zurück Blog

Was ist neu am modernisierten IT-Grundschutz des BSI?

Runderneuertes IT-Grundschutzhandbuch soll noch dieses Jahr erscheinen

„Geld spielt keine Rolle“: Glücklich, wer es sich leisten kann, nach diesem Motto zu wirtschaften. Alle anderen müssen Aufwand und Ertrag in ein vernünftiges Verhältnis zueinander bringen. Sogar bei Investitionen in die Sicherheit ihrer Unternehmens-IT. Das hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) verstanden – und für sein IT-Grundschutzhandbuch eine umfassende Modernisierung angekündigt.

Das IT-Grundschutzhandbuch – für mittlere Unternehmen und Behörden deutschlandweit das Referenzwerk für Informationssicherheit – war zuletzt etwas aus dem Leim gegangen: 1993 als überschaubare Sammlung von Best Practices gestartet, wuchs sein Umfang mit den Jahren auf stolze 4.500 Seiten. Viele Empfehlungen gehen weit über die Basissicherheit hinaus, die mit „Grundschutz“ ursprünglich gemeint war.

Nun also – noch in 2015 – soll eine komplett modernisierte Fassung erscheinen: weg von der Maximalversorgung für alle – hin zu Konzepten, die den tatsächlichen Bedürfnissen besser entsprechen. Damit das kein bloßes Lippenbekenntnis bleibt, hat das BSI im vergangenen Jahr Sicherheitsberater, Auditoren, Tool-Hersteller und Power-User zu Workshops eingeladen. Sie forderten eine Reduktion der Dokumentationspflichten sowie schnellere Reaktionen auf neue technologische Entwicklungen.

Neuer IT-Grundschutz soll praxistauglicher werden

In der neuen Fassung werden sich die Verantwortlichen für IT-Sicherheit deutlich leichter orientieren. Denn was für sie relevant ist – das „Was“ –, ist nun auf zehn Seiten zusammengefasst. Die Umsetzungsdetails – das „Wie“ – sind ausgelagert.

Die Maßnahmen wurden drei Ebenen zugeordnet. Zu Ebene 1 gehören alle Maßnahmen, die ohne Risikoanalyse sofort umsetzbar sind. Auf Ebene 2 finden sich Standardempfehlungen für den normalen Schutzbedarf. Auch hier lassen sich – bei vorgeschalteter Risikoanalyse – mit geringem Planungsaufwand schnelle Ergebnisse erzielen. In Ebene 3 ausgelagert sind aufwändige Hochsicherheitsmaßnahmen für Organisationen mit erhöhtem Schutzbedarf. Neu aufgenommen wurden branchenspezifische Schutzprofile.

IT-Grundschutz und ISO

Wer alle Normen des IT-Grundschutzhandbuchs erfüllt, kann das ISO/IEC 27001-Zertifikat auf Basis des IT-Grundschutzes erwerben. Doch kann er sich diesen Aufwand möglicherweise auch sparen, da speziell für mittelständische Unternehmen der IT-Grundschutz klare Vorteile gegenüber der ISO-Norm bietet: So setzt der IT-Grundschutz – anders als ISO – direkt bei den IT-Systemen an, ist konkret in seinen Umsetzungshinweisen und verzichtet auf aufwändige Risikoanalysen.

Implementierung

Viele Unternehmen ziehen bei der Einführung des IT-Grundschutzes die erfahrenen Berater von mod IT Services hinzu. Sie zeigen auf, wo die IT Lücken aufweist – zum Beispiel mittels eines umfangreichen Schwachstellenscans und Penetrationstests – und wie sich ein angemessenes Notfallmanagement aufsetzen lässt. Dabei berücksichtigen sie auch Technologien, die im IT-Grundschutzhandbuch nicht vorkommen. Sie richten den IT-Grundschutz so ein, dass er anschließend inhouse bei minimalem Pflegeaufwand weitergeführt und aktuell gehalten werden kann. Nur für den Fall, dass Geld eine Rolle spielen sollte.

Abschließend möchte ich Ihnen noch einen Artikel zum Thema IT-Grundschutz ans Herz legen, der kürzlich auf IT-Zoom erschienen ist: In diesem Artikel geben Holger Schildt vom BSI und ich einen Ausblick dazu, wie sich die Renovierung des IT-Grundschutzes gestaltet.

Bildrechte: © Bundesamt für Sicherheit in der Informationstechnik

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

mod IT Blog Safe Harbor wird zum EU US Privacy Shield

Safe Harbor wird zum EU US Privacy Shield

Der aktuelle Stand der EU-Verhandlungen und wie die deutschen Datenschutzbehörden dazu stehen   In diesen Tagen ist das Safe-Harbor-Abkommen erneut in den Schlagzeilen. Denn Ende Januar lief die Frist ab, die die europäischen Datenschutzbeauftragen den […]

mehr
Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan mehr
Gastbeitrag: Goodbye, Windows XP! – Ein persönliches Nachwort auf das erfolgreichste Betriebssystem aller Zeiten mehr
Enterprise Collaboration weitergedacht: das neue Skype for Business mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr

AKTUELLE ARTIKEL

IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung? mehr
Penetration Tester m/w mehr
IT-ServiceDesk Agent m/w mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr