Festlegen, welche Bereiche abgesichert werden sollen
IT-Grundschutz des BSI – Das ist 2023 wichtig
Der BSI Grundschutz, auch bekannt als “IT-Grundschutz,” ist ein Konzept und eine Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dieser Ansatz zielt darauf ab, Informationssicherheit in Organisationen zu gewährleisten, insbesondere in Bezug auf die IT-Infrastruktur.
Doch was steckt genau dahinter, wie kann ich mich zertifizieren lassen und wie bereite ich mich darauf vor? Diese und weitere Fragen beantworten wir Ihnen in diesem Beitrag.
Was ist der IT-Grundschutz und für was ist er gut?
Der BSI IT-Grundschutz ist ein freiwilliger Sicherheitsstandard des deutschen Bundesamts für Sicherheit in der Informationstechnik. Ähnlich der ISO 27001 widmet er sich dem Aufbau eines Informationssicherheitsmanagementsystems (ISMS) zur Steuerung der Informationssicherheit in Organisationen. Er bietet spezifische Maßnahmen zum Schutz von IT-Systemen mit normalem Schutzbedarf. Dies erspart Unternehmen in der Regel die Notwendigkeit einer eigenen Risikoanalyse und ermöglicht die Nutzung der Standardabsicherung des BSI. Ziel des BSI ist es, Unternehmen und öffentlichen Einrichtungen einen einfachen und praxisorientierten Ansatz zur Verbesserung der Cybersicherheit zu bieten.
Wichtig dabei zu wissen: Der IT-Grundschutz ist nicht verpflichtend. Es handelt sich dabei lediglich um eine Hilfestellung zur Verbesserung der Informationssicherheit in Unternehmen und das Bereitstellen pauschaler Standardmaßnahmen.
Außerdem good to know: Das Thema Datenschutz im Sinne der DSGVO wird vom IT-Grundschutz nicht vollständig abgedeckt. Das Thema wird zwar angeschnitten, es wird dann aber auf Vorgaben der deutschen Datenschutzbehörden verwiesen.
So ist der IT-Grundschutz aufgebaut
Im Rahmen des IT-Grundschutz gibt es verschiedene BSI-Standards, mit denen Sie sich vertraut machen sollten. Diese definieren Anforderungen an ein Managementsystem und Methoden zur Einführung. Es gibt insgesamt vier verschiedene Standards:
- BSI-Standard 200-1: allgemeine Anforderungen, Leitfaden zur Erstellung von Sicherheitsprozessen und Sicherheitskonzepten
- BSI-Standard 200-2: Prüfgrundlage der Zertifizierung, detaillierte Vorgaben zur Konzeption, Umsetzung und Verbesserung
- BSI-Standard 200-3: Verfahren zur Risikoanalyse, Leitfaden für eigene Risikobewertungen für Objekte mit hohem Schutzbedarf oder für die kein passender Grundschutz-Baustein existiert
- BSI Standard 200-4: Business Continuity Management, konkretisiert Anforderungen des Bausteins Notfallmanagement
Zusätzlich gibt es das IT-Grundschutz-Kompendium. Darin befinden sich konkrete Maßnahmen zur Sicherheit Ihrer IT-Infrastruktur. Sie gliedern sich in 10 Themenbereiche mit insgesamt 113 Bausteinen. Unternehmen müssen selbst entscheiden, welche Bausteine für sie relevant sind. Mehr dazu erfahren Sie hier: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html
Außerdem interessant sind die IT-Grundschutz-Profile. Das sind Musterbeispiele für die Umsetzung des IT-Grundschutz anhand verschiedener Anwendungsbeispiele. So ist für jedes Unternehmen das passende Muster dabei.
So bereiten Sie sich auf die Zertifizerung vor
Im Folgenden haben wir Ihnen kurz aufgelistet, was vor der Zertifizierung alles erledigt werden muss:
So läuft die Zertifizierung ab
Die Zertifizierung läuft grundsätzlich genauso ab wie bei der ISO 27001. Nachdem Ihr Unternehmen einen Antrag auf Zertifizierung gestellt hat, findet ein Remote-Audit statt, in welchem die eingereichten Dokumente durchgegangen werden. Dazu gehören: Richtlinien für Informationssicherheit, Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check, Risikoanalyse und der Maßnahmen-Umsetzungsplan.
Schließlich findet ein zweites Audit vor Ort statt. Hierbei wird die Umsetzung der Sicherheitsmaßnahmen überprüft. Das Bundesamt erhält den Auditbericht und stellt im besten Fall ein ISO-Zertifikat auf Basis des IT-Grundschutz aus. Danach finden jährliche Audits zur Kontrolle statt.
Unsere Lösung – der BAYOOSOFT Access Manager
Das Identity und Access Management spielt beim IT-Grundschutz eine entscheidende Rolle. Es gibt dazu sogar einen eigenen Baustein – ORP.4 Identitäts- und Berechtigungsmanagement. Aber auch in anderen Bausteinen ist das Thema relevant. Es lohnt sich also, einen genaueren Blick auf die sichere Verwaltung von Konten und Zugriffsrechten zu werfen.
Unter ORP.4 wiederum sind verschiedene Anforderungen gelistet (ORP.4.A1 bis ORP.4.A17), welche Unternehmen in Bezug auf ihr Berechtigungsmanagement erfüllen müssen. Darunter fällt beispielsweise, dass inaktive Kennungen deaktiviert werden und jede Kennung eindeutig einer Person zugeordnet sein muss.
Der BAYOOSOFT Access Manager hilft Ihnen dabei, diese Anforderungen zu erfüllen. Und dabei erspart Ihnen das Tool auch noch eine Menge Zeit und Aufwand. Es standardisiert die Routineaufgaben der Benutzer- und Berechtigungsverwaltung und unterstützt bei der Versorgung mit IT-Diensten wie Mailboxen, Software-Verteilung oder Telefonie. Nicht nur einzelne Tasks, sondern ganze Prozessketten werden somit optimiert, wodurch der Ressourceneinsatz und die Fehlerquoten weit geringer als bei einer manuellen Abarbeitung ausfallen.