Mehr IT-Sicherheit durch Standards

Was die BSI-Standards 200 für Unternehmen bedeuten

| Autor / Redakteur: Robert Blank / Peter Schmitz

Der IT-Grundschutz und die BSI-Standards stellen einen guten Leitfaden für alle Unternehmen dar, die ihre IT-Sicherheit verbessern wollen.
Der IT-Grundschutz und die BSI-Standards stellen einen guten Leitfaden für alle Unternehmen dar, die ihre IT-Sicherheit verbessern wollen. (Logo: BSI)

Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) will mit der Weiterent­wicklung des BSI 200-Standards als Teil des IT-Grundschutzes Unternehmen dabei helfen, einheitliche Vorgaben in der IT-Sicherheit zu befolgen. Unternehmen, die ihre IT-Sicherheit nachhaltig verbessern wollen, sollten sich zeitnah mit den Anforderungen der aktu­alisierten BSI-Standards auseinandersetzen.

Der IT-Grundschutz des BSI ist ein Leitfaden, der Organisationen hilft, ein zuverlässiges Konzept zum IT-Schutz auf- und auszubauen. Er zeigt Schritt für Schritt, welche Komponenten zu einer effektiven Gefahrenabwehr gehören und wie das Konzept von der Theorie in die Praxis überführt wird.

Die Ratschläge des IT-Grundschutzes basieren auf den Standards der ISO 27000-Reihe. Anliegen des IT-Grundschutzes ist es also, die Unternehmen anzuleiten, wie sie die Vorgaben der betreffenden ISO-Standards einfach einhalten können. Hierfür verweist er auf zahlreiche praktische Beispiele und liefert nützliche Hintergrundinformationen.

Im Umkehrschluss bedeutet dies: Sobald ein Unternehmen dem IT-Grundschutz gerecht wird, stimmt es automatisch mit der ISO 27000-Reihe überein.

Die BSI-Standards

Im Zuge des IT-Grundschutzes werden die gültigen Standards von BSI-200-1 bis -4 nach Themen unterteilt:

  • BSI-200-1 definiert die allgemeinen Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Der Standard ist kompatibel zur ISO-Norm 27001, die gleichermaßen die Anforderungen an ISMS ein festlegt.
  • BSI-200-2 ist recht ähnlich zu -1 und liefert Ansätze, wie ein ISMS initiiert, komplettiert oder erweitert werden kann. Der Standard soll Verantwortlichen dabei helfen, ein ISMS in ihrer Organisation zu realisieren.
  • BSI-200-3 ist eine Sammlung von Arbeitsschritten zur Risikoanalyse im IT-Grundschutz. Mit ihm können Organisationen ihre IT-Sicherheitsgefahren steuern und bewerten.
  • BSI-200-4 wird in naher Zukunft veröffentlicht und ein Stufenmodell einführen, das den Einstieg in ein Business Continuity Modell (BCM) erleichtern soll. Interessierte Anwender werden anhand des Standards vom Einstieg bis zu einem etablierten BCM begleitet, das darüber hinaus Kompatibilität mit der ISO-Norm 22301 gewährleistet.

Während BSI-200-1 und -2 somit dem grundsätzlichen Aufbau eines ISMS dienen, stellt der dritte Leitfaden eine Erweiterung für Organisationen dar, die bereits über ein solches System verfügen und ihnen drohende Risiken nun bewerten wollen.

Weiterentwicklung des BSI-Standards 200-4

Schritt für Schritt zum Business Continuity Management

Weiterentwicklung des BSI-Standards 200-4

29.08.19 - Notfallmanagement und regelmäßige Übungen sind noch nicht überall Standard, so ein Ergebnis der Cyber-Sicherheitsumfrage des BSI (Bundesamt für Sicherheit in der Informations­technik). Dies soll durch den geplanten BSI-Standard 200-4 anders werden. Dabei spielt das Stufenmodell für den Einstieg ins BCM (Business Continuity Management) eine wichtige Rolle. lesen

Die eigene IT-Sicherheit mit den BSI-Standards auf Linie bringen

Unternehmen, die ihre IT-Sicherheit nachhaltig verbessern wollen, sollten sich mit den Anforderungen der BSI-Standards auseinandersetzen. Ein wichtiger Schritt in die richtige Richtung ist das Absichern der eigenen Netzwerkinfrastrukturen, da ihr Funktionieren für den Geschäftsbetrieb entscheidend ist und sie daher häufig ins Visier von Kriminellen geraten. Ein Lösungsansatz ist ein intelligentes, automatisiertes System zur Verwaltung der Sicherheitsrichtlinien. Sobald eine solche Lösung implementiert wurde, können das Netzwerk und alle dazugehörigen Schutzmaßnahmen, wie Firewalls, Router und Cloud-Sicherungen, kontinuierlich überwacht werden, das heißt vor jeder Änderung das Risiko in Bezug auf den IT-Grundschutz untersucht und bewertet werden – und dies unabhängig davon, ob die IT-Umgebung als Cloud-, Hybrid- oder On-Premise-Lösung realisiert ist.

