Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Der IT-Grundschutz liefert hierfür ein solides fachliches Fundament und ein umfangreiches Arbeitswerkzeug. Er ist Methode, Anleitung, Empfehlung und Hilfe zur Selbsthilfe für Behörden, Unternehmen und Institutionen, die sich mit der Absicherung ihrer Daten, Systeme und Informationen befassen wollen. Zentral ist dabei ein ganzheitlicher Ansatz zur Informationssicherheit: Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet. Dies ermöglicht ein systematisches Vorgehen, um notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen.

Aufgrund der stetig ansteigenden Bedrohungslage ist Informationssicherheit wichtiger denn je. Das BSI trägt dem Rechnung und entwickelt den IT-Grundschutz kontinuierlich fort. Der aktuelle IT-Grundschutz wird parallel zur Fortentwicklung des IT-Grundschutzes gepflegt und bleibt in der mehrjährigen Übergangszeit anwendbar. Eine Aktualisierung des IT-Grundschutz Kompendiums ist ebenfalls geplant.

Fortentwicklung des IT-Grundschutz

Der neue IT-Grundschutz wird vollständig prozessorientiert aufgebaut und basiert auf einem digitalen Regelwerk in Form einer JSON Datei. Jede Anforderung an die Cybersicherheit wird als Regel in einem standardisierten Format erfasst, so dass diese Regeln auch durch Computerprogramme interpretiert und ausgewertet werden können. Das digitale Regelwerk löst das IT-Grundschutz Kompendium ab, welches Anforderungen an Cybersicherheit in Textform (u.a. als PDF und als gedruckte Version) für menschliche Adressaten beschreibt. Der Wechsel auf ein digitales Regelwerk ermöglicht eine Automatisierung von Sicherheitsprozessen, so dass Anforderungen an die Cybersicherheit nicht nur von Personen, sondern auch über ein Managementsystemen für Informationssicherheit (ISMS) modelliert und die Einhaltung der Anforderungen überwacht werden kann. Um die Anwendbarkeit weiter zu erleichtern, werden die Absicherungsstufen Basis, Standard und erhöhter Schutzbedarf durch flexible Leistungszahlen in Verbindung mit dynamischen Schwellwerten ersetzt.

Die mit dem "Weg in die Basis-Absicherung (WiBA)" erprobten Checklisten haben sich in der Praxis bewährt und werden fester Bestandteil des neuen IT-Grundschutzes: So soll es möglich sein, Checklisten automatisiert und angepasst auf den jeweiligen Anwendungsfall aus den Anforderungen des IT-Grundschutzes zu erzeugen.

Mit diesen Checklisten ermöglicht das BSI kleinen Institutionen schnell grundlegende Sicherheitsanforderungen umzusetzen, ohne ein ISMS aufbauen und betreiben zu müssen. Größere Institutionen können mit den Checklisten einen soliden Grundstein legen, um schrittweise ein vollwertiges Managementsystem für Informationssicherheit (ISMS) aufzubauen.

Mithilfe der vom BSI vorgenommenen Priorisierung und Gewichtung der Anforderungen kann die Institution qualifizierte Entscheidungen treffen, welche Anforderungen aus dem Regelwerk als nächstes umzusetzen sind, um die Informationssicherheit mit den zur Verfügung stehenden Ressourcen bestmöglich zu erhöhen.

Stand der Technik im neuen IT-Grundschutz

Das Regelwerk des neuen IT-Grundschutzes wird gegenüber dem IT-Grundschutz-Kompendium geschärft, so dass es nur noch lösungsunabhängige Anforderungen an Zielobjekte beschreibt. Die Umsetzung der Anforderungen soll nach dem Stand der Technik erfolgen. Das BSI wird diesen dazu für die Anforderungen sukzessive ermitteln und in den Regeln Metadaten als Empfehlung hinterlegen. Dadurch werden Managementsysteme für Informationssicherheit in die Lage versetzt automatisierte Prüfungen vorzunehmen und bei festgestellten Abweichungen zu warnen.

Mindeststandards im neuen IT-Grundschutz

Mindeststandards sind Regelungsdokumente, die für ausgewählte Anwendungsbereiche ein Mindestniveau an Informationssicherheit definieren. Das Ziel der Mindeststandards ist die Gewährleistung eines einheitlichen Mindestsicherheitsniveaus in der Bundesverwaltung.

Im neuen IT-Grundschutz werden IT-Grundschutz und Mindeststandards eng miteinander verzahnt. Über Mindeststandards können für Einrichtungen des Bundes verbindliche Sicherheitsanforderungen definiert und auch Vorgaben für die Umsetzung von Anforderungen des IT-Grundschutz festgelegt werden. Mindeststandards können dem Stand der Technik entsprechen oder aber in begründeten Fällen davon abweichen. Mindeststandards werden ebenfalls als Metadaten in den Regeln des IT-Grundschutzes hinterlegt.

IT-Grundschutz schafft Vertrauen

Der IT-Grundschutz hilft dabei, das Niveau der Informationssicherheit in einer Institution anzuheben und aufrechtzuerhalten. Mit einem ISO 27001-Zertifikat auf der Basis des IT-Grundschutzes kann eine Institution belegen, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen und dadurch zusätzliches Vertrauen bei Kunden und Partnern schaffen.

Ein Angebot für viele Anwender

Der IT-Grundschutz richtet sich an unterschiedliche Anwendergruppen: Zuständige für Informationssicherheit, ob Einsteiger oder Profi oder im behördlichen oder Unternehmensumfeld. Sie alle können mit den Angeboten des IT-Grundschutzes das Sicherheitsniveau in ihrer Institution realistisch einschätzen und die notwendigen Maßnahmen zur Absicherung umsetzen.
Informationssicherheit ist ein Prozess, der IT-Grundschutz der bewährte Begleiter.

Wir freuen uns über Anmerkungen, Anregungen und Fragen an die E-Mail-Adresse it-grundschutz@bsi.bund.de .