BSI Grundschutz

Der BSI Grundschutz ist ein umfassendes Konzept, mit pauschalen Vorgehensweisen und Standards, mit denen Unternehmen ein Mindestmaß an IT-Sicherheit in ihrem Betrieb gewährleisten können. Im Kern bietet der Grundschutz also einen Leitfaden für die IT-Sicherheit.

IT-Sicherheit lässt sich nicht so leicht von heute auf morgen umsetzen, besonders wenn im Unternehmen die nötigen Fachkräfte fehlen. Das BSI Konzept baut daher auf der Voraussetzung auf, dass die Einrichtung individueller Sicherheitsmaßnahmen mit einem zu hohen Aufwand verbunden ist.

Der BSI Grundschutz beinhaltet deswegen standardisierte Maßnahmen und Methoden, die Unternehmen leichter in ihren betrieblichen Alltag integrieren können. Dafür konzentriert er sich auf die Unternehmensbereiche Personal, Hard- und Software, Organisation, Gebäude sowie Kommunikationsnetze.

Der Grundschutz erklärt, wo in diesen Bereichen die jeweils größten Gefahrenquellen liegen und erläutert anhand bestimmter Handlungsempfehlungen, wie das Gefahrenpotenzial in diesen Bereichen deutlich verringert werden kann.

Der erste Schritt in der IT-Sicherheit ist die Identifikation möglicher Gefahrenquellen im Betrieb. Je besser Unternehmen verstehen, an welchen Stellen Gefahren lauern und wo sie herkommen, desto leichter gelingt die praktische Umsetzung von IT-Sicherheitsmaßnahmen.

Trotzdem ist es nicht möglich, pauschal festzustellen, in welchem Ausmaß Unternehmen tatsächlich von Gefahren betroffen sind. Verschiedene Faktoren bestimmen, wie hoch diese Gefahren für ein Unternehmen sind. Zu diesen Faktoren zählen die Branche, die Art der verwendeten Netzwerke, die Frage, welche Daten verarbeitet werden, die Unternehmensgröße und die Anzahl der Mitarbeiterinnen und Mitarbeiter.

Der BSI Grundschutz hilft Unternehmen einzuschätzen, inwiefern sie von aktuellen IT-Gefahren bedroht sind. Dies erlaubt eine konkrete Anpassung der Vorschläge aus dem Grundschutz an die jeweiligen Gegebenheiten in verschiedenen Unternehmens- und Betriebsformen.

Da eine individuelle Analyse für ein einzelnes Unternehmen zu kostenintensiv und zeitaufwendig ist, geht der BSI Grundschutz in eine andere Richtung: Der Grundschutz verzichtet auf eine aufwändige individuelle Analyse eines Unternehmens und schlägt stattdessen vor, die im Grundschutz aufgeführten Richtlinien für eine Risikoanalyse anzuwenden.

Dadurch erweist sich der Grundschutz als leicht zu übernehmende Maßnahme und Unternehmen erhalten die Möglichkeit, ohne größeren Zeitverlust und zu überschaubaren Kosten einen ersten Überblick über die Wahrscheinlichkeit von Cyber-Bedrohungen zu erhalten.

Insgesamt umfasst der BSI Grundschutz vier Standards, die dazu beitragen, im Unternehmen ein Konzept für die IT-Sicherheit zu verwirklichen:

1. Management für Informationssicherheit (ISMS) BSI-Standard 200-1: Dieser Standard definiert, welche Anforderungen ein Managementsystem für Informationssicherheit erfüllen muss.
2. Die IT Grundschutz Vorgehensweise (BSI-Standard 200-2) bildet die Grundlage für den Aufbau eines ISMS. Dieser Standard bietet Unternehmen eine strukturierte Vorgehensweise für die Etablierung der IT-Sicherheit in ihrem Betrieb.
3. Risikoanalyse auf der Basis von IT-Grundschutz (BSI-Standard 200-3): Dieser Standard legt Kriterien vor, nach denen Unternehmen eine BSI Risikoanalyse durchführen können. Mit Hilfe einer Risikoanalyse werden Gefahrenquellen ausgemacht und bestimmt, mit welchen Empfehlungen aus dem BSI Maßnahmenkatalog darauf reagiert werden soll.
4. Das Notfallmanagement nach dem BSI Standard 100-4 gibt vor, wie Unternehmen im Falle eines Notfalls reagieren und die IT-Sicherheit wiederherstellen können.

Die Umsetzung des IT-Grundschutzes nach diesen Standards erfordert mehrere Schritte von der Analyse über die Durchführung bestimmter Maßnahmen bis hin zur Einführung einer regelmäßigen Überführung.

Zunächst erfolgt die IT-Strukturanalyse. Hierbei wird die IT-Infrastruktur des Unternehmens untersucht und der Schutzbedarf festgestellt. Im Anschluss werden in allen Unternehmensbereichen mögliche Schwachstellen identifiziert.

Auf Basis der Ergebnisse der Strukturanalyse werden erweiterte Sicherheitsuntersuchungen durchgeführt, um Schwachstellen zu finden, die tiefer in den Kommunikations- und Informationsnetzwerken liegen.

Diese Untersuchungen bestimmen, welche Maßnahmen zu ergreifen sind. Dies können technische Umsetzungen, organisatorische Maßnahmen oder Schulungen für die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter sein.

Als letzten Schritt findet die finale Umsetzung dieser Maßnahmen statt. Dazu gehört auch die regelmäßige Überprüfung dieser Maßnahmen, um ihre Effizienz und Aktualität sicherzustellen.

Ein Angriff auf das Informations- und Netzwerksystem eines Unternehmens kann schwerwiegende Konsequenzen haben, wie die ungewollte Veröffentlichung geheimer Daten auf illegalen Plattformen, auf denen Cyberkriminelle gestohlene Daten verkaufen.

Eine weitere Folge kann die Störung von Betriebs- und Produktionsabläufen mitsamt finanzieller Einbußen sein. Nicht zu vergessen: Führt ein Cyber-Vorfall zu einer Datenpanne, drohen nebenbei noch hohe Bußgelder seitens der Datenschutz-Aufsichtsbehörden.

Viele IT-Sicherheitsmaßnahmen sind an gesetzliche Vorgaben gebunden. Der BSI Grundschutz zählt diese auf und weist Unternehmen darauf hin, wie sich diese Vorgaben einhalten und rechtliche Konsequenzen vermeiden lassen.