Modernisierung des IT-Grundschutzes durch das BSI

Neuerungen für den IT-Grundschutz

Der IT-Grundschutz ist in die Jahre gekommen und hat sich aufgebläht, weswegen das Bundesamt für Sicherheit in der Informationstechnik (BSI) an einer schlanken Neuauflage arbeitet.

  • „Unsere Veranstaltungen sind binnen kurzer Frist immer vollkommen ausgebucht“, so Holger Schildt vom BSI. „Ich sehe nach wie vor eine hohe Nachfrage nach dem IT-Grundschutz“.

  • „Beim BSI ist viel die Rede von kleinen Unternehmen wie Gewerbe- und Handwerksbetrieben“, sagt Lutz Kolmey, IT-Managementberater beim Dienstleister mod IT Services. „Das ist aber nicht der klassische Mittelstand und auch kein Markt für IT-Services.“

80 Bausteine, 1260 Einzelmaßnahmen, 4500 Seiten – so wuchtig ist der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI). 1993 als schmale Sammlung von Best Practices für Behörden ins Leben gerufen, ist das Kompendium inzwischen kaum noch zu überblicken.

Vor allem mittelständische Unternehmen sind mit der Umsetzung oft überfordert. Die Liste der Kritikpunkte ist lang und wird seit einiger Zeit intensiv auf Veranstaltungen des BSI diskutiert: Zu viele Rollen mit strikter Trennung, ausufernde Dokumentationspflichten, hoher Aufwand ohne Abwägung der Wirtschaftlichkeit und zu träge Erweiterung auf neue technologische Entwicklungen.

Doch trotz aller Kritik hat das BSI-Konzept seine Berechtigung. Wie viele Unternehmen den IT-Grundschutz wirklich einsetzen, ist für Holger Schildt vom BSI schwer einzuschätzen. Genaue Zahlen gibt es nicht. „Unsere Veranstaltungen sind binnen kurzer Frist immer vollkommen ausgebucht“, nennt er als Anhaltspunkt. „Ich sehe nach wie vor eine hohe Nachfrage nach dem IT-Grundschutz“.

Nur noch halbe Sicherheit

Vor allem für mittelgroße Unternehmen soll sich das Konzept des IT-Grundschutzes lohnen, können sie sich damit doch den hohen Aufwand der Normfamilie ISO 27.000 ersparen. Bei den ISO-Normen geht es in erster Linie um die Verankerung eines Managementsystems zur Informationssicherheit in allen Unternehmensbereichen. Der IT-Grundschutz hingegen setzt direkt bei der IT-Organisation an. Ausgangspunkt ist die übliche Gefährdung der betrachteten Systeme – also all das, was für gut 80 Prozent der Fälle zutrifft und als Schutz ausreicht. Wer höheren Schutzbedarf hat, benötigt ohnehin eine individuelle Lösung.

Insbesondere Mittelständlern will der IT-Grundschutz drei Vorteile gegenüber den ISO-Normen bieten: Er setzt pragmatisch bei den IT-Systemen an, bietet praktische Hinweise zur Umsetzung und verzichtet weitgehend auf aufwendige Risikoanalysen.

Was vor zehn Jahren Sicherheitsstandard war, bietet heute höchstens halbe Sicherheit. „Wir haben Elemente wie Virtualisierung und Cloud Computing eingebaut“, sagt Holger Schildt. Doch angesichts der technologischen Dynamik haben sich die eigentlichen Vorteile des IT-Grundschutzes beinahe ins Gegenteil verkehrt: Der Umsetzungsaufwand ist im Laufe der Jahre erheblich angestiegen und auch das Sicherheitsniveau ist für viele Anwendungsfälle zu hoch. Es heißt „IT-Grundschutz“, viele Empfehlungen der Bausteine jedoch liegen weit jenseits der Basissicherheit. Deshalb arbeitet das BSI schon länger an einer Grundrenovierung seiner Kataloge und Vorgehensweisen, die noch in diesem Jahr vorgestellt werden soll.

Einstiegshürden verringern

Der neue IT-Grundschutz unterteilt die Maßnahmen zunächst einmal in drei aufeinander aufbauende Ebenen, die eine Skalierung der Absicherung bewirken. So soll die Projektgröße überschaubarer werden und den Einstieg erleichtern.

