IT-Grundschutz für kritische Infrastrukturen

Als etablierte Berliner Software-Agentur entwickelt die TenMedia GmbH Anwendungslösungen für den gesamten deutschsprachigen Raum. Neben der Software- und Datenbankentwicklung programmieren wir auch Websites und mobile Apps. Außerdem bieten wir einen umfassenden Maintenance Service, der darauf spezialisiert ist, Webseiten und Anwendungen aktuell und sicher zu halten. Grundlage dafür ist das IT-Grundschutz-Kompendium. Wer mehr über unseren Service erfahren will, kann gern via Telefon oder E-Mail mit uns in Kontakt treten.

IT-Grundschutz: Zusammenfassung

☞ Der IT-Grundschutz ist ein Leitfaden für Informationssicherheit.
☞ Das BSI ist die Behörde für Cybersicherheit in Deutschland.
☞ Der BSI-Standard ist Basis des IT-Grundschutzes.
☞ Das IT-Grundschutz-Kompendium ist seit 2017 online verfügbar.
☞ Die drei Ziele des BSI-Grundschutzes sind Vertraulichkeit, Integrität und Verfügbarkeit.

Was bedeutet Grundschutz in der IT?

Der IT-Grundschutz ist ein Leitfaden für Organisationen, um Informationssicherheit umzusetzen und zu gewährleisten. Es handelt sich um ein modulares System, das an die individuellen Bedürfnisse und Anforderungen angepasst werden kann.

Er umfasst alle grundsätzlichen Themen der Informationssicherheit:

• Technische Maßnahmen
  (Firewalls, Antivirensoftware, Verschlüsselung)
• Organisatorische Maßnahmen
  (z.B. Richtlinien, Prozesse, Zugriffsberechtigungen)
• Personelle Maßnahmen
  (Schulungen, Sensibilisierung der Mitarbeiter etc.)

Basis des IT-Grundschutzes ist der BSI-Standard.

Was ist der BSI?

Die Bezeichnung BSI steht für Bundesamt für Sicherheit in der Informationstechnik. Als nationale Behörde für Cybersicherheit in Deutschland hat das Bundesamt seinen Sitz in Bonn. Es ist Teil des Geschäftsbereichs des Bundesministeriums des Innern und für Heimat (BMI).

Die Zielgruppe des BSI setzt sich aus verschiedenen Institutionen zusammen. Dazu gehören:

• Behörden
• Kleine und mittelständische Unternehmen (KMU)
• Konzerne
• Vereine

Aber auch für Privatpersonen ist das BSI eine zentrale Anlaufstelle für Fragen zu den Top-Themen des IT-Grundschutzes.

Was ist die Aufgabe der BSI?

Laut Bitkom sehen sich inzwischen zwei Drittel (65 %) der deutschen Unternehmen durch Cyberattacken in ihrer Existenz bedroht. Das BSI hat das Ziel, in Deutschland den sicheren Umgang mit Informations- und Kommunikationstechnologien zu fördern. Zu diesem Service gehört auch das Umsetzen der dafür notwendigen Standards und Richtlinien, um Bürger, Wirtschaft und Staat vor Cyberbedrohungen zu schützen.

Auf Grundlage der sogenannten BSI-Standards entwickelt die Behörde Strategien, und Empfehlungen. Sie analysiert auch aktuelle Bedrohungen, gibt Warnungen heraus und unterstützt Organisationen bei einem IT-Sicherheitsvorfall.

Was ist BSI-Grundschutz?

Regelwerk und Empfehlungen des BSI-Grundschutzes sind die Basis für IT-Sicherheitsstrukturen in Deutschland. Die BSI-Standards ermöglichen es, ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen und kontinuierlich zu verbessern. Die IT-Grundschutz-Methodik lässt sich für alle Organisationen geeignet, unabhängig von ihrer Größe oder Branche.

Als Grundlage und Ergänzung der BSI-Standards diente bis 2005 das Grundschutz-Handbuch. Abgelöst wurde es durch die BSI-Grundschutz-Kataloge, die innerhalb von 12 Jahren auf ein Regelwerk von 4.800 Seiten anwuchs. Seite 2017 ersetzt das IT-Grundschutz-Kompendium die Grundschutz-Kataloge. Zusammen mit den BSI-Standards regelt es den Umgang mit Gefährdungen, Anforderungen und passende Sicherheitsmaßnahmen. Das Kompendium ist modular aufgebaut und in sogenannte Bausteine gegliedert. Jährlich im Februar erscheint eine neue Edition. Seit der Edition 2023 wird das IT-Grundschutz-Kompendium zusätzlich im json-Dateiformat bereitgestellt, was die automatisierte Verarbeitung der Daten durch Softwaretools ermöglicht.

Wie heißen die drei Schutzziele nach IT-Grundschutz?

Im Rahmen eines ISMS nach werden drei grundlegende IT-Grundschutz-Ziele verfolgt, um Informationen und IT-Systeme angemessen zu schützen:

1. Vertraulichkeit
   Dieses Ziel stellt sicher, dass Informationen nur befugten Personen zugänglich sind. Unbefugter Zugriff, Offenlegung oder Kenntnisnahme von sensiblen Daten und Themen soll verhindert werden.
2. Integrität
   Die Integrität gewährleistet, dass Informationen vollständig und unverändert sind. Manipulationen, Veränderungen oder Verfälschungen von Daten durch unbefugte Dritte oder durch Fehler im System sollen ausgeschlossen werden.
3. Verfügbarkeit
   Dieses IT-Grundschutz-Ziel sichert zu, dass Informationen und IT-Systeme bei Bedarf von den berechtigten Anwendern genutzt werden können. Systemausfälle oder der Verlust von Daten, die die Nutzung einschränken oder verhindern, sollen vermieden werden.

▼ Auch interessant: Wie kann ich einen DDoS-Angriff abwehren? ▼

Was ist der Unterschied zwischen Grundschutz und Fehlerschutz?

IT-Grundschutz und Fehlerschutz dienen einem unterschiedlichen Ziel. Der Fehlerschutz minimiert Schäden durch unbeabsichtigte Fehler der Anwender oder Systeme. Der Grundschutz nach BSI-Standard im IT-Grundschutz-Kompendium adressiert hingegen gezielt Angriffe und Manipulationen. Er schützt vor aktuellen Bedrohungen und IT-Risiken, die über einfache Fehler hinausgehen.

Ist BSI-Grundschutz Pflicht?

Der BSI-Grundschutz ist primär ein freiwilliger Standard des BSI. Für Behörden und KRITIS-Betreiber existieren jedoch teils gesetzliche Verpflichtungen, die sich am BSI-Standard orientieren. Eine Zertifizierung nach BSI-Grundschutz-Vorgaben ist somit oft auch nicht direkt Pflicht, kann aber zur Erfüllung gesetzlicher Anforderungen beitragen.

Was bedeutet BSI-Zertifizierung?

Eine BSI-Zertifizierung ist ein offizielles Verfahren. Im Zuge dieses Verfahrens bestätigt eine unabhängige Stelle (das BSI selbst oder eine akkreditierte Prüfstelle), dass eine Organisation bestimmte Sicherheitsstandards im Bereich der Informationstechnik erfüllt. Diese Standards basieren häufig auf dem IT-Grundschutz-Kompendium.

Die Zertifizierung kann sich auf verschiedene Aspekte beziehen, beispielsweise auf Managementsysteme wie das ISMS, bestimmte Produkte, einen bestimmten Service oder auch die Qualifikation von Personen. Dabei dient die IT-Grundschutz-Methodik als Leitfaden für die Umsetzung der notwendigen Maßnahmen. Die Zertifizierung erfolgt nach erfolgreicher Prüfung anhand von Checklisten und einer umfassenden Dokumentation. Zu den Top-Themen gehören dabei laut BSI Risikomanagement, Notfallplanung und der Schutz kritischer Infrastrukturen.

