Definition IT-Grundschutz (BSI)

Was ist der IT-Grundschutz des BSI?

| Autor / Redakteur: Tutanch / Peter Schmitz

Der vom BSI entwickelte IT-Grundschutz ermöglicht es Unternehmen, notwendige Sicherheitsmaßnahmen strukturiert zu identifizieren und umzusetzen.
Der vom BSI entwickelte IT-Grundschutz ermöglicht es Unternehmen, notwendige Sicherheitsmaßnahmen strukturiert zu identifizieren und umzusetzen. (Bild: BSI)

Mit dem IT-Grundschutz stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) pauschale Methoden zur Verfügung, mit denen sich die Gefährdung von IT-Anwendungen und IT-Systemen in Unternehmen, Behörden oder anderen Organisationen minimieren lässt.

Beim IT-Grundschutz des Bundesamt für Sicherheit in der Informationstechnik (BSI) handelt es sich um eine Sammlung von Standards und Katalogen, die pauschalisierte Vorgehensweisen zum Schutz der eingesetzten Informationstechnik beschreiben. Ziel des IT-Grundschutzes ist es, die Mindestanforderungen für den normalen Schutzbedarf von IT-Anwendungen und IT-Systemen zu beschreiben und Methoden zu deren Umsetzung zu liefern. Das Konzept geht davon aus, dass bei den Anwendungen mit normalem Schutzbedarf individuelle Analysen und Sicherheitskonzepte zu aufwendig sind. Daher stellt der IT-Grundschutz Standardmethoden und -maßnahmen bereit und deckt die verschiedenen Bereiche Personal, Gebäude, Software, Hardware, Organisation und Kommunikationsnetze ab. Damit besteht zum Beispiel ein deutlicher Unterschied zur Norm ISO 27001, bei der die zu schützenden Assets individuell zu identifizieren sind.

Das neue IT-Grundschutz-Kompendium definiert pauschal die typischen Gefährdungen für die verschiedenen Bereiche. Sind IT-Objekte mit einem erhöhten Schutzbedarf vorhanden, die nicht in den Katalogen gelistet sind, lassen diese sich durch erweiterte Analysen in das Schutzkonzept einbeziehen. Um den Schutz der Informationstechnik sicherzustellen, empfiehlt der IT-Grundschutz technische Schutzmaßnahmen sowie organisatorische, infrastrukturelle und personelle Sicherheitsmaßnahmen. Der IT-Grundschutz stellt keine Methodik für den Datenschutz bereit. Hierfür ist ein separates Datenschutz-Management erforderlich. Im IT-Grundschutz-Kompendium gibt es allerdings einen Baustein für den Datenschutz (CON.2). Durch eine Zertifizierung nach ISO/IEC 27001 auf Basis des IT-Grundschutzes können Unternehmen und Behörden die systematische Vorgehensweise zur Absicherung der Informationstechnik gegenüber den Gefährdungen nachweisen. Die Zertifizierung ist in drei Stufen unterteilt. Die ersten beiden Stufen basieren auf Selbsterklärungen, die Stufe drei wird durch einen vom BSI lizenzierten Auditor abgenommen.

Das grundlegende Konzept des IT-Grundschutzes

Der IT-Grundschutz verzichtet auf eine detaillierte, individuelle Risikoanalyse mit Unterscheidung nach Eintrittswahrscheinlichkeiten und Schadensauswirkungen. Anstatt der individuellen Analyse geht der Grundschutz von pauschalen Gefährdungen der IT aus. Mit Hilfe von drei Schutzbedarfskategorien und dem IT-Grundschutz-Kompendium lässt sich der Schutzbedarf ermitteln. Der Grundschutz stellt damit eine Art Kochrezept zur Umsetzung eines normalen Schutzniveaus zur Verfügung. Aufwendige und teure Sicherheitsanalysen durch Experten können entfallen. Selbst technisch weniger versierte Personen sind in der Lage, die benötigten Maßnahmen zu identifizieren und deren Umsetzung zu veranlassen.