Auf der ersten Ebene stehen Sofortmaßnahmen. Sie sollten insbesondere bei kleineren Unternehmen vorrangig für eine schnelle Absicherung der eigenen IT-Infrastrukturen umgesetzt werden. Oft sind solche Basisempfehlungen ohne großen analytischen Ballast rasch umzusetzen – etwa regelmäßige Datensicherungen oder Virenschutz.

Die zweite Ebene bilden Standardempfehlungen für den normalen Schutzbedarf, die dem Stand der Technik entsprechen und für den Großteil der Unternehmen auch ohne präzise Risikoanalyse möglich sind. Auf der dritten Ebene finden sich dann Hochsicherheitsmaßnahmen für Organisationen mit erhöhtem Schutzbedarf, etwa für Unternehmen aus der Finanzbranche oder Bundesbehörden.

Auch auf der Seite der Methodik soll der neue IT-Grundschutz größere Flexibilität bringen. So plant das BSI einerseits eine Art „Instantmethodik“, bei der die Maßnahmen ohne Feststellung des Schutzbedarfs und ohne Risikoanalysen ganz pragmatisch nach Bedarf eingeführt werden, angefangen bei den relevanten Basisempfehlungen. Intern trägt diese Methodik die Bezeichnung „20:80“, was auf den bekannten Zusammenhang hinweist, dass 20 Prozent des Aufwands für 80 Prozent des Ergebnisses reichen.

Alle Bausteine auf zehn Seiten

Die sogenannte „Kernabsicherung“ wird neu eingeführt. Hierbei findet der IT-Grundschutz auf einen sehr kleinen Teil der Institution Anwendung, auf jenen mit den zuvor in einer Analyse identifizierten essentiellen Assets. Auch bei dieser Methodik geht es in erster Linie um eine pragmatische Vorgehensweise, die schnelle Ergebnisse bei geringem Aufwand zum Ziel hat. Außerdem offeriert das BSI als dritte Methode den traditionellen Planungsansatz, der mit einer umfangreichen Schutzbedarfsermittlung beginnt und dann zu den Maßnahmen überleitet.

Eine große Neuerung wird die entschlackte Darstellung des Grundschutzes sein. Die Dokumente gliedern sich zwar wie bisher in thematische Bausteine, sind jedoch nach Zielgruppen in zwei unterschiedlich detaillierte Teile aufgeteilt. So gibt es etwa zehn Seiten, die die Bausteine und ihre Anforderungen umfassen und sich an die Sicherheitsverantwortlichen richten. Hierin wird beschrieben, welche Maßnahmen umgesetzt werden müssen. Für die Hauptzielgruppe der IT-Mitarbeiter veröffentlicht das BSI zusätzliche Hinweise, wie die Anforderungen der Bausteine umgesetzt werden können. Sie enthalten detailreiche und vertiefende Empfehlungen zu den Maßnahmen. Hier ist dann die Leitfrage, „Wie wird es gemacht?“

Schutzprofile für verschiedene Branchen

Eine weitere Neuerung: Für viele Branchen soll es spezielle, sofort umsetzbare Schutzprofile geben. Diese Standardprofile sind eine Antwort auf ein Problem, das auch nach der Modernisierung bleiben wird: Die große Spreizung der Zielgruppen. „Beim BSI ist viel die Rede von kleinen Unternehmen wie Gewerbe- und Handwerksbetrieben“, sagt Lutz Kolmey, Senior IT-Managementberater beim IT-Dienstleister mod IT Services. „Das ist aber nicht der klassische Mittelstand und auch kein Markt für IT-Services.“

Nach Kolmeys Erfahrungen haben mittelständische Unternehmen im Moment vor allen Dingen erhöhten Bedarf bei Schwachstellenscans und beim Notfallmanagement. „Der typische Mittelständler möchte wissen, wo seine IT Lücken aufweist und was er tun muss, um ein vernünftiges Notfallmanagement aufzusetzen.“ Er sieht hier einen weiterhin hohen Beratungsbedarf, auch angesichts des verschlankten IT-Grundschutzkonzepts. „Trotz der gesunkenen Komplexität sollte die Einführung des modernisierten IT-Grundschutzes von Beratern begleitet werden, insbesondere wenn Technologien eingesetzt werden, für die es keine Empfehlungen im IT-Grundschutz gibt oder wenn sich bei einem höheren Schutzbedarf eine ergänzende Risikoanalyse empfiehlt.“, betont Lutz Kolmey. In Eigenregie sei dies nur schwer umsetzbar.“
 

 

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok