Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Grundschutz modernisiert. Der erstmals 1994 eingeführte IT-Grundschutz soll Wirtschaft und Verwaltung eine Methodik an die Hand geben, um das Niveau der Datensicherheit zu erhöhen. In der jetzt vorgestellten Überarbeitung werden aktuelle Themen wie Cloud oder IoT behandelt und es wird insbesondere auf die KMU-Bedürfnisse eingegangen.
Auf der IT-Sicherheitsmesse it-sa in Nürnberg hat jetzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein grundlegend überarbeiteten IT-Grundschutz vorgestellt. Die neue Version soll nun allen Einsteigern und Fortgeschrittenen eine modulare und flexible Methode zur Erhöhung der Informationssicherheit in Behörden und Unternehmen bieten.
Kleine und mittlere Unternehmen im Fokus des BSI
War der IT-Grundschutz bislang vor allem aufgrund seiner Ausrichtung eher etwas für Großunternehmen, sollen mit der Neuauflage zusätzlich auch kleine und mittelständische Betriebe und Behörden erreicht werden. Letztere neue Zielgruppe wird etwa speziell durch einen neu hinzugefügten Leitfaden zur Basisabsicherung angesprochen. Dieser
Leitfaden beschreibt auf 44 Seiten drei grundlegende Schritte zur Umsetzung erster Sicherheitsmaßnahmen in Organisationen dieser Größenordnung.
Verschlankte, neue Struktur des IT-Grundschutz
Der überarbeitete IT-Grundschutz besteht aus den Komponenten:
- IT-Grundschutzkompendium, das die IT-Grundschutzkataloge der früheren Versionen ablöst,
- BSI-Standards 200-1, 200-2 und 200-3, die die bisherigen 100-x-Versionen ersetzen,
- sowie dem bereits erwähnten Leitfaden zur Basisabsicherung.
Das IT-Grundschutzkompendium umfasst die Inhalte des alten Grundschutzkatalogs in einer verschlankten und besser strukturierten Form. Die hier behandelten Themen sollen zudem künftig schneller aktualisiert und aufbereitet werden können.
Damit will das BSI den kürzeren Entwicklungs- und Lebenszyklen in der IT-Industrie Rechnung tragen und auch schneller auf Änderungen der Rechtslage, wie aktuell etwa beim IT-Sicherheitsgesetz, reagieren können.
Neue Bausteine und Inhalte im IT-Grundschutzkompendium
Das IT-Grundschutzkompendium enthält neben einer grundlegenden Einführung in die Methodik jetzt 80 modernisierte Prozess- und System-Bausteine, die den Verantwortlichen bei Modellierung und Einrichtung einer sicheren IT-Infrastruktur helfen können. Das IT-Grundschutzkompendium gilt ab Februar nächsten Jahres auch als Prüfungsgrundlage für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz.
In den neuen BSI-Standards 200-x finden sich schließlich viele neue bzw. aktualisierte Themenbereiche wie etwa
- Virtualisierung,
- Internet of Things (IoT),
- Clouds
- oder industrielle Kontrollsysteme.
Download des überarbeiteten IT-Grundschutz bereits verfügbar
De genannten Veröffentlichungen stehen ab sofort auf der Website des BSI zum Download bereit. Die BSI-Standards und den Leitfaden zur Basisabsicherung gibt es auch schon als Druckversion, das Grundschutzkompendium soll ab Februar 2018 in einer gedruckten Ausgabe verfügbar sein.
Weitere News zum Thema
Bußgeld bei Verstößen gegen das IT-Sicherheitsgesetz
Was ist bei der Wahl eines Passwords zu beachten?
Cyber-Angreifer und Erpressern: So schützen Sie sich
Hintergrund
IT-Grundschutz ist die Bezeichnung für die vom BSI entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen in der unternehmenseigenen Informationstechnik. Unternehmen und Behörden können die Absicherung ihrer IT-Systeme auf Grundlage dieser Vorgaben zertifizieren lassen. Allerdings wurde die Eignung dieser Methodik speziell für kleine und mittlere Unternehmen und Organisationen immer wieder in Frage gestellt, da die hier vorgeschriebenen Prozesse und Maßnahmen für diese Zielgruppe als viel zu aufwändig angesehen wurden. Auch an der zu langsamen Reaktion auf Neuerungen im Bereich der IT-Technologie war immer wieder Kritik geübt worden.