(Bild: BSI)

Die überarbeitete Version des IT-Grundschutz ist da. Sie richtet sich stärker auch an kleine und mittlere Unternehmen und adressiert aktuelle Themen wie die Cloud, das Internet-of-Things und industrielle Kontrollsysteme.

Der 1994 eingeführte IT-Grundschutz ist der wohl meistgenutzte Standard für Informationssicherheit in Deutschland. Er soll Einsteigern und Fortgeschrittenen eine modulare und flexible Methode zur Erhöhung der Informationssicherheit in Behörden und Unternehmen ermöglichen. Nun wurde er vom Bundesamt für Sicherheit in der Informationstechnik (BSI) grundlegend überarbeitet. Die modernisierte Fassung soll vor allem die speziellen Bedürfnisse und Anforderungen kleiner und mittlerer Unternehmen stärker berücksichtigen als zuvor.

Der überarbeitete IT-Grundschutz gliedert sich in ein IT-Grundschutz-Kompendium, das die früheren IT-Grundschutzkataloge ersetzt, die neuen BSI-Standards 200-1, 200-2 und 200-3 als Ersatz für die bisherige 100-x-Reihe sowie einen "Leitfaden zur Basisabsicherung".

Neue Themen und Hilfe bei der Umsetzung

Die neuen BSI-Standards 200-1, 200-2 und 200-3 basieren auf der bisherigen 100-x-Reihe und lösen diese ab. Erweitert wurden sie um die Themen Virtualisierung sowie Absicherung von Internet-of-Things, Clouds und industriellen Kontrollsystemen (ICS). Speziell für kleine und mittlere Unternehmen sowie kleinere Behörden, die sich erstmals mit dem Thema IT-Sicherheit auseinandersetzen, hat das BSI außerdem einen "Leitfaden zur Basis-Absicherung" entworfen, der auf dem Standard 200-2 basiert. Er beschreibt auf 44 Seiten drei grundlegende Schritte zur Umsetzung erster Sicherheitsmaßnahmen.



Beschreibung der Struktur eines Bausteins aus dem IT-Grundschutz-Kompendium inklusive Beispiel.

Bild: BSI/it-sa-Präsentation



Das IT-Grundschutz-Kompendium umfasst laut BSI die Inhalte der früheren Grundschutz-Kataloge in einer verschlankten und klarer strukturierten Form. Es dient ab 1. Februar 2018 als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz. Neben einer grundlegenden Einführung in die IT-Grundschutz-Methodik beinhaltet es 80 modernisierte Prozess- und System-Bausteine, die bei der Modellierung einer sicheren IT-Infrastruktur helfen sollen.

Innerhalb eines solchen Bausteins werden beispielsweise im Betrieb Verantwortliche, die spezielle Gefährdungslage sowie Anforderungen genannt, die dem jeweiligen Schutzbedarf (Basis, Standard, erhöht) des umsetzenden Unternehmens entsprechen. Separate Umsetzungshinweise sowie Referenzen auf weiterführende Informationen sollen die Implementierung geeigneter Schutzmaßnahmen erleichtern.

Neufassung steht zum Download bereit

Die Veröffentlichungen stehen auf der Internetpräsenz des BSI zum kostenlosen Download bereit. Die BSI-Standards sowie den Leitfaden gibt es ab sofort auch als Druckversion; das Grundschutz-Kompendium folgt am 1. Februar 2018. (ovw)