:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mehr IT-Sicherheit durch Standards Was die BSI-Standards 200 für Unternehmen bedeuten
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) will mit der Weiterentwicklung des BSI 200-Standards als Teil des IT-Grundschutzes Unternehmen dabei helfen, einheitliche Vorgaben in der IT-Sicherheit zu befolgen. Unternehmen, die ihre IT-Sicherheit nachhaltig verbessern wollen, sollten sich zeitnah mit den Anforderungen der aktualisierten BSI-Standards auseinandersetzen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Der IT-Grundschutz des BSI ist ein Leitfaden, der Organisationen hilft, ein zuverlässiges Konzept zum IT-Schutz auf- und auszubauen. Er zeigt Schritt für Schritt, welche Komponenten zu einer effektiven Gefahrenabwehr gehören und wie das Konzept von der Theorie in die Praxis überführt wird.
Die Ratschläge des IT-Grundschutzes basieren auf den Standards der ISO 27000-Reihe. Anliegen des IT-Grundschutzes ist es also, die Unternehmen anzuleiten, wie sie die Vorgaben der betreffenden ISO-Standards einfach einhalten können. Hierfür verweist er auf zahlreiche praktische Beispiele und liefert nützliche Hintergrundinformationen.
Im Umkehrschluss bedeutet dies: Sobald ein Unternehmen dem IT-Grundschutz gerecht wird, stimmt es automatisch mit der ISO 27000-Reihe überein.
Die BSI-Standards
Im Zuge des IT-Grundschutzes werden die gültigen Standards von BSI-200-1 bis -4 nach Themen unterteilt:
- BSI-200-1 definiert die allgemeinen Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Der Standard ist kompatibel zur ISO-Norm 27001, die gleichermaßen die Anforderungen an ISMS ein festlegt.
- BSI-200-2 ist recht ähnlich zu -1 und liefert Ansätze, wie ein ISMS initiiert, komplettiert oder erweitert werden kann. Der Standard soll Verantwortlichen dabei helfen, ein ISMS in ihrer Organisation zu realisieren.
- BSI-200-3 ist eine Sammlung von Arbeitsschritten zur Risikoanalyse im IT-Grundschutz. Mit ihm können Organisationen ihre IT-Sicherheitsgefahren steuern und bewerten.
- BSI-200-4 wird in naher Zukunft veröffentlicht und ein Stufenmodell einführen, das den Einstieg in ein Business Continuity Modell (BCM) erleichtern soll. Interessierte Anwender werden anhand des Standards vom Einstieg bis zu einem etablierten BCM begleitet, das darüber hinaus Kompatibilität mit der ISO-Norm 22301 gewährleistet.
Während BSI-200-1 und -2 somit dem grundsätzlichen Aufbau eines ISMS dienen, stellt der dritte Leitfaden eine Erweiterung für Organisationen dar, die bereits über ein solches System verfügen und ihnen drohende Risiken nun bewerten wollen.
:quality(80)/images.vogel.de/vogelonline/bdb/1604200/1604224/original.jpg "Auch wenn der neue BSI-Standard 200-4 noch etwas auf sich warten lässt, ist das kein Grund, nicht bereits mit den Vorbereitungen für das eigene Notfallmanagement und Business Continuity Management (BCM) zu starten. (gemeinfrei)")
Schritt für Schritt zum Business Continuity Management
Weiterentwicklung des BSI-Standards 200-4
Die eigene IT-Sicherheit mit den BSI-Standards auf Linie bringen
Unternehmen, die ihre IT-Sicherheit nachhaltig verbessern wollen, sollten sich mit den Anforderungen der BSI-Standards auseinandersetzen. Ein wichtiger Schritt in die richtige Richtung ist das Absichern der eigenen Netzwerkinfrastrukturen, da ihr Funktionieren für den Geschäftsbetrieb entscheidend ist und sie daher häufig ins Visier von Kriminellen geraten. Ein Lösungsansatz ist ein intelligentes, automatisiertes System zur Verwaltung der Sicherheitsrichtlinien. Sobald eine solche Lösung implementiert wurde, können das Netzwerk und alle dazugehörigen Schutzmaßnahmen, wie Firewalls, Router und Cloud-Sicherungen, kontinuierlich überwacht werden, das heißt vor jeder Änderung das Risiko in Bezug auf den IT-Grundschutz untersucht und bewertet werden – und dies unabhängig davon, ob die IT-Umgebung als Cloud-, Hybrid- oder On-Premise-Lösung realisiert ist.
