13.11.2017 BSI-Standards

IT-Grundschutz wird straffer und übersichtlicher

Von: Ingo Steinhaus

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Grundschutz modernisiert und stärker an die Bedürfnisse mittelständischer Unternehmen angepasst.

Hacker dringt in Computer ein

Ein Passwort allein macht noch keinen IT-Grundschutz

Bisher waren die Dokumente zum IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufgrund ihres Umfangs eher abschreckend. Dies galt vor allem für kleinere und mittelgroße Unternehmen, die keine oder nur eine kleine IT-Organisation besitzen. Doch das BSI hat dazugelernt und für die modernisierte Version des IT-Grundschutzes alle Dokumente etwas eingedampft und besser strukturiert. Das Highlight für Mittelständler: Es gibt jetzt einen gut 44-seitigen Leitfaden, der den Unternehmen den Einstieg in das Thema erleichtert.

„Der IT-Grundschutz des BSI ist eine seit Jahren etablierte erfolgreiche Marke. Mit der Modernisierung haben wir den IT-Grundschutz flexibler und zukunftsfähig gemacht“, betont BSI-Präsident Arne Schönbohm. „Wenn wir es mit der Digitalisierung ernst meinen, dann ist Informationssicherheit eine wesentliche Voraussetzung für deren Erfolg. Der IT-Grundschutz ist der Weg in eine sichere Digitalisierung für Unternehmen und Behörden aller Größen.“

Nach der grundlegenden Überarbeitung der gesamten Methodik bietet der neue IT-Grundschutz Einsteigern und Fortgeschrittenen eine modulare und flexible Methode zur Erhöhung der Informationssicherheit in Behörden und Unternehmen. Dabei widmen sich zahlreiche Dokumente zum IT-Grundschutz speziell kleinen und mittelständischen Unternehmen. Ein zentrales Ergebnis der Modernisierung ist der Ersatz der früheren IT-Grundschutzkataloge durch das neue IT-Grundschutzkompendium.

Das Dokument ist jetzt übersichtlicher strukturiert und hat deutlich weniger Umfang als die früheren Kataloge. Doch nicht nur die Verständlichkeit ist gestiegen, auch die Möglichkeiten zur Aktualisierung der Inhalte sind verbessert. Zukünftig soll jedes Jahr im Februar eine aktualisierte Edition erscheinen. Zudem gibt es neue BSI-Standards, die die alten Normen 100-1 bis 100-3 ersetzen.

Die Dokumente zum IT- Grundschutz

Insgesamt besteht der IT-Grundschutz aus den folgenden Dokumenten:

  • Der Leitfaden zur Basisabsicherung dient als kompakter und übersichtlicher Einstieg in die Umsetzung der Sicherungsmaßnahmen und den Aufbau eines Informationssicherheitsmanagements mit IT-Grundschutz. Er richtet sich besonders an kleine und mittelständische Unternehmen, die sich erstmals mit grundlegenden Fragen der Informationssicherheit befassen. Ihnen erklärt der Leitfaden die elementaren Schritte zur Überprüfung und Steigerung des Sicherheitsniveaus.
  • Das IT-Grundschutzkompendium ersetzt die Grundschutzkataloge. Die Inhalte der Grundschutz-Bausteine bilden den aktuellen Stand der Technik ab. Aktuell enthält das IT-Grundschutz-Kompendium 80 modernisierte Bausteine und dient als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz. Dabei wird die gesamte Bandbreite der IT berücksichtigt, erstmals auch die industrielle IT mit Betriebs-und Steuerungstechnik sowie Sensoren und Aktoren im Industrial IoT.
  • Der BSI-Standard 200-1 definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Er ist wie sein Vorgänger kompatibel zum ISO-Standard 27001 und berücksichtigt die Empfehlungen der anderen ISO-Standards wie beispielsweise ISO 27002.
  • Der BSI-Standard 200-2 etabliert drei neue Vorgehensweisen bei der Umsetzung des IT-Grundschutzes: Die „Basisabsicherung“ bietet einen Einstieg in den IT-Grundschutz und kann vergleichsweise schnell umgesetzt werden. Die „Standardabsicherung“ bietet einen vollständigen Sicherheitsprozess, der kompatibel zu ISO-Normen und dem bisherigen BSE-Standard 100-2 ist und das ganze Unternehmen erfasst. Die „Kernabsicherung“ ist eine Alternative zur Basisabsicherung und schützt in einem ersten Schritt nur die wichtigsten Assets und Prozesse eines Unternehmens.
  • Der BSI-Standard 200-3 beschreibt die Voraussetzungen für eine weiterführende Risikoanalyse, mit deren Hilfe Unternehmen die höchstmögliche Sicherheit erreichen.

Bildquelle: Thinkstock

 

 

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH