Die Digitalisierung verbindet unsere Welt, das digitale Zeitalter eröffnet enorme Chancen und Potentiale. Leider nutzen jedoch auch Cyberkriminelle die Möglichkeiten der Digitalisierung für ihre Aktivitäten. Daher ist es für Unternehmen überlebenswichtig, zum Schutz vor Angriffen und Datendiebstahl in ihre IT-Sicherheit zu investieren.
Vielen Unternehmen fällt die Umsetzung von IT-Sicherheitsmaßnahmen schwer: Wie und wo fängt man an?. Deswegen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Grundschutz entwickelt. Was der BSI Grundschutz bewirkt, liest du jetzt in unserem Blogbeitrag.
BSI Definition
BSI Definition
Der BSI Grundschutz ist ein umfassendes Konzept, mit pauschalen Vorgehensweisen und Standards, mit denen Unternehmen ein Mindestmaß an IT-Sicherheit in ihrem Betrieb gewährleisten können. Im Kern bietet der Grundschutz also einen Leitfaden für die IT-Sicherheit.
IT-Sicherheit lässt sich nicht so leicht von heute auf morgen umsetzen, besonders wenn im Unternehmen die nötigen Fachkräfte fehlen. Das BSI Konzept baut daher auf der Voraussetzung auf, dass die Einrichtung individueller Sicherheitsmaßnahmen mit einem zu hohen Aufwand verbunden ist.
Der BSI Grundschutz beinhaltet deswegen standardisierte Maßnahmen und Methoden, die Unternehmen leichter in ihren betrieblichen Alltag integrieren können. Dafür konzentriert er sich auf die Unternehmensbereiche Personal, Hard- und Software, Organisation, Gebäude sowie Kommunikationsnetze.
Der Grundschutz erklärt, wo in diesen Bereichen die jeweils größten Gefahrenquellen liegen und erläutert anhand bestimmter Handlungsempfehlungen, wie das Gefahrenpotenzial in diesen Bereichen deutlich verringert werden kann.
Bild: Towfiqu barbhuiya über Unsplash
IT Grundschutz Vorgehensweise
Der erste Schritt in der IT-Sicherheit ist die Identifikation möglicher Gefahrenquellen im Betrieb. Je besser Unternehmen verstehen, an welchen Stellen Gefahren lauern und wo sie herkommen, desto leichter gelingt die praktische Umsetzung von IT-Sicherheitsmaßnahmen.
Trotzdem ist es nicht möglich, pauschal festzustellen, in welchem Ausmaß Unternehmen tatsächlich von Gefahren betroffen sind. Verschiedene Faktoren bestimmen, wie hoch diese Gefahren für ein Unternehmen sind. Zu diesen Faktoren zählen die Branche, die Art der verwendeten Netzwerke, die Frage, welche Daten verarbeitet werden, die Unternehmensgröße und die Anzahl der Mitarbeiterinnen und Mitarbeiter.
Bild: Moritz Erken über Unsplash
Der BSI Grundschutz hilft Unternehmen einzuschätzen, inwiefern sie von aktuellen IT-Gefahren bedroht sind. Dies erlaubt eine konkrete Anpassung der Vorschläge aus dem Grundschutz an die jeweiligen Gegebenheiten in verschiedenen Unternehmens- und Betriebsformen.
Da eine individuelle Analyse für ein einzelnes Unternehmen zu kostenintensiv und zeitaufwendig ist, geht der BSI Grundschutz in eine andere Richtung: Der Grundschutz verzichtet auf eine aufwändige individuelle Analyse eines Unternehmens und schlägt stattdessen vor, die im Grundschutz aufgeführten Richtlinien für eine Risikoanalyse anzuwenden.
Dadurch erweist sich der Grundschutz als leicht zu übernehmende Maßnahme und Unternehmen erhalten die Möglichkeit, ohne größeren Zeitverlust und zu überschaubaren Kosten einen ersten Überblick über die Wahrscheinlichkeit von Cyber-Bedrohungen zu erhalten.
Die Standards im BSI Grundschutz
Insgesamt umfasst der BSI Grundschutz vier Standards, die dazu beitragen, im Unternehmen ein Konzept für die IT-Sicherheit zu verwirklichen:
- Management für Informationssicherheit (ISMS) BSI-Standard 200-1: Dieser Standard definiert, welche Anforderungen ein Managementsystem für Informationssicherheit erfüllen muss.
- Die IT Grundschutz Vorgehensweise (BSI-Standard 200-2) bildet die Grundlage für den Aufbau eines ISMS. Dieser Standard bietet Unternehmen eine strukturierte Vorgehensweise für die Etablierung der IT-Sicherheit in ihrem Betrieb.
- Risikoanalyse auf der Basis von IT-Grundschutz (BSI-Standard 200-3): Dieser Standard legt Kriterien vor, nach denen Unternehmen eine BSI Risikoanalyse durchführen können. Mit Hilfe einer Risikoanalyse werden Gefahrenquellen ausgemacht und bestimmt, mit welchen Empfehlungen aus dem BSI Maßnahmenkatalog darauf reagiert werden soll.
- Das Notfallmanagement nach dem BSI Standard 100-4 gibt vor, wie Unternehmen im Falle eines Notfalls reagieren und die IT-Sicherheit wiederherstellen können.
BSI Grundschutz umsetzen: Erste Schritte
Die Umsetzung des IT-Grundschutzes nach diesen Standards erfordert mehrere Schritte von der Analyse über die Durchführung bestimmter Maßnahmen bis hin zur Einführung einer regelmäßigen Überführung.
Zunächst erfolgt die IT-Strukturanalyse. Hierbei wird die IT-Infrastruktur des Unternehmens untersucht und der Schutzbedarf festgestellt. Im Anschluss werden in allen Unternehmensbereichen mögliche Schwachstellen identifiziert.
Auf Basis der Ergebnisse der Strukturanalyse werden erweiterte Sicherheitsuntersuchungen durchgeführt, um Schwachstellen zu finden, die tiefer in den Kommunikations- und Informationsnetzwerken liegen.
Diese Untersuchungen bestimmen, welche Maßnahmen zu ergreifen sind. Dies können technische Umsetzungen, organisatorische Maßnahmen oder Schulungen für die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter sein.
Als letzten Schritt findet die finale Umsetzung dieser Maßnahmen statt. Dazu gehört auch die regelmäßige Überprüfung dieser Maßnahmen, um ihre Effizienz und Aktualität sicherzustellen.
Rechtliches zum IT-Grundschutzkompendium
Ein Angriff auf das Informations- und Netzwerksystem eines Unternehmens kann schwerwiegende Konsequenzen haben, wie die ungewollte Veröffentlichung geheimer Daten auf illegalen Plattformen, auf denen Cyberkriminelle gestohlene Daten verkaufen.
Eine weitere Folge kann die Störung von Betriebs- und Produktionsabläufen mitsamt finanzieller Einbußen sein. Nicht zu vergessen: Führt ein Cyber-Vorfall zu einer Datenpanne, drohen nebenbei noch hohe Bußgelder seitens der Datenschutz-Aufsichtsbehörden.
Viele IT-Sicherheitsmaßnahmen sind an gesetzliche Vorgaben gebunden. Der BSI Grundschutz zählt diese auf und weist Unternehmen darauf hin, wie sich diese Vorgaben einhalten und rechtliche Konsequenzen vermeiden lassen.
Bild: Tingey Injury Law Firm über Unsplash
FAQs – BSI Grundschutz
Was ist der BSI Grundschutz?
Der BSI Grundschutz ist eine Sammlung von Handlungsempfehlungen für den Aufbau einer betrieblichen IT-Sicherheit anhand der Vorgaben aus dem BSI Sicherheitskonzept. Im Kern besteht der Grundschutz aus vier Standards für die IT-Sicherheit. Erschien der BSI Grundschutz früher in mehreren Katalogen, ist er mittlerweile als vereinigtes BSI Grundschutzkompendium beim Bundesamt für Sicherheit in der Informationstechnik (BSI) erhältlich.
Warum BSI Grundschutz?
Der BSI Grundschutz richtet sich an Unternehmen jeder Größe und Anzahl der Mitarbeiterinnen und Mitarbeiter. Für viele Unternehmen, die bisher kaum in IT-Sicherheit investieren, stellt er eine erste Hilfe dar, um den Schutz vor Cyberangriffen im Betrieb voranzutreiben.
Der BSI Grundschutz und seine Standards gelten als etabliert und versprechen einen vernünftigen Mindestschutz. Es ist jedoch zu beachten, dass der BSI Grundschutz kein Konzept für den Datenschutz ist. Zwar sind IT-Sicherheit und Datensicherheit eng miteinander verknüpft, aber der IT Grundschutz Katalog des BSI fokussiert sich allein auf Fragen zur IT-Sicherheit.
Ist BSI Grundschutz verpflichtend?
Nein, der BSI Grundschutz ist für Unternehmen nicht verpflichtend. Dennoch ist ein Mindestmaß an IT-Sicherheit äußerst ratsam, denn im Schadensfall drohen hohe finanzielle Einbußen. Sollten zudem interne Daten in unerwünschte Hände fallen, besteht die Gefahr von Entschädigungszahlungen an Dritte (beispielsweise aufgrund einer illegalen Veröffentlichung von Kundendaten) oder Bußgeldzahlungen an Aufsichtsbehörden.
Wie hängt der BSI-Grundschutz und ISO 27001 zusammen?
Die ISO 27001 ist eine Norm der internationalen Organisation für Normung für Informationssicherheits-Managementsysteme. Sie richtet sich vorwiegend an international tätige Unternehmen, da global betrachtet die ISO Norm bekannter ist als der BSI Grundschutz. Es ist für Unternehmen möglich, sich nach der ISO Norm auf Basis des IT-Grundschutzes zertifizieren zu lassen, um den Einhalt dieser Norm nachzuweisen.
Bei einem direkten Vergleich von ISO 27001 vs. BSI Grundschutz fällt auf, dass die ISO Norm nicht allgemeine Gefahrenstellen aufzählt, von denen Unternehmen betroffen sein könnten, sondern alle zu schützenden Bereichen zunächst individuell in einem Unternehmen identifiziert werden müssen.
Welche Maßnahmen sind Voraussetzung für eine BSI Grundschutz Zertifizierung?
Ein Antrag für eine Zertifizierung kann beim Bundesamt für Sicherheit in der Informationstechnik eingereicht werden. Anhand eines IT Grundschutz Checks muss ein Unternehmen vorweisen können, dass es die aktuellen Richtlinien aus dem BSI Grundschutz einhält und grundlegende Maßnahmen für die IT-Sicherheit in den Unternehmensabläufen integriert sind.
Dazu zählen unter anderem die Verwendung einer Firewall, die Nutzung BSI Grundschutz konformer Software oder eine ausreichend starke Kryptographie. Weitere Anforderungen sind in der offiziellen BSI Grundschutz Checkliste auf der Website des BSI zu finden.