Icon Informationssicherheit
Informationssicherheit

Informationssicherheit – ja, aber wie? Der BSI-Grundschutz als Baukastensystem

Matthias Niedung
Verfasst von: Matthias Niedung
Berater für IT-Sicherheit und Datenschutz

Wer kennt das nicht – im Unternehmen soll die Informationssicherheit aufgebaut werden und schon steht man vor einem großen Fragezeichen. Welcher Standard ist der richtige? Soll eine Zertifizierung angestrebt werden? Und wie wählt man die richtigen Maßnahmen aus und setzt sie effizient um?

Die Antwort kann Ihnen der „BSI-Grundschutz“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben. Dank zahlreicher Bausteine kann Informationssicherheit Step-by-Step implementiert sowie die Systeme und Strukturen so aufgebaut werden, dass Sie zumindest grundsätzlich den Großteil der Schwachstellen schließen. Doch wie funktioniert das?

Ein Baustein zum Exempel

Alle aktuellen Bausteine der Version 2023 des BSI-Grundschutzes finden Sie hier – beim Aufbau der Informationssicherheit wird Ihnen zuerst der Baustein „ISMS.1 Sicherheitsmanagement“ begegnen.

In diesem Baustein – die übrigens alle gleich dargestellt und entwickelt sind – treffen Sie in der Struktur zuerst auf eine Beschreibung. Diese gibt Ihnen einen Überblick und schildert, weshalb dieser Baustein entwickelt wurde. Zudem wird im Abschnitt „1.3. Abgrenzung und Modellierung“ dargestellt, wie oft Sie diesen Baustein anwenden müssen: Der Beispiel-Baustein „ISMS.1“ ist nur einmal auf den Informationsverbund anzuwenden. Andere Bausteine müssen unter Umständen für jedes System separat angewandt werden.

Unter „Gefährdungslage“ können Sie die betreffenden Gefährdungen, die durch diesen Baustein adressiert werden, noch einmal betrachten. Richtig interessant wird es dann unter „Anforderungen“:

Anforderungen

In diesem Bereich wird Ihnen konkret vorgeschlagen, wie Sie Informationssicherheit nach diesem Baustein aufbauen können. Dabei wird – wie in allen Bausteinen – immer in folgende drei Einstufungen unterteilt:

  • Basis-Anforderungen
  • Standard-Anforderungen
  • Anforderungen bei erhöhtem Schutzbedarf

Diese Einteilung soll Ihnen eine Orientierung geben, welche Anforderungen Sie a) zuerst erfüllen sollten und was Sie b) noch an Möglichkeiten haben, je nach Schutzbedarf nachzujustieren.

Grundlage für den Einsatz bleibt für Sie jedoch immer zu wissen, was es zu schützen gilt und wie hoch dessen Wert für Ihr Unternehmen ist. Dabei gilt:

  • Basis-Anforderungen sollten in jedem Falle umgesetzt sein.
  • Standard-Anforderungen sind das normale Ziel – hier sollten Sie sich auf den Weg machen, dieses zu erreichen.
  • Die Anforderungen für erhöhten Schutzbedarf sollten Sie dann umsetzen, wenn Sie Werte schützen müssen, die für Ihr Unternehmen maßgebend sind.

Natürlich ist auch hier zu bedenken, dass diese Anforderungen nicht erschöpfend sind und Sie durchaus noch weitere Maßnahmen treffen können. Ebenfalls ist es möglich, auch Bausteine umzusetzen, die vom Schutzbedarf nicht zwingend erforderlich sind, denn in diesem Falle schadet ein „zu viel“ nicht.

Modellierung

Doch wie sind die passenden Bausteine nun auszuwählen?

Bevor Sie sich auf die Bausteine und Anforderungen stürzen, machen Sie sich bewusst, was Sie schützen wollen und wo der Geltungsbereich liegt. Hierfür modellieren Sie den entsprechenden Informationsverbund und identifizieren:

  • Ihre Informationswerte und deren Schutzbedarf
  • Ihre Infrastruktur inkl. Rechenzentren und wichtiger Räumlichkeiten
  • Ihre Systeme und Anwendungen
  • Und Ihre Tätigkeiten (z.B. Softwareentwicklung)

Auf all diese Werte wenden Sie nun die Baustein-Modellierung an. Für jeden Server nehmen Sie zum Beispiel folgende Bausteine:

  • SYS.1.1 Allgemeiner Server

Insofern es sich um einen Windows-Server handelt, sollten Sie zusätzlich den weiteren Baustein

  • SYS.1.2.3 Windows Server

hinzuziehen. Zudem ist es hilfreich, wenn Sie den Baustein

  • OPS.1.1.2 Ordnungsgemäße IT-Administration

für den gesamten Informationsverbund definiert haben. So stellen Sie sicher, dass der Server auch nach diesen Regeln administriert wird.

Schritt für Schritt ans Ziel

Insofern Sie diese Vorgehensweise auf alle relevanten Systeme und Themen in Ihrem Verbund durchgeführt haben, steht einer sichereren Zukunft wenig im Wege. Und wussten Sie, dass der BSI-Grundschutz kompatibel zur ISO 27001 ist? Sollten Sie also bei der Herangehensweise einmal zur ISO wechseln wollen oder Sie verwenden die ISO und wissen einmal nicht, was konkret zu tun ist, dann haben sie die Möglichkeit, Themen und Anforderungen auch nach BSI-Grundschutz umzusetzen. Und der BSI-Grundschutz lässt sich ebenfalls auf Basis der ISO 27001 zertifizieren. Aber Obacht – dies ist eine Zertifizierung, die es in sich hat.

Wenn Sie bei der Umsetzung des BSI-Grundschutzes Unterstützung benötigen, stehen wir Ihnen gerne zur Seite – ebenso für den Fall, dass Sie sich in diesem Bereich weiterbilden möchten.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.