:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue BSI-Standards: Empfehlungen, Vorgehensweisen, Maßnahmen Der IT-Grundschutz wird modernisiert
Die hohe Zahl erfolgreicher Cyber-Attacken zeigt: Viele Unternehmen haben Schwierigkeiten bei der Entwicklung und Umsetzung ihrer IT-Sicherheitsstrategie. Der IT-Grundschutz bietet seit vielen Jahren bewährte Leitlinien für die IT-Sicherheit, jetzt will das BSI den IT-Grundschutz modernisieren. Helfen die neuen BSI-Standards den Unternehmen bei ihren Problemen?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Jedes zweite Unternehmen in Deutschland ist innerhalb der letzten zwei Jahre Opfer von Cyber-Angriffen geworden, so eine aktuelle Studie des Digitalverbandes Bitkom. BSI-Präsident Arne Schönbohm sieht insbesondere bei den kleinen und mittelständischen Unternehmen (KMU) Handlungsbedarf: „Die hohe Zahl der betroffenen Unternehmen zeigt deutlich, dass wir auf dem Gebiet der Cyber-Sicherheit in Deutschland noch Nachholbedarf haben. Zwar sind die großen Konzerne und insbesondere die Betreiber Kritischer Infrastrukturen in der Regel gut aufgestellt, viele kleine und mittlere Unternehmen aber nehmen die Bedrohung nicht ernst genug.“
Betrachtet man die Probleme der KMU in der IT-Sicherheit, fällt der herrschende Mangel an IT-Sicherheitsexperten hier besonders ins Gewicht. Im Vergleich zu den großen Unternehmen haben sie noch mehr Schwierigkeiten, die wenigen Experten für sich zu gewinnen. Deshalb ist gerade im Mittelstand Unterstützung bei der Planung und Durchführung der IT-Sicherheit wichtig und willkommen.
IT-Grundschutz: Bewährte Leitlinien für die IT-Sicherheit
Ein Klassiker unter den Umsetzungshilfen in der IT-Sicherheit ist bekanntlich der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik). IT-Grundschutz richtet sich nicht nur an Bundesbehörden, sondern auch an Unternehmen aller Branchen. Das Ziel einer Anwendung von IT-Grundschutz ist, schnell und wirtschaftlich ein für den Normalbedarf angemessenes und ausreichendes Sicherheitsniveau zu erreichen, so das BSI.
Gegenwärtig wird der IT-Grundschutz modernisiert. Es sei an der Zeit, dass das BSI den IT-Grundschutz einer weiteren Revision unterzieht, erklärt die IT-Sicherheitsbehörde. In Gesprächen und Workshops mit Anwendern wurden Ansätze für eine Modernisierung gefunden. Wesentlich dabei sind die Verschlankung des IT-Grundschutz und eine neue Vorgehensweise für die Einführung und die laufende Nutzung. Dies betrifft die IT-Grundschutz-Kataloge und die BSI-Standards.
Neue BSI-Standards: Empfehlungen, Vorgehensweisen, Maßnahmen
Die BSI-Standards sind Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie etablierte Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit. Die Standards sollen Anwender, aber auch Hersteller und Dienstleister fachlich unterstützen. Dabei werden insbesondere bewährte Herangehensweisen miteinander in Verbindung gebracht, Verfahren und Begrifflichkeiten sollen vereinheitlicht werden.
Das BSI hat im Rahmen der IT-Grundschutz-Modernisierung neue BSI-Standards als Entwurf veröffentlicht. Der aktualisierte BSI-Standard 200-1 enthält die allgemeinen Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Er wurde am neuen BSI-Standard 200-2 zur IT-Grundschutz-Vorgehensweise und an der überarbeiteten ISO 27001:2013 ausgerichtet.
Seit März 2017 gibt es den neuen BSI-Standard 200-2 zur IT-Grundschutz-Vorgehensweise, gegenwärtig befindet sich der Standard noch im Status des Community Draft. Kommentare konnten bis zum 30. Juni 2017 eingereicht werden.
Neu im BSI-Standard 200-2 sind insbesondere drei Vorgehensweisen bei der Umsetzung des IT-Grundschutz des BSI:
- Die erste Vorgehensweise, die sogenannte Basis-Absicherung, liefert einen Einstieg zur Initiierung eines Managementsystems für Informationssicherheit (ISMS).
- Mit der zweiten Vorgehensweise, der Standard-Absicherung, kann ein kompletter Sicherheitsprozess implementiert werden. Dies entspricht dem BSI-Standard 100-2 und ist kompatibel zur ISO 27001-Zertifizierung.
- Die Kern-Absicherung als dritte Vorgehensweise zum Einstieg in ein ISMS betrachtet zunächst einen kleineren Teil eines größeren Informationsverbundes.
Die schlankere und modulare Herangehensweise soll insbesondere Verantwortlichen in kleinen und mittelständischen Betrieben den Einstieg in die Thematik vereinfachen.
Der BSI-Standard 200-3 behandelt das Risikomanagement und bündelt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes. Damit soll der Aufwand für Anwender reduziert werden, wenn diese bereits mit IT-Grundschutz arbeiten und eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten. Im Vergleich zum BSI-Standard 100-3 wurde ein vereinfachtes Gefährdungsmodell genutzt.
Fazit: Schrittweises Vorgehen und risikobasierter Ansatz sind Trumpf
Gerade kleine und mittlere Unternehmen finden in den neuen BSI-Standards Unterstützung dabei, das komplexe und vielschichtige IT-Sicherheitsmanagement in ihrem Unternehmen einzuführen, schrittweise und risikobasiert. Beginnend mit Kern-Absicherung bei größeren IT-Infrastrukturen oder mit der Basis-Absicherung kann die IT-Sicherheit modular aufgebaut werden.
Gleichzeitig empfiehlt sich eine Risikoanalyse bei der Auswahl, welche Bereiche zuerst im IT-Sicherheitsmanagement abgebildet und mit den dem Schutzbedarf entsprechenden IT-Sicherheitsmaßnahmen abgesichert werden sollen.
Risikobasierte und modulare Vorgehensweisen führen zwangsläufig dazu, dass man sich als Unternehmen auf bestimmte Bereiche konzentriert und andere Bereiche zurückstellt. Was auf den ersten Blick wie eine lückenhafte Absicherung aussehen mag, ist stattdessen ein praxisorientierter Weg, der sich an der Realität in KMU ausrichtet. Es ist immer besser, mit einigen Bereichen anzufangen und diese sicherer zu machen, als vor der Komplexität der IT-Sicherheit zu kapitulieren. Hier werden der modernisierte IT-Grundschutz und die neuen BSI-Standards wichtige Hilfsmittel sein.
(ID:44908476)
:quality(80)/p7i.vogel.de/wcms/98/02/9802cdf6e8986b5bdf884a6a2d4edea3/0113797745.jpeg "Schon bald sollen aus den Community Drafts des BSI praxistaugliche Checklisten für den IT-Grundschutz werden (© Melpomenem – Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/9f/a4/9fa42b864e187def7367d2995e0ef621/0112883966.jpeg "Die Zeit drängt: Der europäische Gesetzgeber hat den Mitgliedsstaaten bis zum 17. Oktober 2024 Zeit gegeben, die NIS-2-Richtlinie in nationales Recht umzusetzen. (Bild: andranik123 - stock.adobe.com)")