Mit dem IT-Grundschutz stellt das BSI einen umfangreichen Leitfaden zur Absicherung digitaler Systeme bereit. Aber ist der Grundschutz neben internationalen Normen wie ISO 27001 überhaupt relevant? Lohnt sich die Auseinandersetzung für Unternehmen?
Der IT-Grundschutz des Bundesministeriums für Sicherheit in der Informationstechnik ist als Hilfestellung für Behörden und Unternehmen gedacht, die ihre digitale Infrastruktur besser absichern möchten. Mit stolzen 810 Seiten Umfang schreckt das jährlich aktualisierte Kompendium, in dem die genauen Anforderungen des BSI beschrieben sind, allerdings viele Unternehmen ab. Kritiker betrachten den Maßnahmenkatalog als zu sperrig und zu bürokratisch für die Anwendung in der Privatwirtschaft.
Gerade die ausführliche Behandlung des Themas IT-Sicherheit lässt sich jedoch auch als Stärke des Grundschutz-Kompendiums betrachten: Während andere Standards auf vage Formulierungen wie „angemessene Sicherheitsvorkehrungen“ oder „neuester Stand der Technik“ zurückgreifen, hat sich das BSI zum Ziel gesetzt, klare Vorgaben für sämtliche Anwendungsbereiche von Cybersecurity bereitzustellen. Dabei wird kein besonderes technisches Fachwissen vorausgesetzt, um das Dokument auch Entscheidungsträgern außerhalb der IT zugänglich zu machen.
Aus diesem Aufbau ergeben sich zwei große Vorteile, die den BSI-IT-Grundschutz für Unternehmen interessant machen können: Zum einen bietet das Kompendium klar definierte Anforderungen in Sachen Informationssicherheit, die die Umsetzung von konkreten Verbesserungen in einer Organisation wesentlich erleichtern. Zum anderen entfällt bei einer BSI-Zertifizierung in der Regel eine detaillierte Risikoanalyse, da der Grundschutz auf Basis von allgemeinen Bedrohungen konzipiert ist und Standardmaßnahmen für die IT-Sicherheit bereitstellt.
Unternehmen, die ihre IT-Sicherheit generell verbessern oder sich auf einen anderen Compliance-Standard vorbereiten möchten, können den IT-Grundschutz entsprechend als Leitfaden für die Erhebung des Ist-Zustandes und das Anvisieren von möglichen Verbesserungen nutzen. Bei der vollständigen Umsetzung des Grundschutzes ist zudem eine ISO 27001-Zertifizierung möglich, um internationale Vergleichbarkeit zu gewährleisten.
Wie ist der IT-Grundschutz aufgebaut?
Im Zentrum des IT-Grundschutzes steht der Aufbau eines Managementsystems für Informationssicherheit bzw. ISMS, also Richtlinien und Verfahren, die Informationssicherheit dauerhaft in einer Institution verankern und klare Abläufe schaffen sollen. Die Grundlagen für die Erstellung eines solchen ISMS sind in den BSI-Standards 200-1 und 200-2 dokumentiert. Trotz der Bezeichnung als Standard handelt es sich bei diesen Dokumenten im Wesentlichen um eine Hilfestellung, die einen möglichen organisatorischen Rahmen für die Umsetzung des IT-Grundschutzes anbietet.
Hacker analysiert Firmen-Systeme auf Schwachstellen und Sicherheitslücken (Bild: Robert Kneschke)
Die konkreten Anforderungen, die Unternehmen in Bereichen wie Infrastruktur, Software-Anwendungen, IT-Systemen oder Personal erfüllen müssen, sind im Grundschutz-Kompendium zusammengefasst. Das Kompendium besteht aus zahlreichen Bausteinen, die sich auf zehn verschiedene Themen wie Betrieb, Organisation oder Netzkommunikation aufteilen. Dabei geht das Kompendium in jedem Kapitel, beispielsweise NET.2.1 WLAN-Betrieb, zunächst auf mögliche Gefahren ein und definiert anschließend konkrete Anforderungen, etwa „Access Points MÜSSEN zugriffs- und diebstahlsicher montiert werden.“
Der IT-Grundschutz unterscheidet dabei zwischen grundlegenden Basis-Anforderungen und weiterreichenden Standard-Anforderungen. Insgesamt ergeben sich aus dieser Kombination gleich drei verschiedene Möglichkeiten für die Zertifizierung:
- Bei der Basis-Absicherung werden die Grundlagen der IT-Sicherheit in allen Bereichen des Unternehmens umgesetzt. Diese Option bietet also einen breiten, aber nicht besonders umfassenden Schutz.
- Bei der Kern-Absicherung werden auch weiterführende Anforderungen des Kompendiums erfüllt, aber nur in besonders kritischen Bereichen. Somit bietet diese Variante einen vertieften Schutz für die wichtigsten Systeme. Auf Basis der Kern-Absicherung ist auch eine ISO 27001-Zertifizierung möglich.
- Die Standard-Absicherung deckt alle empfohlenen Anforderungen des IT-Grundschutzes in sämtlichen Bereichen ab. Es werden also alle Empfehlungen des BSI umgesetzt. Auch hier ist eine ISO 27001-Zertifizierung durch einen BSI-Auditor möglich.
Wie bereite ich mich auf die Zertifizierung vor?
Auch wenn es sich bei der Methodik der BSI-Standards eigentlich nur um eine Empfehlung handelt, ist es natürlich trotzdem sinnvoll, sich an dem vorgeschlagenen Ablauf zu orientieren. Am Beginn steht eine Strukturanalyse, bei der vorhandene Prozesse, Anwendungen und Systeme erfasst werden. Anschließend bewerten Sie im Rahmen einer Schutzbedarfsfeststellung, ob es Objekte im Unternehmen gibt, die zusätzliche Schutzmaßnahmen brauchen, und ordnen jedem Element die passenden Bausteine aus dem Kompendium zu. Falls es Prozesse oder Systeme gibt, für die kein passender Baustein existiert, muss ein benutzerdefinierter Baustein erstellt werden. In diesem Fall ist auch eine Risikoanalyse notwendig.
Tipp: Obwohl der IT-Grundschutz klare Kriterien für Datensicherheit definiert, haben Organisationen dennoch freie Hand, wenn es darum geht, auf welchem Weg Sie diese Anforderungen umsetzen möchten. Um den Aufwand so gering wie möglich zu halten, empfiehlt es sich daher, auf automatisierte Software-Lösungen zu setzen, die die notwendigen Prozesse reibungslos in den Geschäftsalltag integrieren. Mit einer passenden Identity & Access Management Lösung ersparen Sie sich etwa die händische Verwaltung und Dokumentation von Zugriffsrechten, die im Baustein Identitäts- und Berechtigungsmanagement vorgegeben ist. Selbstverständlich gibt es auch in vielen anderen Bereichen geeignete Software-Lösungen: Endpunkt-Sicherheit, die Verwaltung von Passwörtern, Backup-Lösungen und so weiter.
Mit den passenden Tools lassen sich wesentliche Prozesse der Datensicherheit zusammenfassen und über zentrale Plattformen verwalten. Oft decken Software-Produkte somit Anforderungen aus verschiedenen Bausteinen ab. Um den Überblick zu behalten, empfiehlt es sich, sämtliche Kriterien intern durchzugehen, bevor ein Auditor kontaktiert wird.