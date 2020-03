Update des IT-Grundschutz-Kompendiums Entstaubt Ronny Frankenstein Das BSI hat sein IT-Grundschutz-Kompendium in der nun aktuellen Ausgabe 2020 veröffentlicht. Komplett neu sind ­lediglich zwei Bausteine, weitere 58 wurden kräftig überarbeitet.

iX-tract Die mittlerweile jährlich durchgeführte Aktualisierung des IT-Grundschutz-Kompendiums fiel in diesem Jahr besonders üppig aus.

Neben den inhaltlichen Änderungen wurden die Bausteine in Bezug auf Struktur und Aufbau überarbeitet, außerdem von Redundanzen befreit. Das soll die praktische Handhabung entscheidend verbessern.

Die zahlreichen Änderungen erfordern von den Grundschutzverantwortlichen im Unternehmen Hausaufgaben in großem Umfang, um alles Wesentliche zu sichten und anzupassen – zum Glück das meiste nur einmalig.

Anfang Februar brachte das Bundesamt für Sicherheit in der Informa­tionstechnik (BSI) das IT-Grundschutz-Kompendium in der aktuellen Version 2020 heraus (es ist unter ix.de/z4zd zu finden). Dieses Mal wurden die Inhalte vor allem überarbeitet: Alleine bei den Anforderungen in den einzelnen thematischen Bausteinen gab es 1700 Änderungen. Der BSI-Grundschutz unterscheidet drei verschiedene Anforderungsstufen: Basis- und Standard-Anforderungen sowie Anforderungen für erhöhten Schutzbedarf. Nach welchen Kriterien man das passende Sicherheitsniveau seiner Geschäftsprozesse und die damit verbundenen Anforderungen festlegt, definiert der BSI-Standard 200-2 IT-Grundschutz-Methodik und darin speziell Kapitel 3.2.3 „Bestimmung des angemessenen Sicherheitsniveaus der Geschäftsprozesse“ (siehe ix.de/z4zd).

Neben der umfangreichen Überarbeitung der Anforderungen kam es zu Verschiebungen und Konsolidierungen von Bausteinen, neue Bausteine gab es lediglich zwei. So manchem Anwender wird der Umfang dieser Änderungen – nicht zu Unrecht – schwer verdaulich vorkommen. Daher stellt das BSI eine Detailübersicht von 67 Seiten auf seiner Webseite bereit (siehe ix.de/z4zd). Sechs Bausteine wurden umbenannt und ein Baustein dazu noch in eine andere Schicht verschoben. Die Tabelle „Struktur des IT-Grundschutz-Kompendiums“ zeigt die Einzelheiten. Die beiden neuen Bausteine sind der mit Spannung erwartete „CON.8 Software-Entwicklung“ und der seit Langem bekannte, aus den alten IT-Grundschutz-Katalogen überführte „INF.5 Raum sowie Schrank für technische In­frastruktur“.