IT-Grundschutz des BSI – Das ist 2023 wichtig
Der BSI Grundschutz, auch bekannt als „IT-Grundschutz,“ ist ein Konzept und eine Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dieser Ansatz zielt darauf ab, Informationssicherheit in Organisationen zu gewährleisten, insbesondere in Bezug auf die IT-Infrastruktur.
Doch was steckt genau dahinter, wie kann ich mich zertifizieren lassen und wie bereite ich mich darauf vor? Diese und weitere Fragen beantworten wir Ihnen in diesem Beitrag.
Was ist der IT-Grundschutz und für was ist er gut?
Der BSI IT-Grundschutz ist ein freiwilliger Sicherheitsstandard des deutschen Bundesamts für Sicherheit in der Informationstechnik. Ähnlich der ISO 27001 widmet er sich dem Aufbau eines Informationssicherheitsmanagementsystems (ISMS) zur Steuerung der Informationssicherheit in Organisationen. Er bietet spezifische Maßnahmen zum Schutz von IT-Systemen mit normalem Schutzbedarf. Dies erspart Unternehmen in der Regel die Notwendigkeit einer eigenen Risikoanalyse und ermöglicht die Nutzung der Standardabsicherung des BSI. Ziel des BSI ist es, Unternehmen und öffentlichen Einrichtungen einen einfachen und praxisorientierten Ansatz zur Verbesserung der Cybersicherheit zu bieten.
Wichtig dabei zu wissen: Der IT-Grundschutz ist nicht verpflichtend. Es handelt sich dabei lediglich um eine Hilfestellung zur Verbesserung der Informationssicherheit in Unternehmen und das Bereitstellen pauschaler Standardmaßnahmen.
Außerdem good to know: Das Thema Datenschutz im Sinne der DSGVO wird vom IT-Grundschutz nicht vollständig abgedeckt. Das Thema wird zwar angeschnitten, es wird dann aber auf Vorgaben der deutschen Datenschutzbehörden verwiesen.
So ist der IT-Grundschutz aufgebaut
Im Rahmen des IT-Grundschutz gibt es verschiedene BSI-Standards, mit denen Sie sich vertraut machen sollten. Diese definieren Anforderungen an ein Managementsystem und Methoden zur Einführung. Es gibt insgesamt vier verschiedene Standards:
Zusätzlich gibt es das IT-Grundschutz-Kompendium. Darin befinden sich konkrete Maßnahmen zur Sicherheit Ihrer IT-Infrastruktur. Sie gliedern sich in 10 Themenbereiche mit insgesamt 113 Bausteinen. Unternehmen müssen selbst entscheiden, welche Bausteine für sie relevant sind.
Außerdem interessant sind die IT-Grundschutz-Profile. Das sind Musterbeispiele für die Umsetzung des IT-Grundschutz anhand verschiedener Anwendungsbeispiele. So ist für jedes Unternehmen das passende Muster dabei.
Welche Anforderungen gibt es?
Der IT-Grundschutz unterscheidet zwischen drei Varianten zum Schutz Ihrer IT. Bei der Basis-Absicherung erfüllt ein Unternehmen die Basisanforderungen in allen IT-Bereichen. Somit kann mit bestimmten Maßnahmen die IT-Sicherheit schnell signifikant verbessert werden.
Der BSI empfiehlt die Standard-Absicherung. Das bedeutet, dass ein Unternehmen einen umfassenden Schutz der eigenen IT-Systeme nachweisen kann. Bei der Kern-Absicherung werden die Standardanforderungen nur in bestimmten Bereichen angewendet. Der Fokus liegt dabei auf kritischen Prozessen und Systemen.
Bei der Schutzbedarfsfeststellung kann es auch vorkommen, dass ein erhöhter Schutzbedarf festgestellt wird. Auch dazu enthält der IT-Grundschutz Anforderungen.
Sie erfüllen die Standard- oder Kern-Anforderungen? Wunderbar, dann können Sie eine Grundschutz-Zertifizierung abschließen. Es handelt sich dabei um eine ISO 27001 Zertifizierung auf Basis des IT-Grundschutz. Alle Rahmendaten wie Gültigkeitsdauer usw. sind also gleich. Lediglich bei der Basis-Absicherung erhalten Sie ein eigenes Zertifikat des BSI. Es ist für zwei Jahre gültig.
