Webcontent-Anzeige

Schlanker und besser strukturiert

Der neue IT-Grundschutz

Bundesamt für Sicherheit in der Informationstechnik modernisiert Referenzwerk

Zahlreiche Sicherheitsvorfälle wie der Einzug von sogenannten "Krypto-Trojanern" auch in Kommunalverwaltungen zeigen: Die IT-Gefährdungslage ist und bleibt ernst. Kommunalverwaltungen müssen die IT-Risiken soweit wie möglich reduzieren und ein angemessenes IT-Sicherheitsniveau gewährleisten. Denn: Ohne Informationssicherheit ist keine wirksame und erfolgreiche Digitalisierung möglich!

Ein Informationssicherheitsmanagementsystem (ISMS) ist zu etablieren, welches Anforderungen an Prozesse, Strukturen und die Informations- und Kommunikationstechnologie definiert und gleichsam auch die Mitarbeiterinnen und Mitarbeiter im Sinne einer IT-Security-Awareness in den Blick nimmt. Dafür können unterschiedliche Standards und Soll-Vorgaben herangezogen werden. Für Verwaltungen ist insbesondere der IT-Grundschutz des BSI von Bedeutung. Entsprechend der vom IT-Planungsrat beschlossenen "Leitlinie für Informationssicherheit in der öffentlichen Verwaltung" ist die Festlegung des Mindestsicherheitsniveaus am IT-Grundschutz des BSI auszurichten.

Nun hat das BSI nach mehrjähriger umfassender Überarbeitung den modernisierten IT-Grundschutz veröffentlicht. Nach der grundlegenden Überarbeitung der gesamten Methodik bietet er Einsteigern und Fortgeschrittenen eine modulare und flexible Methode zur Erhöhung der Informationssicherheit in Behörden und Unternehmen. Mit "Basis-Absicherung", "Kern-Absicherung" und "Standard-Absicherung" enthält er drei neue Vorgehensweisen. Dadurch werden speziell kleinere Behörden - und somit viele Kommunalverwaltungen - besser adressiert. Außerdem werden die Aktualisierungszyklen deutlich verkürzt, was der rasanten technologischen Entwicklung und den Änderungen der Rechtslage Rechnung trägt.

Zusätzlich können künftig Muster-Sicherheitskonzepte, sogenannte "Profile", für Einrichtungen mit vergleichbaren Eigenschaften abgerufen werden. Diese Grundschutzprofile erarbeiten Vertreter der jeweiligen Zielgruppe in Abstimmung mit dem BSI und stellen sie nach Freigabe kostenlos bereit. Aktuell ist zudem ein "Kommunales Grundschutzprofil" in Arbeit, welches voraussichtlich im Laufe des Jahres 2018 zur Verfügung steht. Für die Einbeziehung der kommunalen Ebene bei der Modernisierung des IT-Grundschutzes setzt sich federführend der Deutsche Landkreistag ein. Die Arbeitsgruppe dazu wurde aus dem "Internetforum der IT-Sicherheitsbeauftragten der Kommunen und Länder" heraus gebildet.

Ein zentrales Ergebnis der Modernisierung ist die Umstellung der früheren IT-Grundschutz-Kataloge auf das neue IT-Grundschutz-Kompendium. Die Inhalte der Grundschutz-Bausteine bilden den aktuellen Stand der Technik ab. Derzeit enthält das IT-Grundschutz-Kompendium 80 modernisierte Bausteine und dient als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz. Eine gedruckte erste Auflage wird der Bundesanzeiger Verlag im Februar 2018 herausgeben. Aktualisierungen werden in Zukunft jährlich im Februar erscheinen.

Darüber hinaus wurden die BSI-Standards 100-1 bis 100-3 überarbeitet und als neue BSI-Standards 200-1 bis 200-3 veröffentlicht:

  • Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein ISMS. Er ist weiterhin kompatibel zum ISO-Standard 27001 und berücksichtigt die Empfehlungen der anderen ISO-Standards wie beispielsweise ISO 27002.
  • Der BSI-Standard 200-2 bildet die Basis der BSI-Methodik zum Aufbau eines soliden ISMS. Er etabliert die drei genannten neuen Vorgehensweisen bei der Umsetzung des IT-Grundschutzes.
  • Der BSI-Standard 200-3 "Risikomanagement" fasst erstmals alle risikobezogenen Arbeitsschritte bei der Umsetzung in einem Dokument zusammen.
  • Der neue Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit liefert einen kompakten und übersichtlichen Einstieg zum Aufbau eines ISMS. Er ist besonders für kleine und mittelständische Unternehmen und Behörden geeignet.

Bis zum 30. September 2018 können Zertifizierungsverfahren nach der bisherigen Vorgehensweise beantragt werden. Danach sind ausschließlich Anträge für Verfahren basierend auf dem IT-Grundschutz-Kompendium gemäß BSI-Standard 200-2 und den dazugehörigen IT-Grundschutz-Bausteinen möglich. Anträge für das Zertifizierungsverfahren gemäß BSI-Standard 200-2 und IT-Grundschutz-Bausteinen können bereits früher gestellt werden.

Webcontent-Anzeige
Bildnachweis: Megafon - Aktuelles © Zerbor www.fotolia.com