:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/a4/7f/a47fcac710f298a6a0b02668e48e2849/0111560285.jpeg "Die ersten 72 Stunden nach einem Cyberangriff sind entscheidend für die Schadensbegrenzung und Einhaltung der DSGVO. (Bild: HNFOTO - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/78/ac78d9314d428c4d1179c0729c0f2ff2/0111550886.jpeg "Das Ziel des OT-Security Events „Securing the Future“ ist es, den Teilnehmern einen guten Überblick über relevante Maßnahmen, sowie Problemstellungen und mögliche Lösungen zu geben. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition IT-Grundschutz (BSI) Was ist der IT-Grundschutz des BSI?
Mit dem IT-Grundschutz stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) pauschale Methoden zur Verfügung, mit denen sich die Gefährdung von IT-Anwendungen und IT-Systemen in Unternehmen, Behörden oder anderen Organisationen minimieren lässt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Beim IT-Grundschutz des Bundesamt für Sicherheit in der Informationstechnik (BSI) handelt es sich um eine Sammlung von Standards und Katalogen, die pauschalisierte Vorgehensweisen zum Schutz der eingesetzten Informationstechnik beschreiben. Ziel des IT-Grundschutzes ist es, die Mindestanforderungen für den normalen Schutzbedarf von IT-Anwendungen und IT-Systemen zu beschreiben und Methoden zu deren Umsetzung zu liefern. Das Konzept geht davon aus, dass bei den Anwendungen mit normalem Schutzbedarf individuelle Analysen und Sicherheitskonzepte zu aufwendig sind. Daher stellt der IT-Grundschutz Standardmethoden und -maßnahmen bereit und deckt die verschiedenen Bereiche Personal, Gebäude, Software, Hardware, Organisation und Kommunikationsnetze ab. Damit besteht zum Beispiel ein deutlicher Unterschied zur Norm ISO 27001, bei der die zu schützenden Assets individuell zu identifizieren sind.
Das neue IT-Grundschutz-Kompendium definiert pauschal die typischen Gefährdungen für die verschiedenen Bereiche. Sind IT-Objekte mit einem erhöhten Schutzbedarf vorhanden, die nicht in den Katalogen gelistet sind, lassen diese sich durch erweiterte Analysen in das Schutzkonzept einbeziehen. Um den Schutz der Informationstechnik sicherzustellen, empfiehlt der IT-Grundschutz technische Schutzmaßnahmen sowie organisatorische, infrastrukturelle und personelle Sicherheitsmaßnahmen. Der IT-Grundschutz stellt keine Methodik für den Datenschutz bereit. Hierfür ist ein separates Datenschutz-Management erforderlich. Im IT-Grundschutz-Kompendium gibt es allerdings einen Baustein für den Datenschutz (CON.2). Durch eine Zertifizierung nach ISO/IEC 27001 auf Basis des IT-Grundschutzes können Unternehmen und Behörden die systematische Vorgehensweise zur Absicherung der Informationstechnik gegenüber den Gefährdungen nachweisen. Die Zertifizierung ist in drei Stufen unterteilt. Die ersten beiden Stufen basieren auf Selbsterklärungen, die Stufe drei wird durch einen vom BSI lizenzierten Auditor abgenommen.
Das grundlegende Konzept des IT-Grundschutzes
Der IT-Grundschutz verzichtet auf eine detaillierte, individuelle Risikoanalyse mit Unterscheidung nach Eintrittswahrscheinlichkeiten und Schadensauswirkungen. Anstatt der individuellen Analyse geht der Grundschutz von pauschalen Gefährdungen der IT aus. Mit Hilfe von drei Schutzbedarfskategorien und dem IT-Grundschutz-Kompendium lässt sich der Schutzbedarf ermitteln. Der Grundschutz stellt damit eine Art Kochrezept zur Umsetzung eines normalen Schutzniveaus zur Verfügung. Aufwendige und teure Sicherheitsanalysen durch Experten können entfallen. Selbst technisch weniger versierte Personen sind in der Lage, die benötigten Maßnahmen zu identifizieren und deren Umsetzung zu veranlassen.
