Absicherung mit dem IT-Grundschutz

Das Wichtigste in Kürze:

• Umfassende Sicherheitsmaßnahmen: Der IT-Grundschutz des BSI bietet ein strukturiertes Kompendium von über 100 Bausteinen, die technische, organisatorische, personelle und infrastrukturelle Schutzmaßnahmen für Unternehmen und Behörden umfassen.
• ‍Vierstufiges Sicherheitskonzept: Die Standards des IT-Grundschutzes gliedern sich in vier Stufen:
  • BSI-Standard 200-1: Anforderungen an ein Informationssicherheits-Managementsystem (ISMS).
  • BSI-Standard 200-2: Definition von Basis-, Standard- und Kern-Absicherungen.
  • BSI-Standard 200-3: Risikomanagement zur Durchführung von Risikoanalysen.
  • BSI-Standard 200-4: Notfallmanagement für zeitkritische Geschäftsprozesse.
• Zertifizierung nach ISO 27001: Unternehmen können ihre IT-Sicherheit durch eine Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes nachweisen, wobei die Überprüfung durch zertifizierte Auditoren erfolgt.

IT-Verantwortliche und IT-Administratoren unterliegen einem ständigen Druck, wenn es um das Thema Sicherheit und IT-Grundschutz geht. Nahezu täglich kursieren neue Gefahren direkt aus dem Internet. Auch bereits lang bewährte Programme von großen Software-Anbietern fallen immer wieder durch neue Sicherheitslücken auf. Oder neue Technologien, wie zum Beispiel die Nutzung der Cloud, benötigen modernere, vor allem aber andere Sicherheitsvorkehrungen. Damit stehen die IT-Verantwortlichen bereits vor sehr umfassenden Aufgaben.

Trotz aller Erfahrung, und die ist in vielen Fällen bei alteingesessenen IT-Administratoren sehr groß, steht dem IT-Administrator wissen eine stets wachsende Bedrohung aus allen Bereichen der modernen IT gegenüber. Auf das Glück, nichts vergessen oder nicht beachtet zu haben, sollte man sich dabei nicht unbedingt verlassen.

Der IT-Grundschutz „denkt“ weiter

Wohin kommen die ausgemusterten Arbeitsplatzgeräte? Was passiert mit den alten Firmenhandys? Was passiert mit den Daten auf defekten Festplatten im Garantiefall? Es gibt sehr viele Möglichkeiten, wie man sich ziemlich schnell Lücken in einem sonst vielleicht gut abgesicherten IT-Netzwerk einhandeln kann.

Genauso verhält es sich im Katastrophenfall. Natürlich steht bei vielen Unternehmen die zentrale IT im Keller. Der jedoch wäre bei Hochwasser am schnellsten betroffen. Und wie sieht es mit den Sicherheitseinstellungen bei den Mitarbeitern aus? Sind wirklich alle Berechtigungen so, wie sie sein sollten? Auch die „temporär“ vergebenen Zugriffsrechte auf bestimmte Ordner?

Viele der Gefahrenquellen werden einem erst dann bewusst, wenn sie eintreten. Und auch, wenn im Fall der Fälle möglichst rasch Gegenmaßnahmen gesetzt wurden, kann es schon zu spät gewesen sein. Um ein möglichst breites Feld von diversen Gefährdungen und Risiken abzudecken, wurde vom Bundesministerium für Sicherheit in der Informationstechnik der BSI IT-Grundschutz aufgesetzt.

BSI IT-Grundschutz

Durch den mittlerweile massiven Einsatz von modernsten Technologien im IT-Netzwerk entstehen bei deren Betreibung nicht nur Vorteile für das Unternehmen. Durch die enorme Vielfalt an Geräten und Verfahren entstehen auch immer wieder neue Gefahren oder Sicherheitslücken, die eine Gefahr für jedes Unternehmen darstellen kann. Aber nicht nur die neuesten Technologien beinhalten diverse Fallstricke. Auch bewährte Technik wird nicht immer aktiv und bestmöglich vor Gefahren, Angriffen oder Sabotage geschützt. Oftmals sind sich die Verantwortlichen noch nicht mal im Detail darüber im Klaren, welche Gefahren von allen Seiten für die moderne IT bestehen kann.

Wer sich weniger auf das Glück verlassen möchte, sondern auch tatsächlich aktiv dafür sorgen will, dass das eigene Unternehmen bestmöglich vor vielen Gefahren geschützt ist, muss sich mehr auf eine koordinierte Vorgehensweise verlassen. Dabei ist das IT-Grundschutz-Kompendium des BSI mit einer Zusammenstellung von grundlegenden Sicherheitsmaßnahmen für Behörden und Unternehmen eine große Hilfe. Insbesondere zielt der BSI IT-Grundschutz auf technische Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen.

