Vor 25 Jahren hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das IT-Grundschutzhandbuch eingeführt. Ursprünglich sollte es Behörden Informationen zu IT-Sicherheit und Vorschläge für Sicherheitsmaßnahmen und Schutzkonzepte bereitstellen. Über die Jahre wurde der IT-Grundschutz ergänzt und verbessert. Er entwickelte sich in Deutschland zum Maßstab für Informationssicherheit in Behörden und Unternehmen und machte durch seine Kompatibilität mit ISO 27001 auch international Schule.
Was den IT-Grundschutz insbesondere für kleinere Firmen und Verwaltungen bis heute attraktiv macht, ist seine Methodik: Er legt nicht, wie ISO 27001, mit viel Aufwand zu erstellende Risikoeinschätzungen zugrunde, sondern geht von konkreten und anhand von Beispielen veranschaulichten Gefährdungen aus. Er beschreibt Mindestanforderungen für den normalen Schutzbedarf und empfiehlt Standard-Sicherheitsmaßnahmen für typische Prozesse, IT-Systeme und Anwendungen, die für die jeweiligen Bausteine nach dem Stand der Technik umzusetzen sind.
Das IT-Grundschutz-Kompendium
Im Herbst 2017 wurde der IT-Grundschutz in generalüberholter Form mit neuer Methodik vorgestellt, seit 2018 ersetzt das IT-Grundschutz-Kompendium die IT-Grundschutz-Kataloge der vorherigen Ausgaben. Im Februar 2020 hat das IT-Grundschutz-Kompendium Edition 2020 die 2019er Edition abgelöst. Neben den 94 IT-Grundschutz-Bausteinen aus der Edition 2019 enthält die aktuelle Ausgabe zwei neue, die ab Oktober 2020 ebenfalls für eine Zertifizierung zu berücksichtigen sind: den Baustein „CON.8 Software-Entwicklung“ bei den Prozessbausteinen unter CON (Konzepte und Vorgehensweisen) und den Baustein „INF.5 Raum sowie Schrank für technische Infrastruktur“ bei den System-Bausteinen unter INF (Infrastruktur). Weitere Änderungen gegenüber der 2019 Edition betreffen die Zuordnung von Bausteinen und inhaltliche Aktualisierungen.
Die BSI-Standards
Die Arbeit mit dem IT-Grundschutz beruht auf den BSI-Standards. Im Rahmen der Modernisierung wurden die Standards der 100er Reihe von ihren Nachfolgern mit den Bezeichnungen 200-1, 200-2 und 200-3 abgelöst. BSI-Standard 200-1 definiert die Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Standard 200-2 liefert die Grundlagen für den Aufbau eines ISMS im Unternehmen mit den Bausteinen aus dem IT-Grundschutz-Kompendium. Für die Umsetzung bietet der Standard drei Vorgehensweisen an:
- die niedrigschwellige Basis-Absicherung als Einstiegsmöglichkeit in ein ISMS mit schnell realisierbaren Maßnahmen,
- die Kern-Absicherung für Teile der Geschäftsprozesse wie besonders schützenswerte Informationen und Prozesse, und
- die Standard-Absicherung für die Implementierung eines kompletten Sicherheitsprozesses.
Die Arbeitsschritte für eine Risikoanalyse als Ergänzung eines IT-Grundschutz-Sicherheitskonzeptes stellt der BSI-Standard 200-3zusammen.
IT-Grundschutz und ISO 27001
Der BSI-Standard 200-1 mit den Anforderungen an ein ISMS basiert auf ISO 27001 und berücksichtigt weiterhin ISO 27002. Die Inhalte des BSI-Standards entsprechen daher den Anforderungen von ISO 27001, allerdings mit deutlich stärkerer Praxisorientierung als ISO 27001. Dies erleichtert insbesondere KMU den Einstieg in ein ISMS. Die Standard-Absicherung und die Kern-Absicherung können nach ISO 27001 auf der Basis von IT-Grundschutz zertifiziert werden, vorausgesetzt, die Überprüfung erfolgt durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditor. Auch Einsteiger können ihre ersten Umsetzungserfolge nachweisen: Für die Basis-Absicherung wird seit 2019 ein Testat durch einen BSI zertifizierten Auditor vergeben.
