Der Deutsche IT-Grundschutz bildet die Basis für die IT-Sicherheit in Deutschland und ist international anerkannt. Hierbei handelt es sich um eine Sammlung von Empfehlungen, die IT-Systemen helfen, vor Sicherheitsbedrohungen geschützt zu sein. In diesem Blogartikel möchte ich näher auf den Ursprung, die internationale Akzeptanz und den Aufbau des Deutschen IT-Grundschutzes eingehen.
Haftungsausschluss Rechtsthemen
Die Informationen, die im Folgenden dargestellt werden, wurden aus verschiedenen Quellen im Internet recherchiert und könnten auch persönliche Erfahrungen des Autors aus dem beruflichen Alltag enthalten. Es wird darauf hingewiesen, dass es sich hierbei nicht um eine Rechtsberatung handelt und für Handlungen oder Unterlassungen, die aufgrund der hier veröffentlichten Informationen ausgeführt wurden, keine Haftung übernommen wird. Es ist möglich, dass die Informationen aufgrund des raschen Wandels in der Rechtsprechung veraltet oder unvollständig sind. Aus diesem Grund sollten die Informationen auf dieser Website nicht als vollständige oder genaue Quelle für Ratschläge oder Informationen in Rechtsfragen verwendet werden. Wir empfehlen Ihnen, immer einen qualifizierten Anwalt zu konsultieren, um eine rechtliche Beratung zu erhalten, bevor Sie eine Entscheidung treffen.
Ursprung des deutschen IT-Grundschutzes
Der Deutsche IT-Grundschutz wurde in den 1990er Jahren von der Bundesverwaltung entwickelt. Damals gab es einen steigenden Bedarf an IT-Sicherheit, da immer mehr Prozesse automatisiert wurden. Es ging darum, die Sicherheit der IT-Systeme und damit verbundenen Daten in der Bundesverwaltung zu gewährleisten. Ausgehend von dieser Entwicklungsarbeit entstand schließlich der Deutsche IT-Grundschutz.
Internationale Akzeptanz des deutschen IT-Grundschutzes
Mittlerweile hat der Deutsche IT-Grundschutz auch international an Bedeutung gewonnen. Die Internationalisierung erfolgte durch die Übernahme des Standards im ISO/IEC 27001-Standard. Hierbei handelt es sich um ein weltweit anerkanntes Zertifizierungsmodell für Informationssicherheits-Management-Systeme (ISMS). Dies bedeutet, dass auch Unternehmen und Organisationen außerhalb Deutschlands den Deutschen IT-Grundschutz als Grundlage für ihre IT-Sicherheit nutzen können und dies zertifizieren lassen können.
Im Jahr 2018 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Englischausgabe des IT-Grundschutzes veröffentlicht. Dies soll dazu beitragen, dass der Standard in anderen Ländern besser bekannt wird und mehr Unternehmen und Organisationen ihn nutzen.
Aufbau des deutschen IT-Grundschutzes
Der IT-Grundschutz ist ein wichtiges Werkzeug, das Unternehmen und Institutionen dabei unterstützt, ihre Informationen und Systeme abzusichern. Der ganzheitliche Ansatz des IT-Grundschutzes berücksichtigt technische, organisatorische, infrastrukturelle und personelle Aspekte der Informationssicherheit. Das IT-Grundschutz-Kompendium€ und die IT-Grundschutz-Profile sind besonders nützlich für kleine und mittlere Unternehmen, die einen eigenen IT-Betrieb haben.
Die BSI-Standards
Die BSI-Standards sind ein zentraler Bestandteil der IT-Grundschutz-Methodik und bieten Anwendern aus Behörden und Unternehmen sowie Herstellern und Dienstleistern Empfehlungen zu Methoden, Prozessen und Maßnahmen zur Informationssicherheit. Die BSI-Standards 200-1, 200-2 und 200-3 haben im Oktober 2017 die früheren BSI-Standards der Reihe 100-x abgelöst. Unternehmen können mit einem ISO 27001-Zertifikat auf Basis des IT-Grundschutzes zusätzliches Vertrauen bei Kunden und Partnern schaffen.
Der BSI-Standard 200-1€ definiert allgemeine Anforderungen für ein Managementsystem für Informationssicherheit (ISMS), das kompatibel mit dem ISO-Standard 27001 und anderen ISO-Standards ist. Er ist unabhängig von der Methode und zur IT-Grundschutz-Vorgehensweise kompatibel.
Der BSI-Standard 200-2€ bildet die Basis für den Aufbau eines Informationssicherheitsmanagements (ISMS) und etabliert drei neue Vorgehensweisen für die Umsetzung des IT-Grundschutzes. Die beiden verschlankten und modularen Vorgehensweisen Basis- und Kernabsicherung erleichtern insbesondere Verantwortlichen in kleinen und mittelständischen Betrieben den Einstieg.