Wo liegt der Unterschied zur ISO 27001?
Der BSI IT-Grundschutz bietet eine praxisorientierte Methodik zur Einrichtung eines Informationssicherheitsmanagementsystems, das den Anforderungen der ISO 27001 entspricht. In Bezug auf die grundlegenden ISMS-Anforderungen sind ISO 27001 und IT-Grundschutz daher weitgehend gleich. Da der IT-Grundschutz jedoch hauptsächlich in Deutschland bekannt ist, könnte ein ISO-Zertifikat, welches auf dem IT-Grundschutz basiert, international möglicherweise nicht anerkannt werden.
Der Unterschied zwischen ISO 27001 und dem IT-Grundschutz liegt in ihrer Herangehensweise: Der ISO-Standard ist abstrakter und fokussiert auf allgemeine Prozesse, während der IT-Grundschutz den Anwender:innen konkrete Schritte zur Absicherung ihrer IT durch detaillierte Maßnahmen aus verschiedenen Bausteinen bietet. Dieser Unterschied spiegelt sich auch in der Länge der Standards wider: Im Vergleich zur ISO 27001 ist der BSI IT-Grundschutz weitaus umfangreicher.
So bereiten Sie sich auf die Zertifizierung vor
Im Folgenden haben wir Ihnen kurz aufgelistet, was vor der Zertifizierung alles erledigt werden muss:
So läuft die Zertifizierung ab
Die Zertifizierung läuft grundsätzlich genauso ab wie bei der ISO 27001. Nachdem Ihr Unternehmen einen Antrag auf Zertifizierung gestellt hat, findet ein Remote-Audit statt, in welchem die eingereichten Dokumente durchgegangen werden. Dazu gehören: Richtlinien für Informationssicherheit, Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check, Risikoanalyse und der Maßnahmen-Umsetzungsplan.
Schließlich findet ein zweites Audit vor Ort statt. Hierbei wird die Umsetzung der Sicherheitsmaßnahmen überprüft. Das Bundesamt erhält den Auditbericht und stellt im besten Fall ein ISO-Zertifikat auf Basis des IT-Grundschutz aus. Danach finden jährliche Audits zur Kontrolle statt.
Unsere Lösung – der BAYOOSOFT Access Manager
Das Identity und Access Management spielt beim IT-Grundschutz eine entscheidende Rolle. Es gibt dazu sogar einen eigenen Baustein – ORP.4 Identitäts- und Berechtigungsmanagement. Aber auch in anderen Bausteinen ist das Thema relevant. Es lohnt sich also, einen genaueren Blick auf die sichere Verwaltung von Konten und Zugriffsrechten zu werfen.
Unter ORP.4 wiederum sind verschiedene Anforderungen gelistet (ORP.4.A1 bis ORP.4.A17), welche Unternehmen in Bezug auf ihr Berechtigungsmanagement erfüllen müssen. Darunter fällt beispielsweise, dass inaktive Kennungen deaktiviert werden und jede Kennung eindeutig einer Person zugeordnet sein muss.
Der BAYOOSOFT Access Manager hilft Ihnen dabei, diese Anforderungen zu erfüllen. Und dabei erspart Ihnen das Tool auch noch eine Menge Zeit und Aufwand. Es standardisiert die Routineaufgaben der Benutzer- und Berechtigungsverwaltung und unterstützt bei der Versorgung mit IT-Diensten wie Mailboxen, Software-Verteilung oder Telefonie. Nicht nur einzelne Tasks, sondern ganze Prozessketten werden somit optimiert, wodurch der Ressourceneinsatz und die Fehlerquoten weit geringer als bei einer manuellen Abarbeitung ausfallen.
Klingt spannend, aber kompliziert? Das BSI stellt einen Onlinekurs zum Thema IT-Grundschutz zur Verfügung. Das erleichtert Ihnen den Einstieg.
Mehr Infos finden Sie auf der offiziellen Website des BSI.