IT-Grundschutzanalyse

Was ist eine IT-Grundschutzanalyse?

Eine IT-Grundschutzanalyse wird gemäß den Vorgaben und den Regularien des BSI durchgeführt. Dabei handelt es sich um standardisierte Schritte und eine umfangreiche Analyse von bestehenden, oder geplanten IT-Systemen. Ziel der Analyse ist es einen umfassenden Schutz der Systeme zu erreichen und in der Zukunft zu gewährleisten. Die Vorgaben des BSI sind nach der internationalen Norm ISO 27000 standardisiert. Dadurch wird ein effektiver Schutz erreicht, welcher aber einen individuellen Schutz und weitere Maßnahmen gerade bei umfangreichen Systemen nicht ausschließen soll.

Die Risikoanalyse im Rahmen der IT-Grundschutzanalyse

Eine Risikoanalyse soll die erkennbaren Schwächen im System aufzeigen, und sogar versteckte Risiken aufdecken. Es ist deswegen unabdingbar, dass eine Risikoanalyse standardisiert und organisiert durchgeführt wird. Eine übliche Risikoanalyse eines IT-Systems erfolgt deswegen immer in verschiedenen Schritten. Diese bauen logisch ineinander auf und haben das Ziel die erkennbaren und versteckten Schwächen effektiv zu erkennen und zu beheben. Eine Risikoanalyse könnte folgendermaßen aufgebaut sein:

  • 1. Schritt: Identifikation der Risiken inklusive Suche nach weiteren Risiken
  • 2. Schritt: Beurteilung der Eintrittswahrscheinlichkeit eines bestimmten Risikos
  • 3. Schritt: Eine möglichst genaue Beurteilung der direkten Schäden, sowie der Folgeschäden bei Eintritt des Risikos
  • 4. Schritt: Aggregation der Risiken mit dem Ziel den gesamten Umfang des allgemeinen Risikos zu ermitteln und entsprechende Schritte einleiten zu können

Das primäre Ziel einer Risikoanalyse ist nicht die Behebung von Risiken, sondern die Erkennung eben dieser und eine effektive Risikobewertung. Durch dieses Vorgehen können Erkenntnisse darüber erreicht werden wie hoch das Risiko eines Angriffs, oder eines Schadens in einem IT-System sein kann. Die Risikoanalyse wird oftmals von externen Fachleuten durchgeführt. Das geschieht bewusst, da externe Fachkräfte in der Regel noch einmal einen anderen Blickwinkel auf das gesamte System haben. Fehler und Risiken können so deutlich leichter erkannt und aufgedeckt werden. Die Bewertung der Risiken geschieht nach quantitativen und nach qualitativen Aspekten. Während bei der quantitativen Risikobewertung die einzelnen Risiken nach Gefahrenklasse unterteilt werden können, sind es bei einer qualitativen Risikobewertung eher subjektive Aspekte die gewichtet werden. Beide Bewertungen ergeben ein gemeinsames Bild und erlauben eine recht genaue Einschätzung des allgemeinen Gefährdungspotentials.

Die IT-Grundschutzanalyse des BSI hilft in jedem Unternehmen

Die Organisation der IT-Grundschutzanalyse erfolgt gemäß den Vorgaben des BSI. Diese wurden nicht willkürlich zusammengestellt, sondern werden vielmehr anhand von gängigen und erfolgreichen Standards erarbeitet und fortlaufend weiterentwickelt. Der große Vorteil der IT-Grundschutzanalyse ist ihr modularer Aufbau. Dadurch ist es möglich bestimmte Teile der IT-Grundschutzanalyse besonders schwer zu gewichten, oder sie aber bei mangelndem Bedarf einfach auszuklammern. Der modulare Aufbau macht die IT-Grundschutzanalyse sehr flexibel. Dadurch wird sie in verschiedenen Branchen, und bei verschiedenen Unternehmensgrößen anwendbar. Dabei ist zu beachten, dass dieses Vorgehen gerade bei großen IT-Infrastrukturen keine abschließende Lösung sein kann.

Das BSI hat im Laufe der Jahre einiges an Erfahrungen sammeln können und ist deswegen für die Industrie, das Gewerbe und den Bürger der erste Ansprechpartner im Falle eines Angriffs. Dennoch können in einem standardisierten Programm keine individuellen Prämissen berücksichtigt werden. Die IT-Grundschutzanalyse ist deswegen vielmehr als ein umfangreicher Leitfaden anzusehen, mit dessen Hilfe die Unternehmen eine wichtige Grundlage für den Schutz der IT-Infrastruktur schaffen können. Für eine detaillierte und auf den individuellen Einzelfall abgestimmte Umsetzung kann das Konzept je nach Bedarf angewandt, erweitert oder individualisiert werden. Der größte Vorteil der IT-Grundschutzanalyse ist ihre hohe Flexibilität und Anpassungsfähigkeit. Dieser Zustand ist durch das BSI auch bewusst gewollt und soll die Grundschutzanalyse einer breiten Öffentlichkeit zugänglich machen.

Wie kann die IT-Grundschutzanalyse umgesetzt werden?

Die IT-Grundschutzanalyse kann, sofern im Unternehmen genügend Ressourcen verfügbar sind, durch die Unternehmen selber durchgeführt werden. Allerdings haben gerade kleine und mittelständische Unternehmen hier einen hohen Bedarf und nicht genügend wirtschaftliche Kraft, um eigene Ressourcen im Haus zu entwickeln, zu halten und auszubauen. Externe Dienstleister können hier eine effektive Lösung sein, um die Sicherheit der IT-Systeme zu analysieren und zu verbessern. Dabei halten sie sich an die Vorgaben des BSI, sind allerdings auch in der Lage die Analyse den individuellen Anforderungen nach anzupassen und aufzuwerten. Ein externer Dienstleister bringt zudem noch weitere Vorteile. Es werden innerhalb des Unternehmens die Ressourcen geschont und ein weiterer, sehr wichtiger Blickwinkel auf das IT-System bringt in der Regel deutlich besser Ergebnisse hervor. Gerade für größere Unternehmen, oder Unternehmen mit einer großen IT-Infrastruktur sind externe Dienstleister deswegen eine gute Wahl.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte