Suchen

Risikomanagement gemäß BSI IT-Grundschutz So kann Ihr Unternehmen vom IT-Grundschutz profitieren

Autor / Redakteur: Jan Keil / Peter Schmitz

Da die meisten Arbeitsprozesse und Daten heutzutage digitalisiert werden, ist die Sicherheit für viele Unternehmen auf der ganzen Welt zu einer der größten Herausforderungen geworden. Heutzutage gibt es viele internationale Standards, sowohl weitreichende als auch länderspezifische, die Unternehmen dabei unterstützen sollen, ihre sensiblen Informationen zu schützen.

Der IT-Grundschutz bietet Unternehmen die Möglichkeit, IT-Sicherheit strukturiert anzugehen.
Der IT-Grundschutz bietet Unternehmen die Möglichkeit, IT-Sicherheit strukturiert anzugehen.
(Bild: gemeinfrei / Pixabay )

Seit der Veröffentlichung des IT-Grundschutzes vom Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich die Sicherheitsregulierungslandschaft für viele Organisationen geändert. Da die Grundschutz-Vorschriften präzise und anspruchsvoll sind, finden Sie in diesem Artikel die Empfehlungen zu ihrer praktischen Implementierung im Unternehmen mit Hilfe einer GRC-Lösung.

BSI IT-Grundschutz in der Praxis

Der IT-Grundschutz bietet einen modularen Sicherheitsansatz. Modular in der Art und Weise, nach einem klaren Prozess, Bestandsaufnahme von Werten/Assets (Zielobjekten), Konformitätsprüfung, Risikoanalyse und erweitert durch bewährte technische, organisatorische, personelle und infrastrukturelle Schutzmaßnahmen. Der Ansatz erleichtert es Ihnen, das gesamte IT-System zu betrachten, es logisch zu partitionieren, jedes Teil separat zu betrachten, alle Bedrohungen und Maßnahmen pro Asset zu definieren und mit den vom System vorgeschlagenen Maßnahmen für jedes von Ihnen ausgewählte Asset fortzufahren.

So können Sie das Framework von BSI IT-Grundschutz für Ihre IT-Sicherheit nutzen

Der IT-Grundschutz bietet Unternehmen ein Framework für das IT-Sicherheitsmanagement. Es bietet gut strukturierte Informationen zu den IT-Komponenten (Bausteinen), die in Ihrer täglichen Arbeit verwendet werden und somit Teil Ihres ISMS sind. IT-Grundschutz-Bausteine enthalten Listen von relevanten Bedrohungen und erforderlichen Gegenmaßnahmen, die an die Anforderungen Ihrer Organisation angepasst werden können. Der BSI IT-Grundschutz ist sehr präzise und bietet mehr als 30 Ziele und Schutzmaßnahmen zur Verbesserung Ihrer Cybersicherheit.

IT-Grundschutz-Methodik

IT-Grundschutz verfolgt einen systematischeren Ansatz, indem drei Varianten der IT-Grundschutz-Methodik unterschieden werden: Basis-, Kern- und Standard-Absicherung.

  • Die Basis-Absicherung bezieht sich auf den Schutz von Geschäftsprozessen mit den erforderlichen Maßnahmen. Sie kann in der Anfangsphase praktiziert werden, wenn Sie erst beginnen, mit Grundschutz zu arbeiten. Sie können diese Option wählen, wenn wenig Erkenntnisse über dieses Thema verfügbar sind. Eine Risikoanalyse kann hier nicht durchgeführt werden, weil Bedrohungen nicht sichtbar sind.
  • Bei der Kern-Absicherung geht es darum, spezifischere Sicherheitsmaßnahmen für wesentliche Geschäftsprozesse und Risikoobjekte zu ergreifen, eine vertiefte Absicherung der kritischsten Bereiche. Sie wählen die bevorzugten Assets als „Kronjuwelen“ aus, die Sie explizit überwachen möchten.
  • Die Standard-Absicherung ist die umfangreichste. Sie bedeutet den Schutz aller Prozesse und Bereiche der Organisation und ist der empfohlene IT-Grundschutz-Ansatz. Diese Variante wird verwendet, wenn Sie sich der Zertifizierung nähern. Das System erfordert mehr Einsicht in und Erkenntnisse über die Sicherheit.

