IT-Grundschutz

Was ist das IT-Grundschutz Dokument des BSI?

Mit dem IT-Grundschutz Dokument möchte das BSI den Unternehmen und den Behörden der Bundesrepublik Deutschland eine Art von Leitfaden zum Schutz der IT-Infrastruktur zur Verfügung stellen. Das Dokument befasst sich hauptsächlich mit dem Thema der IT-Sicherheit und behandelt dabei grundliegende, aber auch tiefgreifendere Fragestellungen ausführlich. Das Konzept geht dabei davon aus, dass es bei üblichen Anwendungen zu aufwändig wäre ein individuelles Schutzkonzept zu erstellen und zu verwirklichen. Deswegen bietet dieses Dokument eine Reihe von verschiedenen und standardisierten Schritten, mit denen die hausinterne IT-Infrastruktur schnell und einfach geschützt werden kann. Das IT-Grundschutz Kompendium definiert dabei eine Reihe von typischen Gefährdungen, denen Organisationen und Unternehmen im Alltag ausgesetzt sein können. Ohne dabei in die Tiefe zu gehen, behandelt das Dokument alle wichtigen Schritte für die Erkennung und die Abwehr von Angriffen aus dem Netz und aus dem inneren Bereich der betroffenen Organisationen.

Die IT-Grundschutz Standards

Das Dokument definiert eine Reihe von Standards, mit denen Organisationen aller Art ihre IT-Bereiche effektiv schützen können. Derzeit sind vier unterschiedliche Standards verfügbar, welche sich explizit an verschiedene Bereiche und Bedürfnisse richten. Jede dieser Standards kann für sich gesehen, oder aber vereinheitlicht und vermischt werden. Sie dienen als Übersicht und bieten durch die Anwendung einen effektiven Schutz vor Angriffen. Die vier Standards in Reihung aufgezählt umfassen folgende Bereiche:

  • Das Managementsysteme für Informationssicherheit (ISMS) (BSI-Standard 200-1)
  • Die IT-Grundschutz-Vorgehensweise (BSI-Standard 200-2)
  • Die Risikoanalyse auf der Basis von IT-Grundschutz (BSI-Standard 200-3)
  • Das Notfallmanagement (BSI-Standard 100-4)

Diese vier Standards sind nicht endgültig festgelegt und werden fortlaufend angepasst. Dabei hält sich das BSI an die Vorgaben der internationalen ISO-Norm ISO/IEC 27001. Es gehört zu den festen Aufgaben des BSI dieses Kompendium in regelmäßigen Abständen zu aktualisieren und zu reformieren. Dadurch wird sichergestellt, dass interessierte Organisationen zu jeder Zeit auf aktuelle Informationen für den Schutz der IT-Infrastruktur zurückgreifen können.

Wer kann und darf auf das IT-Grundschutz Kompendium zugreifen?

Grundsätzlich kann jeder Bürger der Bundesrepublik, sowie jede außenstehende Person auf das Kompendium zugreifen und es einsehen. Für Unternehmen einer bestimmten und besonders sicherheitsrelevanten Branche dient das Kompendium zudem als Grundlage für die tägliche Arbeit in der IT-Sicherheit. Diese Unternehmen müssen zudem nachweisen, dass sie die verschiedenen Inhalte und Vorgaben des Kompendiums regelmäßig umsetzen. Diese Vorgehensweise wird nachgeprüft, ist aber eher als eine Art von Erfüllung von Mindeststandards zu sehen.

Besonders betroffen davon sind Unternehmen ab einer gewissen Größe, oder aus Teilen der Wirtschaft welche für den Staat und seine Bürger von einer herausragenden Bedeutung sind. Das IT-Grundschutz Kompendium stellt ausdrücklich eine Art von Kochrezept für einen umfangreicheren Normalschutz dar. Auf keinen Fall kann es vor allen Arten von Angriffen schützen, oder gar ein Ersatz für eine individuelle Schutzstruktur bieten. Darauf wird seitens des BSI auch ausdrücklich hingewiesen. Für kleinere und mittelständische Unternehmen, aber auch für die Bürger ist das IT-Grundschutz Kompendium eine verlässliche Quelle für den Mindestschutz und den Alltag. Für große Unternehmen ist es, wie bereits gesagt, eher eine Umsetzung von minimalen Standards zum Schutz der Infrastruktur und der Betriebssicherheit.

Wie kann der IT-Grundschutz innerhalb von Unternehmen umgesetzt werden?

Kleine und große Unternehmen können anhand des Leitfadens verschiedene Schritte durchführen, um einen grundsätzlichen Schutz der IT-Infrastruktur zu gewährleisten. Allerdings ist auch diese Arbeit oftmals recht umfangreich. Gerade größere Infrastrukturen können in der Regel nur selten ohne externe Hilfe auf den Standard gebracht, oder gar erweitert werden. Hier empfiehlt es sich im Allgemeinen die Hilfe eines Experten zu beanspruchen. Externe Dienstleister können wertvolle Hinweise und praktische Tipps zur Umsetzung von innovativen und individuellen Sicherheitskonzepten anbieten. Gerade im mittelständischen Wirtschaftsbereich tun sich hier noch manchmal große Wissenslücken auf. Oftmals können Unternehmen die benötigten Ressourcen nicht alleine zur Verfügung stellen. Die fortlaufende Betreuung und Verbesserung der IT-Infrastruktur kostet Zeit, Geld und Ressourcen. Um hier das notwendige Know-How in das Unternehmen zu bekommen, und die Daten der Kunden und des Unternehmens zu schützen werden Experten gerne zu Rate gezogen. Auch hier können die Maßnahmen aus dem IT-Grundschutz Kompendium lediglich als Hilfestellung für einen normalen Schutz angesehen werden. Für erweiterte Schutzbedürfnisse, oder größere IT-Netzwerke ist ein individueller Schutz unerlässlich. Das BSI übernimmt hier ausschließlich gegenüber Bürgern eine beratende Funktion. Unternehmen und Organisationen müssen sich auf dem freien Markt entsprechende Lösungsvorschläge einholen, oder diese selber entwickeln.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte