IT-Sicherheit organisieren und umsetzen mit IT-Grundschutz

IT-Grundschutz: Qualifizierte Organisation und Umsetzung von IT-Sicherheit in Unternehmen

Die Gefährdungslage der IT- und Informationssicherheit in Unternehmen wird nach wie vor von vielen unterschätzt. Mit dem IT-Grundschutz des BSI wird Unternehmen eine Methodik an die Hand gegeben, anhand derer sie ein effizientes Informationssicherheits-Management organisieren und umsetzen können. Mehr zu den Hintergründen und Inhalten des IT-Grundschutzes erfahren Sie in diesem Beitrag.



Die Bedrohungslage durch Cyberkriminalität wird von vielen unterschätzt

Die aktuelle „IT-Sicherheitsstudie 2020“ vom eco Verband der Internetwirtschaft e.V. zeigt: Die Zahl der gravierenden Sicherheitsvorfälle in Unternehmen wächst. Bei fast einem Drittel der befragten Unternehmen (28 Prozent) gab es in den letzten Jahren mindestens einen gravierenden Sicherheitsvorfall – Zwei Prozent mehr als noch ein Jahr zuvor.

Dabei handelte es sich in den meisten Fällen um Cyberattacken durch Ransomware, Website-Hacking oder DDoS-Angriffe („Distributed Denial of Service“ – eine gezielt herbeigeführte Überlastung des Datennetzes durch massenhafte Anfragen, was zur Blockade von Webservern und Internetdiensten führt).

Trotzdem wird die Bedrohungslage immer noch von vielen unterschätzt. Gerade viele Mittelständler sind sich nicht bewusst, dass sie oft im Fokus von Cybercrime-Netzwerken stehen. Aus der IT-Sicherheitsstudie des eco Verbands geht ebenso hervor, dass die Einschätzung der allgemeinen Sicherheitslage in Deutschland und der im eigenen Unternehmen eine bemerkenswerte Diskrepanz aufweist – Während die Absicherung im eigenen Unternehmen überwiegend als ausreichend eingeschätzt wird, sind 66 Prozent der Befragten der Meinung, dass die deutsche Wirtschaft generell gegenüber Cybercrime eher unzureichend aufgestellt ist.



Zunehmende Komplexität des Informationsaustauschs

Durch die zunehmende Vernetzung und den Einsatz von Technologien wie Cloud-Computing sind die Gefährdungen der Informationstechnik im Arbeitsalltag komplex geworden. Der Informationsaustausch in Unternehmen ist vielschichtig und über verschiedene Kanäle verteilt. Das ermöglicht zwar eine große Flexibilität, erhöht jedoch auch die möglichen Angriffspunkte.

Das (kriminelle) Interesse an den Informationen und Daten von Unternehmen ist groß. Dabei können verschiedene Ziele verfolgt werden – Sei es die Blockade des Zugriffs zu Erpressungszwecken (Ransomware) oder das Sammeln und Verkaufen von sensiblen Daten. Daten haben einen hohen Wert und sind sprichwörtlich das „Gold der Digitalisierung“.

Selbst wenn Unternehmen sich dieser Gefährdung bewusst sind, scheuen sie häufig trotzdem den Aufwand, den eine Absicherung bedeutet. Eine Möglichkeit für Unternehmen, Ihre eigene IT nach einer vorgegebenen Vorgehensweise zu sichern, bietet der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik).



Was ist der IT-Grundschutz?

Bei dem IT-Grundschutz handelt es sich um eine Methodik, bzw. eine standardisierte Vorgehensweise, die Unternehmen dabei helfen soll, ihre unternehmenseigene Informationstechnik zu schützen. Diese Methodik umfasst Analysen zur Feststellung des Schutzbedarfs sowie die Erfassung des Sicherheitsstands und das Festlegen und Umsetzen der Maßnahmen.

Dabei werden verschiedene Unternehmensbereiche bedacht (wie Personal, Gebäude, Software, Hardware, Organisation und Netze) und sowohl technische als auch organisatorische und personelle Sicherheitsmaßnahmen empfohlen.