Die maßgeblichen Dokumente für den IT-Grundschutz
Der IT-Grundschutz besteht aus einer Sammlung von Dokumenten, die vom BSI erstellt werden. Die Dokumente werden regelmäßig überarbeitet und technischen Neuerungen angepasst. Sie lassen sich im Wesentlichen in die BSI-Standards und das IT-Grundschutz-Kompendium unterteilen.
Die IT-Grundschutz-Standards
Die Grundschutz-Standards (BSI-Standards) erläutern die Grundlagen für die Erstellung eines IT-Sicherheitskonzepts. Zudem geben sie Hilfestellungen, wie ein geeignetes Sicherheitsmanagement zu etablieren ist. Es sind folgende vier IT-Grundschutz-Standards verfügbar:
- Managementsysteme für Informationssicherheit (ISMS) (BSI-Standard 200-1)
- IT-Grundschutz-Vorgehensweise (BSI-Standard 200-2)
- Risikoanalyse auf der Basis von IT-Grundschutz (BSI-Standard 200-3)
- Notfallmanagement (BSI-Standard 100-4)
Die vier Standards gleicht der BSI in regelmäßigen Abständen mit den internationalen Normen wie ISO/IEC 27001 ab. 2017 hat das BSI mit der Modernisierung des IT-Grundschutz und der begleitenden BSI-Standards begonnen.
:quality(80)/images.vogel.de/vogelonline/bdb/1289600/1289659/original.jpg "Gerade kleine und mittlere Unternehmen finden in den neuen BSI-Standards Unterstützung dabei, das komplexe und vielschichtige IT-Sicherheitsmanagement Schritt für Schritt in ihrem Unternehmen einzuführen. (MH - stock.adobe.com)")
Neue BSI-Standards: Empfehlungen, Vorgehensweisen, Maßnahmen
Der IT-Grundschutz wird modernisiert
Die IT-Grundschutz-Kataloge werden zum IT-Grundschutz-Kompendium
Die IT-Grundschutz-Kataloge beinhalten Beschreibungen der verschiedenen Gefährdungen und geeignete Maßnahmen zur Sicherstellung der IT-Sicherheit. Sie sind nach dem Baukasten-Prinzip aufgebaut und mit Beispielen und Kontrollfragen ergänzt. Mit Hilfe der Kataloge können die sicherheitsrelevanten Schwachstellen der IT-Systeme identifiziert und bekämpft werden. Für jede IT-Konfiguration und IT-Komponente ist in den Katalogen ein ganzes Maßnahmenbündel zur Erhöhung der Sicherheit vorhanden.
Update: Mit der Modernisierung des IT-Grundschutz wurde aus den IT-Grundschutz-Katalogen das IT-Grundschutz-Kompendium. Bei Veröffentlichung der ersten Ausgabe des IT-Grundschutz-Kompendium wurden zunächst die am häufigsten genutzten Bausteine der IT-Grundschutz-Kataloge migriert. Mit der zweiten Ausgabe soll das IT-Grundschutz-Kompendium dann mit neuen Bausteinen und mit weiteren migrierten Bausteinen ergänzt werden.
Vorgehensweise zur Umsetzung des IT-Grundschutzes
Zur Umsetzung des IT-Grundschutzes sind mehrere Schritte nacheinander zu durchlaufen. Die einzelnen Schritte sind unter anderem die IT-Strukturanalyse mit Feststellung des Schutzbedarfs, die Durchführung einer grundlegenden Sicherheitsüberprüfung, die Durchführung erweiterter Sicherheitsanalysen, das Festlegen und Konsolidieren der Maßnahmen und die Umsetzung der IT-Grundschutzmaßnahmen.
(ID:44924266)
:quality(80)/images.vogel.de/vogelonline/bdb/1933800/1933872/original.jpg "Compliance als Rahmenwerk gesetzlicher- regulatorischer- und sonstigen externen Anforderungen. (Murrstock - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951000/1951000/original.jpg "Ein Register wie „Cloud Gate“ soll für den revisionssicheren Betrieb sowie für Transparenz diverser Use-Cases sorgen und so das Onboarding von Cloud-Diensten einfacher gestalten. (gemeinfrei: Kanenori )")