Für die Absicherung der IT in Ihrem Unternehmen können Sie auf etablierte Standards zurückgreifen, die das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) entwickelt hat. Dieser BSI IT-Grundschutz analysiert das Potenzial für Gefährdungen und Schäden und legt entsprechend angepasste Schutzniveaus und Sicherheitsmaßnahmen fest. Mit einer Zertifizierung weisen Sie Ihren IT-Grundschutz nach.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für Unternehmen, Behörden und andere Akteure, die im Bereich kritischer Datensicherheit tätig sind, einen IT-Grundschutzkatalog entwickelt, um die schrittweise Etablierung und stetige Aufrechterhaltung eines umfassenden Informationssicherheits-Managementsystems (ISMS) zu ermöglichen.
Oberstes Ziel ist die Absicherung der Informationstechnologie. Dafür werden im ersten Schritt Sicherheitsrisiken identifiziert und bewertet. Ein Maßnahmenumsetzungsplan konsolidiert die geforderten Sicherheitsmaßnahmen, wonach schließlich ihre Umsetzung erfolgt. Alle Unternehmensbereiche mit einem hohen oder sehr hohen IT-Schutzbedarf müssen auf diese Weise regelmäßig sowie anlassbezogen auf die Einhaltung der ISMS hin überprüft werden. Dazu dient auch die Zertifizierung nach ISO 27001.
Seit 2017 überarbeitet die Bundesregierung das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Das sogenannte IT-Sicherheitsgesetz (IT-SiG) 2.0 fokussiert besonders die Datensicherheit in der Bundesverwaltung, in Unternehmen der kritischen Infrastruktur (KRITIS) und von Organisationen im besonderen öffentlichen Interesse (UBI) – dazu gehören sowohl Unternehmen mit großer volkswirtschaftlicher Bedeutung als auch Rüstungshersteller und Produzenten und Verarbeiter von Gefahrstoffen.
Unternehmen dieser Bereiche werden schrittweise dazu verpflichtet, sich beim BSI zu registrieren und eine Erklärung über ihre IT-Sicherheit abzugeben. Diese umfasst Zertifizierungen, Sicherheits-Audits und Sicherheitsmaßnahmen.
Das IT-SiG 2.0 erweitert sowohl die Pflichten für datenschutzkritische Unternehmen als auch die Kontrollbefugnisse für den Staat deutlich. Die Überarbeitung mitsamt der Herabsetzung diverser KRITIS-Schwellenwerte führte zu einer deutlichen Auswertung des Kreises betroffener Betreiber. Auch die scharfe Anhebung der Höhe von Bußgeldern für die Nichteinhaltung von Vorgaben und Anforderungen auf bis zu 2 Mio. Euro (20 Mio. Euro für juristische Personen) mahnt an, spätestens jetzt Cyber Security im Unternehmen stringent umzusetzen.
Um den vorgeschriebenen IT-Grundschutz zu gewährleisten, schreibt das BSI vier Standards für die Sicherheitskonzeption vor, die im Folgenden detaillierter vorgestellt werden. Der IT-Grundschutzkatalog des BSI umfasst eine Vielzahl an Dokumenten zur Analyse und Modellierung von Sicherheitsrisiken und Schutzbedarfen. Im Vordergrund steht dabei der Schutz der wichtigsten Informationssicherheitsbereiche: Integrität, Vertraulichkeit und Verfügbarkeit.
Genau wie die international anerkannte ISO-Norm 27001 definiert der BSI-Standard 200-1 die allgemeinen Anforderungen, die an Informationssicherheits-Managementsysteme (ISMS) gestellt werden: etwa zu den Methoden für die Initiierung, Überwachung und Steuerung dieser Systeme. Daneben werden in diesem Standard auch die Regeln zum allgemeinen Umgang mit den anderen drei Standards der Datensicherheit festgeschrieben. Der BSI-Standard 200-1 orientiert sich an den Begrifflichkeiten der ISO-Normen, ist aber didaktisch klarer formuliert und etwas anders strukturiert. Damit sind auch Projektleitungen und Führungskräfte Adressaten dieses Standards, während die Vorgänger-Versionen explizit auf Verantwortliche der Informationssicherheit ausgerichtet waren.
Mit dem BSI-Standard 200-2 wird eine solide Basis für den Aufbau eines ISMS im Unternehmen gelegt. Dieser Standard definiert außerdem Methoden für die Überprüfung und für Erweiterungen des Informationssicherheitsmanagements. Als Unternehmen haben Sie die Wahl zwischen Absicherungen auf verschiedenen Niveaus: Der Standard stellt Vorgehensweisen für eine umfassende Standard-Absicherung und eine reduzierte Basis-Absicherung sowie eine Kern-Absicherung zur Verfügung. Die beiden letztgenannten eignen sich besonders für kleine und mittelständische Unternehmen. Auch dieser Standard ist großteils deckungsgleich mit der ISO 27001. Die Struktur des Dokuments ähnelt bewusst der des BSI-Standards 200-1, um das Abgleichen von Inhalten zu erleichtern.
Der BSI-Standard 200-2 richtet sich sowohl an Verantwortliche für die Informationssicherheit, Sicherheitsberatende, -fachleute und -beauftragte als auch an Führungskräfte und Projektleitungen. Für diese Zielgruppen kann er den Aufwand beim Aufbau eines ISMS erheblich senken.