Welche Vorteile bietet eine IT-Grundschutz-Zertifizierung?

• Nachweis des Sicherheitsniveaus
  Eine Zertifizierung nach BSI-Standard belegt objektiv, dass die Organisation ein angemessenes Sicherheitsniveau erreicht hat.
• Vertrauensbildung
  Sie schafft Vertrauen bei Kunden, Partnern und Stakeholdern.
• Erfüllung von Anforderungen
  Sie kann zur Erfüllung gesetzlicher oder vertraglicher Anforderungen beitragen.
• Risikominimierung
  Die Umsetzung des IT-Grundschutzes und die Zertifizierung tragen zur Minimierung von IT-Risiken bei.
• Verbesserung der Prozesse
  Die Auseinandersetzung mit Themen zur IT-Sicherheit und die notwendige Dokumentation führen oft zu einer Verbesserung der internen Prozesse und des Service.

Grundschutz vs. ISO 27001: Was ist der Unterschied?

IT-Grundschutz und ISO 27001 sind Standards für Informationssicherheit. Doch es gibt wesentliche Unterschiede: Der IT-Grundschutz, basierend auf dem BSI-Standard und dem IT-Grundschutz-Kompendium, setzt auf einen detaillierten, methodischen Aufbau mit konkreten Maßnahmen. Er bietet Hilfsmittel wie Bausteine und Checklisten und behandelt Top-Themen wie Risikomanagement und Notfallplanung.

ISO 27001 hingegen ist ein internationaler Standard, der einen flexibleren, prozessorientierten Ansatz verfolgt. Er setzt zum größten Teil auf ein ISMS und lässt Unternehmen mehr Spielraum bei der Umsetzung. Während der IT-Grundschutz besonders in Deutschland und im öffentlichen Bereich verbreitet ist, findet ISO 27001 international im Business Anwendung.

Was sind die Vorteile von IT-Grundschutz für KMU und Konzerne?

Der IT-Grundschutz des BSI bietet sowohl KMU als auch Konzernen zahlreiche Vorteile im Bereich der Datensicherheit. Die Definierung von Mindeststandards und eine strukturierte Vorgehensweise reduzieren Risiken und schützen vor finanziellen Schäden durch Datenverluste oder Cyberangriffe. Die Einhaltung von BSI-Standard und BSI-Kompendium schafft zudem Vertrauen bei Kunden und Partnern. Mitarbeiter profitieren durch die IT-Grundschutz-Schulung und -Weiterbildung. Zu den Top-Themen gehören Risikomanagement, Notfallplanung und der Schutz kritischer Infrastrukturen.

© fizkes

Wie schützt der IT-Grundschutz vor Cyberangriffen?

Der IT-Grundschutz schützt durch konkrete Maßnahmen: Er fordert beispielsweise die Verwendung aktueller Firewalls und Antivirensoftware, regelmäßige Sicherheitsupdates (Patching), starke Passwörter und die Sensibilisierung der Anwender für Phishing-E-Mails. Diese Maßnahmen erschweren es Angreifern erheblich, in IT-Systeme einzudringen und Schaden anzurichten.

Wer ist für den IT-Grundschutz im Unternehmen verantwortlich?

Die oberste Verantwortung für die Informationssicherheit im Unternehmen liegt grundsätzlich bei der Geschäftsführung oder dem Vorstand. Sie sind im Rahmen ihrer Sorgfaltspflicht dafür verantwortlich, dass angemessene Maßnahmen zum Schutz der Unternehmenswerte und der Informationen getroffen werden. Sie können diese Aufgaben jedoch delegieren. In diesem Fall ist dann die IT-Abteilung oder der Datenschutzbeauftragte (DSB) für das Management des Grundschutzes zuständig.

Oft ernennen Unternehmen auch einen IT-Sicherheitsbeauftragten. Dieser entwickelt nach den jeweiligen Anforderungen des Business IT-Grundschutzprofile und Mindeststandards. Diese muss er umsetzen und die gesamte kritische Infrastruktur überwachen. Außerdem bleibt er in regelmäßigem Kontakt mit der Geschäftsführung, um sie über den Stand des IT-Grundschutzes im Unternehmen zu informieren.

Welche Bausteine gehören zur Informationssicherheit nach dem BSI?

Die IT-Grundschutz-Bausteine bilden die Basis für den Aufbau eines angemessenen Sicherheitsniveaus. In der aktuellen Edition vom IT-Grundschutz-Kompendium des BSI sind die Inhalte in vier Bereiche gegliedert, die sich wiederum in einzelne Bausteine unterteilen. Die wichtigsten vier Bereiche sind:

1. Organisation und Personal (ORP)
   Dieser Bereich behandelt organisatorische Aspekte wie Richtlinien, Verantwortlichkeiten und Schulungen.
2. Infrastruktur (INF)
   Hier geht es um die physische und logische Sicherheit der IT-Infrastruktur, z.B. Gebäude, Serverräume und Netzwerke.
3. Systeme (SYS)
   Dieser Bereich befasst sich mit der Absicherung einzelner IT-Systeme, wie Server, Clients und mobile Geräte.
4. Anwendungen (APP)
   Hier wird die Sicherheit von Anwendungen und deren Entwicklung betrachtet.

Jeder Baustein im IT-Grundschutz-Kompendium beschreibt spezifische Gefährdungen, Anforderungen und die empfohlene IT-Grundschutz-Methodik. Die IT-Grundschutz-Bausteine dienen als modulare Elemente, die an die individuellen Bedürfnisse einer Organisation angepasst werden können.

Welche Schritte umfasst die IT-Grundschutz-Methodik?

Anstatt nur allgemeine Informationen zu liefern, konzentriert sich die Methodik auf die praktische Anwendung. Der Prozess beginnt mit der Definition der IT-Grundschutz-Ziele.

Schutzziele und Analyse der kritischen Infrastrukturen

Stellen wir uns vor, Familie XY baut ein Haus. Bevor der erste Stein gesetzt wird, legen die Bauherrn die Anforderungen fest, die das Haus erfüllen muss: Soll es ein Einfamilienhaus oder ein Mehrfamilienhaus sein? Soll es unterkellert sein? Wie sollen Größe und Umfang aussehen? Genauso werden in der IT-Grundschutz-Definition die Schutzziele für Informationen und Systeme definiert.

Im nächsten Schritt folgt die Analyse des Aufbaus der IT-Systeme. Dies umfasst die Identifizierung aller relevanten Komponenten, von der eingesetzten Technik über den genutzten Service bis hin zu den verarbeiteten Informationen. Dieser Baustein ist vergleichbar mit einer Inventur: Es wird alles Vorhandene erfasst, um Schwachstellen zu erkennen. Hierbei helfen wiederum detaillierte Informationen und Werkzeuge aus dem BSI-Standard.

Die IT-Grundschutz-Checkliste

Darauf folgt die Umsetzung der notwendigen Maßnahmen. Hier kommt die IT-Grundschutz-Checkliste ins Spiel. Sie dient als Bauplan, der Schritt für Schritt abgearbeitet wird. Die Checkliste basiert auf den Anforderungen des BSI und bietet konkrete Anleitungen für verschiedene Themen. Beispielsweise enthält sie Vorgaben zu folgenden Bereichen:

• Sichere Konfiguration von Firewalls
• regelmäßige Datensicherung
• Physische Sicherheit von Server-Räumen
• Verantwortlichkeiten im Bereich Informationssicherheit
• Zugangsregelungen für firmeninterne IT-Systeme
• Notfallplanung

Die Umsetzung kann auch die Nutzung spezieller Werkzeuge erfordern, die im BSI-Standard empfohlen werden.

