategie. Der IT-Grundschutz bietet seit vielen Jahren bewährte Leitlinien für die IT-Sicherheit, jetzt will das BSI den IT-Grundschutz modernisieren. Helfen die neuen BSI-Standards den Unternehmen bei ihren Problemen?

Jedes zweite Unternehmen in Deutschland ist innerhalb der letzten zwei Jahre Opfer von Cyber-Angriffen geworden, so eine aktuelle Studie des Digitalverbandes Bitkom. BSI-Präsident Arne Schönbohm sieht insbesondere bei den kleinen und mittelständischen Unternehmen (KMU) Handlungsbedarf: „Die hohe Zahl der betroffenen Unternehmen zeigt deutlich, dass wir auf dem Gebiet der Cyber-Sicherheit in Deutschland noch Nachholbedarf haben. Zwar sind die großen Konzerne und insbesondere die Betreiber Kritischer Infrastrukturen in der Regel gut aufgestellt, viele kleine und mittlere Unternehmen aber nehmen die Bedrohung nicht ernst genug.“

Betrachtet man die Probleme der KMU in der IT-Sicherheit, fällt der herrschende Mangel an IT-Sicherheitsexperten hier besonders ins Gewicht. Im Vergleich zu den großen Unternehmen haben sie noch mehr Schwierigkeiten, die wenigen Experten für sich zu gewinnen. Deshalb ist gerade im Mittelstand Unterstützung bei der Planung und Durchführung der IT-Sicherheit wichtig und willkommen.

IT-Grundschutz: Bewährte Leitlinien für die IT-Sicherheit

Ein Klassiker unter den Umsetzungshilfen in der IT-Sicherheit ist bekanntlich der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik). IT-Grundschutz richtet sich nicht nur an Bundesbehörden, sondern auch an Unternehmen aller Branchen. Das Ziel einer Anwendung von IT-Grundschutz ist, schnell und wirtschaftlich ein für den Normalbedarf angemessenes und ausreichendes Sicherheitsniveau zu erreichen, so das BSI.

Gegenwärtig wird der IT-Grundschutz modernisiert. Es sei an der Zeit, dass das BSI den IT-Grundschutz einer weiteren Revision unterzieht, erklärt die IT-Sicherheitsbehörde. In Gesprächen und Workshops mit Anwendern wurden Ansätze für eine Modernisierung gefunden. Wesentlich dabei sind die Verschlankung des IT-Grundschutz und eine neue Vorgehensweise für die Einführung und die laufende Nutzung. Dies betrifft die IT-Grundschutz-Kataloge und die BSI-Standards.

Neue BSI-Standards: Empfehlungen, Vorgehensweisen, Maßnahmen

Die BSI-Standards sind Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie etablierte Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit. Die Standards sollen Anwender, aber auch Hersteller und Dienstleister fachlich unterstützen. Dabei werden insbesondere bewährte Herangehensweisen miteinander in Verbindung gebracht, Verfahren und Begrifflichkeiten sollen vereinheitlicht werden.

Das BSI hat im Rahmen der IT-Grundschutz-Modernisierung neue BSI-Standards als Entwurf veröffentlicht. Der aktualisierte BSI-Standard 200-1 enthält die allgemeinen Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Er wurde am neuen BSI-Standard 200-2 zur IT-Grundschutz-Vorgehensweise und an der überarbeiteten ISO 27001:2013 ausgerichtet.

Seit März 2017 gibt es den neuen BSI-Standard 200-2 zur IT-Grundschutz-Vorgehensweise, gegenwärtig befindet sich der Standard noch im Status des Community Draft. Kommentare konnten bis zum 30. Juni 2017 eingereicht werden.

Neu im BSI-Standard 200-2 sind insbesondere drei Vorgehensweisen bei der Umsetzung des IT-Grundschutz des BSI:

  • Die erste Vorgehensweise, die sogenannte Basis-Absicherung, liefert einen Einstieg zur Initiierung eines Managementsystems für Informationssicherheit (ISMS).
  • Mit der zweiten Vorgehensweise, der Standard-Absicherung, kann ein kompletter Sicherheitsprozess implementiert werden. Dies entspricht dem BSI-Standard 100-2 und ist kompatibel zur ISO 27001-Zertifizierung.
  • Die Kern-Absicherung als dritte Vorgehensweise zum Einstieg in ein ISMS betrachtet zunächst einen kleineren Teil eines größeren Informationsverbundes.

Die schlankere und modulare Herangehensweise soll insbesondere Verantwortlichen in kleinen und mittelständischen Betrieben den Einstieg in die Thematik vereinfachen.

Der BSI-Standard 200-3 behandelt das Risikomanagement und bündelt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes. Damit soll der Aufwand für Anwender reduziert werden, wenn diese bereits mit IT-Grundschutz arbeiten und eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten. Im Vergleich zum BSI-Standard 100-3 wurde ein vereinfachtes Gefährdungsmodell genutzt.

Fazit: Schrittweises Vorgehen und risikobasierter Ansatz sind Trumpf

Gerade kleine und mittlere Unternehmen finden in den neuen BSI-Standards Unterstützung dabei, das komplexe und vielschichtige IT-Sicherheitsmanagement in ihrem Unternehmen einzuführen, schrittweise und risikobasiert. Beginnend mit Kern-Absicherung bei größeren IT-Infrastrukturen oder mit der Basis-Absicherung kann die IT-Sicherheit modular aufgebaut werden.

Gleichzeitig empfiehlt sich eine Risikoanalyse bei der Auswahl, welche Bereiche zuerst im IT-Sicherheitsmanagement abgebildet und mit den dem Schutzbedarf entsprechenden IT-Sicherheitsmaßnahmen abgesichert werden sollen.

Risikobasierte und modulare Vorgehensweisen führen zwangsläufig dazu, dass man sich als Unternehmen auf bestimmte Bereiche konzentriert und andere Bereiche zurückstellt. Was auf den ersten Blick wie eine lückenhafte Absicherung aussehen mag, ist stattdessen ein praxisorientierter Weg, der sich an der Realität in KMU ausrichtet. Es ist immer besser, mit einigen Bereichen anzufangen und diese sicherer zu machen, als vor der Komplexität der IT-Sicherheit zu kapitulieren. Hier werden der modernisierte IT-Grundschutz und die neuen BSI-Standards wichtige Hilfsmittel sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44908476 / Standards)