Definition IT-Grundschutz (BSI)

Was ist der IT-Grundschutz des BSI?

| Autor / Redakteur: Tutanch / Peter Schmitz

Der vom BSI entwickelte IT-Grundschutz ermöglicht es Unternehmen, notwendige Sicherheitsmaßnahmen strukturiert zu identifizieren und umzusetzen.
Der vom BSI entwickelte IT-Grundschutz ermöglicht es Unternehmen, notwendige Sicherheitsmaßnahmen strukturiert zu identifizieren und umzusetzen. (Bild: BSI)

Mit dem IT-Grundschutz stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) pauschale Methoden zur Verfügung, mit denen sich die Gefährdung von IT-Anwendungen und IT-Systemen in Unternehmen, Behörden oder anderen Organisationen minimieren lässt.

Beim IT-Grundschutz des Bundesamt für Sicherheit in der Informationstechnik (BSI) handelt es sich um eine Sammlung von Standards und Katalogen, die pauschalisierte Vorgehensweisen zum Schutz der eingesetzten Informationstechnik beschreiben. Ziel des IT-Grundschutzes ist es, die Mindestanforderungen für den normalen Schutzbedarf von IT-Anwendungen und IT-Systemen zu beschreiben und Methoden zu deren Umsetzung zu liefern. Das Konzept geht davon aus, dass bei den Anwendungen mit normalem Schutzbedarf individuelle Analysen und Sicherheitskonzepte zu aufwendig sind. Daher stellt der IT-Grundschutz Standardmethoden und -maßnahmen bereit und deckt die verschiedenen Bereiche Personal, Gebäude, Software, Hardware, Organisation und Kommunikationsnetze ab. Damit besteht zum Beispiel ein deutlicher Unterschied zur Norm ISO 27001, bei der die zu schützenden Assets individuell zu identifizieren sind.

Das neue IT-Grundschutz-Kompendium definiert pauschal die typischen Gefährdungen für die verschiedenen Bereiche. Sind IT-Objekte mit einem erhöhten Schutzbedarf vorhanden, die nicht in den Katalogen gelistet sind, lassen diese sich durch erweiterte Analysen in das Schutzkonzept einbeziehen. Um den Schutz der Informationstechnik sicherzustellen, empfiehlt der IT-Grundschutz technische Schutzmaßnahmen sowie organisatorische, infrastrukturelle und personelle Sicherheitsmaßnahmen. Der IT-Grundschutz stellt keine Methodik für den Datenschutz bereit. Hierfür ist ein separates Datenschutz-Management erforderlich. Im IT-Grundschutz-Kompendium gibt es allerdings einen Baustein für den Datenschutz (CON.2). Durch eine Zertifizierung nach ISO/IEC 27001 auf Basis des IT-Grundschutzes können Unternehmen und Behörden die systematische Vorgehensweise zur Absicherung der Informationstechnik gegenüber den Gefährdungen nachweisen. Die Zertifizierung ist in drei Stufen unterteilt. Die ersten beiden Stufen basieren auf Selbsterklärungen, die Stufe drei wird durch einen vom BSI lizenzierten Auditor abgenommen.

Das grundlegende Konzept des IT-Grundschutzes

Der IT-Grundschutz verzichtet auf eine detaillierte, individuelle Risikoanalyse mit Unterscheidung nach Eintrittswahrscheinlichkeiten und Schadensauswirkungen. Anstatt der individuellen Analyse geht der Grundschutz von pauschalen Gefährdungen der IT aus. Mit Hilfe von drei Schutzbedarfskategorien und dem IT-Grundschutz-Kompendium lässt sich der Schutzbedarf ermitteln. Der Grundschutz stellt damit eine Art Kochrezept zur Umsetzung eines normalen Schutzniveaus zur Verfügung. Aufwendige und teure Sicherheitsanalysen durch Experten können entfallen. Selbst technisch weniger versierte Personen sind in der Lage, die benötigten Maßnahmen zu identifizieren und deren Umsetzung zu veranlassen.

Die maßgeblichen Dokumente für den IT-Grundschutz

Der IT-Grundschutz besteht aus einer Sammlung von Dokumenten, die vom BSI erstellt werden. Die Dokumente werden regelmäßig überarbeitet und technischen Neuerungen angepasst. Sie lassen sich im Wesentlichen in die BSI-Standards und das IT-Grundschutz-Kompendium unterteilen.

Die IT-Grundschutz-Standards

Die Grundschutz-Standards (BSI-Standards) erläutern die Grundlagen für die Erstellung eines IT-Sicherheitskonzepts. Zudem geben sie Hilfestellungen, wie ein geeignetes Sicherheitsmanagement zu etablieren ist. Es sind folgende vier IT-Grundschutz-Standards verfügbar:

Die vier Standards gleicht der BSI in regelmäßigen Abständen mit den internationalen Normen wie ISO/IEC 27001 ab. 2017 hat das BSI mit der Modernisierung des IT-Grundschutz und der begleitenden BSI-Standards begonnen.

Der IT-Grundschutz wird modernisiert

Neue BSI-Standards: Empfehlungen, Vorgehensweisen, Maßnahmen

Der IT-Grundschutz wird modernisiert

03.10.17 - Die hohe Zahl erfolgreicher Cyber-Attacken zeigt: Viele Unternehmen haben Schwierigkeiten bei der Entwicklung und Umsetzung ihrer IT-Sicherheitsstrategie. Der IT-Grundschutz bietet seit vielen Jahren bewährte Leitlinien für die IT-Sicherheit, jetzt will das BSI den IT-Grundschutz modernisieren. Helfen die neuen BSI-Standards den Unternehmen bei ihren Problemen? lesen

Die IT-Grundschutz-Kataloge werden zum IT-Grundschutz-Kompendium

Die IT-Grundschutz-Kataloge beinhalten Beschreibungen der verschiedenen Gefährdungen und geeignete Maßnahmen zur Sicherstellung der IT-Sicherheit. Sie sind nach dem Baukasten-Prinzip aufgebaut und mit Beispielen und Kontrollfragen ergänzt. Mit Hilfe der Kataloge können die sicherheitsrelevanten Schwachstellen der IT-Systeme identifiziert und bekämpft werden. Für jede IT-Konfiguration und IT-Komponente ist in den Katalogen ein ganzes Maßnahmenbündel zur Erhöhung der Sicherheit vorhanden.

Update: Mit der Modernisierung des IT-Grundschutz wurde aus den IT-Grundschutz-Katalogen das IT-Grundschutz-Kompendium. Bei Veröffentlichung der ersten Ausgabe des IT-Grundschutz-Kompendium wurden zunächst die am häufigsten genutzten Bausteine der IT-Grundschutz-Kataloge migriert. Mit der zweiten Ausgabe soll das IT-Grundschutz-Kompendium dann mit neuen Bausteinen und mit weiteren migrierten Bausteinen ergänzt werden.

Vorgehensweise zur Umsetzung des IT-Grundschutzes

Zur Umsetzung des IT-Grundschutzes sind mehrere Schritte nacheinander zu durchlaufen. Die einzelnen Schritte sind unter anderem die IT-Strukturanalyse mit Feststellung des Schutzbedarfs, die Durchführung einer grundlegenden Sicherheitsüberprüfung, die Durchführung erweiterter Sicherheitsanalysen, das Festlegen und Konsolidieren der Maßnahmen und die Umsetzung der IT-Grundschutzmaßnahmen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

IT-Sicherheit und die Datenschutz-Grundverordnung

EU-DSGVO - Stand der Technik

IT-Sicherheit und die Datenschutz-Grundverordnung

Mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) ist für viele Unternehmen eine besondere Herausforderung verbunden, müssen sie doch ihre IT-Systeme entsprechend dem Stand der Technik absichern. So will es der Gesetzgeber. Doch was ist eigentlich der „Stand der Technik“? Hier scheiden sich die Geister. lesen

