Definition IT-Grundschutz (BSI)

Was ist der IT-Grundschutz des BSI?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Der vom BSI entwickelte IT-Grundschutz ermöglicht es Unternehmen, notwendige Sicherheitsmaßnahmen strukturiert zu identifizieren und umzusetzen.
Der vom BSI entwickelte IT-Grundschutz ermöglicht es Unternehmen, notwendige Sicherheitsmaßnahmen strukturiert zu identifizieren und umzusetzen. (Bild: BSI)

Mit dem IT-Grundschutz stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) pauschale Methoden zur Verfügung, mit denen sich die Gefährdung von IT-Anwendungen und IT-Systemen in Unternehmen, Behörden oder anderen Organisationen minimieren lässt.

Beim IT-Grundschutz des Bundesamt für Sicherheit in der Informationstechnik (BSI) handelt es sich um eine Sammlung von Standards und Katalogen, die pauschalisierte Vorgehensweisen zum Schutz der eingesetzten Informationstechnik beschreiben. Ziel des IT-Grundschutzes ist es, die Mindestanforderungen für den normalen Schutzbedarf von IT-Anwendungen und IT-Systemen zu beschreiben und Methoden zu deren Umsetzung zu liefern. Das Konzept geht davon aus, dass bei den Anwendungen mit normalem Schutzbedarf individuelle Analysen und Sicherheitskonzepte zu aufwendig sind. Daher stellt der IT-Grundschutz Standardmethoden und -maßnahmen bereit und deckt die verschiedenen Bereiche Personal, Gebäude, Software, Hardware, Organisation und Kommunikationsnetze ab. Damit besteht zum Beispiel ein deutlicher Unterschied zur Norm ISO 27001, bei der die zu schützenden Assets individuell zu identifizieren sind.

Das neue IT-Grundschutz-Kompendium definiert pauschal die typischen Gefährdungen für die verschiedenen Bereiche. Sind IT-Objekte mit einem erhöhten Schutzbedarf vorhanden, die nicht in den Katalogen gelistet sind, lassen diese sich durch erweiterte Analysen in das Schutzkonzept einbeziehen. Um den Schutz der Informationstechnik sicherzustellen, empfiehlt der IT-Grundschutz technische Schutzmaßnahmen sowie organisatorische, infrastrukturelle und personelle Sicherheitsmaßnahmen. Der IT-Grundschutz stellt keine Methodik für den Datenschutz bereit. Hierfür ist ein separates Datenschutz-Management erforderlich. Im IT-Grundschutz-Kompendium gibt es allerdings einen Baustein für den Datenschutz (CON.2). Durch eine Zertifizierung nach ISO/IEC 27001 auf Basis des IT-Grundschutzes können Unternehmen und Behörden die systematische Vorgehensweise zur Absicherung der Informationstechnik gegenüber den Gefährdungen nachweisen. Die Zertifizierung ist in drei Stufen unterteilt. Die ersten beiden Stufen basieren auf Selbsterklärungen, die Stufe drei wird durch einen vom BSI lizenzierten Auditor abgenommen.

Das grundlegende Konzept des IT-Grundschutzes

Der IT-Grundschutz verzichtet auf eine detaillierte, individuelle Risikoanalyse mit Unterscheidung nach Eintrittswahrscheinlichkeiten und Schadensauswirkungen. Anstatt der individuellen Analyse geht der Grundschutz von pauschalen Gefährdungen der IT aus. Mit Hilfe von drei Schutzbedarfskategorien und dem IT-Grundschutz-Kompendium lässt sich der Schutzbedarf ermitteln. Der Grundschutz stellt damit eine Art Kochrezept zur Umsetzung eines normalen Schutzniveaus zur Verfügung. Aufwendige und teure Sicherheitsanalysen durch Experten können entfallen. Selbst technisch weniger versierte Personen sind in der Lage, die benötigten Maßnahmen zu identifizieren und deren Umsetzung zu veranlassen.

Die maßgeblichen Dokumente für den IT-Grundschutz

Der IT-Grundschutz besteht aus einer Sammlung von Dokumenten, die vom BSI erstellt werden. Die Dokumente werden regelmäßig überarbeitet und technischen Neuerungen angepasst. Sie lassen sich im Wesentlichen in die BSI-Standards und das IT-Grundschutz-Kompendium unterteilen.

Die IT-Grundschutz-Standards

Die Grundschutz-Standards (BSI-Standards) erläutern die Grundlagen für die Erstellung eines IT-Sicherheitskonzepts. Zudem geben sie Hilfestellungen, wie ein geeignetes Sicherheitsmanagement zu etablieren ist. Es sind folgende vier IT-Grundschutz-Standards verfügbar:

Die vier Standards gleicht der BSI in regelmäßigen Abständen mit den internationalen Normen wie ISO/IEC 27001 ab. 2017 hat das BSI mit der Modernisierung des IT-Grundschutz und der begleitenden BSI-Standards begonnen.

Der IT-Grundschutz wird modernisiert

Neue BSI-Standards: Empfehlungen, Vorgehensweisen, Maßnahmen

Der IT-Grundschutz wird modernisiert

03.10.17 - Die hohe Zahl erfolgreicher Cyber-Attacken zeigt: Viele Unternehmen haben Schwierigkeiten bei der Entwicklung und Umsetzung ihrer IT-Sicherheitsstrategie. Der IT-Grundschutz bietet seit vielen Jahren bewährte Leitlinien für die IT-Sicherheit, jetzt will das BSI den IT-Grundschutz modernisieren. Helfen die neuen BSI-Standards den Unternehmen bei ihren Problemen? lesen

Die IT-Grundschutz-Kataloge werden zum IT-Grundschutz-Kompendium

Die IT-Grundschutz-Kataloge beinhalten Beschreibungen der verschiedenen Gefährdungen und geeignete Maßnahmen zur Sicherstellung der IT-Sicherheit. Sie sind nach dem Baukasten-Prinzip aufgebaut und mit Beispielen und Kontrollfragen ergänzt. Mit Hilfe der Kataloge können die sicherheitsrelevanten Schwachstellen der IT-Systeme identifiziert und bekämpft werden. Für jede IT-Konfiguration und IT-Komponente ist in den Katalogen ein ganzes Maßnahmenbündel zur Erhöhung der Sicherheit vorhanden.

Update: Mit der Modernisierung des IT-Grundschutz wurde aus den IT-Grundschutz-Katalogen das IT-Grundschutz-Kompendium. Bei Veröffentlichung der ersten Ausgabe des IT-Grundschutz-Kompendium wurden zunächst die am häufigsten genutzten Bausteine der IT-Grundschutz-Kataloge migriert. Mit der zweiten Ausgabe soll das IT-Grundschutz-Kompendium dann mit neuen Bausteinen und mit weiteren migrierten Bausteinen ergänzt werden.

Vorgehensweise zur Umsetzung des IT-Grundschutzes

Zur Umsetzung des IT-Grundschutzes sind mehrere Schritte nacheinander zu durchlaufen. Die einzelnen Schritte sind unter anderem die IT-Strukturanalyse mit Feststellung des Schutzbedarfs, die Durchführung einer grundlegenden Sicherheitsüberprüfung, die Durchführung erweiterter Sicherheitsanalysen, das Festlegen und Konsolidieren der Maßnahmen und die Umsetzung der IT-Grundschutzmaßnahmen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Ein Managementsystem für den Datenschutz

Standard Datenschutzmodell 2.0

Ein Managementsystem für den Datenschutz

Viele Unternehmen haben bereits ein Managementsystem für die IT-Sicherheit und die Qualität der Prozesse eingeführt, doch im Datenschutz sind solche Managementsysteme noch Mangelware. Mit dem neuen Standard Datenschutzmodell (SDM 2.0) kann sich dies ändern. Es bietet eine wichtige Unterstützung bei der Umsetzung und Einhaltung der Datenschutz-Grundverordnung (DSGVO). lesen

Probleme beim Management von Benutzerrechten

„Pain Points“ beim Berechtigungs­management

Probleme beim Management von Benutzerrechten

Die Verwaltung von Benutzerkonten und Zugriffsrechten ist kein so spannendes Aufgabenfeld wie zum Beispiel die Planung des ersten Einsatzes einer KI-gesteuerten Software im Unternehmen. Trotzdem ist Management und Kontrolle von Zugriffen allgegenwärtig und leider viel zu häufig von unterschätzter Wichtigkeit. lesen

