zurück Blog

Was ist neu am modernisierten IT-Grundschutz des BSI?

Runderneuertes IT-Grundschutzhandbuch soll noch dieses Jahr erscheinen

„Geld spielt keine Rolle“: Glücklich, wer es sich leisten kann, nach diesem Motto zu wirtschaften. Alle anderen müssen Aufwand und Ertrag in ein vernünftiges Verhältnis zueinander bringen. Sogar bei Investitionen in die Sicherheit ihrer Unternehmens-IT. Das hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) verstanden – und für sein IT-Grundschutzhandbuch eine umfassende Modernisierung angekündigt.

Das IT-Grundschutzhandbuch – für mittlere Unternehmen und Behörden deutschlandweit das Referenzwerk für Informationssicherheit – war zuletzt etwas aus dem Leim gegangen: 1993 als überschaubare Sammlung von Best Practices gestartet, wuchs sein Umfang mit den Jahren auf stolze 4.500 Seiten. Viele Empfehlungen gehen weit über die Basissicherheit hinaus, die mit „Grundschutz“ ursprünglich gemeint war.

Nun also – noch in 2015 – soll eine komplett modernisierte Fassung erscheinen: weg von der Maximalversorgung für alle – hin zu Konzepten, die den tatsächlichen Bedürfnissen besser entsprechen. Damit das kein bloßes Lippenbekenntnis bleibt, hat das BSI im vergangenen Jahr Sicherheitsberater, Auditoren, Tool-Hersteller und Power-User zu Workshops eingeladen. Sie forderten eine Reduktion der Dokumentationspflichten sowie schnellere Reaktionen auf neue technologische Entwicklungen.

Neuer IT-Grundschutz soll praxistauglicher werden

In der neuen Fassung werden sich die Verantwortlichen für IT-Sicherheit deutlich leichter orientieren. Denn was für sie relevant ist – das „Was“ –, ist nun auf zehn Seiten zusammengefasst. Die Umsetzungsdetails – das „Wie“ – sind ausgelagert.

Die Maßnahmen wurden drei Ebenen zugeordnet. Zu Ebene 1 gehören alle Maßnahmen, die ohne Risikoanalyse sofort umsetzbar sind. Auf Ebene 2 finden sich Standardempfehlungen für den normalen Schutzbedarf. Auch hier lassen sich – bei vorgeschalteter Risikoanalyse – mit geringem Planungsaufwand schnelle Ergebnisse erzielen. In Ebene 3 ausgelagert sind aufwändige Hochsicherheitsmaßnahmen für Organisationen mit erhöhtem Schutzbedarf. Neu aufgenommen wurden branchenspezifische Schutzprofile.

IT-Grundschutz und ISO

Wer alle Normen des IT-Grundschutzhandbuchs erfüllt, kann das ISO/IEC 27001-Zertifikat auf Basis des IT-Grundschutzes erwerben. Doch kann er sich diesen Aufwand möglicherweise auch sparen, da speziell für mittelständische Unternehmen der IT-Grundschutz klare Vorteile gegenüber der ISO-Norm bietet: So setzt der IT-Grundschutz – anders als ISO – direkt bei den IT-Systemen an, ist konkret in seinen Umsetzungshinweisen und verzichtet auf aufwändige Risikoanalysen.

Implementierung

Viele Unternehmen ziehen bei der Einführung des IT-Grundschutzes die erfahrenen Berater von mod IT Services hinzu. Sie zeigen auf, wo die IT Lücken aufweist – zum Beispiel mittels eines umfangreichen Schwachstellenscans und Penetrationstests – und wie sich ein angemessenes Notfallmanagement aufsetzen lässt. Dabei berücksichtigen sie auch Technologien, die im IT-Grundschutzhandbuch nicht vorkommen. Sie richten den IT-Grundschutz so ein, dass er anschließend inhouse bei minimalem Pflegeaufwand weitergeführt und aktuell gehalten werden kann. Nur für den Fall, dass Geld eine Rolle spielen sollte.

Abschließend möchte ich Ihnen noch einen Artikel zum Thema IT-Grundschutz ans Herz legen, der kürzlich auf IT-Zoom erschienen ist: In diesem Artikel geben Holger Schildt vom BSI und ich einen Ausblick dazu, wie sich die Renovierung des IT-Grundschutzes gestaltet.

Bildrechte: © Bundesamt für Sicherheit in der Informationstechnik

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

Penetrationstest vs. Schwachstellenscan: Wann Sie die richtige Wahl treffen mehr
So gestalten Sie die Rollout-Logistik erfolgreich mehr
Safe Harbor wird zum EU US Privacy Shield mehr
Digitalisierung und die Zukunft des Mittelstands mehr

AKTUELLE ARTIKEL

Mittendrin: Ausbildungsstart im Januar funktioniert prima

Ich hatte ja schon ein bisschen Respekt davor, meine Ausbildung zur Fachinformatikerin mit der Ausrichtung Anwendungsentwicklung mitten im Ausbildungsjahr zu beginnen. Aber als ich erst einmal da war, war alles ganz leicht. Probleme mitzuhalten hatte ich […]

mehr
Finde Deinen Traumjob: mod IT Services auf GöBIT 2018 mehr
02.01.2018 – Wir sind wie wir sind – bodenständig, individuell, professionell und kompetent mehr
Desktop-Engineer m/w mehr
mod wünscht fröhliche Weihnachten mehr