BSI IT-Beratung

Ihre Ansprechpartner
in Sachen BSI Grundschutz-Beratung

Ihre Ansprechpartner in Sachen BSI Grundschutz-Beratung

IHRE ANSPRECHPARTNER IN SACHEN BSI GRUNDSCHUTZ-BERATUNG

Für die Absicherung der IT in Ihrem Unternehmen können Sie auf etablierte Standards zurückgreifen, die das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) entwickelt hat. Dieser BSI IT-Grundschutz analysiert das Potenzial für Gefährdungen und Schäden und legt entsprechend angepasste Schutzniveaus und Sicherheitsmaßnahmen fest. Mit einer Zertifizierung weisen Sie Ihren IT-Grundschutz nach.

BSI Grundschutz-Beratung

Sicherheitskonzeption, Audit & Implementierung (KRITIS & öffentlicher Sektor)

Für die Absicherung der IT in Ihrem Unternehmen können Sie auf etablierte Standards zurückgreifen, die das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) entwickelt hat. Der BSI IT-Grundschutz analysiert das Potenzial für Gefährdungen und Schäden und legt entsprechend angepasste Schutzniveaus und Sicherheitsmaßnahmen fest. Mit einer Zertifizierung weisen Sie Ihren IT-Grundschutz nach.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für Unternehmen, Behörden und andere Akteure, die im Bereich kritischer Datensicherheit tätig sind, einen IT-Grundschutzkatalog entwickelt, um die schrittweise Etablierung und stetige Aufrechterhaltung eines umfassenden Informationssicherheits-Managementsystems (ISMS) zu ermöglichen.

Oberstes Ziel ist die Absicherung der Informationstechnologie. Dafür werden im ersten Schritt Sicherheitsrisiken identifiziert und bewertet. Ein Maßnahmenumsetzungsplan konsolidiert die geforderten Sicherheitsmaßnahmen, wonach schließlich ihre Umsetzung erfolgt. Alle Unternehmensbereiche mit einem hohen oder sehr hohen IT-Schutzbedarf müssen auf diese Weise regelmäßig sowie anlassbezogen auf die Einhaltung der ISMS hin überprüft werden. Dazu dient auch die Zertifizierung nach ISO 27001.

Seit 2017 überarbeitet die Bundesregierung das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Das sogenannte IT-Sicherheitsgesetz (IT-SiG) 2.0 fokussiert besonders die Datensicherheit in der Bundesverwaltung, in Unternehmen der kritischen Infrastruktur (KRITIS) und von Organisationen im besonderen öffentlichen Interesse (UBI) – dazu gehören sowohl Unternehmen mit großer volkswirtschaftlicher Bedeutung als auch Rüstungshersteller und Produzenten und Verarbeiter von Gefahrstoffen.

Unternehmen dieser Bereiche werden schrittweise dazu verpflichtet, sich beim BSI zu registrieren und eine Erklärung über ihre IT-Sicherheit abzugeben. Diese umfasst Zertifizierungen, Sicherheits-Audits und Sicherheitsmaßnahmen.

Das IT-SiG 2.0 erweitert sowohl die Pflichten für datenschutzkritische Unternehmen als auch die Kontrollbefugnisse für den Staat deutlich. Die Überarbeitung mitsamt der Herabsetzung diverser KRITIS-Schwellenwerte führte zu einer deutlichen Auswertung des Kreises betroffener Betreiber. Auch die scharfe Anhebung der Höhe von Bußgeldern für die Nichteinhaltung von Vorgaben und Anforderungen auf bis zu 2 Mio. Euro (20 Mio. Euro für juristische Personen) mahnt an, spätestens jetzt Cyber Security im Unternehmen stringent umzusetzen.

8 KRITIS-Sektoren für BSI IT-Grundschutz-Audits

  • Energieversorger (Strom, Gas, Kraftstoffe, Fernwärme)

  • Wasserversorgung (Trinkwasser, Abwasser)

  • Lebensmittelversorger (Hersteller und Behandler, Distribution und Bestellung)

  • Transport- und Verkehrsunternehmen

  • Gesundheitsdienste (Versorgung, Laboratorien, Herstellung und Vertrieb von Medikamenten und Blut/Plasma)

  • Entsorgungsunternehmen

  • IT- und Telekommunikationsunternehmen

  • Finanzen und Versicherungen

ERFORDERLICHE BSI-STANDARDS FÜR DIE SICHERHEITSKONZEPTION

Um den vorgeschriebenen IT-Grundschutz zu gewährleisten, schreibt das BSI vier Standards für die Sicherheitskonzeption vor, die im Folgenden detaillierter vorgestellt werden. Der IT-Grundschutzkatalog des BSI umfasst eine Vielzahl an Dokumenten zur Analyse und Modellierung von Sicherheitsrisiken und Schutzbedarfen. Im Vordergrund steht dabei der Schutz der wichtigsten Informationssicherheitsbereiche: Integrität, Vertraulichkeit und Verfügbarkeit.

(BSI-Standard 200-1)

Managementsysteme für Informationssicherheit

Genau wie die international anerkannte ISO-Norm 27001 definiert der BSI-Standard 200-1 die allgemeinen Anforderungen, die an Informationssicherheits-Managementsysteme (ISMS) gestellt werden: etwa zu den Methoden für die Initiierung, Überwachung und Steuerung dieser Systeme.