Außerdem ermöglicht ein solches System, Risiken zu bewerten, die bei der Konfiguration der Firewall entstehen können und hilft, neue Geschäftsanwendungen nahtlos in bestehende Firewall-Umgebungen zu integrieren.
Um eine möglichst hohe Übereinstimmung mit dem IT-Grundschutz zu gewährleisten, sollte die Lösung zusätzlich die Fähigkeit besitzen, automatisiert Berichte über den Grad dieser Übereinstimmung für das gesamte Netzwerk zu erstellen. Darin sollte auch aufgeführt werden, welche Bereiche noch der Verbesserung bedürfen. Am besten liefert die Lösung selbst die Möglichkeiten mit, um die betroffenen Stellen auszubessern oder gibt Ratschläge, welche Aktionen unternommen werden müssten, um eine hohe Übereinstimmung mit dem Standard zu gewährleisten.
Jedoch ist die Einrichtung eines effektiven IT-Schutzes keine einmalige Angelegenheit, vielmehr bedarf es kontinuierlicher Bemühungen, um konstant ein hohes Schutzniveau aufrecht zu erhalten. Deswegen sollten Änderungen an den Konfigurationen, wie sie täglich in Netzwerkumgebungen stattfinden können, ständig überwacht und dann – im Hinblick auf den IT-Grundschutz – als zulässig oder als Verstoß gekennzeichnet werden.
Gleichzeitig liefert ein solches System mit flexiblen Report- und Dash-Board-Möglichkeiten automatisch die Dokumentation aller durchgeführten Änderungsaktionen und spart damit den Unternehmen eine Menge an Zeit und Aufwand in Bezug auf interne oder externe Audits.
Fazit
Der IT-Grundschutz, inklusive der BSI-Standards, stellt einen sehr guten Leitfaden für alle Unternehmen dar, die ihre IT-Sicherheit von Grund auf neu einrichten oder eine bestehende ausbauen wollen. Einen wichtigen Teil dieser ‚Formelsammlung‘ stellt die Absicherung der eigenen Netzwerkinfrastruktur dar, wo dedizierte Lösungen zur Verwaltung von Firewall-Richtlinien den entscheidenden Beitrag leisten. Entscheider in Unternehmen sollten bei der Auswahl einer solchen Lösung besonders darauf achten, dass diese automatisiert den Status der eigenen Richtlinien mit den Anforderungen des IT-Grundschutzes vergleicht und eventuelle Unstimmigkeiten sofort meldet.
Zusammenfassend kann man folgende Punkte festhalten, die eine Lösung für das Management von Sicherheitsrichtlinien aufweisen muss, um den Vorgaben des BSI zu entsprechen:
- 1. Aufzeigen aller sicherheitsrelevanten Geräte im Netzwerk und inklusive ihres Grades an Übereinstimmung mit den BSI-Standards. Im besten Fall findet dies auf Knopfdruck statt, ohne tiefere IT-Kenntnisse vorauszusetzen.
- 2. Erstellen von Reports über die aktuelle Übereinstimmung der gesamten IT-Umgebung mit BSI 200-1 bis -4.
- 3. Herausgeben von Warnmeldungen, falls Geräte oder Richtlinien im Netzwerk die Compliance zu den Standards verhindern und somit Sicherheitslücken darstellen. Idealerweise zusammen mit Empfehlungen, wie diese Lücken geschlossen werden können.
- 4. Kontinuierliche Überprüfung aller Änderungen innerhalb der Netzwerksicherheit. Hiermit gewährleistet die Lösung, dass die Compliance nicht einmaliger, sondern dauerhafter Natur ist.
Mithilfe der richtigen Lösung lassen sich dann die BSI-Standards des Grundschutzes einhalten und die Arbeiten der IT-Sicherheitsabteilungen vereinfachen, die sich fortan auf wichtigere Dinge des Unternehmensschutzes konzentrieren kann.
Über den Autor: Robert Blank ist DACH Lead, Regional Sales Manager bei AlgoSec.
(ID:46218884)
:quality(80)/p7i.vogel.de/wcms/e2/fa/e2fa3fb6dfcce8649ea43d1b85663d75/0113555225.jpeg "Zur erfolgreichen ISO 27001-Zertifizierung gelangt man in sechs Schritten. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/a4/9fa42b864e187def7367d2995e0ef621/0112883966.jpeg "Die Zeit drängt: Der europäische Gesetzgeber hat den Mitgliedsstaaten bis zum 17. Oktober 2024 Zeit gegeben, die NIS-2-Richtlinie in nationales Recht umzusetzen. (Bild: andranik123 - stock.adobe.com)")