Die grundlegenden Schritte, um mit dem BSI IT-Grundschutz in Ihrem Unternehmen zu beginnen

IT-Grundschutz schlägt die folgenden Schritte für die Organisation Ihrer IT-Sicherheitsprozesse vor:

  • Festlegung Ihrer IT-Sicherheitsziele
  • Erstellung einer Organisationsstruktur für die IT-Sicherheit
  • Bereitstellung aller erforderlichen Ressourcen
  • Erstellung eines IT-Sicherheitskonzepts
  • Analyse der IT-Struktur
  • Bewertung Ihrer Schutzanforderungen
  • Durchführung einer Modellierung
  • Durchführung eines IT-Sicherheitschecks
  • Durchführung einer zusätzlichen Sicherheitsanalyse
  • Umsetzung von Planung und Vervollständigung
  • Durchführung, Überwachung und Verbesserung der Prozesse
  • Antrag auf IT-Grundschutz-Zertifizierung (optional)

Risikomanagement gemäß BSI IT-Grundschutz

IT-Grundschutz bietet den Unternehmen die Möglichkeit, ein Informationssicherheits-Managementsystem (ISMS) einzurichten. Dabei werden allgemeine IT-Sicherheitsrichtlinien zur Festlegung der Sicherheitsprozesse und detaillierte technische Empfehlungen kombiniert, um das erforderliche IT-Sicherheitsniveau für bestimmte Anforderungen zu erreichen. Verwenden Sie eine GRC-Lösung für ein effektives Management von Assets, Compliance und Risiken im Unternehmen, um Ihre Aktivitäten und Prozesse zu automatisieren und zu optimieren, eine bessere Arbeitsumgebung zu schaffen, die Zusammenarbeit und Datenintegrität zu verbessern.

Risikoanalyse gemäß IT-Grundschutz.
Risikoanalyse gemäß IT-Grundschutz.
(Bild: Infopulse)

Ein werkzeuggesteuerter Compliance-Ansatz hilft Ihnen dabei, folgendes besser zu machen:

  • Identifizieren Sie Risiken:
  • Bezgl. unterschiedlichen Risiken gibt es eine Liste von möglichen Gefährdungen (die in fünf Bedrohungskategorien unterteilt sind). Bei Bedarf können Sie in der Phase der Risikobewertung zusätzliche Bedrohungen identifizieren.
  • Analysieren Sie Risiken:
  • Gehen Sie die vorhandenen Vorschläge bezgl. Risikominimierung durch, die für jede Gefahr detailliert bereitgestellt werden.
  • Bewerten Sie die Risiken:
  • Verwenden Sie die zuvor definierten Schadensszenarien, um eine Bewertung der Grundlagen durchzuführen.

So erhalten Sie die IT-Grundschutz-Zertifizierung

Vor der Beantragung der IT-Grundschutz-Zertifizierung ist eine Grundlagenbewertung empfehlenswert, eine schnelle Überprüfung der IT-Sicherheit vor Ort:

  • Bewerten Sie das Management der Informationssicherheit nach dem BSI IT-Grundschutz Standard
  • Führen Sie die Schutzbedarfsanalyse durch
  • Lassen Sie Ihr ISMS von lizenzierten ISMS-Auditoren vorher bewerten
  • Führen Sie eine Risikobewertung durch
  • Überprüfen Sie Ihr ISMS gemäß IT-Grundschutz im Allgemeinen
  • Integrieren Sie Ihr ISMS in vorhandene Strukturen, Prozesse und Enterprise Applikationen
  • Entwickeln Sie ein grundlegendes Verfahren für Informationssicherheitsverfahr
  • Kontrollieren Sie Ihre Drittanbieter und Lieferanten

Dashboard mit allen Compliance-Aktivitäten.
Dashboard mit allen Compliance-Aktivitäten.
(Bild: Infopulse)

Wenn Ihr ISMS den Spezifikationen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entspricht, können Sie beim BSI eine Zertifizierung beantragen. BSI ernennt einen Auditor, der die Revision Ihrer Organisation übernimmt.

So kann man BSI IT-Grundschutz in Ihrer Organisation nahtlos umsetzen

Da die Anzahl der Bedrohungen von Jahr zu Jahr zunimmt, verbessert das BSI kontinuierlich das Risiko- und Bedrohungsmanagement. Die Aufgabe, mit allen Änderungen der Vorschriften Schritt zu halten, kann schwierig sein. Bei der Arbeit mit unterstützenden Werkzeugen wie zum Beispiel dem Infopulse SCM (Standards Compliance Manager) können Sie schnell auf das neueste Grundschutz-Kompendium umsteigen. Denken Sie daran, regelmäßige Archivsicherungen der vorherigen Version vor dem Start des erneuten Checks abzuspeichern, damit Sie die Daten aus früheren Jahren im System sehen und miteinander vergleichen können.

Über den Autor: Jan Keil hat eine nachgewiesene Erfolgsbilanz mit mehr als 20 Jahren Erfahrung in der IT-Branche. Als Experte für Geschäftsentwicklung und Marketing erhielt er seine Ausbildung am Karlsruher Institut für Technologie und arbeitet derzeit als Vice President für Marketing bei Infopulse.

(ID:46749877)