Suchen

Definition IT-Grundschutz (BSI) Was ist der IT-Grundschutz des BSI?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Mit dem IT-Grundschutz stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) pauschale Methoden zur Verfügung, mit denen sich die Gefährdung von IT-Anwendungen und IT-Systemen in Unternehmen, Behörden oder anderen Organisationen minimieren lässt.

Firmen zum Thema

Der vom BSI entwickelte IT-Grundschutz ermöglicht es Unternehmen, notwendige Sicherheitsmaßnahmen strukturiert zu identifizieren und umzusetzen.
Der vom BSI entwickelte IT-Grundschutz ermöglicht es Unternehmen, notwendige Sicherheitsmaßnahmen strukturiert zu identifizieren und umzusetzen.
(Bild: BSI )

Beim IT-Grundschutz des Bundesamt für Sicherheit in der Informationstechnik (BSI) handelt es sich um eine Sammlung von Standards und Katalogen, die pauschalisierte Vorgehensweisen zum Schutz der eingesetzten Informationstechnik beschreiben. Ziel des IT-Grundschutzes ist es, die Mindestanforderungen für den normalen Schutzbedarf von IT-Anwendungen und IT-Systemen zu beschreiben und Methoden zu deren Umsetzung zu liefern. Das Konzept geht davon aus, dass bei den Anwendungen mit normalem Schutzbedarf individuelle Analysen und Sicherheitskonzepte zu aufwendig sind. Daher stellt der IT-Grundschutz Standardmethoden und -maßnahmen bereit und deckt die verschiedenen Bereiche Personal, Gebäude, Software, Hardware, Organisation und Kommunikationsnetze ab. Damit besteht zum Beispiel ein deutlicher Unterschied zur Norm ISO 27001, bei der die zu schützenden Assets individuell zu identifizieren sind.

Das neue IT-Grundschutz-Kompendium definiert pauschal die typischen Gefährdungen für die verschiedenen Bereiche. Sind IT-Objekte mit einem erhöhten Schutzbedarf vorhanden, die nicht in den Katalogen gelistet sind, lassen diese sich durch erweiterte Analysen in das Schutzkonzept einbeziehen. Um den Schutz der Informationstechnik sicherzustellen, empfiehlt der IT-Grundschutz technische Schutzmaßnahmen sowie organisatorische, infrastrukturelle und personelle Sicherheitsmaßnahmen. Der IT-Grundschutz stellt keine Methodik für den Datenschutz bereit. Hierfür ist ein separates Datenschutz-Management erforderlich. Im IT-Grundschutz-Kompendium gibt es allerdings einen Baustein für den Datenschutz (CON.2). Durch eine Zertifizierung nach ISO/IEC 27001 auf Basis des IT-Grundschutzes können Unternehmen und Behörden die systematische Vorgehensweise zur Absicherung der Informationstechnik gegenüber den Gefährdungen nachweisen. Die Zertifizierung ist in drei Stufen unterteilt. Die ersten beiden Stufen basieren auf Selbsterklärungen, die Stufe drei wird durch einen vom BSI lizenzierten Auditor abgenommen.

Das grundlegende Konzept des IT-Grundschutzes

Der IT-Grundschutz verzichtet auf eine detaillierte, individuelle Risikoanalyse mit Unterscheidung nach Eintrittswahrscheinlichkeiten und Schadensauswirkungen. Anstatt der individuellen Analyse geht der Grundschutz von pauschalen Gefährdungen der IT aus. Mit Hilfe von drei Schutzbedarfskategorien und dem IT-Grundschutz-Kompendium lässt sich der Schutzbedarf ermitteln. Der Grundschutz stellt damit eine Art Kochrezept zur Umsetzung eines normalen Schutzniveaus zur Verfügung. Aufwendige und teure Sicherheitsanalysen durch Experten können entfallen. Selbst technisch weniger versierte Personen sind in der Lage, die benötigten Maßnahmen zu identifizieren und deren Umsetzung zu veranlassen.

Die maßgeblichen Dokumente für den IT-Grundschutz

Der IT-Grundschutz besteht aus einer Sammlung von Dokumenten, die vom BSI erstellt werden. Die Dokumente werden regelmäßig überarbeitet und technischen Neuerungen angepasst. Sie lassen sich im Wesentlichen in die BSI-Standards und das IT-Grundschutz-Kompendium unterteilen.

Die IT-Grundschutz-Standards

Die Grundschutz-Standards (BSI-Standards) erläutern die Grundlagen für die Erstellung eines IT-Sicherheitskonzepts. Zudem geben sie Hilfestellungen, wie ein geeignetes Sicherheitsmanagement zu etablieren ist. Es sind folgende vier IT-Grundschutz-Standards verfügbar:

Die vier Standards gleicht der BSI in regelmäßigen Abständen mit den internationalen Normen wie ISO/IEC 27001 ab. 2017 hat das BSI mit der Modernisierung des IT-Grundschutz und der begleitenden BSI-Standards begonnen.

Die IT-Grundschutz-Kataloge werden zum IT-Grundschutz-Kompendium

Die IT-Grundschutz-Kataloge beinhalten Beschreibungen der verschiedenen Gefährdungen und geeignete Maßnahmen zur Sicherstellung der IT-Sicherheit. Sie sind nach dem Baukasten-Prinzip aufgebaut und mit Beispielen und Kontrollfragen ergänzt. Mit Hilfe der Kataloge können die sicherheitsrelevanten Schwachstellen der IT-Systeme identifiziert und bekämpft werden. Für jede IT-Konfiguration und IT-Komponente ist in den Katalogen ein ganzes Maßnahmenbündel zur Erhöhung der Sicherheit vorhanden.

Update: Mit der Modernisierung des IT-Grundschutz wurde aus den IT-Grundschutz-Katalogen das IT-Grundschutz-Kompendium. Bei Veröffentlichung der ersten Ausgabe des IT-Grundschutz-Kompendium wurden zunächst die am häufigsten genutzten Bausteine der IT-Grundschutz-Kataloge migriert. Mit der zweiten Ausgabe soll das IT-Grundschutz-Kompendium dann mit neuen Bausteinen und mit weiteren migrierten Bausteinen ergänzt werden.

Vorgehensweise zur Umsetzung des IT-Grundschutzes

Zur Umsetzung des IT-Grundschutzes sind mehrere Schritte nacheinander zu durchlaufen. Die einzelnen Schritte sind unter anderem die IT-Strukturanalyse mit Feststellung des Schutzbedarfs, die Durchführung einer grundlegenden Sicherheitsüberprüfung, die Durchführung erweiterter Sicherheitsanalysen, das Festlegen und Konsolidieren der Maßnahmen und die Umsetzung der IT-Grundschutzmaßnahmen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 44924266)

Über den Autor