IT-Grundschutz

Maßnahmen zur Informationssicherheit

Der IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte und frei verfügbare Vorgehensweise um ein ganzheitliches Informationssicherheits-Managementsystem (ISMS) in Institutionen (Behörden, Unternehmen und Organisationen) umzusetzen. Die Hauptwerke des IT-Grundschutzes bilden die BSI-Standards und das IT-Grundschutz-Kompendium. Zusammen stellen sie laut BSI einen De-Facto-Standard für IT-Sicherheit dar. Darüber hinaus bietet das BSI Umsetzungshinweise zum IT-Grundschutz-Kompendium und weitere Hilfsmittel an, die kleineren Institutionen den Einstieg in das Thema Informationssicherheit erleichtern sollen. Institutionen können ihr systematisches Vorgehen bei der Einführung eines ISMS sowie die Umsetzung der Standard-Anforderungen des IT-Grundschutzes mit Hilfe des ISO 27001-Zertifikats auf der Basis des IT-Grundschutzes nachweisen.

Historische Entwicklung

Bearbeiten

Die erste Fassung der Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (IT) – (IT-Sicherheitskriterien) wurde am 1. Juni 1989 im Bundesanzeiger veröffentlicht.[1] Darauf aufbauend wurde im März 1992 das Handbuch für die sichere Anwendung der Informationstechnik (IT) – IT-Sicherheitshandbuch in der Version 1.0 durch das BSI veröffentlicht.[2] Im Jahr 1995, wurde die erste Version des IT-Grundschutzhandbuchs (GSHB) herausgegeben und im Bundesanzeiger veröffentlicht. Das GSHB enthielt 18 Bausteine und 200 Maßnahmen. Es wurde bis 2004 weiterentwickelt und enthielt zum Schluss 58 Bausteine und 720 Maßnahmen. Im Verlauf der Entwicklung ist das GSHB von ursprünglich 150 Seiten auf 2.550 Seiten angewachsen. Der Umfang ergab sich aus konkreten und detaillierten Beschreibungen von Gefährdungen, Maßnahmen und Bausteinen.[3]

2006 wurde das GSHB mit dem Ziel der Integration des ISMS-Ansatzes in den IT-Grundschutz, überarbeitet. Es erfolgte die Aufteilung in die BSI-Standards der 100-x Serie sowie die IT-Grundschutz-Kataloge. Damit einher ging die Herstellung der Kompatibilität mit der internationalen Norm ISO/IEC 27001:2005. Im Rahmen der Überarbeitung wurde die Zertifizierung umgestellt auf das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz. Bis zum Jahr 2016 wurden die IT-Grundschutz-Kataloge regelmäßig aktualisiert. Den Abschluss bildete die 15. Ergänzungslieferung vom 18. April 2016.[4]

Im Oktober 2017 wurde der IT-Grundschutz vollständig überarbeitet. Die BSI-Standards 100-1, 100-2 und 100-3 wurden durch die Versionen 200-1, 200-2 und 200-3 ersetzt.[5] Die IT-Grundschutz-Kataloge wurden durch das IT-Grundschutz-Kompendium ersetzt. Im Mai 2023 wurde auch der Standard 100-4: Notfallmanagement durch den BSI-Standard 200-4: Business Continuity Management (BCM) abgelöst. Er ermöglicht ein ISO 22301:2019 konformes BCM einzuführen.

Der IT-Grundschutz wird kontinuierlich weiterentwickelt. Sowohl die Standards als auch das Kompendium werden fortgeschrieben, inhaltlich überarbeitet und durch neue Bausteine erweitert.

Grundlagen

Bearbeiten

Der IT‐Grundschutz verfolgt einen ganzheitlichen Ansatz, der sowohl das Sicherheitsmanagement als auch konkrete technische, infrastrukturelle, organisatorische und personelle Sicherheitsanforderungen umfasst. Es soll ein Standard‐Sicherheitsniveau aufgebaut werden, um geschäftsrelevante Informationen zu schützen. Dazu werden sogenannte Informationsverbünde modelliert. Diese können die gesamte Institution oder nur Teilaspekte, wie beispielsweise einzelne Geschäftsprozesse, umfassen. Ziel ist die Festlegung konkreter Anforderungen, deren Umsetzung einfach möglich ist. Durch die Integration von pauschalierten Gefährdungslagen ist eine explizite Risikoanalyse nur in besonderen Fällen notwendig.[6]

