Shop Kontakt
Startseite Datenschutz IT-Grundschutz: Praxis-Leitlinien für Datensicherheit
Datenschutz

IT-Grundschutz: Praxis-Leitlinien für Datensicherheit

Gerade bei der Datensicherheit sowie bei der der Erkennung und Abwehr von Cyberattacken suchen viele Unternehmen Orientierung und Unterstützung. Hier hilft der IT-Grundschutz des BSI. Lesen Sie, was der Grundschutz ist und wie Sie damit arbeiten.

Zuletzt aktualisiert am: 12. August 2024

IT-Grundschutz
© NicoElNino /​ iStock /​ Thinkstock

Was ist der IT-Grundschutz des BSI?

Den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es seit 1994. Seitdem entwickelt das BSI sein Standardwerk für Informationssicherheit ständig weiter.

Das BSI ist die nationale Cyber-Sicherheitsbehörde. Es sieht seinen Auftrag darin, Informationssicherheit in der Digitalisierung zu gestalten durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft. Mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) wurde der Auftrag des BSI erweitert, um den Herausforderungen der fortschreitenden Digitalisierung zu begegnen. So verankert das IT-SiG 2.0 den digitalen Verbraucherschutz im BSI.

Das Amt ist also nicht nur für Behörden Anlaufstelle, sondern auch für Unternehmen und Bürger.

Datensicherheit umzusetzen, ist für Unternehmen nicht einfach. Neben den Aufsichtsbehörden für den Datenschutz bietet daher das BSI Unterstützung dabei, geeignete technisch-organisatorische Maßnahmen (TOM) zu finden.

Geeignete technische und organisatorische Maßnahmen

Was fordert das Datenschutzrecht von Unternehmen bei der Datensicherheit? Um die Sicherheit der Verarbeitung personenbezogener Daten sicherzustellen, müssen Unternehmen wirksame geeignete technische und organisatorische Maßnahmen auswählen und umsetzen.

Zu berücksichtigen sind dabei

  • der Stand der Technik,
  • die Implementierungskosten,
  • Art, Umfang, Umstände und Zwecke der Verarbeitung sowie
  • die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Das sind die Vorgaben der Datenschutz-Grundverordnung (DSGVO), um ein Schutzniveau zu gewährleisten, das dem Risiko angemessen ist.

Was ist das IT-Grundschutz-Kompendium?

Die grundlegende Veröffentlichung des IT-Grundschutzes ist das IT-Grundschutz-Kompendium.

Das Kompendium enthält in der Ausgabe 2023 ganze 111 Bausteine zu den unterschiedlichsten Aspekten der IT-Sicherheit.

Darin enthalten sind

  • die Bausteine der IT (wie ISMS: Sicherheitsmanagement, ORP: Organisation und Personal, CON: Konzeption und Vorgehensweisen, OPS: Betrieb, DER: Detektion und Reaktion, APP: Anwendungen, SYS: IT-Systeme, IND: Industrielle IT, NET: Netze und Kommunikation, INF: Infrastruktur),
  • die elementaren Gefährdungen (wie Datenverlust, Ressourcenmangel, Feuer),
  • die Anleitung zur Migration (Umstellung auf den modernisierten IT-Grundschutz) und
  • Umsetzungshinweise. Sie beschreiben, wie Verantwortliche die Anforderungen der Bausteine umsetzen und erläutern im Detail geeignete Sicherheitsmaßnahmen.

Was sind die BSI-Standards?

Neben dem IT-Grundschutz-Kompendium gibt es die BSI-Standards. Sie sind ebenfalls ein wichtiger Bestandteil des IT-Grundschutzes.

Die BSI-Standards umfassen die Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit.

Welche Standards des BSI gibt es? Und welcher Standard ist wofür geeignet?

  • BSI-Standard 200-1 zu Managementsystemen für Informationssicherheit
    Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS).
  • BSI-Standard 200-2 zur IT-Grundschutz-Vorgehensweise
    Der Standard empfiehlt, dreistufig vorzugehen. Er unterscheidet die Basis-, die Standard- und die Kern-Absicherung.
  • BSI-Standard 200-3 zum Risikomanagement
    Dieser BSI-Standard stellt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes gebündelt dar.
  • BSI-Standard 200-4 zum Aufbau eines Business Continuity Management Systems (BCMS)
    Der Standard dient der Prozess- und Aufgabenfestlegung zur Bewältigung eines Krisenfalls. Beschrieben wird ein Stufenmodell mit vereinfachten Einstiegsstufen (Reaktiv-BCMS und Aufbau-BCMS) und einer mit der internationalen Norm ISO 22301:2019 kompatiblen Stufe (Standard-BCMS). Zudem werden mögliche Synergien innerhalb des IT-Grundschutzes zwischen dem Managementsystem für Informationssicherheit und dem Business Continuity Management System erläutert.
  • BSI-Standard 100-4 zum Notfallmanagement
  • Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit
    Der Leitfaden bietet einen Einstieg zum Aufbau eines ISMS in einer Institution. Er wendet sich in erster Linie an kleine und mittelständische Unternehmen und Behörden. Zudem wurde das Projekt „Weg in die Basis-Absicherung“ (WiBA) initiiert, um den Einstieg in den IT-Grundschutz weiter zu vereinfachen.

Was sind die Mindeststandards Bund des BSI?

Über das IT-Grundschutz-Kompendium und die BSI-Standards hinaus sollten Unternehmen auch einen Blick auf die sogenannten Mindeststandards Bund werfen.

Sie sind zwar jeweils in Verbindung mit dem BSI-Gesetz zu sehen und wenden sich an die Behörden des Bundes. Doch sie bieten Unternehmen ebenfalls Orientierung im Bereich Datensicherheit.

Entsprechende Mindeststandards gibt es inzwischen für Videokonferenzdienste, für die Nutzung externer Cloud-Dienste, für Protokollierung und Detektion, für Schnittstellenkontrollen, zur Verwendung von Transport Layer Security (TLS) und für sichere Web-Browser, um nur einige Beispiele zu nennen.

Was sind die technischen Richtlinien des BSI (BSI-TR)?

Das Ziel der technischen Richtlinien des BSI (BSI-TR) ist die Verbreitung von angemessenen IT-Sicherheitsstandards.

Technische Richtlinien richten sich daher in der Regel an alle, die mit dem Aufbau oder der Absicherung von IT-Systemen zu tun haben. Technische Richtlinien haben originär Empfehlungscharakter, stellen aber wichtige Leitlinien für die Praxis dar.

Unter anderem gibt es technische Richtlinien zum sicheren E-Mail-Transport und für die Bewertung der Sicherheit ausgewählter kryptografischer Verfahren sowie Empfehlungen für den Einsatz der kryptografischen Protokolle TLS (Transport Layer Security), IPsec (Internet Protocol Security), IKE (Internet Key Exchange) und SSH (Secure Shell).

Neu hinzu gekommen sind zum Beispiel die Technische Richtlinie für Digitales Zentralbankgeld und eine aktuelle Technische Richtlinie für Technische Sicherheitseinrichtungen (TSE).

Damit gibt das BSI Verantwortlichen und beratenden Datenschutzbeauftragten eine ganze Reihe an Informationen und Leitlinien an die Hand, um geeignete technische sowie organisatorische Maßnahmen zu finden und umzusetzen.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)

Datenschutz PRAXIS Pro

Daten­schutz PRAXIS Pro

€ 289,00 Jahrespreis zzgl. € 24,95 Versandpauschale und MwSt. Pro

Zum Produkt
Jetzt den kostenlosen WEKA Newsletter abonnieren.

Unsere Empfehlungen für Sie

WEKA Manager Datenschutz

WEKA Mana­ger Daten­schutz

€ 1.164,00 Jahrespreis zzgl. MwSt. Download-Version

Zum Produkt
Datenschutz-Management Premium

Daten­schutz-Manage­ment Premium

€ 1.402,00 Jahrespreis zzgl. MwSt. Online-Version

Zum Produkt
IT-Sicherheit und Datenschutz im Unternehmen

IT-Sicher­heit und Daten­schutz im Unter­neh­men

€ 45,79 zzgl. € 3,95 Versandpauschale und MwSt. Buch

Zum Produkt
Cybersicherheit

Cyber­si­cher­heit

€ 55,14 zzgl. € 3,95 Versandpauschale und MwSt. Buch

Zum Produkt
Newsmaker Datenschutz

Newsma­ker Daten­schutz

€ 504,00 Jahrespreis zzgl. MwSt. Download-Version

Zum Produkt
Das elektronische Datenschutzhandbuch

Das elek­tro­ni­sche Daten­schutzhandbuch

€ 844,00 Jahrespreis zzgl. MwSt. Download-Version

Zum Produkt
Zum WEKA Shop

Mehr zum Thema

ISO 27001 vs. BSI-IT-Grundschutz – Vergleich und Handlungsempfehlungen
Unternehmensführung
ISO 27001 vs. BSI-IT-Grundschutz – Vergleich und Handlungsempfehlungen
ISMS-Standards wie die ISO 27001 oder der BSI-IT-Grundschutz ermöglichen die Strukturierung und Koordination des Informationssicherheitsprozesses in Organisationen. Häufig wird auch eine ... mehr
Das bringt ein ISMS für den Datenschutz
Datenschutz
Das bringt ein ISMS für den Datenschutz
Informationssicherheit und Datenschutz sind nicht deckungsgleich. Folgerichtig ist der Datenschutz-Baustein kein Bestandteil einer formalen IT-Grundschutz-Zertifizierung. Lesen Sie, warum ... mehr
Know-how und Praxistipps für ein professionelles IT-Security Compliance-Management
IT-Sicherheit
Know-how und Praxistipps für ein professionelles IT-Security Compliance-Management
Vor dem Hintergrund der aktuellen Bedrohungslage gewinnt Informationssicherheit weiter an Bedeutung. Organisationen stehen zunehmend vor der Herausforderung, ihre (digitalen) Informationen ... mehr