Fast 30 Jahre ist es her, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum ersten Mal eine Vorform des heutigen IT-Grundschutz-Kompendiums herausgegeben hat. Seitdem steigt die Bedeutung von IT-Sicherheit exponentiell an und das BSI hat die enthaltenen Maßnahmen und Analysen immer wieder an die aktuellen Bedrohungsszenarien und technischen Entwicklungen in der IT-Landschaft Deutschlands und darüber hinaus angepasst.
Heute beschreibt das sogenannte „Original in der Informationssicherheit“ einen Maßnahmenkatalog, mit dem Unternehmen jeder Größe geeignete Sicherheitsmaßnahmen identifizieren und umsetzen können, um ihre unternehmenseigene Informationstechnik zu schützen.
Die Bausteine des IT-Grundschutz-Kompendiums
Das Kompendium besteht aus vier aufeinander aufbauenden Modulen:
- Managementsysteme für Informationssicherheit
- IT-Grundschutz-Methodik
- Risikoanalyse auf Basis von IT-Grundschutz
- Notfallmanagement
Das Kompendium umfasst sowohl Maßnahmen zum Schutz vor höherer Gewalt und Naturkatastrophen (wie Feuer, Blitzeinschläge und Wasserschäden) als auch vor gezielten Attacken, beispielsweise Datendiebstahl, -manipulation und -zerstörung durch Cyberangriffe. Die einzelnen IT-Grundschutz-Kataloge, die mögliche Gefährdungen und Gegenmaßnahmen auflisten, unterstützen den Aufbau eines umfassenden Information Security Management Systems (ISMS).
Password Safe und IT-Grundschutz-Kompendium – JETZT DOWNLOADEN
IT-Grundschutz vs. ISO 27001
Wer sich über das IT-Grundschutz-Kompendium informiert, wird zwangsläufig auch über die Norm ISO 27001 stolpern. Beide Standards beschäftigen sich mit dem Schutz der Informationssicherheit, setzen jedoch unterschiedliche Schwerpunkte und bedienen sich einer jeweils anderen Methodik. Das Kompendium listet die Gefährdung von festgelegten Assets auf und schlägt gezielt Maßnahmen vor, um diese Risiken zu reduzieren. So hat beispielsweise jedes Unternehmen und jede Behörde Zugänge, die gesichert werden müssen, und User-Rechte, die es zu verwalten gilt. ISO 27001 hingegen fokussiert sich auf das Management der Informationssicherheit und beschreibt, wie Unternehmen ihre schützenswerten Assets individuell definieren und deren Risiken analysieren können. Asset-Listen und einen Maßnahmenkatalog wie im IT-Grundschutz sucht man hier vergebens.
Das Mindestmaß an IT-Sicherheit
Der Vorteil des IT-Grundschutzes liegt darin, dass aufgrund der umfangreichen Listen keine Gefährdungen übersehen werden können und geprüfte risikominimierende Maßnahmen bereits vorgegeben sind. Wo nötig, können über zusätzliche Sicherheitsanalysen noch weitere Objekte identifiziert werden. Beide Standards lassen sich auch gut miteinander kombinieren. So zeigt eine Zertifizierung nach ISO 27001 zwar an, dass ein Unternehmen sich dem Thema IT-Sicherheit angenommen hat. Aber nur eine Zertifizierung nach „ISO 27001 auf Basis von IT-Grundschutz“ weist nach, dass ein Unternehmen das im Kompendium definierte Mindestmaß an IT-Sicherheit erfüllt. Das IT-Grundschutz-Kompendium ist daher die perfekte Grundlage für unternehmensweite IT-Sicherheit.
Analysieren des Schutzbedarfs
Die Bearbeitung der IT-Grundschutz-Maßnahmen gliedert sich in drei Phasen:
- Das Identifizieren von schützenswerten Assets
- Die Bewertung des jeweiligen Schutzbedarfs
- Die Analyse der aktuellen Schutzmaßnahmen und die Definition des Soll-Zustands
Daraus entsteht der sogenannte IT-Verbund, also die Sammlung aller zu sichernden Zielobjekte, für die jeweils Gefährdungen und Maßnahmen festgelegt werden.
