11.10.2017

IT-Grundschutz-Kataloge: Praxis-Leitlinien für Datensicherheit

Gerade bei der Datensicherheit suchen viele Unternehmen Orientierung und Unterstützung. Das BSI ist zwar der IT-Sicherheits-Dienstleister des Bundes. Doch helfen die IT-Grundschutz-Kataloge auch Unternehmen.

IT-Grundschutz-Kataloge

Datensicherheit umzusetzen, ist für Unternehmen nicht einfach. Neben den Aufsichtsbehörden für den Datenschutz bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) Unterstützung, um geeignete technisch-organisatorische Maßnahmen zu finden. Besonders erwähnenswert sind die IT-Grundschutz-Kataloge (zu finden unter https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html).

Datenschutzrecht und Datensicherheit

Was fordert das Datenschutzrecht von Unternehmen bei der Datensicherheit? Um die Sicherheit der Verarbeitung personenbezogener Daten sicherzustellen, müssen Unternehmen wirksame, geeignete technische und organisatorische Maßnahmen auswählen und umsetzen.

Zu berücksichtigen sind dabei

  • der Stand der Technik,
  • die Implementierungskosten,
  • Art, Umfang, Umstände und Zwecke der Verarbeitung sowie
  • Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Das sind die Vorgaben der Datenschutz-Grundverordnung (DSGVO / GDPR), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Aber auch das „alte“ Bundesdatenschutzgesetz hat bereits technische und organisatorische Maßnahmen gefordert.

IT-Grundschutz des BSI

Den IT-Grundschutz des BSI gibt es seit dem Jahr 1994. Seitdem findet eine fortlaufende Weiterentwicklung statt. Gegenwärtig modernisiert das Bundesamt den IT-Grundschutz umfassend.

Das betrifft vor allem die Vorgehensweisen und die Bausteine, die verschlankt werden. Das soll die Umsetzung von praxisnahen IT-Sicherheits-Maßnahmen beschleunigen.

IT-Grundschutz-Kataloge und Standards des BSI

Die sogenannten IT-Grundschutz-Kataloge des BSI beginnen mit einer Einführung in die Methodik und mit den Rollen im IT-Grundschutz. Dann nennen sie

  • die Bausteine der IT (wie IT-Systeme, Netze und Anwendungen),
  • die Gefährdungen (wie organisatorische Mängel, technisches Versagen),
  • die Maßnahmen (wie Notfallvorsorge, Infrastruktur) und
  • Hilfsmittel für die Umsetzung (wie Beispielprofile).

Neben den IT-Grundschutz-Katalogen gibt es die BSI-Standards. Sie sind in der neuen Arbeitshilfe (Download) als Überblick aufgeführt. Auch die Standards überarbeitet das Bundesamt gegenwärtig.

Die BSI-Standards umfassen die Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit.


Download: Übersicht über BSI-Standards


Im Rahmen des 15. Deutschen IT-Sicherheitskongresses (Mai 2017) hat das BSI einen neuen Leitfaden zur IT-Grundschutz-Vorgehensweise „Basis-Absicherung“ vorgestellt. Er richtet sich an kleine und mittlere Unternehmen (KMU) und bietet einen Einstieg zum Aufbau eines Informationssicherheits-Managementsystems (ISMS).

Mindeststandards des BSI

Auch wenn die sogenannten Mindeststandards des BSI jeweils in Verbindung mit dem BSI-Gesetz zu sehen sind, können sie Unternehmen auch im Bereich Datensicherheit Orientierung bieten. Entsprechende Mindeststandards gibt es inzwischen für Mobile Device Management (MDM), für die Nutzung externer Cloud-Dienste und für sichere Web-Browser, um nur einige Beispiele zu nennen.

Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)