Die maßgeblichen Dokumente für den IT-Grundschutz

Der IT-Grundschutz besteht aus einer Sammlung von Dokumenten, die vom BSI erstellt werden. Die Dokumente werden regelmäßig überarbeitet und technischen Neuerungen angepasst. Sie lassen sich im Wesentlichen in die BSI-Standards und das IT-Grundschutz-Kompendium unterteilen.

Die IT-Grundschutz-Standards

Die Grundschutz-Standards (BSI-Standards) erläutern die Grundlagen für die Erstellung eines IT-Sicherheitskonzepts. Zudem geben sie Hilfestellungen, wie ein geeignetes Sicherheitsmanagement zu etablieren ist. Es sind folgende vier IT-Grundschutz-Standards verfügbar:

Die vier Standards gleicht der BSI in regelmäßigen Abständen mit den internationalen Normen wie ISO/IEC 27001 ab. 2017 hat das BSI mit der Modernisierung des IT-Grundschutz und der begleitenden BSI-Standards begonnen.

Der IT-Grundschutz wird modernisiert

Neue BSI-Standards: Empfehlungen, Vorgehensweisen, Maßnahmen

Der IT-Grundschutz wird modernisiert

03.10.17 - Die hohe Zahl erfolgreicher Cyber-Attacken zeigt: Viele Unternehmen haben Schwierigkeiten bei der Entwicklung und Umsetzung ihrer IT-Sicherheitsstrategie. Der IT-Grundschutz bietet seit vielen Jahren bewährte Leitlinien für die IT-Sicherheit, jetzt will das BSI den IT-Grundschutz modernisieren. Helfen die neuen BSI-Standards den Unternehmen bei ihren Problemen? lesen

Die IT-Grundschutz-Kataloge werden zum IT-Grundschutz-Kompendium

Die IT-Grundschutz-Kataloge beinhalten Beschreibungen der verschiedenen Gefährdungen und geeignete Maßnahmen zur Sicherstellung der IT-Sicherheit. Sie sind nach dem Baukasten-Prinzip aufgebaut und mit Beispielen und Kontrollfragen ergänzt. Mit Hilfe der Kataloge können die sicherheitsrelevanten Schwachstellen der IT-Systeme identifiziert und bekämpft werden. Für jede IT-Konfiguration und IT-Komponente ist in den Katalogen ein ganzes Maßnahmenbündel zur Erhöhung der Sicherheit vorhanden.

Update: Mit der Modernisierung des IT-Grundschutz wurde aus den IT-Grundschutz-Katalogen das IT-Grundschutz-Kompendium. Bei Veröffentlichung der ersten Ausgabe des IT-Grundschutz-Kompendium wurden zunächst die am häufigsten genutzten Bausteine der IT-Grundschutz-Kataloge migriert. Mit der zweiten Ausgabe soll das IT-Grundschutz-Kompendium dann mit neuen Bausteinen und mit weiteren migrierten Bausteinen ergänzt werden.

Vorgehensweise zur Umsetzung des IT-Grundschutzes

Zur Umsetzung des IT-Grundschutzes sind mehrere Schritte nacheinander zu durchlaufen. Die einzelnen Schritte sind unter anderem die IT-Strukturanalyse mit Feststellung des Schutzbedarfs, die Durchführung einer grundlegenden Sicherheitsüberprüfung, die Durchführung erweiterter Sicherheitsanalysen, das Festlegen und Konsolidieren der Maßnahmen und die Umsetzung der IT-Grundschutzmaßnahmen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Microsofts Einsatz gegen Malware von MSAV bis AMSI

Microsoft Antimalware Scan Interface

Microsofts Einsatz gegen Malware von MSAV bis AMSI

Microsoft wird ja oft vorgeworfen, nicht ausreichend auf die Gefährdung seiner Betriebssysteme durch Malware zu reagieren. Doch entgegen der Annahme ist man dort stetig bemüht, mehr Sicherheit zu schaffen. Ein Blick auf die Entwicklungen zeigt eine rege Aktivität für den Malwareschutz als Komponente der IT-Sicherheit. Wer mit den Begriffen MSAV und AMSI dennoch nichts anfangen kann, dem hilft dieser Beitrag weiter. lesen

Wie Entwickler von Bund-Vorgaben profitieren

Mindeststandards des BSI

Wie Entwickler von Bund-Vorgaben profitieren

Das Bundesamt für Sicherheit in der Informationstechnik gibt mit den „Mindeststandards Bund“ harte Vorgaben heraus. Zwar richten sich diese primär an den Bund richten, aber auch Länder, Kommunen und Entwickler sollten sich dafür interessieren. lesen

Sind Sie fit für die Datenschutzgrundverordnung?

[Gesponsert]

Ermitteln Sie Ihren Status Quo und erhalten Sie wertvolle Tipps

Sind Sie fit für die Datenschutzgrundverordnung?

Der Countdown zählt unerbittlich runter: In Kürze tritt die DSGVO in Kraft. Wer bis zum 25. Mai 2018 fit sein will, sollte mit dem ESET Compliance Check seine Maßnahmen überprüfen. Das Ergebnis zeigt Ihren Status Quo und gibt wertvolle Tipps. lesen

USA und UK warnen vor russischen Cyber-Angriffen

Stellungnahme des BSI

USA und UK warnen vor russischen Cyber-Angriffen

Das britische National Cyber Security Centre (NCSC), das US-amerikanische FBI sowie das Department of Homeland Security (DHS) haben eine gemeinsame Erklärung veröffentlicht, wonach eine aktuelle Cyber-Angriffskampagne auf Internet-Netzwerk-Infrastrukturen dem russischen Staat zuzuordnen sei. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu jetzt Stellung bezogen. lesen

Der Finanzwelt fehlten Cyber-Security-Fachkräfte

Fachkräftemangel bei Finanzunternehmen

Der Finanzwelt fehlten Cyber-Security-Fachkräfte

Die digitale Transformation bringt für alle Unternehmen riesige strategische und betriebliche Möglichkeiten birgt aber auch neue Risiken für Unternehmen und neue Angriffswege für Kriminelle. In der Finanzbranche werden fast täglich Systeme von Hackern angegriffen. Dies ist die dunkle Seite der Digitalisierung und sie verdient genauso viel Aufmerksamkeit wie die Chancen, die die Digitalisierung mit sich bringt. lesen

IT-Sicherheit und die Datenschutz-Grundverordnung

EU-DSGVO - Stand der Technik

IT-Sicherheit und die Datenschutz-Grundverordnung

Mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) ist für viele Unternehmen eine besondere Herausforderung verbunden, müssen sie doch ihre IT-Systeme entsprechend dem Stand der Technik absichern. So will es der Gesetzgeber. Doch was ist eigentlich der „Stand der Technik“? Hier scheiden sich die Geister. lesen

ISO 27001 richtig umsetzen und verstehen

Security Compliance

ISO 27001 richtig umsetzen und verstehen

Viele IT-Entscheider stehen unter Zeitdruck, denn ab Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) anwendbar. Zudem überarbeiten viele Organisationen ihre Sicherheitsstandards und durch das IT-Sicherheitsgesetz gelten für Betreiber Kritischer Infrastruktur (KRITIS) ebenfalls neue Vorgaben. Das größte Problem ist die Umsetzung in der Praxis, wirklich brauchbare Leitfäden sind aber schwierig zu finden. Daher lohnt ein genauer Blick auf bestehende Normen wie die ISO 27001. lesen

Was ist Informationssicherheit?

Definition Informationssicherheit

Was ist Informationssicherheit?

Die Informationssicherheit soll die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen. Dadurch lassen sich Informationen vor Gefahren wie unbefugtem Zugriff oder Manipulation schützen. Im Unternehmensumfeld werden wirtschaftliche Schäden verhindert. lesen

Was bringen persönliche Security-Zertifizierungen?

Zertifizierungen in der IT-Sicherheit

Was bringen persönliche Security-Zertifizierungen?

CISSP, CSP, CEH: Security-Zertifizierungen für Personen. Mancher Security-Praktiker belächelt sie, manches Stellenangebot fordert sie explizit. Wer sich als Security-Experte zertifizieren lassen will, hat es in jedem Fall nicht leicht, denn es gibt eine Vielzahl an unterschiedlichen Zertifizierungsstellen, Trainingsanbieter und Zertifizierungen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44924266 / Definitionen)