IT-Grundschutz

– Exkurs-

IT-Grundschutz

Der IT-Grundschutz des BSI basiert auf der ISO 27001 und bietet gerade für kleine und mittlere Unternehmen (KMU) eine wertvolle Hilfestellung zu konkreten Maßnahmen, um die Sicherheit der unternehmens-internen IT zu erhöhen bzw. zu gewährleisten und an Standards auszurichten.

Weiterhin führt das BSI regelmäßige Risikoabschätzungen durch, um die Gefahrenlage für Deutschland zu beurteilen, Maßnahmen zu aktualisieren oder ggfs. neue Maßnahmen zu definieren. Die Maßnahmen werden in dem IT-Grundschutz Kompendium detailliert erläutert, welches regelmäßig überarbeitet und erweitert wird und zudem kostenfrei auf der Seite des BSI herunter geladen werden kann.

In dem Kompendium zum IT-Grundschutz werden standardisierte Sicherheitsanforderungen für verschiedene Bereiche beschrieben:

  • ISMS: Sicherheitsmanagement
  • Organisation und Personal mit Sensibilisierung und Schulungen zur Informationssicherheit
  • Konzeption und Vergehensweise mit Kryptokonzept, Datenschutz, Löschen
  • Betrieb mit Patch- und Änderungsmanagement, Fernwartung
  • Detektion und Reaktion mit bspw. Behandlung von Sicherheitsvorfällen und Audits
  • Anwendungen wie bspw. Office-Produkte, Web-Browser, Mobile Anwendungen
  • IT-Systeme mit Windows Server, Laptops, Smartphones und Tablets
  • Netze und Kommunikation mit Netzmanagement, WLAN Betrieb und Nutzung
  • Infrastruktur mit bspw. Serverraum, Büroarbeitsplatz, Häuslicher und Mobiler Arbeitsplatz, Verkabelung

Aus der Beschreibung wird bereits ersichtlich, dass es nicht nur um die IT-Sicherheit geht, sondern auch um die Absicherung von Prozessen, Räumen, Arbeitsplätzen u.v.m. Der Grundschutz beschreibt letzendlich Maßnahmen zur Erhöhung der Informationssicherheit.

Der Name IT-Grundschutz ist historisch bedingt, da ursprünglich tatsächlich die Sicherheit der IT im Vordergrund stand. Doch durch die zunehmende Digitalisierung haben sich die Zielstellung und Anforderungen geändert und zur Informationssicherheit ausgeweitet. Da der Name IT-Grundschutz jedoch bereits etabliert war, wurde er nicht geändert.

Umsetzungsempfehlungen des IT-Grundschutz

Generell handelt es sich ersteinmal um Empfehlungen für ein Unternehmen, eine Organisation, um ein gewisses Schutzniveau durch technische und organisatorische Maßnahmen zu erreichen. Soll jedoch der Nachweis für eine Umsetzung erbracht werden oder es wird eine Zertifizierung angestrebt, sind die sogenannten MUSS-Empfehlungen konkret zu prüfen und wenn zutreffend, umzusetzten.

Dabei ist zusätzlich die Art der Absicherung wie Basis-, Standard und Kern-Absicherung zu betrachten. Hierbei handelt es sich um den Grad der Absicherung. Mit einer Basis-Absicherung erreichen Sie bereits eine gute und erste Absicherung ihrer IT, Anwendungen, Prozesse usw. Haben Sie hingegen kritische Geschäftsbereiche oder besonders sensible und schützenswerte Daten (Gesundheitsdaten, Erfindungen u.a.) reicht eine Basis-Absicherung für diese Daten in der Regel nicht mehr aus. In solch einem Fall werden weitere Maßnahmen für diesen Bereich notwendig, um ein höheres Schutzniveau zu erreichen und zu gewährleisten. Die Empfehlungen des IT-Grundschutz orientieren sich an dem Grad der angestrebten Absicherung.

Sie interessieren sich für den IT-Grundschutz und möchten weitere Informationen? Dann vereinbaren Sie einen unverbindlichen Gesprächstermin.

error: Content is protected !!