Die Gefahr, dass bei den nötigen Sicherheitsvorkehrungen wichtige Details schlicht und einfach vergessen oder übersehen werden, ist nicht auszuschließen. Wer sich das kostenlose BSI Grundschutz Kompendium heruntergeladen hat, wird staunen, mit welchen Situationen einzelne Unternehmen konfrontiert werden können.

Während einige Maßnahmen zum Standard-Repertoire eines jeden gut ausgebildeten IT-Administrators gehören, schleicht sich bei anderen der sogenannte „Aha“-Effekt ein. Insbesondere, wenn es um den Punkt Sabotagemöglichkeiten geht, können wahrscheinlich sehr schnell und nicht wenige Schwachpunkte in unzähligen Unternehmen gefunden werden.

Information Security Management System (ISMS)

Ohne dabei Detaillösungen zu bieten, unterstützt der BSI IT-Grundschutz beim Aufbau eines passgenauen ISMS (Information Security Management System). Aus den über 100 Bausteinen, die im IT-Grundschutz eingepflegt sind, können sich Anwender gezielt die Grundschutz-Bausteine heraussuchen, die für ihre aktuellen Sicherheitsfragen relevant sind.

Dabei geht es nicht nur um den Aufbau eines ISM-Systems, sondern auch um die Aufrechterhaltung der eingeführten Standards. Der BSI IT-Grundschutz verfügt über mehrere Standards und unterteilt sich dabei in vier Stufen .

BSI-Standard 200-1 – Kompendium ISMS

Hier erläutert das Kompendium, was ein Informations-Sicherheits-Management-System (ISMS) enthalten muss und welche Anforderungen zu erfüllen sind. Vor allem werden auch die Aufgaben der Führungsebene erläutert, denn in der Regel tragen diese auch die Gesamtverantwortung im Unternehmen.
BSI-Standard 200-2 – Definition der Absicherungen

• Basis-Absicherung
• Standard-Absicherung
• Kern-Absicherung

Die Basis-Absicherung kann weitgehend mit einem geringen personellen, finanziellen und zeitlichen Aufwand ermöglicht werden.
Die Standard-Absicherung baut auf der Basis-Absicherung auf und ermöglicht die Realisierung eines vollumfänglichen ISMS.
Bei der Kern-Absicherung handelt es sich um eine spezielle Absicherung für besonders wichtige Bereiche im Unternehmen.

BSI-Standard 200-3 – Risikomanagement

Um ein bestimmtes Sicherheitsniveau zu erreichen, wird mit diesem Standard ein vereinfachtes Verfahren zur Verfügung gestellt, um eine Risikoanalyse im Unternehmen durchzuführen. Es beinhaltet auch alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes.

BSI-Standard-200-4 – Der Notfall

Bei Notfällen ist es wichtig, ein funktionierendes Notfallmanagement etabliert zu haben. Damit können die zeitkritischen Geschäftsprozesse nach einem Ausfall wieder möglichst schnell aufgenommen werden. Mit diesem Standard wird ein systematischer Weg gezeigt, ein Notfallmanagement für Behörden oder Unternehmen aufzubauen.

Eine Zertifizierung nach BSI IT-Grundschutz?

Eine Zertifizierung des IT-Grundschutzes kann nach der international anerkannten ISO-Norm 27001erfolgen.
Eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz ist sowohl für die Standardabsicherung als auch für die Kern-Absicherung möglich. Für den Nachweis einer erfolgreichen Umsetzung der Basis-Absicherung bietet das BSI ein Testat an.

Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz ist eine Überprüfung durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditor. Zu den Aufgaben eines ISO 27001-Grundschutz-Auditors gehört eine Sichtung der von der Institution erstellten Referenzdokumente, die Durchführung einer Vor-Ort-Prüfung und die Erstellung eines Auditberichts. Für die Vergabe eines ISO 27001-Zertifikats muss dieser Auditbericht zur Überprüfung dem BSI vorgelegt werden. Auf der Grundlage des Auditberichts wird durch das BSI über die Ausstellung eines Zertifikats entschieden.

Um mehr über eine ISO 2700x-Zertifizierung zu erfahren, verweisen wir gerne an unseren Blogbeitrag zu diesem Thema.

