Der Begriff IT-Grundschutz klingt erst einmal nicht nach besonderer Sicherheit. Bei Grundschutz könnten viele Laien beispielsweise an die kostenlosen Versionen von Antiviren-Software denken. Diese bieten auch einen gewissen Grundschutz. Höhere Sicherheit und mehr Funktionen kosten dort aber. Ist dies beim Grundschutz für IT auch so? Unser Blog-Beitrag beschäftigt sich mit dem Thema IT-Grundschutz und beantwortet Ihnen die wichtigsten Fragen.
Was haben Unternehmen vom IT-Grundschutz?
Unternehmen profitieren vor allem in Sachen Informationssicherheit vom IT-Grundschutz. Mit den Vorgaben und Maßnahmen reduzieren Unternehmen bei der Umsetzung Risiken und schaffen zusätzlich eine bewährte Form, um Mitarbeiter in Sicherheitsfragen zu sensibilisieren. Zusätzlich bietet die nachweisbare Erfüllung des Grundschutzes für Unternehmen eine Außenwirkung für Kunden und potenzielle Kunden.
Weitere Vorteile sind beispielsweise:
• Kosteneffizienter Ansatz durch vordefinierte Gefährdungen, wodurch eine detaillierte Risikoanalyse entfällt.
• Der Grundschutz wird kontinuierlich aktualisiert und erweitert. Unternehmen profitieren durch vorhandenes Wissen und Strukturen bei der Anpassung.
Wie können sich Unternehmen zertifizieren lassen?
Voraussetzung für die Zertifizierung ist die Erfüllung der Anforderungen. Ob dies gegeben ist, wird durch einen Grundschutz-Auditor bestätigt. Dieser sichtet die Referenzdokumente, führt eine Prüfung vor Ort durch und erstellt einen Audit-Report. Alle Informationen finden Sie auf der Webseite des BSI. Als Vorstufen sind ebenfalls die Auditor-Testate „Einstiegsstufe“ und „Aufbaustufe“ für Unternehmen denkbar, um vor der eigentlichen Zertifizierung zu sehen, ob der eingeschlagene Weg zum IT-Grundschutz zielführend ist.
Unternehmen könnten intern die Zertifizierung durch fachkundiges Personal vorbereiten. Darüber hinaus lassen sich Firmen beauftragen, die einzelne Bereiche oder den gesamten Prozess als Dienstleistung anbieten.
IT-Grundschutz: Was ist das überhaupt?
IT-Grundschutz bezeichnet zunächst einmal eine Vorgehensweise mit Blick auf unternehmenseigene Informationstechnik. Dabei werden Sicherheitsmaßnahmen identifiziert und umgesetzt, um die definierten sicherheitsrelevanten Aspekte in Unternehmen zu gewährleisten.
Entwickelt wurden die mit dem IT-Grundschutz verbundenen Bereiche, Standards und Kataloge vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Besonderheit liegt bei diesem IT-Sicherheitskonzept darin, dass es auf eine detaillierte Risikoanalyse verzichtet. Vielmehr wird von ganz pauschalen Gefährdungen ausgegangen. Daraus resultiert eine IT-Grundschutz-Vorgehensweise, die sich möglichst standardisiert anwenden lässt.
Bestandteile der IT-Grundschutz-Kataloge
Der BSI-Grundschutz für IT setzt sich aus unterschiedlichen Komponenten zusammen. Die Basis bilden die IT-Grundschutz-Kataloge. Diese umfassen den Baustein-Katalog, den Gefährdungs-Katalog und den Maßnahmen-Katalog.
Baustein-Katalog
Der Baustein-Katalog ist das zentrale Element des IT-Grundschutzes und ist in einem Schichtenmodell aufgebaut. Die erste Schicht behandelt übergeordnete Aspekte der IT-Sicherheit wie beispielsweise Personal, Management oder Outsourcing. Die zweite Schicht orientiert sich an der Sicherheit der Infrastruktur, was bauliche Aspekte in Verbindung mit IT betrifft. Als dritte Schicht ist in diesem Katalog die Sicherheit der IT-Systeme beschrieben, zu denen Server, Telefonanlagen, Faxgeräte und Clients gehören. Die Sicherheit im Netz bildet die vierte Schicht und die fünfte umfasst die Anwendungsebene, die u. a. E-Mails, Webserver, Software und Datenbankmanagementsysteme, wenn diese sicherheitsrelevant sind.
Für jede Schicht und jeden Baustein innerhalb der Schicht sind im Baustein-Katalog Erläuterungen vorhanden, die den Lebenszyklus des jeweiligen Bereichs abdecken: Planung und Konzeption, Beschaffung (wenn nötig), Umsetzung, Betrieb, Aussonderung (wenn nötig) und Notfallvorsorge.
