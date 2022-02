Periodisch veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik sein IT-Grundschutz-Kompendium; nun ist die neue Edition 2022 erschienen. Das Kompendium bildet zusammen mit den BSI-Standards die Basis für Informationssicherheit in Organisationen und Unternehmen.

Neben 14 stark überarbeiteten Bausteinen gibt es sieben neue, darunter APP.4.4 Kubernetes und SYS.1.6 Containerisierung. Die weiteren neuen Bausteine betreffen drei Managementthemen (OPS.1.1.7 Systemmanagement, INF.13 Technisches Gebäudemanagement, INF.14 Gebäudeautomation) und auch die Industrie 4.0 wird künftig besser abgedeckt (IND.3.2 Fernwartung im industriellen Umfeld).

Die Überarbeitungen sind den Veränderungen der Technik geschuldet, aber auch das Kompendium selbst ändert sich. Seit einiger Zeit steht die Modularisierung stärker im Fokus. So haben die Grundschutzautoren zum Beispiel die Anforderungen für eine sichere Anmeldung der Administratoren oder die Protokollierung jetzt aus den System-Bausteinen entfernt und es gelten die Anforderungen aus den darüberliegenden Schichten.

Herausforderung für Auditoren

Das macht den Grundschutz schlanker, aber es führt auch dazu, dass bei der Prüfung eines Systems etwa durch einen Auditor die organisationsweit geltenden Regelungen zu beachten sind. Hier hat es sich bewährt, eine Liste mit bei allen Systemen zu prüfenden Anforderungen anzulegen, die vom Backup bis zur Protokollierung alles enthält, was für die gesamte Organisation geregelt sein sollte, aber dessen Einhaltung auf jedem System separat kontrolliert werden muss.

Alle Veränderungen hat das BSI in einem Dokument zusammengefasst, was das Update des eigenen ISMS auf die neue Edition stark vereinfacht. Eine große Verbesserung in dieser Edition ist auch die Verfügbarkeit in maschinenlesbaren Formaten. Es gibt zwar die Bausteine nicht mehr als HTLM, aber neben der PDF-Version stehen sie nun auch als XML zum Download bereit.

Insgesamt ist festzuhalten, dass der BSI-Grundschutz auch fast 30 Jahre nach der ersten Version lebt und einer ständigen Weiterentwicklung gemäß der aktuellen technischen Entwicklungen unterliegt. Wünschenswert wäre, dass die Beteiligung der Community mit modernen Werkzeuge wie Git möglich wäre. So könnte sich der Grundschutz noch besser auf Neuerungen einstellen und die Community besser einbinden.

(ur)