Der BSI-Standard mit dem Namen “Risikoanalyse auf Basis von IT-Grundschutz” ist ein ergänzendes Element für den BSI Grundschutz. Er lässt sich von Behörden oder Unternehmen anwenden, die schon den IT-Grundschutz implementiert haben und eine zusätzliche Risikoanalyse durchführen wollen. Der Standard gibt acht Schritte vor, in denen sich systematisch Risiken der Informationssicherheit erkennen, bewerten und steuern lassen. Die Wirksamkeit der vorgeschlagenen Maßnahmen kann anhand von vergleichenden Analysen überprüft werden.
Der Standard 200-3 ist eine Überarbeitung des ursprünglichen Standards 100-3. Die aktualisierte Version basiert auf einem vereinfachten Gefährdungsmodell, das die ehemals 450 spezifischen Gefährdungen zu 46 elementaren, produkt- und technikneutralen Gefährdungen zusammenfasst.
Einige Jahre nach den anderen Standards des BSI-Grundschutzes wurde auch der Standard 100-4 überarbeitet. Er steht seit 2022 als überarbeiteter Community Draft zur Verfügung. Der Standard 200-4 ist deutlich umfangreicher als sein Vorgänger und fokussiert mit dem Titel „BCM“ stärker die allgemeine Sicherheit in Unternehmen. Mit systematischen Anleitungen unterstützt er die Implementierung eines Business Continuity Systems, um bei Notfällen – insbesondere bei zeitkritischen Geschäftsprozessen – schnell reagieren und Ausfälle minimieren zu können. Ein dreistufiges Modell erlaubt die bedarfsgerechte Einführung.
Die Vorgaben sind vollständig kompatibel mit denen der international anerkannten ISO 22301, umfassen aber zusätzlich ausführliche Hinweise und Hilfsmittel zur praktischen Umsetzung.
Informationssicherheit in Unternehmen ist ein stetig zu überwachender und zu optimierender Prozess. Die Standards des BSI IT-Grundschutzes bieten vor allem für weniger erfahrene Anwender in Unternehmen von kleiner und mittlerer Größe mit einer eigenständigen IT-Abteilung eine praktische Handreichung, um ein eigenes Managementsystem für die Informationssicherheit zu etablieren.
Es werden acht Phasen bzw. Schritte unterschieden. Zunächst ist zu definieren, welche Komponenten und Bereiche im Unternehmen für ein ISMS in Frage kommen. Danach erfolgt eine Strukturanalyse aller sicherheitskritischen Unternehmenswerte und ihrer Abhängigkeiten. Nach der Schutzbedarfsfeststellung werden die vom BSI-Grundschutz als Bausteine vorgegebenen Mindestanforderungen modelliert und dann im IT-Grundschutz-Check mit dem Ist-Stand verglichen. Eine Risikoanalyse ist für alle Unternehmenswerte nötig, auf die kein Baustein passt.
Ein Maßnahmenumsetzungsplan fasst alle Sicherheitsmaßnahmen zusammen, die schließlich umgesetzt werden, um das angestrebte Sicherheitsniveau zu erreichen. Dieses wird in 3 Levels eingeteilt (Basis, Kern und Standard), damit das Sicherheitskonzept passend zu den Anforderungen des eigenen Unternehmens implementiert und geprüft werden kann.
Auch wenn das BSI IT-Grundschutz-Kompendium im Vergleich zur ISO 27001 und anderen Normen bewusst anwenderfreundlich und praxisnah gestaltet ist, stellt seine Umsetzung dennoch viele Unternehmen vor eine Herausforderung.
Cyber Curriculum® begleitet Ihr Unternehmen durch den gesamten Prozess der BSI-Grundschutz-Implementierung. Wir entwickeln gemeinsam mit Ihnen ein Soll-Bild und ein Ziel für das ISMS, identifizieren Ihre sicherheitskritischen Unternehmensbereiche mit ihren spezifischen Risiken und begleiten Sie bei der Umsetzung der notwendigen Sicherheitsmaßnahmen.
Vertrauen Sie unserer langjährigen Erfahrung als Security-Experten im öffentlichen Sektor und im Bereich Datenschutz. Mit unseren maßgeschneiderten IT Compliance Paketen bieten wir Ihnen genau den Service, den Sie benötigen – immer genau passend zu Ihren Sicherheitsanforderungen und Ihrem Budget.
Wir setzen zertifizierte IT-Experten für Ihre Datensicherheit ein, die mit allen Themenbereichen vertraut sind.
Zu unseren zufriedenen Kunden zählen Unternehmen jeder Größe und aus vielen Branchen.
Unsere erfahrenen Berater unterstützen Sie dabei, die Auditierung nach BSI-Grundschutz vorzubereiten.
Datensicherheit ist ein stetig andauernder Prozess, bei dessen Steuerung und Überwachung wir Sie gern unterstützen.
Von unserem Headquarter in Berlin aus beraten wir unsere Kunden bundesweit, ob virtuell oder live vor Ort.
Wir sind Partner der Allianz für Cyber-Sicherheit (ACS), Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands e. V. sowie im Bundesverband IT-Mittelstand e. V. (BITMi).
