Access Manager
  • Lösung
    • Join the orange side of life
      • Freiheit für IT-Administratoren
      • Dauerhafte Compliance mit Datenschutzvorgaben
      • Effizienteres Arbeiten in der IT-Infrastruktur
      • Wer, wie, was? Auditoren prüfen Ihre Berechtigungssituation
      • It’s all about the money! Dauerhafte Kosteneinsparungen im operativen Betrieb
    • Explore the Orange Side of Life – Erfahrungsberichte
      • Ondal Medical Systems GmbH – Zeit- und Kosteneinsparungen
      • ETECTURE GmbH – Höhere Transparenz im Berechtigungsmanagement
      • Universitätsklinikum Leipzig – keine Chance für Hacker
      • Universitätsklinikum Tübingen – 24/7 Password Resets
      • Bundesstadt Bonn – effizientere Benutzerkontenverwaltung
      • Stadt Köln – ein optimiertes User-Management
      • Paris Lodron Universität Salzburg – Informationssicherheit bei tausenden Usern
      • Reiser Simulation and Training GmbH – effiziente Berechtigungsverwaltung
      • Oberaigner Gruppe – Berechtigungsverwaltung und -dokumentation auf Knopfdruck
      • Jörg Vogelsang GmbH & Co. KG – Self Service Berechtigungsverwaltung
      • Stadtwerke Wolfenbüttel GmbH – kein Gruppendschungel mehr
  • Module & Funktionen
    • Module
      • Fileserver Management
      • SharePoint Management
      • 3rd Party Management
      • Identity Management
      • Password Reset
      • Fileserver Accounting
      • Easy Desktop
      • REST API
      • NTFS Permission Analyzer
    • Funktionen
      • Automatisiertes Berechtigungsmanagement
      • User Provisioning
      • Auto-Berechtigungskorrektur
      • Self Service für Endanwender
      • Profilmanagement
      • Reapprovalprozess
      • Transparenz durch Reporting
      • EU-DSGVO konform
      • Revisionssichere Dokumentation
  • Services
    • Services
      • Individuelle Dienstleistungen
      • Berechtigungsaudit
      • Startpakete für automatisiertes Berechtigungsmanagement
      • Premium-Support
      • Lizenzmodell
      • Systemvoraussetzungen
    • Kontakt
      • Jetzt Testen
      • Produktvorstellung Anfrage
  • Unternehmen
    • BAYOOSOFT
      • Unternehmensprofil
      • Wir sind die Mitdenker
    • Unsere Partner
      • Lernen Sie unsere Partner kennen
      • Jetzt Partner werden
  • Blog
  • Veranstaltungen
  • Testen
  • Kundenportal
  • Suche
  • Menü Menü

IT-Grundschutz des BSI – Das ist 2023 wichtig

Der BSI Grundschutz, auch bekannt als “IT-Grundschutz,” ist ein Konzept und eine Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dieser Ansatz zielt darauf ab, Informationssicherheit in Organisationen zu gewährleisten, insbesondere in Bezug auf die IT-Infrastruktur.

Doch was steckt genau dahinter, wie kann ich mich zertifizieren lassen und wie bereite ich mich darauf vor? Diese und weitere Fragen beantworten wir Ihnen in diesem Beitrag.

Was ist der IT-Grundschutz und für was ist er gut?

Der BSI IT-Grundschutz ist ein freiwilliger Sicherheitsstandard des deutschen Bundesamts für Sicherheit in der Informationstechnik. Ähnlich der ISO 27001 widmet er sich dem Aufbau eines Informationssicherheitsmanagementsystems (ISMS) zur Steuerung der Informationssicherheit in Organisationen. Er bietet spezifische Maßnahmen zum Schutz von IT-Systemen mit normalem Schutzbedarf. Dies erspart Unternehmen in der Regel die Notwendigkeit einer eigenen Risikoanalyse und ermöglicht die Nutzung der Standardabsicherung des BSI. Ziel des BSI ist es, Unternehmen und öffentlichen Einrichtungen einen einfachen und praxisorientierten Ansatz zur Verbesserung der Cybersicherheit zu bieten.

Wichtig dabei zu wissen: Der IT-Grundschutz ist nicht verpflichtend. Es handelt sich dabei lediglich um eine Hilfestellung zur Verbesserung der Informationssicherheit in Unternehmen und das Bereitstellen pauschaler Standardmaßnahmen.

Außerdem good to know: Das Thema Datenschutz im Sinne der DSGVO wird vom IT-Grundschutz nicht vollständig abgedeckt. Das Thema wird zwar angeschnitten, es wird dann aber auf Vorgaben der deutschen Datenschutzbehörden verwiesen.

So ist der IT-Grundschutz aufgebaut

Im Rahmen des IT-Grundschutz gibt es verschiedene BSI-Standards, mit denen Sie sich vertraut machen sollten. Diese definieren Anforderungen an ein Managementsystem und Methoden zur Einführung. Es gibt insgesamt vier verschiedene Standards:

  • BSI-Standard 200-1: allgemeine Anforderungen, Leitfaden zur Erstellung von Sicherheitsprozessen und Sicherheitskonzepten
  • BSI-Standard 200-2: Prüfgrundlage der Zertifizierung, detaillierte Vorgaben zur Konzeption, Umsetzung und Verbesserung
  • BSI-Standard 200-3: Verfahren zur Risikoanalyse, Leitfaden für eigene Risikobewertungen für Objekte mit hohem Schutzbedarf oder für die kein passender Grundschutz-Baustein existiert
  • BSI Standard 200-4: Business Continuity Management, konkretisiert Anforderungen des Bausteins Notfallmanagement

Zusätzlich gibt es das IT-Grundschutz-Kompendium. Darin befinden sich konkrete Maßnahmen zur Sicherheit Ihrer IT-Infrastruktur. Sie gliedern sich in 10 Themenbereiche mit insgesamt 113 Bausteinen. Unternehmen müssen selbst entscheiden, welche Bausteine für sie relevant sind. Mehr dazu erfahren Sie hier: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html

Außerdem interessant sind die IT-Grundschutz-Profile. Das sind Musterbeispiele für die Umsetzung des IT-Grundschutz anhand verschiedener Anwendungsbeispiele. So ist für jedes Unternehmen das passende Muster dabei.

Welche Anforderungen gibt es?

Der IT-Grundschutz unterscheidet zwischen drei Varianten zum Schutz Ihrer IT. Bei der Basis-Absicherung erfüllt ein Unternehmen die Basisanforderungen in allen IT-Bereichen. Somit kann mit bestimmten Maßnahmen die IT-Sicherheit schnell signifikant verbessert werden.

Der BSI empfiehlt die Standard-Absicherung. Das bedeutet, dass ein Unternehmen einen umfassenden Schutz der eigenen IT-Systeme nachweisen kann. Bei der Kern-Absicherung werden die Standardanforderungen nur in bestimmten Bereichen angewendet. Der Fokus liegt dabei auf kritischen Prozessen und Systemen.

Bei der Schutzbedarfsfeststellung kann es auch vorkommen, dass ein erhöhter Schutzbedarf festgestellt wird. Auch dazu enthält der IT-Grundschutz Anforderungen.

Sie erfüllen die Standard- oder Kern-Anforderungen? Wunderbar, dann können Sie eine Grundschutz-Zertifizierung abschließen. Es handelt sich dabei um eine ISO 27001 Zertifizierung auf Basis des IT-Grundschutz. Alle Rahmendaten wie Gültigkeitsdauer usw. sind also gleich. Lediglich bei der Basis-Absicherung erhalten Sie ein eigenes Zertifikat des BSI. Es ist für zwei Jahre gültig.

Wo liegt der Unterschied zur ISO 27001?

Der BSI IT-Grundschutz bietet eine praxisorientierte Methodik zur Einrichtung eines Informationssicherheitsmanagementsystems, das den Anforderungen der ISO 27001 entspricht. In Bezug auf die grundlegenden ISMS-Anforderungen sind ISO 27001 und IT-Grundschutz daher weitgehend gleich. Da der IT-Grundschutz jedoch hauptsächlich in Deutschland bekannt ist, könnte ein ISO-Zertifikat, welches auf dem IT-Grundschutz basiert, international möglicherweise nicht anerkannt werden.

Der Unterschied zwischen ISO 27001 und dem IT-Grundschutz liegt in ihrer Herangehensweise: Der ISO-Standard ist abstrakter und fokussiert auf allgemeine Prozesse, während der IT-Grundschutz den Anwender:innen konkrete Schritte zur Absicherung ihrer IT durch detaillierte Maßnahmen aus verschiedenen Bausteinen bietet. Dieser Unterschied spiegelt sich auch in der Länge der Standards wider: Im Vergleich zur ISO 27001 ist der BSI IT-Grundschutz weitaus umfangreicher.

So bereiten Sie sich auf die Zertifizerung vor

Im Folgenden haben wir Ihnen kurz aufgelistet, was vor der Zertifizierung alles erledigt werden muss:

  • Festlegen, welche Bereiche abgesichert werden sollen

  • Ist-Zustand erfassen und Maßnahmen ableiten

  • Feststellung des Schutzbedarfs einzelner Geschäftsprozesse und der dafür notwendigen System, Informationen, usw.

  • Festlegen, welche der 113 Bausteine auf welches Objekt angewendet werden müssen

  • Risikoanalyse für Objekte mit erhöhtem Schutzbedarf

  • Grundschutz-Check: Soll-Ist Vergleich des Umsetzungsstatus jeder Anforderung

  • Konzept zur Implementierung der Sicherheitsmaßnahmen inkl. Budgetierung, reihenfolge der Umsetzung, Fristen und Verantwortlichkeiten

  • Aufrechterhaltung und Verbesserung durch interne Kontrollen und optional unabhängige Zertifizierungen

So läuft die Zertifizierung ab

Die Zertifizierung läuft grundsätzlich genauso ab wie bei der ISO 27001. Nachdem Ihr Unternehmen einen Antrag auf Zertifizierung gestellt hat, findet ein Remote-Audit statt, in welchem die eingereichten Dokumente durchgegangen werden. Dazu gehören: Richtlinien für Informationssicherheit, Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check, Risikoanalyse und der Maßnahmen-Umsetzungsplan.

Schließlich findet ein zweites Audit vor Ort statt. Hierbei wird die Umsetzung der Sicherheitsmaßnahmen überprüft. Das Bundesamt erhält den Auditbericht und stellt im besten Fall ein ISO-Zertifikat auf Basis des IT-Grundschutz aus. Danach finden jährliche Audits zur Kontrolle statt.

Unsere Lösung – der BAYOOSOFT Access Manager

Das Identity und Access Management spielt beim IT-Grundschutz eine entscheidende Rolle. Es gibt dazu sogar einen eigenen Baustein – ORP.4 Identitäts- und Berechtigungsmanagement. Aber auch in anderen Bausteinen ist das Thema relevant. Es lohnt sich also, einen genaueren Blick auf die sichere Verwaltung von Konten und Zugriffsrechten zu werfen.

Unter ORP.4 wiederum sind verschiedene Anforderungen gelistet (ORP.4.A1 bis ORP.4.A17), welche Unternehmen in Bezug auf ihr Berechtigungsmanagement erfüllen müssen. Darunter fällt beispielsweise, dass inaktive Kennungen deaktiviert werden und jede Kennung eindeutig einer Person zugeordnet sein muss.

Der BAYOOSOFT Access Manager hilft Ihnen dabei, diese Anforderungen zu erfüllen. Und dabei erspart Ihnen das Tool auch noch eine Menge Zeit und Aufwand. Es standardisiert die Routineaufgaben der Benutzer- und Berechtigungsverwaltung und unterstützt bei der Versorgung mit IT-Diensten wie Mailboxen, Software-Verteilung oder Telefonie. Nicht nur einzelne Tasks, sondern ganze Prozessketten werden somit optimiert, wodurch der Ressourceneinsatz und die Fehlerquoten weit geringer als bei einer manuellen Abarbeitung ausfallen.

Mehr erfahren

Klingt spannend, aber kompliziert? Das BSI stellt einen Onlinekurs zum Thema IT-Grundschutz zur Verfügung. Das erleichtert Ihnen den Einstieg.

Zum Onlinekurs

Mehr Infos finden Sie auf der offiziellen Website des BSI.

Zur Website
Klingt spannend? Teilen Sie diesen Beitrag doch mit Ihrem Netzwerk.
  • Teilen auf Facebook
  • Teilen auf WhatsApp
  • Teilen auf LinkedIn
  • Per E-Mail teilen

Interessante Links

Hier findest Du ein paar interessante Links! Viel Spaß auf unserer Website :)

Seiten

  • Access Manager & Password Reset Dashboard
  • Access Manager auf dem Bechtle IT-Forum Rhein Main Neckar
  • Access Manager auf der secIT 2021
  • Access Manager Dashboard
  • Access Manager Password Reset Dashboard
  • Anstehende Veranstaltungen
  • Automatisieren Sie Ihre Access & Identity Journey
  • BAYOOSOFT
  • BAYOOSOFT Berechtigungsaudit
  • Berechtigungsmanagement erfolgreich automatisieren
  • Blog
  • Connector Matrix42
  • Customer Voices
  • Customer Voices Archive
  • Datenschutz & Compliance
  • Datenschutzerklärung
  • Datenschutzerklärung
  • Der BAYOOSOFT Access Manager – Ihr Weg aus der KRITIS Krux
  • Digitaler Flyer
  • Exklusives Wechselangebot für 8MAN Kunden
  • Exklusives Wechselangebot für 8MAN Partner
  • Explore the Orange Side of Life
  • Forum
  • Funktionen
  • Impressum
  • Interface documentation
  • IT-Sicherheit in Behörden und Kommunen
  • Jahresplaner 2020
  • Join the orange side of life
  • Kategorien
  • Landing Page Mailing Mindelstandsoffensive
  • Login
  • Meine Buchungen
  • Module
  • Module & Funktionen
  • Newsletter Abmeldung
  • NTFS Permission Analyzer
  • Password Reset – Passwörter selbstständig zurücksetzen
  • Password Reset Bestandskunden Webinar 08.12.20
  • Passwort zurücksetzen
  • Produktvorstellung Anfrage
  • Profil bearbeiten
  • Schlagwörter
  • Services
  • SharePoint Management
  • Startseite
  • Support kontaktieren
  • Technik
  • TRIAL-Anfrage
  • Veranstaltungen
  • Veranstaltungsorte
  • Whitepaper: Berechtigungsmanagement sicher und nachhaltig gestalten – Best Practice

Kategorien

  • Allgemein
  • Editorial
  • Events
  • News
  • Releases
  • Whitepaper
  • Datenschutzerklärung
  • Impressum
BAYOOSOFT Access Manager Password Reset Version 2023.2 – jetzt verfü...Glühbirne vor grauem Hintergrund und mit Access Manager LogoShutterstockWarum Shared Accounts in Krankenhäusern nicht mehr zeitgemäß sind
Nach oben scrollen