Passwörter im IT-Grundschutz
Passwörter spielen eine elementare Rolle, wenn es um IT-Sicherheit im Allgemeinen und die Sicherung des unternehmenseigenen IT-Verbunds im Speziellen geht. Sie schützen wichtige Zugänge, hinterlegte Informationen und sensible Daten vor dem Zugriff Unbefugter – seien es Mitarbeiter ohne entsprechende Berechtigungen oder gar Hacker-Angriffe von außen. Dafür braucht es sichere und effektive Passwortrichtlinien, doch diese sind oft schwer umzusetzen. Deswegen befasst sich das IT-Grundschutz-Kompendium an verschiedenen Stellen mit dem Thema Password und Identity Management, unter anderem im Modul für Organisation und Personal. Hier wird beispielsweise auf die Notwendigkeit von funktionierenden Prozessen im Identitäts- und Berechtigungsmanagement hingewiesen. Fehlen diese, können etwa ausgeschiedene Mitarbeiter, deren Zugänge nicht geändert oder gelöscht wurden, weiterhin auf schützenswerte Informationen zugreifen. Hierfür einen funktionierenden Prozess aufzusetzen, kann sich ohne ein entsprechendes IT-Security-Tool schwierig gestalten.
Passwörter regelmäßig wechseln – ja oder nein?
Im Jahr 2020 änderte das BSI seine Empfehlung, Passwörter alle 90 Tage zu wechseln. Stattdessen gilt es nun, Passwörter nur noch zu auszutauschen, wenn ein Verdachtsfall besteht. Diese Empfehlung bekräftigt das BSI erneut im diesjährigen Kompendium. Der Hintergrund: Bei häufigen Passwortwechseln tendieren Nutzer dazu, sehr leichte Passwörter mit nur minimalen Änderungen zu verwenden – aus „Mausi01“ wird eben „Mausi02“. Solche leicht zu entschlüsselnden Passwörter öffnen jedoch Tür und Tor für Cyberangriffe. Mit der neuen Empfehlung hofft man nun, dass Nutzer wieder auf komplexere Passwörter zurückgreifen, da sie diese nicht mehr regelmäßig ändern müssen. Das ist jedoch ein Trugschluss. Mit der stetigen wachsenden Anzahl an passwortpflichtigen Tools ist eine gründliche Passwort-Hygiene mit hochkomplexen Passwörtern für den Durchschnittsnutzer kaum noch zu bewältigen. Die Lösung: ein Passwort-Manager, der allen Nutzern die Verwaltung ihrer Passwörter abnimmt.
„Die Nutzung eines Passwort-Managers sollte geprüft werden“
Das IT-Grundschutz-Kompendium empfiehlt, den Einsatz eines Passwort-Managers zu prüfen. Heutzutage kommen jedoch Unternehmen, die ihre Passwörter und Geheimnisse schützen wollen, kaum noch an einem professionellen Enterprise Passwort-Manager wie MATESO Password Safe vorbei. Um die Anforderungen des IT-Grundschutzes zu erfüllen, sollte dieser über verschiedene Funktionen verfügen – wie beispielsweise ein rollenbasiertes Rechtesystem, einen Passwort-Generator und moderne Ende-zu-Ende-Verschlüsselungstechnologien. Funktionalitäten wie Password Sharing oder Sichtschutz-Optionen ermöglichen das sichere Arbeiten im Team. Außerdem sollte man bei sämtlichen IT-Security-Lösungen stets auf das Siegel “IT Security made in Germany” achten, um die deutschen Datenschutzgesetze einhalten zu können. Mithilfe einer Self-Hosting-Lösung wie MATESO Password Safe behält das Unternehmen zudem die Hoheit über seine Daten. Nur so lässt sich garantieren, dass das notwendige Sicherheitsniveau auch erreicht wird.
Möchten Sie mehr darüber erfahren, wie Sie die IT-Grundschutz-Vorgaben mithilfe eines Passwort-Managers wie Password Safe sicher umsetzen können? Dann laden Sie sich hier unser Whitepaper „Password Safe und das IT-Grundschutz-Kompendium 2021“ kostenlos herunter.