BSI will den IT-Grundschutz modernisieren

Verbesserungen für alle, einfacher Einstieg ins Informationssicherheitsmanagement für die kleineren Unternehmen

Datum
4. Januar 2017
Autor

Das Bundesamt für Informationssicherheit plant eine Revision des IT-Grundschutzes. Mit der Revision will das BSI den geänderten politischen Rahmenbedingungen (IT-SiG) und den Bedürfnissen der Anwender Rechnung tragen. Die wesentlichen geplanten Änderungen:

Neue Vorgehensweisen im modernisierten IT-Grundschutz

Neue Vorgehensweisen (Quelle: BSI, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/IT-Grundschutz-Modernisierung/Kernpunkte/itgrundschutz_kernpunkte_node.html)

  • Neue Vorgehensweisen
    Die IT-Grundschutz-Methodik schützt den gesamten Informationsverbund umfassend. Sie wird künftig „Standardabsicherung“ genannt. Daneben soll es die Vorgehensweise „Basisabsicherung“ geben, um für den gesamten Verbund grundlegende Sicherheitsanforderungen umzusetzen. Die „Kernabsicherung“ soll einen fokussierten Schutz der wichtigsten Unternehmenswerte ermöglichen.
  • Neuausrichtung der IT-Grundschutz-Profile
    Anwender sollen in Profilen beschreiben können, welchen Stellenwert Empfehlungen des IT-Grundschutzes haben. Bausteine, Maßnahmen und Gefährdungen können für die Anwendung nach Einsatzgebieten – beispielsweise Krankenhäuser, Energienetzbetreiber oder Betreiber kritischer Infrastrukturen – gruppiert werden.
  • Verschlankung der Bausteine
    Die Bausteine sollen knapper und übersichtlicher werden. Dies wird durch eine Beschreibung der Anforderungen – was muss getan werden? – erreicht. Die Umsetzungsempfehlungen sollen weiter in Bezug zu Bausteinen stehen, aber getrennt gepflegt werden. Bausteine und Umsetzungshinweise für neue Systeme sollen künftig schneller erstellt werden. Das BSI möchte im Rahmen sogenannter Community Drafts die Anwender frühzeitig in den Erstellungsprozess einbeziehen.

Der IT-Grundschutz wird seit der Einführung 1994 permanent weitergepflegt. Im Rahmen der letzten umfassenden Überarbeitung 2005 wurde das IT-Grundschutzhandbuch geteilt. Aktuell gibt es die BSI-Standards 100-1, 100-2 und 100-3 sowie die in den IT-Grundschutz-Katalogen beschriebenen Bausteine, Gefährdungen und Maßnahmen.

Einschätzung

Der IT-Grundschutz genießt in Deutschland einen hohen Stellenwert. Auch bei der Umsetzung von ISMS nach ISO 27001 sind die bewährten IT-Grundschutz-Kataloge sehr hilfreich.

Die vom BSI geplanten Änderungen helfen, den IT-Grundschutz in Multicompliance- und Multinorm-Umgebungen umzusetzen. Den IT-Grundschutz-Profilen könnte die Rolle von Best-Practice-Empfehlungen zukommen, im Sinne einer vorgeschlagenen SoA für Bausteine. Die wertvollen Umsetzungshinweise könnten durch die Aufteilung weiter aufgewertet werden. Die praktische Anwendung sollte durch klarere Zuordnungen zu ISO Controls unterstützt werden.

Kleinere Unternehmen profitieren von der Basis- und Kernabsicherung. Sie können Sicherheit in kleinen Schritten erreichen und müssen nicht vor dem großen Wurf wagen.

Bisher hinkt das BSI mit neuen Bausteinen und Umsetzungshinweisen hinterher. Die geplante Verschlankung und die Einbindung der Community sind nur vordergründige Lösungen. Der Ansatz birgt die Gefahr, dass Bausteine zwar schnell veröffentlicht werden, der gute Vorsatz „in der Regel inklusive Umsetzungshinweise“ aber bald vergessen wird. Der große Mehrwert des IT-Grundschutz gegenüber ISO 27001, nämlich konkrete Handlungsempfehlungen, wäre weiterhin nur für alte Systeme nutzbar.

Zielgruppen

  • IT- und IS-Verantwortliche
  • Spezialisten
  • Interessierte Kreise