zurück zur Übersicht

Industrial und Cloud Security halten Einzug in den BSI Grundschutz

Der neue BSI Grundschutz umfasst auch Themen wie Cloud und IOTNach längerer Zeit erfährt der seit 1994 vom Bundesamt für Sicherheit in der Informationstechnik (BSi) aufgelegte BSI Grundschutz für IT eine Überarbeitung.

Strukturell spricht das BSI jetzt nicht mehr von „Grundschutz-Katalogen“, sondern vom IT-Grundschutz-Kompendium. Dieses Wording nutzt das BSI auch schon für sein Kompendium für Industrie und Kritische Infrastrukturen (KRITIS). Hintergrund der Änderung ist eine Reorganisation der zugrunde liegenden Struktur. Das Konzept sollte jedem Software-Entwickler geläufig sein: Das IT-Grundschutz-Kompendium deckt nun die unterschiedlichen Facetten der IT-Sicherheit explizit modular ab.

Das BSI verspricht dadurch schneller auf aktuelle Entwicklungen reagieren zu können indem einzelne Module des Kompendiums aktualisiert werden, ohne den gesamten Grundschutz grundlegend überarbeiten zu müssen.

Ablösung der BSI Standards der 100er-Reihe

Zudem wurden die vorhandenen BSI-Standards der 100er Reihe aktualisert, die nun durch die 200er Reihe abgelöst werden.

Diese enthalten nun erstmals Themen wie Virtualisierung, Cloud und die Absicherung industrieller Kontrollsysteme (ICS). Neu ist auch die Einbeziehung von vernetzten Geräten im Internet-of-Things (IoT). Damit sind endlich Themen einbezogen worden, die bereits seit Jahren in der IT-Security Branche diskutiert werden und für die Best-Practice-Lösungen existent und im Einsatz sind.

Die Standards decken im einzelnen ab:

BSI-Standard 200-1 – Ma­na­ge­ment­sys­te­me für In­for­ma­ti­ons­si­cher­heit:

  • allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)
  • kompatibel zu ISO-Standard 27001
  • berücksichtigt die Empfehlungen anderer ISO-Standards wie beispielsweise ISO 27002

BSI-Standard 200-2IT-Grund­schutz-Vor­ge­hens­wei­se:

  • beinhaltet die BSI-Methodik zum Aufbau eines soliden ISMS
  • etabliert drei neue Vorgehensweisen bei der Umsetzung des IT-Grundschutzes:
    • Basis-Absicherung (Einstiegshilfe zum Aufbau eines ISMS)
    • Standard-Absicherung (Implementierung eines kompletten Sicherheitsprozesses entsprechend BSI-Standard 100-2, kompatibel zur ISO 27001-Zertifizierung)
    • Kern-Absicherung (Hilfestellung, um in den wichtigsten Bereichen möglichst schnell ein hohes Sicherheitsniveau zu erreichen)

BSI-Standard 200-3 – Risikomanagement:

  • beinhaltet alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes
  • bietet sich beispielsweise an, um eine Risikoanalyse an die IT-Grundschutz-Analyse anzuschließen, wenn Unternehmen oder Behörden schon mit BSI Grundschutz Methodiken arbeiten

BSI Grundschutz für KMUs

Das BSI richtet sich aber vorallem auch an kleine und mittelständische Unternehmen und gibt mit den neuen Standards eine sehr gute Hilfstellung um Security Maßnahmen zu implementieren und in der Unternehmsorganisation zu verankern. Hierfür wurde mit dem Leitfaden zur Basisabsicherung nach IT-Grundschutz erstmal ein eigenes Dokument erstellt, mit dem es der genannten Zielgruppe gelingen soll „in drei Schritten zur Informationssicherheit“ mit Charakter einer Basis-Absicherungen zu kommen.

Fazit:

Es ist sehr begrüßenswert, dass das BSI besonders mittelständischen Unternehmern einen Leitfaden an die Hand gibt, um ihre IT-Sicherheit auf ein akzeptables Maß anzuheben. Dabei sind die enthaltenen Standards ein guter Einstiegspunkt für konkrete Umsetzungen. Im Detail kann dann weitere Beratung durch entsprechende Dienstleister in Anspruch genommen werden.

Gerade Unternehmer, die sich bisher mit der Materie wenig auseinandergesetzt haben aber z.B. durch das Heraufdämmern der GDPR oder die Ransomware-Kampagnen WannaCry und NotPetya aufgeschreckt wurden, haben mit dem neuen BSI Grundschutz ein sinnvolles Tool, um Ihre Sicherheit auf den neuesten Stand zu bringen.

 

Schreibe einen Kommentar