Weil es sich um eine standardisierte Methodik handelt, definiert der IT-Grundschutz die Mindestanforderungen, die für die Umsetzung eines angemessenen Schutzniveaus gebraucht werden – sozusagen die „Best Practices“. Das Ziel des IT-Grundschutzes ist eine Basis- und Kernabsicherung für eine hinreichende Schutzwirkung.



Hintergründe und Aufbau des IT-Grundschutzes

Der IT-Grundschutz ist dabei für Unternehmen entwickelt, die einen normalen Schutzbedarf haben und für die eine hochindividuelle Analyse und Maßnahmenauswahl zum Beispiel nach der ISO-Norm 27001 – die internationale Norm über die Anforderungen an ein Informationssicherheit-Managementsystem (ISMS) – nicht in einem angemessenen Kosten-Nutzen-Verhältnis steht.

Der IT-Grundschutz wurde aus diesem Grund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und wird regelmäßig den aktuellen technischen Standards angeglichen. Im Jahr 2017 gab es eine größere Reform des IT-Grundschutzes, bei der mithilfe von Workshops und Online-Diskussionen in mehreren Iterationen die Wünsche und Bedürfnisse der Anwender in die Reform mit einbezogen wurden.

Die seitdem gültige Version des IT-Grundschutzes setzt sich aus zwei Teilen zusammen: Den BSI-Standards und dem IT-Grundschutz-Kompendium:


1) Die BSI-Standards

Die BSI-Standards beinhalten die Grundlagen zur Erstellung eines IT-Sicherheitskonzepts und geben Hinweise für die Entwicklung eines geeigneten IT-Sicherheitsmanagements. Insgesamt gibt es vier Standards, die mit der ISO 27001 abgeglichen werden:

  1. Managementsysteme für Informationssicherheit (ISMS)
  2. IT-Grundschutz-Methodik
  3. Risikomanagement
  4. Notfallmanagement


2) Das IT-Grundschutz-Kompendium

Das Kompendium definiert und beschreibt typische Gefährdungen für verschiedene Bereiche und erläutert diese anhand von Beispielen. Außerdem umfasst es einen Katalog mit geeigneten Umsetzungshinweisen. Im Fokus stehen dabei verschiedene Bausteine, in denen jeweils ein Thema aus allen relevanten Sicherheitsperspektiven beleuchtet wird.

Das Kompendium wird jährlich erneuert und jeweils im Februar neu herausgegeben, um den aktuellen Stand der Technik abzubilden. Das aktuelle IT-Grundschutz-Kompendium 2020 teilt sich in 96 Bausteine.



Expertenzertifizierung für den IT-Grundschutz

Für die Umsetzung des IT-Grundschutzes ist es empfehlenswert, zertifizierte Experten zurate zu ziehen, oder einen internen Mitarbeiter – zum Beispiel einen Beauftragten aus dem Bereich der IT-Sicherheit – im IT-Grundschutz zertifizieren zu lassen. Für die verschiedenen Anforderungen gibt es unterschiedliche Schulungen, die wir auch bei der isits AG anbieten:

  • Das Seminar „IT-Grundschutz-Praktiker“ ist die Basisschulung zum IT-Grundschutz. Es vermittelt einen fundierten Überblick über die Inhalte und die Umsetzung des IT-Grundschutzes. Nach dem Seminar, das mit einer Prüfung abgeschlossen wird, sind Sie in der Lage, zielgerichtet Sicherheitskonzepte nach dem IT-Grundschutz des BSI zu erstellen.
  • Das Aufbauseminar „IT-Grundschutz-Berater“ vertieft die Kenntnisse zu der IT-Grundschutz-Methodik auf Expertenniveau. Dieses Expertenseminar wird mit einer Prüfung durch das BSI abgeschlossen. Die Zertifizierung als IT-Grundschutz-Praktiker ist dabei Voraussetzung. 

Die Relevanz einer qualifizierten Organisation und Umsetzung von IT-Sicherheit in Unternehmen macht es notwendig, dass Standards gesetzt werden. Der IT-Grundschutz ist ein Standard, der deutschlandweit in Unternehmen umgesetzt wird und somit auch gegenüber Kunden und Geschäftspartnern ein vertrauensförderndes Zeichen setzt. Eine Zertifizierung nach der IT-Grundschutz-Methodik ist also prinzipiell für jedes Unternehmen empfehlenswert.




geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security