Nach der Einführung der einzelnen Ebenen und Maßnahmen erfolgt die Zusammenfassung mit der Struktur des Maßnahmen-Katalogs und der Klassifizierung der jeweiligen Aspekte in die Kategorien A, B, C, Z und W. A steht für den Einstieg in die jeweilige Thematik, B für eine Erweiterung selbiger, C ist dann notwendig für die Zertifizierung des IT-Grundschutzes. Die Kategorie Z stellt weitere Maßnahmen dar und W sind Maßnahmen, die Hintergrundwissen zum jeweiligen Thema liefern.
Das Baustein-Prinzip klingt erst einmal kompliziert. Doch auf diese Weise lassen sich anschaulich und standardisiert die unterschiedlichen Bausteine für sich und ganzheitlich betrachten sowie behandeln.
Gefährdungs-Kataloge
Die Gefährdungs-Kataloge nehmen das Schichtenprinzip des Baustein-Katalogs auf und sind in Höhere Gewalt, Organisatorische Mängel, Menschliche Fehlhandlungen, Technisches Versagen und Vorsätzliche Handlungen aufgeteilt. Der Mehrwert dieser Kataloge liegt nicht darin, dass das Wissen unbedingt für den IT-Grundschutz notwendig ist. Vielmehr fördert es bei allen Beteiligten das Verständnis über notwendige Maßnahmen und fördert die Wachsamkeit in Unternehmen.
Maßnahmen-Kataloge
In den Maßnahmen-Katalogen sind die notwendigen Maßnahmen für den IT-Grundschutz zusammengefasst. Auch hierbei wird wieder mit Schichten gearbeitet: Infrastruktur, Organisation, Personal, Hardware/Software, Kommunikation und Notfallvorsorge.
Vorgehensweise beim IT-Grundschutz
Die Vorgehensweise für den IT-Grundschutz umfasst acht Schritte, die nacheinander durchlaufen werden müssen. Diese sind:
• Definition des Informationsverbundes
• Durchführung einer IT-Strukturanalyse
• Durchführung einer Schutzbedarfsfeststellung
• Modellierung
• Durchführung eines Basis-Sicherheitschecks
• Durchführung einer ergänzenden Sicherheitsanalyse (evtl. anschließende Risikoanalyse)
• Konsolidierung der Maßnahmen
• Umsetzung der IT-Grundschutzmaßnahmen
Vor allem bei der Strukturanalyse, bei der Modellierung und beim Basis-Sicherheitscheck finden die jeweils relevanten Grundschutz-Kataloge Anwendung.
BSI-Standards für IT-Grundschutz
Vor dem Hintergrund des IT-Grundschutzes in Unternehmen hat das BSI vier Standards gesetzt. Der Standard zum Aufbau eines Informationssicherheits-Managementsystems (ISMS) ist mit 100-1 bezeichnet. Die Vorgehensweise nach IT-Grundschutz hat die Kennung 100-2 und die Erstellung einer Risikoanalyse für hohen und sehr hohen Schutzbedarf ist im Standard 100-3 festgeschrieben. Der BSI-Standard 100-4 bezeichnet Notfallmanagement.
Sind IT-Grundschutz und DIN ISO/IEC 27001 verbunden?
Grundsätzlich ist die ISO 27001 oder auch DIN ISO/IEC 27001 eine eigenständige internationale Norm. Sie ist in vier einleitende Kapitel, sieben Hauptartikel mit den Normanforderungen und einen normativen Anhang A gegliedert. Die unmittelbare Verbindung von ISO 27001 und IT-Grundschutz liegt in der Zertifizierung. Unternehmen haben zwei Möglichkeiten, ein Zertifikat zu erlangen. Entweder durch eine Zertifizierung nach ISO/IEC 27001 oder mit dem ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz.
Unser Fazit zum IT-Grundschutz
In Unternehmen nimmt der Anteil von Informationstechnologien immer weiter zu. Dies geht zwar nicht zwangsläufig mit einem größeren Sicherheitsrisiko einher. Doch zeigt sich, dass gerade in Sachen Sicherheit die Aspekte IT-Schutz und Sicherheits-Bewusstsein der Mitarbeiter eine wichtige Säule für IT-Sicherheit innerhalb von Unternehmen sind. Daher sehen wir in den Zertifizierungen nach ISO/IEC 27001 und in dem ISO/IEC 27001-Zertifikat nach IT-Grundschutz eine geeignete Option für Unternehmen, der Informationstechnologie und deren Sicherheit einen adäquaten Stellenwert beizumessen.