IT-Grundschutz : Ein Jahr modernisierter IT-Grundschutz : Schutzbedarf und Sicherheitskonzepte: Der IT-Grundschutz bietet zahlreiche Lösungen an
Auf der Sicherheitsmesse it-sa wurde im vergangenen Jahr der modernisierte IT-Grundschutz vorgestellt. Seitdem ist viel passiert bei der bewährten Vorgehensweise: Erste IT-GrundschutzProfile sind veröffentlicht, die Anwender wechseln zunehmend auf den modernisierten IT-Grundschutz und zudem wurden erste Zertifikate auf Basis des IT-Grundschutz-Kompendiums erteilt. Dementsprechend lautet auch das Motto für die it-sa 2018: „Ein Jahr modernisierter IT-Grundschutz: Erfahrungen und Ergebnisse“.
Informationssicherheit in Unternehmen und Behörden zu gewährleisten, wird ein zunehmend komplexeres Unterfangen für alle beteiligten Akteure in einer Institution. Neben den Führungskräften muss jeder einzelne Mitarbeiter – ob in der Produktion oder der Personalabteilung – den Begriff Informationssicherheit mit Leben füllen. Um diesen Prozess zu unterstützen, wurde der IT-Grundschutz grundlegend auf den Prüfstand gestellt und modernisiert. Nun umfasst er ein noch breiteres Angebot an Informationen für Sicherheitsfragen jeder Art und richtet sich auch verstärkt an kleine und mittelständische Unternehmen (KMU).
Um Unternehmen und Behörden den Weg zum Aufbau eines Managementsystems zur Informationssicherheit (ISMS) zu erleichtern, wurde das Konzept der IT-Grundschutz-Profile aufgenommen: Anwendergruppen, die sich mit der Sicherheit eines bestimmten Informationsverbunds befasst haben, können ihre Ergebnisse aus diesen Überlegungen als IT-GrundschutzProfil veröffentlichen. Das kann weiteren Unternehmen und Behörden als Schablone für eigene, vergleichbare Sicherheitsbetrachtungen dienen. Ein Profil kann eine praktikable Lösung sein, um mit überschaubarem personellem und finanziellem Aufwand die ersten Schritte in Richtung Informationssicherheit gehen zu können.
Schablonen für Informationssicherheit
Ein erstes IT-Grundschutz-Profil für Städte und Gemeinden haben die kommunalen Spitzenverbände Deutscher Landkreistag, Deutscher Städte- und Gemeindebund und Deutscher Städtetag in Abstimmung mit dem BSI veröffentlicht. Das IT-Grundschutz-Profil dient als Schablone für IT-Verantwortliche in Kommunalverwaltungen, die den IT-Grundschutz zur Erhöhung der Informationssicherheit einsetzen wollen. Auch kleinere Kommunen oder Unternehmen können damit ihr Niveau der Informationssicherheit schnell verbessern.
Gremien oder Anwendergruppen, die ein IT-Grundschutz-Profil für ein bestimmtes Anwendungsfeld erstellen möchten, sollten auch die zukünftigen Benutzer frühzeitig in den Prozess einbinden. Der intensive Austausch zwischen allen beteiligten Akteuren und ihren jeweiligen Anforderungen trägt in der Regel zu einem optimalen Ergebnis bei – sowohl bei denjenigen, die das IT-Grundschutz-Profil erstellen, als auch bei den Anwendern, die im Anschluss damit arbeiten
Neben dem Kommunen-Profil ist inzwischen auch ein IT-Grundschutz-Profil für Handwerkskammern veröffentlicht worden. Weitere werden derzeit unter anderem für Handwerksbetriebe und Reedereien erstellt. Darüber hinaus geben zwei Masterarbeiten vertiefende Einblicke zu diesem Thema.
Das BSI unterstützt interessierte Anwender, die erstmalig ein IT-Grundschutz-Profil erstellen möchten, bei Fragen und stellt gegebenenfalls Kontakte zu anderen Institutionen her. Zudem führt eine auf der BSI-Webseite veröffentlichte „Anleitung zur Erstellung eines IT-Grundschutz-Profils“ durch den gesamten Prozess (www.bsi. bund.de/DE/Themen/ITGrundschutz/ITGrundschutzProfile/Anleitung/itgrundschutzProfile_Anleitung_node.html). Erarbeitete Profile können dann auf der BSI-Webseite veröffentlicht werden.
Erfolgreiche Arbeit mit dem IT-Grundschutz-Kompendium
Das erste Zertifikat auf der Basis des IT-Grundschutz-Kompendiums konnte bereits im Juli 2018 an das Dienstleistungszentrum Berlin (ITDZ) erteilt werden. Das ISO-27001-Zertifikat auf der Basis von IT-Grundschutz bestätigt, dass der Informationsverbund des ITDZ durch die Anwendung der Standard-Absicherung des IT-Grundschutzes geschützt wird. Der Informationsverbund beziehungsweise das Informationssicherheitsmanagementsystem erfüllt damit auch die Anforderungen nach ISO 27001.
Das ITDZ hat mit dem Zertifikat den sicheren Betrieb der Standard-Arbeitsplätze der Berliner Verwaltung und die Umsetzung des Managementsystems zur Informationssicherheit nachgewiesen. Auch die IKTBasisdienste sowie weitere Anwendungen waren Gegenstand der Untersuchung. Ein internes Fachverfahren mit den notwendigen IKT-Komponenten der Behörde können andere Nutzer als Beispiel für eine Anwendung mit hohem Schutzbedarf heranziehen.
Einstieg mit dem neuen Online-Kurs
Der neue Online-Kurs „IT-Grundschutz“ bietet einen ersten Einstieg in die IT-Grundschutz-Vorgehensweise (www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzSchulung/OnlinekursITGrundschutz2018/onlinekurs_itgrundschutz_node.html). Er basiert auf dem IT-Grundschutz-Kompendium und den BSI-Standards 200-1,-2 und -3. Besonders Anwender aus kleinen und mittelgroßen Unternehmen sind angesprochen, den Kurs für Sicherheitsbetrachtungen in ihrer Institution zu nutzen.
In neun Lerneinheiten können die Anwender erfahren, welche Aspekte zu einem ganzheitlichen ISMS gehören und was zum Beispiel unter der IT-Grundschutz-Modellierung zu verstehen ist. Die Sicherheitskonzeption rückt die Strukturanalyse der Geschäftsprozesse in den Mittelpunkt. Ausgehend von dieser Analyse über die Modellierung der Sicherheitsmaßnahmen bis hin zur Umsetzungsplanung werden Anwender detailliert durch den Prozess geleitet. Mit Testfragen am Ende jeder Lektion lässt sich zudem unmittelbar der individuelle Kenntnisstand überprüfen.
Ausblick: IT-Grundschutz-Kompendium 2019
Zur diesjährigen it-sa wird die redaktionelle Vorbereitung der Edition 2019 des IT-Grundschutz-Kompendiums abgeschlossen sein. Im Zuge der kontinuierlichen Weiterentwicklung der Inhalte werden in die nächste Edition unter anderem Bausteine zu den Themenbereichen Softwareentwicklung, SAP und Telekommunikation aufgenommen.
Die zweite Edition des IT-Grundschutz-Kompendiums wird ab Februar 2019 als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz zur Verfügung stehen – und auch zukünftig wird über zahlreiche Erfahrungen und Ergebnisse beim IT-Grundschutz zu berichten sein.