IT-Dokumentation als Basis für IT-Grundschutz

Die Basis für jeglichen Grundschutz oder Zertifizierung nach ISO 2700x basiert immer auf einer grundlegenden IT-Dokumentation. Ohne den genauen und aktuellen Stand von Geräten oder Software zu kennen, kann weder eine Zertifizierung durchgeführt noch ein Minimum an Sicherheit gewährleistet werden. Denn gerade im Softwarebereich stehen mehrmals wöchentlich, von den unterschiedlichsten Herstellern, Sicherheits-Patches an. Einige davon beheben sogar brandgefährliche Lücken, die bisher nicht bekannt waren.

Leider sind mit herkömmlichen Methoden die aktuellen Patch-Stände auf den einzelnen Rechnern oder Servern nicht auf einen Blick auszumachen. Auch wichtige Firmware-Updates von Hardware-Komponenten müssen erst ausgelesen und mit den aktuellen Ständen verglichen werden, bevor Maßnahmen gesetzt werden können. Und naturgemäß sollte man sich damit nicht zu viel Zeit lassen – Zertifizierungen hin oder IT-Grundschutz her. Ist eine Lücke bekannt gemacht worden, besteht ein enorm hohes Risiko, dass diese auch schon ausgenutzt wird.

Aber nicht nur die einmalige Inventarisierung und Dokumentation stellt viele IT-Verantwortliche vor ein Problem. Im Rahmen der Zertifizierungen ist nämlich eines gefordert: Die regelmäßige Berichterstattung an die Verantwortlichen des Unternehmens – sprich, an die Geschäftsführung.

Da Geschäftsführer beziehungsweise die Unternehmensleitung im Ernstfall ihren Kopf auf dem Silbertablett darreichen dürfen, gehört es nicht nur zum guten Ton, der Führungsriege den aktuellen Stand und eventuell anstehende Maßnahmen regelmäßig zu präsentieren.

IT-Dokumentation ohne Automatisierung nur wenig sinnvoll

Um gleich Nägel mit Köpfen zu machen, sollte von Anfang an auf eine professionelle IT-Dokumentation, wie zum Beispiel Docusnap, gesetzt werden. Damit lassen sich nicht nur die Grundanforderungen für den BSI IT-Grundschutz erfüllen, sondern auch für gewünschte Zertifizierungen wie z. B. die ISO 2700x oder die für die Automobilindustrie relevante Norm TISAX.

Dabei geht es nicht nur um die Inventarisierung aller im IT-Netzwerk befindlichen Geräte. Denn diese sind in der Regel deutlich weniger von Erneuerungen oder „Updates“ betroffen als die dort installierte Software. Vor allem im Serverbereich sind viele Sicherheits-Patches als kritisch eingestuft und können eine ernste Gefahr für das Unternehmen bedeuten.

Eine professionelle Dokumentationssoftware erfasst bei den vollautomatischen Scanvorgängen eben nicht nur die Geräte, sondern vor allem auch sämtliche installierte Software auf den Geräten. Und weil der Name der Software allein nichts bringt, wird auch die aktuell installierte Version inklusive des Patch-Standes mit in die Dokumentation aufgenommen.

Nur so können anhand von regelmäßigen Berichten oder gezielten Suchen Schwächen aufgedeckt und auch ausgemerzt werden. Diese Kontroll- und Sicherheitsfunktion ist für eine Basisgrundsicherung der IT durch nichts zu ersetzen. Ein manuelles Abgleichen mit ausreichend Manpower und vor allem genügend Zeitressourcen mag im Extremfall helfen, auf Dauer ist das kein praktikabler Weg.

Spätestens, wenn die turnusmäßige Berichterstattung an die Geschäftsführung ansteht, müssen die Daten möglichst aktuell sein.

IT-Sicherheit leichter bewerkstelligen

Eine gute IT-Dokumentationssoftware kann nicht nur Daten sammeln, sondern bietet auch umfangreiche Berichtsfunktionen und eine granulare Benutzerverwaltung. Denn oft ist es nötig, zumindest einen Teil der Dokumentation auch anderen Personen oder Abteilungen zur Verfügung zu stellen.

Da gedruckte Versionen von Notfallhandbüchern oder Netzwerkplänen einer natürlichen Alterung unterliegen und sich nicht selbst aktualisieren können, sind diese bereits nach kurzer Zeit nutzlos. Mit einer guten Benutzerverwaltung gewähren Sie ausgewählten Personen den Zugriff, den Sie benötigen.

Bei der Realisierung des BSI IT Grundschutzes oder einer Zertifizierung nach ISO 27001 ist eine professionelle IT-Dokumentation Gold wert. Da bei einem Audit sofort alle Daten in der aktuellen Version zur Verfügung stehen, erleichtert man sich eben diese Basisarbeiten enorm. Oder wird in vielen Fällen überhaupt erst möglich gemacht.