Überprüfung der Umsetzung

Ein wichtiger Aspekt ist die regelmäßige Überprüfung der umgesetzten Maßnahmen. Dies geschieht u. a. anhand der Checklisten. Wie bei einer Wartung des Hauses wird kontrolliert, ob alles noch den Anforderungen entspricht. Diese Überprüfung stellt sicher, dass die Informationssicherheit kontinuierlich gewährleistet ist und sich an veränderte Bedingungen anpassen kann. Die IT-Grundschutz-Methodik ist somit ein dynamischer Prozess, der die Informationssicherheit in Unternehmen nachhaltig verbessert.

Praktische Beispiele für IT-Grundschutz im Alltag

Die Umsetzung der IT-Grundschutz-Methodik mag auf den ersten Blick komplex erscheinen. Viele Maßnahmen lassen sich jedoch anhand simpler Beispiele aus dem Alltag verdeutlichen.

Im Folgenden sehen wir uns drei Bereiche, die bei Unternehmen zu den Top-Themen im Bereich Informationssicherheit gehören:

Gefährdungen im Homeoffice

Notebooks können beim Transport verloren gehen oder gestohlen werden. WLAN-Verbindungen sind häufig anfällig für Cyberattacken.

Die IT-Grundschutz-Methodik empfiehlt hier die Verwendung sicherer Passwörter und die Aktivierung der Firewall. Zugang zum Internet online über eine VPN-Verbindung sollte zu den Mindeststandards gehören. Die IT-Grundschutz-Checkliste könnte in diesem Fall außerdem eine regelmäßige Änderung des WLAN-Passworts und die Installation eines aktuellen Virenscanners enthalten. Diese Maßnahmen reduzieren das Risiko für die Sicherheit erheblich.

IT-Grundschutz-Methodik im E-Mail-Verkehr

Ein weiteres Beispiel betrifft den Umgang mit E-Mails. Die Anforderungen des IT-Grundschutzes umfassen den Schutz vor Phishing-Angriffen und Schadsoftware. Eine konkrete Maßnahme ist die Sensibilisierung der Mitarbeiter für verdächtige E-Mails.

Stellen wir uns vor, ein Mitarbeiter erhält eine E-Mail mit einem dringenden Link zur Paketverfolgung. Die IT-Grundschutz-Vorgehensweise rät hier zur Vorsicht: Der Link sollte nicht angeklickt, sondern die Sendungsverfolgungsnummer direkt auf der Webseite des Versanddienstleisters eingegeben werden. So lassen sich Gefährdungen durch Phishing minimieren.

Was sagt die IT-Grundschutz-Checkliste zu Ransomware?

Ein Unternehmen erstellt täglich Backups seiner wichtigsten Daten. Diese werden auf einem externen Datenträger gespeichert, der nicht permanent mit dem Netzwerk verbunden ist. Im Falle eines Cyberangriffs mittels Ransomware können die verschlüsselten Daten so wiederhergestellt werden. Die Risikoanalyse im Rahmen des IT-Grundschutzes hilft, die spezifischen Gefährdungen für die jeweilige Institution zu identifizieren und passende Maßnahmen abzuleiten.

IT-Grundschutz bei TenMedia

Aus unserem Office im Herzen Berlins bietet TenMedia seit 2011 einen umfassenden IT-Service, der Softwareentwicklung und Maintenance unter einem Dach vereint. Wir entwickeln nicht nur innovative Softwarelösungen für Cloud und Datenbanken, sondern kümmern uns auch um deren sicheren Betrieb. Dabei orientieren wir uns am BSI-Standard und der IT-Grundschutz-Methodik, um ein Höchstmaß an Datensicherheit zu gewährleisten.

Die relevanten Bausteine laut IT-Grundschutz-Kompendium werden von unseren Experten berücksichtigt, um die kritischen Infrastrukturen unserer Kunden optimal abzusichern. Durch die interne Bearbeitung aller Projekte garantieren wir den Schutz sensibler Daten.

Durch die Berücksichtigung von BSI-Standards und IT-Grundschutz gewährleistet TenMedia ein hohes Maß an Informationssicherheit.