Das neue IT-Grundschutz-Kompendium
Das BSI hat das IT-Grundschutz-Kompendium in der Edition 2020 veröffentlicht. Das IT-Grundschutz-Kompendium kann als Baukasten- / Werkzeugkastensystem verstanden werden, welches Anwendern für jeden Aspekt der IT-Sicherheit einen passenden Baustein bereitstellt.

Auch ist das IT-Grundschutz-Kompendium ab sofort zertifizierungsrelevant. Seitens des BSI wurden für die Edition 2020 alle IT-Grundschutz-Bausteine sowohl redaktionell als auch größtenteils inhaltlich überarbeitet. Eine verbesserte Struktur der Texte soll zusätzlich dazu dienen, dass Anwender die IT-Grundschutz-Bausteine noch gezielter einsetzen können. Auch sind neben den bisher vorhandenen 96 Bausteinen zu den unterschiedlichsten Aspekten einer IT Infrastruktur die Bausteine "Software-Entwicklung" und "Raum sowie Schrank für technische Infrastruktur" hinzugekommen.

„Das IT-Grundschutz-Kompendium ist das geeignete Angebot für Anwender, um für die unterschiedlichsten Gefahren im Bereich Informationssicherheit gewappnet zu sein. […] Mit den bewährten und praxistauglichen Empfehlungen des IT-Grundschutzes im IT-Grundschutz-Kompendium 2020 ist eine Institution in puncto Informationssicherheit gut aufgestellt.“

Angelehnt an das BSI ist IT- & Informationsschutz nicht nur eine Frage der eingesetzten technischen Mittel sondern maßgeblich eine Frage der vorhandenen Geschäftsprozesse. Es gilt alle im Unternehmen vorhandene Geschäftsprozesse zu betrachten und kritische Geschäftsprozesse zu definieren, isoliert zu betrachten sowie von den anderen Geschäftsprozessen, Geschäftsaufgaben und auch IT-Systemen eindeutig abzugrenzen. Auch sind für den IT- & Informationsschutz Schnittstellen zu externen Dienstleistern, Lieferanten, Partnern relevant und sollten von daher ebenfalls genauer betrachtet werden.

Zur Absicherung sieht das IT-Grundschutz-Kompendium 3 Modi vor:

1) Basis-Absicherung: Niedriger Aufwand und schneller Einstieg in die IT-Grundschutz-Methodik. Alle Geschäftsprozesse sollten mit dieser Absicherung geschützt werden, um eine schnelle grundlegende Erstabsicherung zu erreichen.

2) Standard-Absicherung: Hohes, spezifisch auf die Institution angepasstes Informationssicherheitsniveau für alle Geschäftsprozesse. „Über die Standard Absicherung kann eine gute Vergleichbarkeit mit anderen Institutionen erreicht werden…“. Auch ist eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz möglich.

3) Kern-Absicherung: Fokus liegt auf die kritischen Geschäftsprozesse und kann als Sicherung der „Kronjuwelen“ verstanden werden. Die Kern-Absicherung sollte das Maß für alle kritischen Geschäftsprozesse sein, da somit „eine schnelle Umsetzung von Informationssicherheit für Geschäftsprozesse mit hohem oder sehr hohem Schutzbedarf herbeigeführt“ werden kann, so Lutz Rossa von der Sicherheits-Berater TechMedia Verlag GmbH.

Welche Absicherung für welchen Geschäftsprozess gewählt werden sollte wird somit durch die Charakteristik, Tragweite und den Dateninhalt des Geschäftsprozesses selbst bestimmt. Auch sollte Informationssicherheit und das damit verbundene Management nicht als starrer Prozess, sondern vielmehr dahingehend als „immerwährender Prozess der stetigen Verbesserung“ verstanden werden. IT- & Informationsschutz ist sehr ressourcenintensiv und Informationssicherheit erfordert eine gute Planung hinsichtlich Zeit, Personal und Budget. Bedenken Sie jedoch, dass die Behebung und die Schadenskompensation eines erfolgreichen Cybercrime Angriffs auf Ihr Unternehmen oder Ihre Person immer weitaus mehr Ressourcen beanspruchen wird als die von Ihnen vorgenommenen Präventionsmaßnahmen.

Wir möchten Sie deshalb gerne bitten sich die Zeit für die folgenden Maßnahmen zu nehmen:

a) Informieren Sie sich über IT- & Informationsschutz bei Ihren Geschäftspartnern, dem BSI oder anderen Behörden sowie Cybersecurity-Institutionen
b) Reden Sie mit Ihren Mitarbeitern und Ihren Kollegen über IT- & Informationsschutz
c) Stellen Sie Ihr Unternehmen, sich selbst, Ihre Mitarbeiter und Kollegen sowie Ihre Geschäftsprozesse auf den Prüfstand – und das vor allem stetig. Auch Cybercrime entwickelt sich stetig weiter.
Für weitere hilfreiche Informationen rund um das Thema IT- & Informationsschutz möchten wir Sie einladen die folgenden Webseiten zu besuchen:
https://www.bsi.bund.de/DE/Themen/themen_node.html;jsessionid=AB1186F95BE7A3DA7ABD45A000BCB8D3.2_cid351
http://www.polizei-beratung.de/
https://www.allianz-fuer-cybersicherheit.de/

Das komplette IT-Grundschutz Kompendium finden Sie unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2020.html
 

In dringenden Fällen: Polizeinotruf 110