Daneben werden in diesem Standard auch die Regeln zum allgemeinen Umgang mit den anderen drei Standards der Datensicherheit festgeschrieben. Der BSI-Standard 200-1 orientiert sich an den Begrifflichkeiten der ISO-Normen, ist aber didaktisch klarer formuliert und etwas anders strukturiert. Damit sind auch Projektleitungen und Führungskräfte Adressaten dieses Standards, während die Vorgänger-Versionen explizit auf Verantwortliche der Informationssicherheit ausgerichtet waren.

(BSI-Standard 200-2)

IT-Grundschutz-
Methodik

Mit dem BSI-Standard 200-2 wird eine solide Basis für den Aufbau eines ISMS im Unternehmen gelegt. Dieser Standard definiert außerdem Methoden für die Überprüfung und für Erweiterungen des Informationssicherheitsmanagements. Als Unternehmen haben Sie die Wahl zwischen Absicherungen auf verschiedenen Niveaus:

Der Standard stellt Vorgehensweisen für eine umfassende Standard-Absicherung und eine reduzierte Basis-Absicherung sowie eine Kern-Absicherung zur Verfügung. Die beiden letztgenannten eignen sich besonders für kleine und mittelständische Unternehmen. Auch dieser Standard ist großteils deckungsgleich mit der ISO 27001. Die Struktur des Dokuments ähnelt bewusst der des BSI-Standards 200-1, um das Abgleichen von Inhalten zu erleichtern.

(BSI-Standard 200-3)

Risikomanagement

Der BSI-Standard mit dem Namen “Risikoanalyse auf Basis von IT-Grundschutz” ist ein ergänzendes Element für den BSI Grundschutz. Er lässt sich von Behörden oder Unternehmen anwenden, die schon den IT-Grundschutz implementiert haben und eine zusätzliche Risikoanalyse durchführen wollen. Der Standard gibt acht Schritte vor, in denen sich systematisch Risiken der Informationssicherheit erkennen, bewerten und steuern lassen. Die Wirksamkeit der vorgeschlagenen Maßnahmen kann anhand von vergleichenden Analysen überprüft werden.

Der Standard 200-3 ist eine Überarbeitung des ursprünglichen Standards 100-3. Die aktualisierte Version basiert auf einem vereinfachten Gefährdungsmodell, das die ehemals 450 spezifischen Gefährdungen zu 46 elementaren, produkt- und technikneutralen Gefährdungen zusammenfasst.

(BSI-Standard 200-4)

Business Continuity Management

Einige Jahre nach den anderen Standards des BSI Grundschutzes wurde auch der Standard 100-4 überarbeitet. Er steht seit 2022 als überarbeiteter Community Draft zur Verfügung. Der Standard 200-4 ist deutlich umfangreicher als sein Vorgänger und fokussiert mit dem Titel „BCM“ stärker die allgemeine Sicherheit in Unternehmen.

Mit systematischen Anleitungen unterstützt er die Implementierung eines Business Continuity Systems, um bei Notfällen – insbesondere bei zeitkritischen Geschäftsprozessen – schnell reagieren und Ausfälle minimieren zu können. Ein dreistufiges Modell erlaubt die bedarfsgerechte Einführung.

Die Vorgaben sind vollständig kompatibel mit denen der international anerkannten ISO 22301, umfassen aber zusätzlich ausführliche Hinweise und Hilfsmittel zur praktischen Umsetzung.

Die 4 neuen BSI Grundschutz-Standards

  • BSI-Standard 200-1: allgemeine Anforderungen an ein ISMS

  • BSI-Standard 200-3: Risikomanagement bei der Umsetzung des IT-Grundschutzes

  • BSI-Standard 200-2: Methodik zum IT-Grundschutz – Ein Leitfaden für IT-Sicherheit

  • BSI-Standard 200-4: Anleitung zum Aufbau eines Business Continuity Managements

Implementierung des BSI IT-Grundschutz

Informationssicherheit in Unternehmen ist ein stetig zu überwachender und zu optimierender Prozess. Die Standards des BSI IT-Grundschutzes bieten vor allem für weniger erfahrene Anwender in Unternehmen von kleiner und mittlerer Größe mit einer eigenständigen IT-Abteilung eine praktische Handreichung, um ein eigenes Managementsystem für die Informationssicherheit zu etablieren.

Es werden acht Phasen bzw. Schritte unterschieden. Zunächst ist zu definieren, welche Komponenten und Bereiche im Unternehmen für ein ISMS in Frage kommen. Danach erfolgt eine Strukturanalyse aller sicherheitskritischen Unternehmenswerte und ihrer Abhängigkeiten. Nach der Schutzbedarfsfeststellung werden die vom BSI-Grundschutz als Bausteine vorgegebenen Mindestanforderungen modelliert und dann im IT-Grundschutz-Check mit dem Ist-Stand verglichen. Eine Risikoanalyse ist für alle Unternehmenswerte nötig, auf die kein Baustein passt.

Ein Maßnahmenumsetzungsplan fasst alle Sicherheitsmaßnahmen zusammen, die schließlich umgesetzt werden, um das angestrebte Sicherheitsniveau zu erreichen. Dieses wird in 3 Levels eingeteilt (Basis, Kern und Standard), damit das Sicherheitskonzept passend zu den Anforderungen des eigenen Unternehmens implementiert und geprüft werden kann.

Cyber Curriculum® als Cyber-Security-Experte für Ihr Unternehmen

BSI IT-Grundschutz-Beratung vom Experten

Vertrauen Sie unserer langjährigen Erfahrung als Security-Experten im öffentlichen Sektor und im Bereich Datenschutz. Mit unseren maßgeschneiderten IT Compliance Paketen bieten wir Ihnen genau den Service, den Sie benötigen – immer genau passend zu Ihren Sicherheitsanforderungen und Ihrem Budget.