ISO 27001 richtig umsetzen und verstehen

Security Compliance

ISO 27001 richtig umsetzen und verstehen

Viele IT-Entscheider stehen unter Zeitdruck, denn ab Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) anwendbar. Zudem überarbeiten viele Organisationen ihre Sicherheitsstandards und durch das IT-Sicherheitsgesetz gelten für Betreiber Kritischer Infrastruktur (KRITIS) ebenfalls neue Vorgaben. Das größte Problem ist die Umsetzung in der Praxis, wirklich brauchbare Leitfäden sind aber schwierig zu finden. Daher lohnt ein genauer Blick auf bestehende Normen wie die ISO 27001. lesen

Was ist Informationssicherheit?

Definition Informationssicherheit

Was ist Informationssicherheit?

Die Informationssicherheit soll die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen. Dadurch lassen sich Informationen vor Gefahren wie unbefugtem Zugriff oder Manipulation schützen. Im Unternehmensumfeld werden wirtschaftliche Schäden verhindert. lesen

Was bringen persönliche Security-Zertifizierungen?

Zertifizierungen in der IT-Sicherheit

Was bringen persönliche Security-Zertifizierungen?

CISSP, CSP, CEH: Security-Zertifizierungen für Personen. Mancher Security-Praktiker belächelt sie, manches Stellenangebot fordert sie explizit. Wer sich als Security-Experte zertifizieren lassen will, hat es in jedem Fall nicht leicht, denn es gibt eine Vielzahl an unterschiedlichen Zertifizierungsstellen, Trainingsanbieter und Zertifizierungen. lesen

So geht das VPN in die Cloud

VPN-Lösungen in die Cloud auslagern

So geht das VPN in die Cloud

Sicherheits-Services wie ein Virtual Private Network (VPN) lassen sich heute einfach in die Cloud auslagern. Wichtig ist, sich im Vorfeld über das geforderte Sicherheitsniveau und die Anforderungen und Einsatzumgebungen der Clients klar zu werden und dies für den Cloud-VPN-Provider nachvollziehbar zu dokumentieren. Best Practices für die Auswahl des Providers und den Ablauf des Projekts helfen dabei, schnell und möglichst kostengünstig zum Ziel zu kommen. lesen

CISO, Security Manager oder IT-Sicherheitsbeauftragter?

Rollen und Aufgaben in der IT-Sicherheit

CISO, Security Manager oder IT-Sicherheitsbeauftragter?

Als ob Security nicht komplex genug wäre, gibt es für die Rollen und Aufgaben in der Security eine Vielzahl von Bezeichnungen. Das ist nicht nur verwirrend, sondern auch riskant. Gibt es keine klare Zuordnung zwischen Rolle und Aufgabe kann das zu organisatorischen Lücken im Security-Konzept des Unternehmens führen. lesen

Was ist ein Information Security Management System (ISMS)?

Definition ISMS

Was ist ein Information Security Management System (ISMS)?

Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung. lesen

Der IT-Grundschutz wird modernisiert

Neue BSI-Standards: Empfehlungen, Vorgehensweisen, Maßnahmen

Der IT-Grundschutz wird modernisiert

Die hohe Zahl erfolgreicher Cyber-Attacken zeigt: Viele Unternehmen haben Schwierigkeiten bei der Entwicklung und Umsetzung ihrer IT-Sicherheitsstrategie. Der IT-Grundschutz bietet seit vielen Jahren bewährte Leitlinien für die IT-Sicherheit, jetzt will das BSI den IT-Grundschutz modernisieren. Helfen die neuen BSI-Standards den Unternehmen bei ihren Problemen? lesen

Was ist Risikoanalyse in der IT?

Definition Risikoanalyse im IT-Umfeld

Was ist Risikoanalyse in der IT?

Die Risikoanalyse verfolgt einen systematischen Ansatz zur Identifikation und Bewertung von Risiken. Im IT-Umfeld befasst sich die Risikoanalyse mit Risiken rund um die IT-Systeme, IT-Anwendungen und Daten. Beispielrisiken sind Daten- oder Funktionsverlust. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44924266 / Definitionen)