Der BSI-Standard 200-3€ bündelt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes und ermöglicht ein angestrebtes Sicherheitsniveau mit deutlich reduziertem Aufwand.
Der BSI-Standard 200-4 bietet eine praxisnahe Anleitung für ein Business Continuity Management System (BCMS) in der eigenen Institution. Er ist bisher nicht zertifizierbar, aber hilft insbesondere unerfahrenen BCM-Anwendern und -Anwenderinnen einen leichten Einstieg in die Thematik zu finden. Der Anforderungskatalog folgt von der Struktur und Sortierung dem BCMS-Prozess. Hilfsmittel wie Dokumentvorlagen oder weitere Aspekte zur Bewältigung werden kontinuierlich auf der Webseite veröffentlicht. Während der Community-Draft-Phase bleibt der bestehende BSI-Standard 100-4 gültig, bis eine finale Version des BSI-Standards 200-4 veröffentlicht wird.
Das IT-Grundschutz-Kompendium
Das IT-Grundschutz-Kompendium ist eine wichtige Quelle für all jene, die sich mit dem Thema Informationssicherheit beschäftigen. Es besteht aus den IT-Grundschutz-Bausteinen, die zehn verschiedenen Themenbereichen zugeordnet sind, sowie einer Einführung in die Thematik. Neben technischen Aspekten werden auch Sicherheitsaspekte zu Infrastruktur, Organisation und Personal berücksichtigt. Die Bausteine setzen sich aus Basis- und Standardanforderungen sowie Anforderungen bei erhöhtem Schutzbedarf zusammen. Darüber hinaus können Anwender in den Umsetzungshinweisen nachlesen, wie sie die Anforderungen praktisch umsetzen können. Das IT-Grundschutz-Kompendium wird jedes Jahr aktualisiert und bietet somit aktuelles und praxisorientiertes Fachwissen zu den wichtigsten Themen der Informationssicherheit.
IT-Grundschutz-Profile
Das IT-Grundschutz-Profil ist eine Dokumentation der Schritte eines Sicherheitsprozesses für einen bestimmten Anwendungsbereich. Diese Dokumente werden von verschiedenen Institutionen gemeinsam erstellt und in der Regel von Branchenverbänden unterstützt. Unternehmen mit ähnlichen Sicherheitsanforderungen können auf dieser Basis ihre Prozesse effektiv absichern, wobei der Aufwand reduziert wird. Die Profile sind für verschiedene Branchen, wie Handwerksbetriebe oder Kommunalverwaltungen, veröffentlicht. Das IT-Grundschutz-Team unterstützt gemeinsam mit der Allianz für Cyber-Sicherheit interessierte Anwender bei der Erstellung von IT-Grundschutz-Profilen. Eine Anleitung auf der Website des BSI führt Anwender durch den Erstellungsprozess. Mit IT-Grundschutz-Profilen kann ein Unternehmen seine Sicherheit erhöhen und somit Risiken reduzieren.
Deutsche Gesetze im Zusammenhang mit dem IT-Grundschutz
In den letzten Jahren wurden in Deutschland mehrere Gesetze im Zusammenhang mit IT-Sicherheit verabschiedet oder angekündigt. Hier sind einige Beispiele:
Gesetz zur Umsetzung der NIS-Richtlinie / NIS2
Im Mai 2018 wurde das Gesetz zur Umsetzung der NIS-Richtlinie eingeführt, welche von der Europäischen Union zur Gewährleistung der IT-Sicherheit kritischer Infrastrukturen in Europa ins Leben gerufen wurde. Das entsprechende deutsche Gesetz sieht vor, dass Betreiber von „kritischen Infrastrukturen“ (z.B. Energieversorger, Wasserwerke, Krankenhäuser) ein bestimmtes Sicherheitsniveau garantieren und schwerwiegende Cyberangriffe melden müssen.
Ab 2023 gilt die NIS2 (2022/2555), welche Mindeststandards für Informationssicherheit und Cybersicherheit festlegt. Unternehmen, die zu bestimmten besonders kritischen Sektoren zählen, mit mehr als 50 Mitarbeitern und einem Umsatz von über 10 Millionen Euro pro Jahr müssen diese Standards ab 2014 umsetzen. Bei Nichteinhaltung drohen Strafen in Höhe von bis zu 10 Millionen Euro.
Eventuell wird NIS2 auch als Überarbeitung des IT-Sicherheitsgesetz umgesetzt.
IT-Sicherheitsgesetz 2.0
Das IT-Sicherheitsgesetz 2.0 ist eine Anpassung des seit 2015 geltenden IT-Sicherheitsgesetzes („Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“). Das Ziel des IT-Sicherheitsgesetzes besteht darin, die Sicherheit kritischer Infrastrukturen in Deutschland zu erhöhen, um so vor allem Angriffe auf diese Infrastrukturen zu verhindern oder zumindest abzuwehren. Bisher waren davon vor allem Betreiber von Energienetzen und Wasserwerken sowie Unternehmen aus den Segmenten „Informationstechnik und Telekommunikation“ betroffen. Mit der Überarbeitung des Gesetzes sollen noch weitere kritische Infrastrukturen in den Fokus rücken.
