BSI IT-Grund­schutz

Der IT-Grund­schutz des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz BSI)

Der IT-Grund­schutz ist eine Metho­dik, um ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (kurz ISMS) in einer Orga­ni­sa­ti­on jeder Grö­ße und Bran­che ein­zu­füh­ren und zu betrei­ben. Ziel ist es, die Infor­ma­ti­ons­si­cher­heit zu erhö­hen und somit für schüt­zens­wer­te Infor­ma­tio­nen die Ein­tritts­wahr­schein­lich­keit von Risi­ken zu sen­ken und poten­ti­el­le Schä­den zu minimieren.

Bewähr­ter Stan­dard für Informationssicherheit

1992 erschien das “IT-Sicher­heits­hand­buch”, ein Leit­fa­den für Risi­ko­ana­ly­sen als Grund­la­ge des heu­ti­gen IT-Grund­schut­zes. Über die Jah­re wur­den die Sys­te­ma­tik und Kata­lo­ge kon­ti­nu­ier­lich wei­ter­ent­wi­ckelt und ange­passt. Nach­dem der IT-Grund­schutz-Kata­log (100‑x) in 2016 einen Umfang von über 5.000 Sei­ten erreicht hat, ging 2017 der Nach­fol­ger 200‑x an den Start. Das sog. “Kom­pen­di­um” ist deut­lich weni­ger umfang­reich und soll es auch klei­ne­ren Orga­ni­sa­tio­nen erleich­tern, mit­tels des IT-Grund­schut­zes in das The­ma Infor­ma­ti­ons­si­cher­heit ein­zu­stei­gen. Mit dem Wech­sel fand auch eine Moder­ni­sie­rung der Inhal­te statt.

IT-Grund­schutz: Fal­sche Bezeich­nung. Kor­rekt: Informationssicherheit-Grundschutz

Die Bezeich­nung IT-Grund­schutz ver­lei­tet dazu, die­sen Stan­dard als Kon­zept für IT-Sicher­heit zu ver­ste­hen oder gar IT-Sicher­heit und Infor­ma­ti­ons­si­cher­heit gleich­zu­set­zen. Schaut man sich den BSI IT-Grund­schutz jedoch näher an, stellt man sehr schnell fest, es geht um weit mehr. IT-Sicher­heit ist ein wich­ti­ger Bestand­teil, aber der IT-Grund­schutz umfasst tech­ni­sche UND orga­ni­sa­to­ri­sche Sicher­heit, digi­ta­le und ana­lo­ge Sicher­heit, orga­ni­sa­ti­ons­um­span­nend. Salopp: Mit der Instal­la­ti­on einer Fire­wall und eines Viren­scan­ner ist es halt nicht getan.

Das Prin­zip des IT-Grund­schutz als Stan­dard für Informationssicherheit

Durch Anwen­dung von orga­ni­sa­to­ri­schen, per­so­nel­len, infra­struk­tu­rel­len und tech­ni­schen Stan­dard-Sicher­heits­maß­nah­men ein Sicher­heits­ni­veau zu errei­chen, das

• für den nor­ma­len Schutz­be­darf ange­mes­sen und aus­rei­chend ist,
• als Basis für IT-Anwen­dun­gen mit höchs­tem Schutz­be­darf die­nen kann.

Die­sen “Trick” der Stan­dar­di­sie­rung nutzt man u.a. zur

• Reduk­ti­on des Auf­wands im Infor­ma­ti­ons­si­cher­heits­pro­zeß durch Bün­de­lung und Wie­der­ver­wen­dung der Vorgehensweisen
• Iden­ti­fi­ka­ti­on von Stan­dard-Gefähr­dun­gen und Maß­nah­men für typi­sche Pro­zes­se und Systeme
• zur Über­prü­fung vor­han­de­ner und Ein­füh­rung benö­tig­ter orga­ni­sa­to­ri­scher, per­so­nel­ler, infra­struk­tu­rel­ler und tech­ni­scher Schutz­maß­nah­men. Vor­teil: Der IT-Grund­schutz bringt im Ver­gleich zu ande­ren Stan­dards für Infor­ma­ti­ons­si­cher­heit gleich eine sehr gro­ße Aus­wahl an kon­kre­ten Schutz­maß­nah­men mit. 

Unse­re IT-Grundschutz-Leistungen

• Auf­klä­rung und Infor­ma­ti­on der Lei­tungs­ebe­ne über die Not­wen­dig­keit von Informationssicherheit
• Ein­füh­rung und Ein­wei­sung in die IT-Grundschutz-Systematik
• Mit­ar­bei­ter­sen­si­bi­li­sie­run­gen, Schu­lun­gen und Workshops
• Unter­stüt­zung bei der Ein­füh­rung der Stan­dards 200–2, 200–3 und 100–4 (Not­fall­ma­nage­ment)
• Hil­fe bei den Doku­men­ta­ti­ons­an­for­de­run­gen sowie Prü­fung vor­han­de­ner Schutz­maß­nah­men auf Wirksamkeit
• Unter­stüt­zung bei der Ent­wick­lung und Ein­füh­rung kon­kre­ter zusätz­li­cher bzw. feh­len­der tech­ni­scher und orga­ni­sa­to­ri­scher Schutzmaßnahmen
• Inten­si­ve Stand­ort­be­ge­hun­gen mit aus­führ­li­chen Schwachstellenberichten
• Vor­be­rei­tung auf und Beglei­tung von Zertifizierungen
• Aus­bil­dung bzw. Wei­ter­bil­dung des Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (trai­ning on the job oder Individualseminar)
• Über­nah­me der Tätig­keit des exter­nen Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (in Kleinorganisationen)