11.03.2021

IT-Grundschutz: Praxis-Leitlinien für Datensicherheit

Gerade bei der Datensicherheit suchen viele Unternehmen Orientierung und Unterstützung. Hier hilft der IT-Grundschutz des BSI. Lesen Sie, was der Grundschutz ist und wie Sie damit arbeiten.

IT-Grundschutz

Der IT-Grundschutz

Den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es seit 1994. Seitdem entwickelt das BSI sein Standardwerk für Informationssicherheit ständig weiter.

Das BSI ist die nationale Cyber-Sicherheitsbehörde. Es sieht seinen Auftrag darin, Informationssicherheit in der Digitalisierung zu gestalten durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.

Das Amt ist also nicht nur für Behörden Anlaufstelle, sondern auch für Unternehmen und Bürger.

Datensicherheit umzusetzen, ist für Unternehmen nicht einfach. Neben den Aufsichtsbehörden für den Datenschutz bietet daher das BSI Unterstützung dabei, geeignete technisch-organisatorische Maßnahmen (TOM) zu finden.

Geeignete technische und organisatorische Maßnahmen

Was fordert das Datenschutzrecht von Unternehmen bei der Datensicherheit? Um die Sicherheit der Verarbeitung personenbezogener Daten sicherzustellen, müssen Unternehmen wirksame geeignete technische und organisatorische Maßnahmen auswählen und umsetzen.

Zu berücksichtigen sind dabei

  • der Stand der Technik,
  • die Implementierungskosten,
  • Art, Umfang, Umstände und Zwecke der Verarbeitung sowie
  • die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Das sind die Vorgaben der Datenschutz-Grundverordnung (DSGVO / GDPR), um ein Schutzniveau zu gewährleisten, das dem Risiko angemessen ist.

Das IT-Grundschutz-Kompendium

Die grundlegende Veröffentlichung des IT-Grundschutzes ist das IT-Grundschutz-Kompendium.

Das Kompendium enthält in der Ausgabe 2021 ganze 97 Bausteine zu den unterschiedlichsten Aspekten der IT-Sicherheit.

Darin enthalten sind

  • die Bausteine der IT (wie ISMS: Sicherheitsmanagement, ORP: Organisation und Personal, CON: Konzeption und Vorgehensweisen, OPS: Betrieb, DER: Detektion und Reaktion, APP: Anwendungen, SYS: IT-Systeme, IND: Industrielle IT, NET: Netze und Kommunikation, INF: Infrastruktur),
  • die elementaren Gefährdungen (wie Datenverlust, Ressourcenmangel, Feuer),
  • die Anleitung zur Migration (Umstellung auf den modernisierten IT-Grundschutz) und
  • Umsetzungshinweise. Sie beschreiben, wie Verantwortliche die Anforderungen der Bausteine umsetzen und erläutern im Detail geeignete Sicherheitsmaßnahmen.

Die BSI-Standards

Neben dem IT-Grundschutz-Kompendium gibt es die BSI-Standards. Sie sind ebenfalls ein wichtiger Bestandteil des IT-Grundschutzes.

Die BSI-Standards umfassen die Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit.

Welche Standards des BSI gibt es? Und welcher Standard ist wofür geeignet?

  • BSI-Standard 200-1 zu Managementsystemen für Informationssicherheit
    Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS).
  • BSI-Standard 200-2 zur IT-Grundschutz-Vorgehensweise
    Der Standard empfiehlt, dreistufig vorzugehen. Er unterschiedet die Basis-, die Standard- und die Kern-Absicherung.
  • BSI-Standard 200-3 zum Risikomanagement
    Dieser BSI-Standard stellt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes gebündelt dar.
  • BSI-Standard 200-4 zum Aufbau eines Business Continuity Management Systems (BCMS)
    Der Standard dient der Prozess- und Aufgabenfestlegung zur Bewältigung eines Krisenfalls. Beschrieben wird ein Stufenmodell mit vereinfachten Einstiegsstufen (Reaktiv-BCMS und Aufbau-BCMS) und einer mit der internationalen Norm ISO 22301:2019 kompatiblen Stufe (Standard-BCMS). Zudem werden mögliche Synergien innerhalb des IT-Grundschutzes zwischen dem Managementsystem für Informationssicherheit und dem Business Continuity Management System erläutert.
  • Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit
    Der Leitfaden bietet einen Einstieg zum Aufbau eines ISMS in einer Institution. Er wendet sich in erster Linie an kleine und mittelständische Unternehmen und Behörden.

Die Mindeststandards Bund des BSI

Über das IT-Grundschutz-Kompendium und die BSI-Standards hinaus sollten Unternehmen auch einen Blick auf die  sogenannten Mindeststandards Bund werfen.

Sie sind zwar jeweils in Verbindung mit dem BSI-Gesetz zu sehen und wenden sich an die Behörden des Bundes. Doch sie bieten Unternehmen ebenfalls Orientierung im Bereich Datensicherheit.

Entsprechende Mindeststandards gibt es inzwischen für Mobile Device Management (MDM), für die Nutzung externer Cloud-Dienste, für Protokollierung und Detektion, für Schnittstellenkontrollen, zur Verwendung von Transport Layer Security (TLS) und für sichere Web-Browser, um nur einige Beispiele zu nennen.

Die technischen Richtlinien des BSI (BSI-TR)

Das Ziel der technischen Richtlinien des BSI (BSI-TR) ist die Verbreitung von angemessenen IT-Sicherheitsstandards.

Technische Richtlinien richten sich daher in der Regel an alle, die mit dem Aufbau oder der Absicherung von IT-Systemen zu tun haben. Technische Richtlinien haben originär Empfehlungscharakter, stellen aber wichtige Leitlinien für die Praxis dar.

Unter anderem gibt es technische Richtlinien zum sicheren E-Mail-Transport und für die Bewertung der Sicherheit ausgewählter kryptografischer Verfahren und Empfehlungen für den Einsatz der kryptografischen Protokolle TLS (Transport Layer Security), IPsec (Internet Protocol Security), IKE (Internet Key Exchange) und SSH (Secure Shell).

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)