An dieser Stelle soll es um eine weit verbreitete Vorgehensweise zur Absicherung von Firmen und öffentlichen Einrichtungen gehen: den IT-Grundschutz.

Was ist der IT-Grundschutz?

Der IT-Grundschutz ist eine Vorgehensweise zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Dies bedeutet der IT-Grundschutz zeigt einen Weg auf, wie Informationssicherheit systematisch geplant, verbessert und überprüft werden kann. Das hört sich extrem trocken an und das ist es teilweise auch 😀

Der IT-Grundschutz wurde vom Bundesamt für Sicherheit in der Informationstechnologie entwickelt und ist für Betreiber kritischer Infrastruktur verpflichtend. Der Gedanke des IT-Grundschutz liegt darin, dass es eine bestimmte Menge von Sicherheitsmaßnahmen gibt, die (fast) jede Organisation braucht, da auf alle ähnliche Sicherheitsrisiken wirken. So wird jede Organisation heutzutage von Hackerangriffen oder Brand im Serverraum bedroht sein. Also müssen dagegen Maßnahmen ergriffen werden.

Was ist der Unterschied zwischen ISO 27001 und IT-Grundschutz?

Oft kommt an dieser Stelle die Frage, was den IT-Grundschutz vom Quasi-Standard für ein ISMS, der ISO 27001, unterscheidet. Das ISMS einer ISO 27001 basiert auf einer Risikoanalyse, d.h. die Risiken einer Organisation werden einzeln analysiert und dann maßgeschneidert und zielgerichtet Maßnahmen zur Senkung der Risiken umgesetzt. Der IT-Grundschutz legt eine standardisierte Risikoanalyse zu Grunde, welche das BSI quasi für uns erledigt hat. Dies bedeutet das BSI hat die Standard-Risiken bereits analysiert und stellt die Standard-Sicherungsmaßnahmen in einem Katalog zur Verfügung.

Vorteile des IT-Grundschutz

Der Vorteil liegt darin, dass (zumindest zu Beginn) keine Risikoanalyse durchgeführt werden muss. Wer das schonmal gemacht hat weiß, dass eine Risikoanalyse extrem viel Zeit und Personal braucht und in vielen Punkten niemals genau sein kann. Diesen Schritt überspringt der IT-Grundschutz und schreibt direkt die Sicherungsmaßnahmen vor. Dabei werden auch die Maßnahmen, welche der IT-Grundschutz vorschlägt etwas auf die Organisation zugeschnitten. Dafür wird die Struktur der Organisation mit den Bausteinen des IT-Grundschutz modelliert. Dazu mehr im Ablauf des IT-Grundschutzes.

Ein weiterer Vorteil liegt in der guten und strukturierten Dokumentation des IT-Grundschutz.

Zusammenfassung

Der IT-Grundschutz bietet genau das was ihn beschreibt: Er bietet einen grundsätzlichen Schutz indem Standard-Sicherungsmaßnahmen für Standard-Risiken umgesetzt werden.

Der IT-Grundschutz ist in Behörden weit verbreitet (da diese vom BSI verpflichtet sind) und bietet einen leichten Einstieg in die Informationssicherheit, da Software und Dokumentation frei verfügbar ist. Aber ist durchaus möglich, dass der IT-Grundschutz über das Ziel hinausschießt und eine Risikoanalyse weniger, aber effektivere Sicherungsmaßnahmen herausgefunden hätte.


3 Kommentare

Einführung in Informationssicherheitsmanagement – Maxanit Consulting · Juni 30, 2020 um 12:40 pm

[…] des IS-Managements. Sicher hat der ein oder andere schon etwas von der ISO 27001 und dem IT-Grundschutz gehört. Diese beiden sind in Deutschland die bekanntesten Vertreter für Vorgehensweisen zum […]

ISIS12 – Maxanit Consulting · Juli 5, 2020 um 8:15 pm

[…] weiteres Vorgehen zum Erstellen eines Informationssicherheitsmanagementsystems (ISMS), ähnlich dem IT-Grundschutz oder der ISO 27001. ISIS 12 steht für Informationssicherheit in 12 Schritten und ist spezielle […]

Überblick Informationssicherheitsmanagement – Maxanit Consulting · Juli 17, 2020 um 8:26 pm

[…] IT-Grundschutz des BSI […]

Schreibe einen Kommentar zu Überblick Informationssicherheitsmanagement – Maxanit Consulting Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.