BSI-Standards

Bearbeiten

Die BSI-Standards sind ein elementarer Bestandteil des IT-Grundschutzes. Sie enthalten Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen zu unterschiedlichen Aspekten der Informationssicherheit. Institutionen sowie Hersteller oder Dienstleister können mit ihrer Hilfe Geschäftsprozesse und die dafür erforderliche Informationsverarbeitung sicherer gestalten. Die BSI-Standards werden in deutscher und englischer Sprache auf der Webseite des BSI im PDF-Format veröffentlicht. Die deutsche Version kann auch in gedruckter Form bezogen werden.

BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)

Bearbeiten

Der BSI-Standard 200-1 beschreibt, welche grundlegenden Anforderungen ein ISMS erfüllen muss und erläutert, welche Komponenten ein ISMS enthalten sollte und welche Aufgaben die Leitungsebene übernehmen muss. Das Hauptziel dieses Standards ist es, Organisationen dabei zu unterstützen, auf die zunehmenden Herausforderungen einer digitalisierten und vernetzten Arbeitswelt zu reagieren. Der Standard zielt darauf ab, ein angemessenes und dauerhaftes Sicherheitsniveau in Unternehmen und Behörden zu etablieren und aufrechtzuerhalten. Er ist kompatibel zur ISO/IEC 27001:2013 und berücksichtigt die Empfehlungen der anderen ISO-Standards wie beispielsweise ISO/IEC 27002. Diese Kompatibilität erleichtert die Anwendung des Standards auf internationaler Ebene und ermöglicht eine nahtlose Integration in bestehende Managementsysteme für Informationssicherheit, die bereits nach anderen ISO-Normen ausgerichtet sind. Die verständliche und systematische Anleitung zum Aufbau eines ISMS ist dabei unabhängig von der eingesetzten Methode.[7]

BSI-Standard 200-2: IT-Grundschutz-Methodik

Bearbeiten

Der BSI-Standard 200-2 bildet die Basis der IT-Grundschutz-Methodik zum Aufbau eines ISMS. Er etabliert drei Vorgehensweisen bei der Umsetzung des IT-Grundschutzes: Die Basis-Absicherung liefert einen Einstieg zur Initiierung eines ISMS. Mit der Standard-Absicherung kann ein kompletter Sicherheitsprozess implementiert werden. Sie ist kompatibel zur ISO/IEC 27001-Zertifizierung. Die Kern-Absicherung ist eine Vorgehensweise zum Einstieg in ein ISMS, bei der zunächst ein kleiner Teil eines größeren Informationsverbundes betrachtet wird.

Verantwortliche für Informationssicherheit können mit dem Standard 200-2 sowie den erforderlichen Bausteinen aus dem IT-Grundschutz-Kompendium ein ISMS in ihrer Institution aufbauen, bereits bestehende ISMS überprüfen oder erweitern. Die beiden verschlankten und modularen Vorgehensweisen Basis- und Kernabsicherung erleichtern insbesondere Verantwortlichen in kleinen und mittelständischen Unternehmen den Einstieg in die Thematik.[8]

BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz

Bearbeiten

Der BSI-Standard 200-3 bezieht sich auf den Bereich „Leitlinien zur Informationssicherheit“, speziell auf die Thematik der „Risikoanalyse auf der Basis von IT-Grundschutz“. Der Vorteil für die Anwender ist laut BSI ein deutlich reduzierter Aufwand, um ein angestrebtes Sicherheitsniveau zu erreichen. Der Standard bietet sich an, wenn Institutionen bereits erfolgreich mit der IT-Grundschutz-Methodik arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten, um gegebenenfalls angemessene Schutzmaßnahmen zu implementieren und diese Risiken zu minimieren oder zu kontrollieren. Die Risikoanalyse basiert auf einem vereinfachten Gefährdungsmodell (Methode um potenzielle Bedrohungen für die Informationssicherheit einer Organisation zu identifizieren und zu beschreiben).[9]

BSI-Standard 200-4: Business Continuity Management (BCM)

Bearbeiten

Der BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren. Der Standard geht insbesondere auf die möglichen Synergiepotentiale mit den angrenzenden Themen der Informationssicherheit und des Krisenmanagements ein und stellt somit einen zentralen Bestandteil zur organisatorischen Resilienz dar. Der BSI-Standard 200-4 ermöglicht insbesondere unerfahrenen BCM-Anwenderinnen und -Anwendern einen leichten Einstieg in die Thematik. Für erfahrene BCM-Anwenderinnen und -Anwender wird ein normativer Anforderungskatalog zur Verfügung gestellt, der ein Mapping auf die ISO/IEC 22301:2019 ermöglicht. Derzeit ist von Seiten des BSI keine Zertifizierung zu dem Standard geplant.[10]

IT-Grundschutz-Kompendium

Bearbeiten

Das IT-Grundschutz-Kompendium ist die zweite grundlegende Veröffentlichung des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es aus Sicht des BSI die Basis für alle, die sich umfassend mit dem Thema Informationssicherheit befassen möchten. Im Fokus des IT-Grundschutz-Kompendiums stehen die sogenannten IT-Grundschutz-Bausteine. In diesen Texten wird jeweils ein Thema zu allen relevanten Sicherheitsaspekten beleuchtet. Im ersten Teil der IT-Grundschutz-Bausteine werden mögliche Gefährdungen erläutert, im Anschluss wichtige Sicherheitsanforderungen. Die IT-Grundschutz-Bausteine sind in zehn unterschiedliche Schichten aufgeteilt und reichen thematisch von Anwendungen (APP) über Industrielle IT (IND) bis hin zu Sicherheitsmanagement (ISMS). Bei der Erstellung der Bausteine wird bereits eine Risikobewertung für Bereiche mit normalem Schutzbedarf durchgeführt. Die Anforderungen in den Bausteinen bilden laut BSI den aktuellen Stand der Technik ab.[11]

Das Kompendium wird durch das BSI regelmäßig aktualisiert. Entwürfe neuer oder geänderter Bausteine (sog. Community Drafts) werden veröffentlicht und können von Anwendern kommentiert werden.[12]

Detaillierte Informationen und Erläuterungen dazu, wie die Anforderungen der verschiedenen Bausteine realisiert werden können, sind in den sogenannten Umsetzungshinweisen zu finden.[13]

IT-Grundschutz-Profile

Bearbeiten

Als IT-Grundschutz-Profile werden Vorlagen für bestimmte Anwendungsfälle des IT-Grundschutzes bezeichnet. Institutionen können diese Profile in Zusammenarbeit mit dem BSI erstellen und im Anschluss weiteren Interessierten zur Verfügung stellen. Ziel ist es, Musterszenarien für unterschiedliche Anwendungsfelder zur Verfügung zu stellen, um den zeitlichen und personellen Aufwand bei weiteren Anwendern zu reduzieren.[14]

IT-Grundschutz-Tools

Bearbeiten

Als IT-Grundschutz-Tools werden Software-Lösungen bezeichnet, die Anwender bei der Erstellung, Verwaltung und Fortschreibung von Informationssicherheitskonzepten nach IT-Grundschutz effizient unterstützen. Anbieter von IT-Grundschutz-Tools[15] müssen mit dem BSI einen Lizenzvertrag abschließen und bestimmte Leistungsmerkmale[16] beachten.

Weitere Hilfsmittel

Bearbeiten

Das BSI stellt auf seinen Internetseiten weitere Hilfsmittel und Anwenderbeiträge für die Umsetzung des IT-Grundschutzes zur Verfügung.[17] Insbesondere zeigt das BSI anhand des fiktiven Arbeitsbeispiels RECPLAST GmbH die Dokumentation eines ISMS exemplarisch.[18]

Um den Einstieg in den IT-Grundschutz insbesondere für kleine Kommunalverwaltungen zu erleichtern, wurde 2023 das Projekt Wege in die Basis-Absicherung (WiBA) ins Leben gerufen. Ziel war es, den Einstieg in den IT-Grundschutz praxisnäher zu gestalten, um die Aufwände für die Umsetzung zu verringern. Mittels Prüffragen, zusammengefasst in themenspezifischen Checklisten, wurde die Möglichkeit geschaffen, auch ohne tiefere Kenntnis der IT-Grundschutz-Standards, Sachstände zur Informationssicherheit zu erheben und umzusetzende Anforderungen zu identifizieren.[19]

ISO 27001-Zertifikat auf der Basis von IT-Grundschutz

Bearbeiten

Eine ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz ist sowohl für die Standard-Absicherung, als auch für die Kern-Absicherung möglich. Für den Nachweis einer erfolgreichen Umsetzung der Basis-Absicherung bietet das BSI ein Testat an. Testate können nur von einem beim BSI zertifizierten Auditor vergeben werden. Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz ist eine Überprüfung durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditor. Für die Vergabe eines ISO 27001-Zertifikats muss der Auditbericht zur Überprüfung dem BSI vorgelegt werden. Auf der Grundlage des Auditberichts wird durch das BSI über die Ausstellung eines Zertifikats entschieden.[20] Das BSI veröffentlicht die Liste der gültigen Zertifizierungen im Internet.[21]

Personenzertifizierung

Bearbeiten

Bei der Personenzertifizierung wird ein Zertifizierungsantrag von einer Einzelperson gestellt und ein Zertifizierungsverfahren durchgeführt. Zur Zertifizierung müssen diese Personen ihre Fachkompetenz nachweisen, so dass abschließend über eine Personenzertifizierung entschieden werden kann. Bei dem Zertifizierungsverfahren handelt es sich um ein Verfahren, das ausschließlich natürlichen Personen vorbehalten ist. Innerhalb der Zertifizierungsphase (Dauer: 3 Jahre) wird die Kompetenz der Personen überwacht und ggf. mittels Erfahrungsaustausch aufrechterhalten. Das BSI bietet im Rahmen des IT-Grundschutzes die folgenden Personenzertifizierungen auf Antrag an.[22]

  • Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz (kurz: Auditteamleiter) – für die Durchführung von Audits für Organisationen, die ein Zertifikat nach ISO 27001 auf der Basis von IT-Grundschutz erhalten und aufrechterhalten wollen.
  • Auditoren „De-Mail“ – für die Durchführung von Audits für Organisationen, die ein Zertifikat nach ISO 27001 auf der Basis von IT-Grundschutz (aufrecht) erhalten wollen und eine Akkreditierung als De-Mail-Diensteanbieter anstreben.
  • Auditoren „Secure CA Operation“ – für die Durchführung von Audits für Organisationen, die eine Zertifizierung nach BSI [TR-03145] inklusive eines Zertifikats nach ISO 27001 für den Betrieb einer Certification Authority anstreben.
  • Auditoren „Smart Meter Gateway Administration“ für TR-03109-6 – für die Durchführung von Audits des IT-Betriebs beim Smart Meter Gateway Administrator gemäß Messstellenbetriebsgesetz (MsbG).
  • Auditoren RESISCAN - für die Durchführung von Audits für Organisationen, die eine Zertifizierung nach [BSI TR-03138] „Ersetzendes Scannen“ zur sicheren Gestaltung ihrer Prozesse für das ersetzende Scannen anstreben.
  • IT-Grundschutz-Berater für die Unterstützung bei der Einführung eines Informationssicherheitsmanagementsystemen (ISMS)
  • IS-Revisor und IS-Berater für die Unterstützung von Bundesbehörden bei der Erstellung und Umsetzung von Sicherheitskonzepten sowie die regelmäßige Durchführung von IS-Revisionen gemäß Leitfaden für die Informationssicherheitsrevision auf der Basis von IT-Grundschutz[23]
  • IS-Penetrationstester für die Unterstützung von Bundesbehörden bei der Durchführung von Penetrationstests
  • Vorfall-Experte für die Durchführung der Vorfallbehandlung nach einem IT-Sicherheitsvorfall als Teil der Digitalen Rettungskette im Cyber-Sicherheitsnetzwerk (CSN);

Literatur

Bearbeiten
  • BSI - Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Informationssicherheit und IT-Grundschutz: BSI-Standards 200-1, 200-2, 200-3. 3. aktualisierte Auflage. Reguvis Fachmedien, Köln 2017, ISBN 978-3-8462-0815-1.
  • BSI - Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Checklisten Handbuch IT-Grundschutz: Prüfaspekte des IT-Grundschutz-Kompendiums (Stand 5. Edition). 7. aktualisierte Edition Auflage. Reguvis Fachmedien, Köln 2022, ISBN 978-3-8462-1377-3.
  • BSI – Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz Arbeitshandbuch: DIN ISO/IEC 27001, DIN ISO/IEC 27002; BSI-Standards 200-1/2/3. 3. aktualisierte Edition Auflage. Reguvis Fachmedien, Köln 2021, ISBN 978-3-8462-1208-0.
  • André Domnick, Fabian Ebner, Dirk Fox et al.: Informationssicherheit und Datenschutz, Handbuch für Praktiker und Begleitbuch zum T.I.S.P. dpunkt.verlag GmbH 2019, ISBN 978-3-86490-596-4.
  • Norbert Pohlmann, Hartmut F. Blumberg: Der IT-Sicherheitsleitfaden. (Das Pflichtenheft zur Implementierung von IT-Sicherheitsstandards im Unternehmen. Planung und Umsetzung von IT-Sicherheitslösungen. IT-Sicherheit als kontinuierlichen Geschäftsprozess gestalten. Abbildung und Adaptierung der Normen ISO 13335 und BS 7799). mitp, Bonn 2004, ISBN 3-8266-0940-9.
  • Felix Freiling, Rüdiger Grimm, Karl-Erwin Großpietsch, Hubert B. Keller, Jürgen Mottok, Isabel Münch, Kai Rannenberg, Francesca Saglietti: Technische Sicherheit und Informationssicherheit – Unterschiede und Gemeinsamkeiten. In: Informatik Spektrum. Februar 2014, Volume 37, Issue 1, S. 14–24 doi:10.1007/s00287-013-0748-2
  • Isabel Münch: IT-Grundschutz zum Bewältigen von IT-Risiken in Unternehmen. In: Torsten Gründer: Managementhandbuch IT-Sicherheit. Risiken, Basel II, Recht Erich Schmidt Verlag, 2007, S. 285–308, ISBN 978-3-503-10002-6
Bearbeiten

Einzelnachweise

Bearbeiten
  1. Bundesanzeiger, Jahrgang 41, Nr. 99a vom 1. Juni 1989, ISSN 0720-6100
  2. IT-Sicherheitshandbuch, BSI 7105, Bundesamt für Sicherheit in der Informationstechnik, Bundesanzeiger-Verlag, Köln
  3. André Domnick, Fabian Ebner, Dirk Fox, Stefan Gora, Volker Hammer, Kai Jendrian, Michael Knöppler, Hans-Joachim Knobloch, Michael Knopp, Sarah Niederer, Jannis Pinter, Friederike Schellhas-Mende, Jochen Schlichting, Jörg Völker: Informationssicherheit und Datenschutz, Handbuch für Praktiker und Begleitbuch zum T.I.S.P. Hrsg.: secorvo. 2. überarbeitet Auflage. dpunkt.verlag GmbH, 2019, ISBN 978-3-86490-596-4, S. 145.
  4. IT-Grundschutz-Kataloge – 15. Ergänzungslieferung – 2016
  5. BSI-Standards
  6. Elementare Gefährdungen
  7. BSI-Standard 200-1: Managementsysteme für Informationssicherheit
  8. BSI-Standard 200-2: IT-Grundschutz-Methodik
  9. BSI-Standard 200-3: Risikomanagement
  10. BSI-Standard 200-4: Business Continuity Management
  11. IT-Grundschutz-Kompendium
  12. Community Drafts
  13. Umsetzungshinweise zum IT-Grundschutz-Kompendium
  14. IT-Grundschutz-Profile
  15. Liste der IT-Grundschutz-Tools
  16. Leistungsmerkmale für IT-Grundschutz-Tools
  17. Hilfsmittel und Anwenderbeiträge zum IT-Grundschutz
  18. Arbeitsbeispiel RECPLAST GmbH
  19. Wege in die Basis-Absicherung (WiBA)
  20. ISO 27001 Zertifizierung auf Basis von IT-Grundschutz
  21. ISO 27001-Zertifikate auf der Basis von IT-Grundschutz
  22. Verfahrensbeschreibung zur Kompetenzfeststellung und Zertifizierung von Personen Version 3.8
  23. Leitfaden für die Informationssicherheitsrevision auf der Basis von IT-Grundschutz