IT Grundschutz: Definition, Bedeutung und Standards
Der IT Grundschutz wurde erstmalig im Jahr 1994 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und beschreibt eine Vorgehensweise, um Sicherheitsmaßnahmen in der IT zu identifizieren und die Maßnahmen umzusetzen.
Mit dem IT Grundschutz soll Anwendern eine flexible und modulare Methode an die Hand gegeben werden, die es ihnen ermöglicht, in Unternehmen und Behörden die Sicherheit der Informationstechnik zu optimieren. In der neuen Fassung wird nun auch insbesondere auf die Anforderungen und Bedürfnisse in KMUs näher eingegangen.
Beschrieben wird im Katalog vom Bundesamt für Sicherheit in der Informationstechnik, wie am besten strukturiert vorgegangen wird, um eine entsprechende Datensicherheit zu gewährleisten. Hierfür ist ein Informationssicherheitsmanagement-System (ISMS) erforderlich, das sich an der international gültigen ISO 27001-Norm orientiert. Für nach ISO 27001 zertifizierte Betriebe ist der IT Grundschutz Pflicht, andere Unternehmen können es freiwillig verwenden.
Das System beruht auf den vier folgenden Standards:
1. Managementsysteme für Informationssicherheit
2. IT-Grundschutz-Vorgehensweise
3. Risikoanalyse auf Basis von IT Grundschutz
4. Notfallmanagement
In Verbindung mit den IT-Grundschutz-Katalogen stellt das BSI ein Konzept von Sicherheitsmaßnahmen für unterschiedliche Einsatzumgebungen vor, die auf diesen Standards aufbauen. Dabei werden geeignete Maßnahmen zur Verfügung gestellt, die dabei helfen, mit Informationen sicher umzugehen. Die Umsetzung beruht auf einem Baukastenprinzip, in dem jeder Baustein die üblichen Geschäftsabläufe widerspiegelt.
IT Grundschutz im Unternehmen – Beispiele aus der Praxis
Unternehmen, die die Norm ISO 27001 verfolgen, finden im IT Grundschutz eine Möglichkeit zur Umsetzung. Doch auch nicht zertifizierte Unternehmen profitieren von der Umsetzung. Die Dokumentation erfolgt durch Bausteine mit Gefährdungslagen und mit Empfehlungen für Maßnahmen, die sehr umfangreich sind und daher fast alle Situationen abbilden.
Damit bietet der Katalog für Datensicherheitsbeauftragte, Administratoren und IT-Verantwortliche eine hervorragende Informationsquelle, unter anderem sind auch viele Musterverträge enthalten. Wir haben uns zwei Beispiele herausgepickt. Es gibt allerdings noch weitere hilfreiche Dokumente und Tools, die verwendet werden können, wie zum Beispiel Hilfsmittel, Formulare und Checklisten, Beispiele und Muster, Tools, die unterstützen, Studien und Dokumentationen, Informationen für Sicherheitsbeauftragte sowie noch weitere interessante Tipps und Informationen.
Mustervertrag für die Entsorgung von Datenträgern
Sämtliche Datenträger, die sensible Daten enthalten und nicht mehr benötigt werden, müssen so entsorgt werden, dass auf die auf ihnen gespeicherten Daten kein Zugriff möglich ist. Wird ein Entsorgungsunternehmen mit der Vernichtung dieser Datenträger beauftragt, stehen im IT Grundschutz zwei Musterverträge bereit.
Mustervertrag für die Bestellung eines Sicherheitsbeauftragten für die Informationstechnik
Unter gewissen Umständen ist es Pflicht, dass ein Unternehmen oder eine Behörde einen Sicherheitsbeauftragten für die Informationstechnologie ernennt. Dies ist zum Beispiel für die deutschen Bundesbehörden verpflichtend vorgeschrieben. Die Aufgaben und Befugnisse müssen bei der Ernennung im Vertrag genau dokumentiert werden. Daher gibt es im IT Grundschutz ein entsprechendes Dokument.
IT Grundschutz − so wird er am besten implementiert
Bei dem IT Grundschutz handelt es sich um Bausteine und Maßnahmen, die aufeinander aufbauend konzipiert sind. Mit den Standards wird dem Unternehmen ein strukturierter Weg an die Hand gegeben, der bei der Umsetzung des Informationssicherheitsmanagement-Systems hilft. Bei der Implementierung hat sich die folgende Vorgehensweise bewährt:
Schritt 1: Mitarbeiter sensibilisieren
Noch während der Sicherheitsprozess initialisiert wird, wird gleichzeitig die Basis für weitere erforderliche Schritte gelegt. Dabei müssen die Mitarbeiter in die Prozesse eingebunden werden, und das Unternehmen muss die hierfür erforderlichen finanziellen Ressourcen bereitstellen.
Schritt 2: Sicherheitskonzepte erstellen
Im zweiten Schritt werden die Bausteine und Grundschutzkataloge angewendet, die sich aus der Analyse ergeben haben. Welche Maßnahmen erforderlich sind, hängt von dem Schutzbedarf ab, der zuvor identifiziert wurde.
Schritt 3: Basis-Sicherheits-Check durchführen
Beim anschließenden Basis-Sicherheits-Check wird überprüft, welchen Umsetzungsgrad die Maßnahmen erfüllen. Ergänzend dazu wird auch eine Sicherheitsanalyse durchgeführt, mit der es möglich ist, die kritischen Komponenten und Systeme näher unter die Lupe zu nehmen. Dabei werden Schwachstellen identifiziert und in die Sicherheitskonzeption integriert. Unter Umständen ergeben sich auch weitere Sicherheitsmaßnahmen.
Schritt 4: Im laufenden Betrieb die Informationssicherheit gewährleisten
Auch wenn der IT Grundschutz implementiert worden ist, muss im laufenden Geschäftsbetrieb kontinuierlich sichergestellt sein, dass die Informationssicherheit gegeben ist. Das bedeutet, dass laufend Analysen erforderlich sind und Geschäftsprozesse verbessert oder angepasst werden müssen.
IT Grundschutz: Wertvolle Wissensbasis auch für nicht ISO-zertifizierte Unternehmen
Der IT Grundschutz ist für ISO-zertifizierte Betriebe Pflicht. Dabei wird mithilfe einer strukturierten Herangehensweise eine hohe Datensicherheit gewährleistet. Für Behörden ist der IT Grundschutz sogar gesetzlich verpflichtend. Mit seiner umfangreichen und detaillierten Dokumentation stellt das vom BSI entwickelte Konzept auch für Nichtanwender eine empfehlenswerte Einleitung und Wissensbasis dar, die kostenlos genutzt werden kann.