IT-Grundschutz: Praxis-Leitlinien für Datensicherheit
Gerade bei der Datensicherheit sowie bei der der Erkennung und Abwehr von Cyberattacken suchen viele Unternehmen Orientierung und Unterstützung. Hier hilft der IT-Grundschutz des BSI. Lesen Sie, was der Grundschutz ist und wie Sie damit arbeiten.
Was ist der IT-Grundschutz des BSI?
Den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es seit 1994. Seitdem entwickelt das BSI sein Standardwerk für Informationssicherheit ständig weiter.
Das BSI ist die nationale Cyber-Sicherheitsbehörde. Es sieht seinen Auftrag darin, Informationssicherheit in der Digitalisierung zu gestalten durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft. Mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) wurde der Auftrag des BSI erweitert, um den Herausforderungen der fortschreitenden Digitalisierung zu begegnen. So verankert das IT-SiG 2.0 den digitalen Verbraucherschutz im BSI.
Das Amt ist also nicht nur für Behörden Anlaufstelle, sondern auch für Unternehmen und Bürger.
Datensicherheit umzusetzen, ist für Unternehmen nicht einfach. Neben den Aufsichtsbehörden für den Datenschutz bietet daher das BSI Unterstützung dabei, geeignete technisch-organisatorische Maßnahmen (TOM) zu finden.
Geeignete technische und organisatorische Maßnahmen
Was fordert das Datenschutzrecht von Unternehmen bei der Datensicherheit? Um die Sicherheit der Verarbeitung personenbezogener Daten sicherzustellen, müssen Unternehmen wirksame geeignete technische und organisatorische Maßnahmen auswählen und umsetzen.
Zu berücksichtigen sind dabei
- der Stand der Technik,
- die Implementierungskosten,
- Art, Umfang, Umstände und Zwecke der Verarbeitung sowie
- die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.
Das sind die Vorgaben der Datenschutz-Grundverordnung (DSGVO), um ein Schutzniveau zu gewährleisten, das dem Risiko angemessen ist.
Was ist das IT-Grundschutz-Kompendium?
Die grundlegende Veröffentlichung des IT-Grundschutzes ist das IT-Grundschutz-Kompendium.
Das Kompendium enthält in der Ausgabe 2023 ganze 111 Bausteine zu den unterschiedlichsten Aspekten der IT-Sicherheit.
Darin enthalten sind
- die Bausteine der IT (wie ISMS: Sicherheitsmanagement, ORP: Organisation und Personal, CON: Konzeption und Vorgehensweisen, OPS: Betrieb, DER: Detektion und Reaktion, APP: Anwendungen, SYS: IT-Systeme, IND: Industrielle IT, NET: Netze und Kommunikation, INF: Infrastruktur),
- die elementaren Gefährdungen (wie Datenverlust, Ressourcenmangel, Feuer),
- die Anleitung zur Migration (Umstellung auf den modernisierten IT-Grundschutz) und
- Umsetzungshinweise. Sie beschreiben, wie Verantwortliche die Anforderungen der Bausteine umsetzen und erläutern im Detail geeignete Sicherheitsmaßnahmen.
Was sind die BSI-Standards?
Neben dem IT-Grundschutz-Kompendium gibt es die BSI-Standards. Sie sind ebenfalls ein wichtiger Bestandteil des IT-Grundschutzes.
Die BSI-Standards umfassen die Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit.
Welche Standards des BSI gibt es? Und welcher Standard ist wofür geeignet?
- BSI-Standard 200-1 zu Managementsystemen für Informationssicherheit
Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). - BSI-Standard 200-2 zur IT-Grundschutz-Vorgehensweise
Der Standard empfiehlt, dreistufig vorzugehen. Er unterscheidet die Basis-, die Standard- und die Kern-Absicherung. - BSI-Standard 200-3 zum Risikomanagement
Dieser BSI-Standard stellt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes gebündelt dar. - BSI-Standard 200-4 zum Aufbau eines Business Continuity Management Systems (BCMS)
Der Standard dient der Prozess- und Aufgabenfestlegung zur Bewältigung eines Krisenfalls. Beschrieben wird ein Stufenmodell mit vereinfachten Einstiegsstufen (Reaktiv-BCMS und Aufbau-BCMS) und einer mit der internationalen Norm ISO 22301:2019 kompatiblen Stufe (Standard-BCMS). Zudem werden mögliche Synergien innerhalb des IT-Grundschutzes zwischen dem Managementsystem für Informationssicherheit und dem Business Continuity Management System erläutert. - BSI-Standard 100-4 zum Notfallmanagement
- Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit
Der Leitfaden bietet einen Einstieg zum Aufbau eines ISMS in einer Institution. Er wendet sich in erster Linie an kleine und mittelständische Unternehmen und Behörden. Zudem wurde das Projekt „Weg in die Basis-Absicherung“ (WiBA) initiiert, um den Einstieg in den IT-Grundschutz weiter zu vereinfachen.
Was sind die Mindeststandards Bund des BSI?
Über das IT-Grundschutz-Kompendium und die BSI-Standards hinaus sollten Unternehmen auch einen Blick auf die sogenannten Mindeststandards Bund werfen.
Sie sind zwar jeweils in Verbindung mit dem BSI-Gesetz zu sehen und wenden sich an die Behörden des Bundes. Doch sie bieten Unternehmen ebenfalls Orientierung im Bereich Datensicherheit.
Entsprechende Mindeststandards gibt es inzwischen für Videokonferenzdienste, für die Nutzung externer Cloud-Dienste, für Protokollierung und Detektion, für Schnittstellenkontrollen, zur Verwendung von Transport Layer Security (TLS) und für sichere Web-Browser, um nur einige Beispiele zu nennen.
Was sind die technischen Richtlinien des BSI (BSI-TR)?
Das Ziel der technischen Richtlinien des BSI (BSI-TR) ist die Verbreitung von angemessenen IT-Sicherheitsstandards.
Technische Richtlinien richten sich daher in der Regel an alle, die mit dem Aufbau oder der Absicherung von IT-Systemen zu tun haben. Technische Richtlinien haben originär Empfehlungscharakter, stellen aber wichtige Leitlinien für die Praxis dar.
Unter anderem gibt es technische Richtlinien zum sicheren E-Mail-Transport und für die Bewertung der Sicherheit ausgewählter kryptografischer Verfahren sowie Empfehlungen für den Einsatz der kryptografischen Protokolle TLS (Transport Layer Security), IPsec (Internet Protocol Security), IKE (Internet Key Exchange) und SSH (Secure Shell).
Neu hinzu gekommen sind zum Beispiel die Technische Richtlinie für Digitales Zentralbankgeld und eine aktuelle Technische Richtlinie für Technische Sicherheitseinrichtungen (TSE).
Damit gibt das BSI Verantwortlichen und beratenden Datenschutzbeauftragten eine ganze Reihe an Informationen und Leitlinien an die Hand, um geeignete technische sowie organisatorische Maßnahmen zu finden und umzusetzen.