Was Sie beim IT-Grundschutz beachten müssen

Beim IT-Grundschutz des BSI sind eine individuelle Planung und die Nutzung von Tools wichtig, um unnötigen Aufwand bei der Einführung zu vermeiden.

Kein Unternehmen sollte es versäumen, die eigenen Maßnahmen der Informationssicherheit zu planen, gezielt umzusetzen und regelmäßig auf Wirksamkeit hin zu überprüfen. Die Informationssicherheit benötigt ein strukturiertes Management. 

Internetkriminelle und andere Datendiebe suchen gezielt nach Lücken in der Abwehr der betrieblichen IT. Ein sogenanntes Informationssicherheits-Managementsystem (ISMS) ist deshalb kein bürokratischer Ballast, sondern ein elementarer Teil der betrieblichen IT-Risikovorsorge.

Verschiedene Standards und Vorgehensmodelle für die Informationssicherheit bieten sich als Leitlinie zur Einführung und Pflege eines ISMS an. In Deutschland hat insbesondere der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) eine zentrale Stellung im Bereich der ISMS. Im Ursprung war der IT-Grundschutz als Basis der Informationssicherheit in der öffentlichen Verwaltung in Deutschland gedacht. 

Im Verlauf der letzten zwei Jahrzehnte hat der IT-Grundschutz jedoch zunehmend Anwender in der Privatwirtschaft gefunden. Trotz des offensichtlichen Erfolgs von IT-Grundschutz als ein Standardwerk der Informationssicherheit ist die Einführung und Umsetzung für Unternehmen kein Selbstläufer. Gerade kleine und mittlere Unternehmen (KMU) berichten von Problemen bei der Einführung. Im Folgenden geben wir deshalb Hinweise, die Unternehmen bei der Umsetzung von IT-Grundschutz helfen sollen.

Benennen Sie zuerst einen IT-Sicherheitsbeauftragten

Was nach Binsenweisheit klingt, ist der erste wichtige Schritt: In jedem Unternehmen muss es Personen geben, die sich um die Einführung des ISMS und des IT-Grundschutz aktiv kümmern. Dabei geht es nicht um die Verantwortung für die IT-Sicherheit, diese liegt automatisch bei der Geschäftsführung. Benötigt wird vielmehr ein Motor, ein Treiber für das ISMS, damit das Einführungsprojekt auch tatsächlich gestartet wird.

Planen Sie ausreichend Vorbereitungs- und Einarbeitungszeit ein

Ist ein IT-Sicherheitsbeauftragter gefunden, kann und darf es nicht gleich losgehen. Zuerst sollte man sich mit der Methode von IT-Grundschutz befassen und nicht in die zahlreichen Details abtauchen, von denen sich so mancher Anwender anfangs abschrecken lässt. 

Zentrale Schritte bei der Vorgehensweise sind insbesondere die Strukturanalyse, die Schutzbedarfsfeststellung, der Basis-Sicherheitscheck und die Risikoanalyse sowie die Auswahl und Realisierung von passenden Sicherheitsmaßnahmen. Dabei ist dieser Prozess nicht nur einmal, sondern regelmäßig zu durchlaufen. Einen Einblick in diese IT-Grundschutz-Vorgehensweise liefert der BSI-Standard 100-2, der vor der Durchsicht der IT-Grundschutz-Kataloge anstehen sollte.

Beginnen Sie nicht mit dem Anfang, sondern mit dem Ausdünnen

Die kompletten IT-Grundschutz-Kataloge zusammen mit den BSI-Standards sind so umfangreich, dass eine systematische Bearbeitung aller Bausteine weder sinnvoll noch wirklich möglich ist. So hat alleine das Grundwerk rund 4.500 Seiten. Entscheidend für den erfolgreichen Einstieg ist es, den individuell richtigen Zuschnitt zu finden. 

Dieser hängt insbesondere von der Unternehmensgröße ab. Deshalb sollte der nächste Schritt sein, sich mit dem passenden IT-Grundschutz-Profil für kleine, mittlere oder große Institutionen zu befassen. Dabei geht es darum, aus dem großen Umfang der IT-Grundschutz-Kataloge das Wichtigste für das eigene Unternehmen zuerst zu finden und anzugehen. Nützlich kann auch ein Blick in IT-Grundschutz kompakt sein.

Nutzen Sie eine Softwareunterstützung für IT-Grundschutz

Wie bei allen komplexen Projekten ist auch bei der Einführung von IT-Grundschutz eine Softwareunterstützung sinnvoll, im Sinne eines Projekt-Management-Tools, aber auch als gezielter Zugang zu den Inhalten der IT-Grundschutz-Kataloge. Leider wurde die Weiterentwicklung von GSTOOL eingestellt, der Support läuft aber noch. Es gibt aber eine Reihe von Tools, die ebenfalls IT-Grundschutz-Module bieten. Mit solchen Werkzeugen ist es wesentlich einfacher, den Überblick zu behalten, Schritt für Schritt vorzugehen und das bereits Erreichte zu dokumentieren.

Erwarten Sie nicht alle neuen Themen bei IT-Grundschutz

Ein typischer Fehler von neuen Anwendern der IT-Grundschutz-Materialien ist es, darin nach aktuellen Themen der IT-Sicherheit zu suchen. Oftmals müssen die Suchenden dann feststellen, dass zum Beispiel zu einer neuen Betriebssystem-Version nichts zu finden ist. Der Prozess zur Entwicklung eines neuen Bausteins für die IT-Grundschutz-Kataloge ist langwierig, so dass IT-Grundschutz keinen Anspruch auf „Tagesaktualität“ hat oder bislang haben könnte.

Achten Sie auf die Aktualisierungen für IT-Grundschutz und zusätzliche Dokumente

Der Wunsch, mit den IT-Grundschutz-Katalogen möglichst aktueller zu werden, hat dazu geführt, dass auch Vorab-Versionen zu Aktualisierungen veröffentlicht werden, ebenso Überblickspapiere zu aktuellen Themen. Gegenwärtig wird nicht nur an weiteren Aktualisierungen gearbeitet, sondern an einer Modernisierung des IT-Grundschutz insgesamt. 

Die wesentlichen Ziele dieser Modernisierung zeigen auch an, welche Wünsche bisherige Anwender an IT-Grundschutz haben: mehr Skalierbarkeit an die Unternehmensgröße und den Schutzbedarf, eine höhere Flexibilisierung der Vorgehensweise, eine Fortführung bei den anwenderspezifischen Profilen, schlankere IT-Grundschutz-Kataloge, eine schnellere, dynamischere Weiterentwicklung.

Wer mit dem IT-Grundschutz startet, muss also damit rechnen, auf die genannten Einschränkungen und Herausforderungen zu treffen. Gleichzeitig können Sie aber auch auf einen reichen Erfahrungsschatz zurückgreifen und auf weitere Optimierungen hoffen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über IT-Sicherheit: Policies, Prozeduren und Richtlinien

Dem Gespräch beitreten

2 Kommentare

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

Das Wichtigste wurde vergessen: Die uneingeschränkte Unterstützung durch die Geschäftsführung
Abbrechen
Oliver Schonschek: Gut, dass Sie es explizit betonen! Die genannten Aufgaben der Benennung des Beauftragten und die Einräumung der Einarbeitungszeit obliegen natürlich der Geschäftsführung, die voll hinter dem Projekt stehen muss. Dies gilt bei jedem Projekt, insbesondere bei so anspruchsvollen. Beste Grüße!
Abbrechen

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close