Das IT-Sicherheitsgesetz 2.0: Warum wurde es überarbeitet?
In der digitalen Welt nimmt die Bedeutung von Informationssicherheit und Datenschutz immer weiter zu. Gleichzeitig nehmen auch die Bedrohungen durch Cyberangriffe zu. Hierbei geht es längst nicht mehr nur um kleine Hacker-Angriffe, sondern um hochprofessionelle Angriffe von kriminellen Organisationen oder fremden Staaten, die es gezielt auf große Einrichtungen wie Stromversorger oder Finanzinstitute abgesehen haben. Ein Cyberangriff kann hier bereits weitreichende Folgen haben und im schlimmsten Fall sogar die Funktionsfähigkeit einer ganzen Region lahmlegen.
Das IT-Sicherheitsgesetz 2.0 soll genau hier ansetzen und den Schutz von Infrastrukturen gegen mögliche Angriffe erhöhen. Hierfür legt das Gesetz den Fokus auf eine verstärkte Zusammenarbeit zwischen Behörden, Unternehmen und Organisationen sowie auf eine bessere Aufklärung der breiten Öffentlichkeit zum Thema Cybersecurity. Ebenso soll die Möglichkeit eines staatlichen Eingreifens, bspw. im Falle eines schwerwiegenden Cyberangriffs auf kritische Infrastrukturen, ausgebaut werden.
Die Kernpunkte des IT-Sicherheitsgesetzes 2.0:
Eine verbesserte Meldepflicht: Betreiber von kritischen Infrastrukturen müssen bei Cyberattacken, welche sich auf ihre Netze auswirken, innerhalb von 24 Stunden die entsprechenden Behörden des Bundes und Landes informieren.
Schaffung von Kompetenzzentren: Die Einrichtung von Kompetenzzentren soll eine effektive Abwehr von Cyberangriffen ermöglichen. Hierfür sollen die Experten der Bundes- und Landesbehörden enger zusammenarbeiten und auf spezifisches Fachwissen zurückgreifen können.
Ein Cyber-Sicherheitsrat: Der neu geschaffene Cyber-Sicherheitsrat soll sowohl die Zusammenarbeit zwischen den einzelnen Akteuren verbessern als auch die Aufklärung der breiten Öffentlichkeit vorantreiben.
Erhöhung der Strafen: Strafen für Verstöße gegen das IT-Sicherheitsgesetz sollen erhöht werden. Auch eine Haftstrafe ist im Falle von besonders schwerwiegenden Verstößen möglich.
Sicherheitsaudits: Unternehmen müssen in regelmäßigen Abständen durch eine unabhängige Stelle auditiert werden, um die Einhaltung der IT-Sicherheitsrichtlinien sicherzustellen.
Das IT-Sicherheitsgesetz 2.0: Was sind die Auswirkungen für Unternehmen?
Die Neuerungen des IT-Sicherheitsgesetzes 2.0 betreffen vor allem Betreiber kritischer Infrastrukturen. Diese müssen sich auf deutlich strengere Anforderungen an die IT-Sicherheit einstellen und sollten schon jetzt damit beginnen, ihre Systeme entsprechend abzusichern und zu überprüfen. Unternehmen, welche nicht unter diese Kategorie fallen, müssen sich ebenfalls mit der Thematik auseinandersetzen. Auch sie sind in der Verantwortung, ihre Systeme von potenziellen Schwachstellen freizuhalten und die eigene Netzwerksicherheit regelmäßig zu überprüfen.
BSI-Gesetz
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Behörde in Deutschland, die sich mit IT-Sicherheit beschäftigt. Das BSI-Gesetz legt fest, welche Aufgaben und Befugnisse das BSI hat und wie es arbeitet.
Diese Gesetze sind nur einige Beispiele dafür, wie sich die deutsche Gesetzgebung mit dem Thema IT-Sicherheit auseinandersetzt. In Zeiten zunehmender Cyberangriffe und Cyberbedrohungen wird das Thema voraussichtlich weiterhin eine hohe Priorität haben.
Fazit
Der Deutsche IT-Grundschutz bildet eine wichtige Basis für die IT-Sichersicherheit. Auf Grund seiner Modularität kann er auch schon von kleineren Unternehmen eingeführt oder als Leitfaden übernommen werden.
Das IT-Grundschutz-Kompendium (Aktuell in Deutsch ist die Edition 2023, vom 01.02.2023) ist kostenfrei als PDF beim BSI erhältlich. Es umfasst 858 DIN-A4 Seiten. Die einzelnen Bausteine sind ebenfalls als PDF kostenfrei erhältlich.
Mein Tipp: Das BSI bietet auch eine kostenlose Onlineschulung zum IT-Grundschutz an.
Schreibe einen Kommentar