Außerdem ermöglicht ein solches System, Risiken zu bewerten, die bei der Konfiguration der Firewall entstehen können und hilft, neue Geschäftsanwendungen nahtlos in bestehende Firewall-Umgebungen zu integrieren.

Um eine möglichst hohe Übereinstimmung mit dem IT-Grundschutz zu gewährleisten, sollte die Lösung zusätzlich die Fähigkeit besitzen, automatisiert Berichte über den Grad dieser Übereinstimmung für das gesamte Netzwerk zu erstellen. Darin sollte auch aufgeführt werden, welche Bereiche noch der Verbesserung bedürfen. Am besten liefert die Lösung selbst die Möglichkeiten mit, um die betroffenen Stellen auszubessern oder gibt Ratschläge, welche Aktionen unternommen werden müssten, um eine hohe Übereinstimmung mit dem Standard zu gewährleisten.

Jedoch ist die Einrichtung eines effektiven IT-Schutzes keine einmalige Angelegenheit, vielmehr bedarf es kontinuierlicher Bemühungen, um konstant ein hohes Schutzniveau aufrecht zu erhalten. Deswegen sollten Änderungen an den Konfigurationen, wie sie täglich in Netzwerkumgebungen stattfinden können, ständig überwacht und dann – im Hinblick auf den IT-Grundschutz – als zulässig oder als Verstoß gekennzeichnet werden.

Gleichzeitig liefert ein solches System mit flexiblen Report- und Dash-Board-Möglichkeiten automatisch die Dokumentation aller durchgeführten Änderungsaktionen und spart damit den Unternehmen eine Menge an Zeit und Aufwand in Bezug auf interne oder externe Audits.

Fazit

Der IT-Grundschutz, inklusive der BSI-Standards, stellt einen sehr guten Leitfaden für alle Unternehmen dar, die ihre IT-Sicherheit von Grund auf neu einrichten oder eine bestehende ausbauen wollen. Einen wichtigen Teil dieser ‚Formelsammlung‘ stellt die Absicherung der eigenen Netzwerkinfrastruktur dar, wo dedizierte Lösungen zur Verwaltung von Firewall-Richtlinien den entscheidenden Beitrag leisten. Entscheider in Unternehmen sollten bei der Auswahl einer solchen Lösung besonders darauf achten, dass diese automatisiert den Status der eigenen Richtlinien mit den Anforderungen des IT-Grundschutzes vergleicht und eventuelle Unstimmigkeiten sofort meldet.

Zusammenfassend kann man folgende Punkte festhalten, die eine Lösung für das Management von Sicherheitsrichtlinien aufweisen muss, um den Vorgaben des BSI zu entsprechen:

  • 1. Aufzeigen aller sicherheitsrelevanten Geräte im Netzwerk und inklusive ihres Grades an Übereinstimmung mit den BSI-Standards. Im besten Fall findet dies auf Knopfdruck statt, ohne tiefere IT-Kenntnisse vorauszusetzen.
  • 2. Erstellen von Reports über die aktuelle Übereinstimmung der gesamten IT-Umgebung mit BSI 200-1 bis -4.
  • 3. Herausgeben von Warnmeldungen, falls Geräte oder Richtlinien im Netzwerk die Compliance zu den Standards verhindern und somit Sicherheitslücken darstellen. Idealerweise zusammen mit Empfehlungen, wie diese Lücken geschlossen werden können.
  • 4. Kontinuierliche Überprüfung aller Änderungen innerhalb der Netzwerksicherheit. Hiermit gewährleistet die Lösung, dass die Compliance nicht einmaliger, sondern dauerhafter Natur ist.

Mithilfe der richtigen Lösung lassen sich dann die BSI-Standards des Grundschutzes einhalten und die Arbeiten der IT-Sicherheitsabteilungen vereinfachen, die sich fortan auf wichtigere Dinge des Unternehmensschutzes konzentrieren kann.

Über den Autor: Robert Blank ist DACH Lead, Regional Sales Manager bei AlgoSec.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46218884 / Standards)