Modernisierung des IT-Grundschutzes

Seit dem 11.Oktober 2017 ist der umfangreiche und langwierige Prozess der Modernisierung des IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik abgeschlossen. Die Ergebnisse wurden auf der IT-Sicherheitsmesse it-sa vom 10. – 12. Oktober 2017 erstmals der Öffentlichkeit präsentiert. Die modernisierte Fassung zielt auf einen flexibleren und zukunftsfähigen IT-Grundschutz ab, so der BSI-Präsident Arne Schönbohm.

Was ist der IT-Grundschutz?

Der IT-Grundschutz umfasst unterschiedliche Methoden und Maßnahmen, die das BSI erarbeitet hat, um das Sicherheitsniveau der eigenen Informationstechnik von Unternehmen und Behörden zu erhöhen. Ziel ist es, ein mittleres, angemessenes oder auch ausreichendes Schutzniveau zu erreichen und den Behörden und Unternehmen ein ganzheitliches Managementsystem für ihre Informationssicherheit zu bieten. Dafür wurden dem Adressaten bisher eine Reihe von IT-Grundschutz-Katalogen zur Verfügung gestellt, die eine Reihe an technischen Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen enthielten. Darüber hinaus dient der IT-Grundschutz als Grundlage für die Zertifizierung eines angemessenen Sicherheitsniveaus.

Was hat sich verändert?

Mit der Modernisierung des IT-Grundschutzes soll ein flexibleres und zukunftsorientierteres Sicherheitssystem geschaffen werden, das vor allem kleineren Unternehmen, Behörden und Institutionen, die sich noch nie mit der Informationssicherheit auseinandergesetzt haben, zu Gute kommen soll. Dazu dient vor allem der neue „Leitfaden zur Basis-Absicherung“, der auf seinen 44 Seiten 3 grundlegende Schritte zur Umsetzung erster Sicherheitsmaßnahmen beschreibt. Der neue und modernisierte IT-Grundschutz besteht aus 3 unterschiedlichen Elementen, zum einen dem IT-Grundschutz-Kompendium, 3 BSI-Standards und dem Leitfaden zur Basis Absicherung.

IT-Grundschutz-Kompendium

Die bisher geltenden IT-Grundschutz Kataloge gehen im Kompendium auf und werden von diesem vollständig abgelöst. Das Kompendium mit seinen 763 Seiten beschäftigt sich schwerpunktmäßig mit Elementaren Gefährdungen, die auftreten und der Informationssicherheit schaden können und seinen 80 Bausteinen. Es werden 47 unterschiedliche elementare Gefährdungen für die Informationssicherheit aufgeführt, darunter beispielsweise Feuer, Abhören, Zerstören von Geräten oder Datenträgern. Diese Auflistung dient dazu, die Unternehmen und Behörden auf die potenziellen Gefahrensituationen für ihre Datensicherheit aufmerksam zu machen, sodass sie sich mit dem entsprechenden Risiko auseinandersetzen und Sicherheitsmaßnahmen ergreifen können. Dabei ist es ihnen möglich das Risiko an Dritte auszulagern, es zu akzeptieren und die möglichen Folgen hinzunehmen oder aber das Risiko gezielt durch Vorkehrungen und Maßnahmen zu reduzieren oder gar ganz zu vermeiden. Die aufgearbeiteten 80 Bausteine stellen maßgebliche Pfeiler einer umfassenden Informationssicherheit dar und unter den Clustern Sicherheitsmanagement, Organisation und Personal. Konzeption und Vorgehensweise, Betrieb, Detektion und Reaktion, Anwendung, IT-Systeme, Industrielle IT, Netze und Kommunikation sowie Infrastruktur werden dem Anwender alle wichtigen Rahmenbedingungen genannt. Diesen werden mögliche Gefahrenlagen und Anforderungen zugeordnet. Beispielsweise wird unter dem Baustein „Allgemeines Gebäude“ erläutert, was der Begriff des Gebäudes im Rahmen der Informationssicherheit umfasst, dass als Gefährdungslage in Gebäuden Feuer, Blitz, Wasser, Elementarschäden und Naturkatastrophen sowie Unbefugter Zutritt und weitere auftreten können und welche Anforderungen für den Bereich „Allgemeines Gebäude“ zu stellen sind, um mögliche Risiken für die Informationssicherheit zu minimieren. Dieses Kompendium soll ab dem 1.Februar 2018 als Prüfungsgrundlage für die Zertifizierung nach ISO 27001 dienen.

Die BSI-Standards Die 3 BSI-Standards des modernisierten IT-Grundschutzes sind die BSI-Standards 200-1, 200-2, 200-3. Sie formulieren Empfehlungen zu Methoden, Prozessen und Verfahren sowie konkreten Vorgehensweisen und Maßnahmen für Behörden, Unternehmen, Hersteller und Dienstleister, um ihre Geschäftsprozesse und Daten sicherer zu gestalten. Der BSI-Standard 200-1 beschäftigt sich mit den Anforderungen an Managementsysteme für Informationssicherheit und ist auch weiterhin kompatibel zum ISO-Standard 27001 und bezieht Empfehlungen der ISO 27002 mit ein. Der BSI-Standard 200-2 führt IT-Grundschutz-Vorgehensweisen aus und enthält 3 neue Vorgehensweisen zur Umsetzung des IT-Grundschutzes. Dagegen beschreibt der BSI-Standard 200-3 unter dem Stichwort Risikomanagement alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes und hilft dem Anwender insoweit, als dass der Aufwand, um ein angemessenes Schutzniveau zu erreichen erheblich reduziert wird. Dieser Standard knüpft an die Situation an, dass Unternehmen und Behörden bereits mit den IT-Grundschutz-Methoden vertraut sind und nun eine Risikoanalyse anschließen wollen.

Leitfaden zur Basis-Absicherung

Als drittes Element tritt der Leitfaden zur Basis-Absicherung nach IT-Grundschutz hinzu und gibt dem Anwender eine Orientierung „In 3 Schritten zur Informationssicherheit“ an die Hand. Diese 3 Schritte beinhalten die Initiierung, Organisation und Durchführung des Sicherheitsprozesses und beschreiben im Detail, wie ein Sicherheitskonzept aufgebaut und umgesetzt werden kann. Unter den ersten Schritt der Initiierung fällt zum einen zunächst Verantwortung zu übernehmen (speziell durch den Informationssicherheitsbeauftragten), zum anderen aber auch Sicherheitsziele festzulegen und Leitlinien zu formulieren. Die Organisation umfasst im zweiten Schritt den Aufbau einer Organisation zur Informationssicherheit und die Integration von Sicherheitsprozessen in bestehende Abläufe und Prozesse. Der dritte Schritt der Durchführung beginnt mit der Auswahl und Priorisierung der Bausteine aus dem Kompendium und schließt mit einem IT-Grundschutz-Check und der Umsetzung der Sicherheitskonzeption ab.

Was geschieht als nächstes?

Das IT-Grundschutz-Kompendium wird im Februar 2018 als gedruckte Version erscheinen und jährlich im Februar aktualisiert werden. Der Leitfaden erscheint als Broschüre. Ob die modernisierte Version tatsächlich flexibler und konkreter ausgestaltet ist als zuvor und daher den Bedürfnissen kleinerer Unternehmen und Behörden entgegenkommt, wird sich aus der Praxis der nächsten Zeit erst noch zeigen.