Anbieter müssen „in die Pflicht genommen werden“

Tankred Schipanski (CDU) zur IT-Sicherheit

Anbieter müssen „in die Pflicht genommen werden“

Die digitale Transformation von Staat und Wirtschaft ist eine Herausforderung, denn neben dem Übertragen analoger Prozesse ins Virtuelle müssen zusätzlich auch Datenschutz und -sicherheit mitbedacht werden. Der digitalpolitische Sprecher der CDU/CSU-Fraktion im Deutschen Bundestag Tankred Schipanski verlangt nach Aufklärung und Sensibilisierung – so sollte etwa der „Schutz von Mandanteninformationen gegen den Zugriff Dritter [...] selbstverständlich sein“. lesen

ISMS-Lösungen als Schlüssel zum Zertifizierungserfolg

Einführung eines Informations­sicherheits­management­systems

ISMS-Lösungen als Schlüssel zum Zertifizierungserfolg

Keine Organisation kann es sich heute noch leisten, den Schutz ihrer digitalen Werte und der IT-Infrastruktur zu vernachlässigen. Aber: Ein Informations­sicherheits­management­system (ISMS) zu implementieren, ist aufwändig. Unternehmen können aber mit dem nötigen Know-how bei der Einführung eines ISMS Zeit, Kosten und Nerven sparen. lesen

Digitale Transformation verlangt kollektiven Dauerlauf

Saskia Esken (SPD) zum digitalen Immunsystem

Digitale Transformation verlangt kollektiven Dauerlauf

Die digitale Transformation von Staat und Wirtschaft ist eine Herausforderung: Es geht nicht allein um das Übertragen analoger Prozesse ins Virtuelle, sondern zusätzlich müssen auch Datenschutz und -sicherheit mitbedacht werden. Die designierte SPD-Parteivorsitzende Saskia Esken (MdB) äußert sich im Interview mit Security-Insider zum Vorschlag nach einem „digitalen Immunsystem“ ihrer Fraktion. lesen

Was ist der BSI-Standard 200-3?

Definition IT-Grundschutz BSI-Standard 200-3

Was ist der BSI-Standard 200-3?

Der BSI-Standard 200-3 ist neben den Standards 200-1 und 200-2 elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. Inhalt des Standards sind Vorgehens­weisen zur Durchführung von Risikoanalysen zur Sicherstellung des IT-Grundschutzes. Der Standard stellt sämtliche risikobezogene Arbeitsschritte zur Umsetzung des IT-Grundschutzes gebündelt dar. Im Jahr 2017 löste der Standard 200-3 den vorherigen Standard 100-3 ab. lesen

Was ist der BSI-Standard 200-2?

Definition IT-Grundschutz BSI-Standard 200-2

Was ist der BSI-Standard 200-2?

Neben den Standards 200-1 und 200-3 ist der BSI-Standard 200-2 elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. Er definiert Methoden des Aufbaus, der Überprüfung und der Erweiterung eines Informations­sicherheits­management­systems (ISMS). Es stehen verschiedene Vorgehensweisen für die Basis-, Standard- oder Kern-Absicherung zur Verfügung. Der Standard ist kompatibel zur Zertifizierung nach ISO 27001. 2017 löste 200-2 den BSI-Standard 100-2 ab. lesen

Was ist der BSI-Standard 200-1?

Definition IT-Grundschutz BSI-Standard 200-1

Was ist der BSI-Standard 200-1?

Der BSI-Standard 200-1 ist neben den Standards 200-2 und 200-3 ein elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. Er definiert die allgemeinen Anforderungen an Information Security Management Systeme (ISMS - Managementsysteme für Informations­sicherheit) und ist kompatibel zum ISO-Standard 27001. Ziel des BSI-Standards ist es, Geschäftsprozesse von Unternehmen und Behörden sicherer zu gestalten und Daten zu schützen. Der BSI-Standard 200-1 löste 2017 den BSI-Standard 100-1 ab. lesen

Was ist VdS 3473?

Definition VdS 3473

Was ist VdS 3473?

Die Richtlinie VdS 3473 definiert Mindestanforderungen an die Cybersecurity kleiner und mittlerer Unternehmen. Sie wurde von der VdS Schadenverhütung GmbH entwickelt und veröffentlicht. Unternehmen können sich nach VdS 3473 zertifizieren lassen. 2018 wurde die Richtlinie durch die VdS 10000 abgelöst. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44924266 / Definitionen)