28. September 2015

Was ist neu am modernisierten IT-Grundschutz des BSI?

Runderneuertes IT-Grundschutzhandbuch soll noch dieses Jahr erscheinen

„Geld spielt keine Rolle“: Glücklich, wer es sich leisten kann, nach diesem Motto zu wirtschaften. Alle anderen müssen Aufwand und Ertrag in ein vernünftiges Verhältnis zueinander bringen. Sogar bei Investitionen in die Sicherheit ihrer Unternehmens-IT. Das hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) verstanden – und für sein IT-Grundschutzhandbuch eine umfassende Modernisierung angekündigt.

Das IT-Grundschutzhandbuch – für mittlere Unternehmen und Behörden deutschlandweit das Referenzwerk für Informationssicherheit – war zuletzt etwas aus dem Leim gegangen: 1993 als überschaubare Sammlung von Best Practices gestartet, wuchs sein Umfang mit den Jahren auf stolze 4.500 Seiten. Viele Empfehlungen gehen weit über die Basissicherheit hinaus, die mit „Grundschutz“ ursprünglich gemeint war.

Nun also – noch in 2015 – soll eine komplett modernisierte Fassung erscheinen: weg von der Maximalversorgung für alle – hin zu Konzepten, die den tatsächlichen Bedürfnissen besser entsprechen. Damit das kein bloßes Lippenbekenntnis bleibt, hat das BSI im vergangenen Jahr Sicherheitsberater, Auditoren, Tool-Hersteller und Power-User zu Workshops eingeladen. Sie forderten eine Reduktion der Dokumentationspflichten sowie schnellere Reaktionen auf neue technologische Entwicklungen.

Neuer IT-Grundschutz soll praxistauglicher werden

In der neuen Fassung werden sich die Verantwortlichen für IT-Sicherheit deutlich leichter orientieren. Denn was für sie relevant ist – das „Was“ –, ist nun auf zehn Seiten zusammengefasst. Die Umsetzungsdetails – das „Wie“ – sind ausgelagert.

Die Maßnahmen wurden drei Ebenen zugeordnet. Zu Ebene 1 gehören alle Maßnahmen, die ohne Risikoanalyse sofort umsetzbar sind. Auf Ebene 2 finden sich Standardempfehlungen für den normalen Schutzbedarf. Auch hier lassen sich – bei vorgeschalteter Risikoanalyse – mit geringem Planungsaufwand schnelle Ergebnisse erzielen. In Ebene 3 ausgelagert sind aufwändige Hochsicherheitsmaßnahmen für Organisationen mit erhöhtem Schutzbedarf. Neu aufgenommen wurden branchenspezifische Schutzprofile.

IT-Grundschutz und ISO

Wer alle Normen des IT-Grundschutzhandbuchs erfüllt, kann das ISO/IEC 27001-Zertifikat auf Basis des IT-Grundschutzes erwerben. Doch kann er sich diesen Aufwand möglicherweise auch sparen, da speziell für mittelständische Unternehmen der IT-Grundschutz klare Vorteile gegenüber der ISO-Norm bietet: So setzt der IT-Grundschutz – anders als ISO – direkt bei den IT-Systemen an, ist konkret in seinen Umsetzungshinweisen und verzichtet auf aufwändige Risikoanalysen.

Implementierung

Viele Unternehmen ziehen bei der Einführung des IT-Grundschutzes die erfahrenen Berater von mod IT Services hinzu. Sie zeigen auf, wo die IT Lücken aufweist – zum Beispiel mittels eines umfangreichen Schwachstellenscans und Penetrationstests – und wie sich ein angemessenes Notfallmanagement aufsetzen lässt. Dabei berücksichtigen sie auch Technologien, die im IT-Grundschutzhandbuch nicht vorkommen. Sie richten den IT-Grundschutz so ein, dass er anschließend inhouse bei minimalem Pflegeaufwand weitergeführt und aktuell gehalten werden kann. Nur für den Fall, dass Geld eine Rolle spielen sollte.

Abschließend möchte ich Ihnen noch einen Artikel zum Thema IT-Grundschutz ans Herz legen, der kürzlich auf IT-Zoom erschienen ist: In diesem Artikel geben Holger Schildt vom BSI und ich einen Ausblick dazu, wie sich die Renovierung des IT-Grundschutzes gestaltet.

Bildrechte: © Bundesamt für Sicherheit in der Informationstechnik

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

IT-Spezialisten von mod it im Gespräch

Digitalisierung und die Zukunft des Mittelstands

Seit mehr als einem Jahrhundert gilt der Mittelstand als der Ursprung und das Fundament deutscher Wirtschaftskraft. Weil er so wichtig für uns ist, wird im öffentlichen Diskurs immer wieder gefragt: Welche Bedürfnisse hat er? Ist […]

weiterlesen
Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan weiterlesen
Gastbeitrag: Goodbye, Windows XP! – Ein persönliches Nachwort auf das erfolgreichste Betriebssystem aller Zeiten weiterlesen
Safe Harbor wird zum EU US Privacy Shield weiterlesen

AKTUELLE ARTIKEL

2.9.2019 – Individueller Umstieg auf Windows 10 weiterlesen
27.6.2019 – Diebstahl von Anmeldedaten: Schutz vor Datenlecks weiterlesen
Ausbildung zum Fachinformatiker und zum IT Systemkaufmann zum 01. August 2020 weiterlesen