IT-Grundschutz - der „rote Faden“ für Ihr ISMS

Mit den Standards des BSI erhalten Sie neben der Vorgehensweise zur Erlangung und Aufrechterhaltung eines geplanten Sicherheitsniveaus auch konkrete, detaillierte Maßnahmenempfehlungen, was genau wie umgesetzt werden sollte. Nutzen Sie die Grundschutzkataloge als „roten Faden“ durch das Thema Informationssicherheit in Ihrem Unternehmen. Zudem geben Ihnen die IT-Grundschutz Kompendien Hilfestellung bei der Priorisierung der Anforderungsrealisierung in allen Bereichen der Informationsverarbeitung (Organisation, Personal, Infrastruktur und Technik). So gelangen Sie zielgerichtet zu einem ISMS nach BSI 200-1. Wir verfügen über 25 Jahre Erfahrung im ISMS-Aufbau und haben bereits eine dreistellige Anzahl an Projekten erfolgreich umgesetzt.

Begleitung zur Auditierung nach IT-Grundschutz

Nutzen Sie unseren „Best Practice“-Ansatz in Verbindung des IT-Grundschutz des BSI zum Aufbau eines Informationssicherheits-Managementsystems (ISMS). Wir definieren mit Ihnen Sicherheitsmaßnahmen und beugen bestehenden Gefährdungen vor.

Es werden somit nicht nur die Geschäftsprozesse in Verbindung der ISO 27001 betrachtet, sondern der Schutz wird an technischen Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik ausgerichtet. Ihre Organisation behält somit die Gefährdungen im Blick und senkt die Auswirkungen von IT-Sicherheitsvorfällen.

Schaffen Sie einen Nachweis einer ganzheitlichen Informationssicherheit gegenüber Kunden und Geschäftspartnern.

Unser Know-how für Ihren Start in den IT-Grundschutz

Durch unsere Erfahrung werden die Ergebnisse direkt so dokumentiert, dass diese für eine weitere Verwendung (Grundschutzprofil oder eine Absicherung des BSI) verwendbar sind.

IT-Grundschutz Know-How

  • zertifizierte IT-Grundschutz-Berater
  • zertifizierte Lead Auditoren
  • verinice Experts

ISMS-Kompetenz

  • über 25 Jahre ISMS Erfahrung
  • Best Practices IT-Grundschutz
  • Tool gestützte Dokumentation

kurzfristige Umsetzung

  • Kickoff kurz nach Auftragserteilung
  • Zuverlässige Einhaltung von Deadlines
  • Hilfsmittel zur Terminkoordination
„Informationssicherheit bei unseren Kunden und Projekten voranzutreiben, steht im Kern der täglichen Arbeit unseres gesamten Security Teams. Gemeinsam erarbeiten wir standardkonforme, individuelle Lösungen sowie Strategien, um das Sicherheitsniveau bei unseren Kunden stetig zu verbessern.“

THORSTEN WEISSBACH

neam IT-Services GmbH

Weg in die Basis-Absicherung (WiBA)

WiBA ist eine niedrigschwellige Einstiegsstufe für Kommunen in die Informationssicherheit.

Durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde das Projekt „Weg in die Basis-Absicherung (WiBA)“ initiiert, um den Einstieg in den IT-Grundschutz praxisnäher zu gestalten und initiale Aufwände zu verringern. Mittels Prüffragen, zusammengefasst in themenspezifischen Checklisten, wurde die Möglichkeit geschaffen, Sachstände zur Informationssicherheit zu erheben und umzusetzende Anforderungen zu identifizieren.

WIBA - gezielt für kleine Kommunen

WiBA basiert auf dem IT-Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“, dessen Anforderungen als Ausgangspunkt verwendet werden. Diese werden selektiv ausgewählt, abstrahiert und zusammengefasst, um eine zielgruppengerechte Zusammenstellung wesentlicher Aspekte zu erzeugen.

BSI-konforme Bearbeitung der Checklisten

In diesem Paket wird die einmalige Bearbeitung der Checklisten aus dem Projekt „Weg in die Basis-Absicherung“ gemeinsam bearbeitet und standardkonform dokumentiert. Im Folgenden ein kleiner Auszug der Themen, die im Rahmen der WiBA bearbeitet werden:

Dokumentation:
Abschlussbericht mit einer Übersicht im verinice über den Umsetzungsstatus zu den Prüffragen des BSI. Konkrete Handlungsempfehlungen auf Grundlage unserer Erfahrungen und den gefundenen Schwachstellen.

WiBA

Weg in die Basis-Absicherung
1990 €
  • Kickoff
  • Durchführung der Befragungen
  • Abschlussbericht
Festpreis

ISMS nach IT-Grundschutz im Detail

IT-Grundschutz vs. ISO 27001?

Durch konkrete Maßnahmen, Prozesse und Werkzeuge ist ein ISMS belegbar. Die Zielausrichtung von ISO 27001 und IT-Grundschutz sind miteinander vergleichbar: Beide Maßnahmen werden zur Sicherung sensibler Daten in Unternehmen, Institutionen und Organisationen eingesetzt. Die Maßnahmenkataloge unterscheiden sich jedoch in Methodik und Umfang. Die ISO 27001 ist im Vergleich zum IT-Grundschutz deutlich abstrakter, kürzer und damit weniger konkret formuliert. Der IT-Grundschutz des BSI ist dagegen weitaus detaillierter und präziser hinsichtlich technischer Fragen formuliert.

Diese Unterschiede zeigen sich auch deutlich im Umfang der beiden Dokumente: Während ISO 27001 lediglich knapp 30 Seiten lang ist, wird der IT-Grundschutz auf insgesamt über 5000 Seiten dargestellt. Zusammengefasst deckt eine Zertifizierung auf Basis des IT-Grundschutzes die Anforderungen an die ISO 27001 komplett ab und ist somit ein wirklicher Mehrwert zum Schutz ihres Unternehmens. 

Consulting & Audits

Profitieren sie von 25 Jahren Erfahrung und fach-und branchenübergreifendem Know-how für die Standards der Informationssicherheit.

FAQ

  • Der IT-Grundschutz ist eine Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen Informationstechnik. Ziel ist es ein mittleres, angemessenes und ausreichendes Schutzniveau der IT-Systeme zu erreichen. Zum Erreichen dieses Ziels empfiehlt das durch das BSI herausgegebene IT-Grundschutz-Kompendium technische, infrastrukturelle, organisatorische und personelle Sicherheitsmaßnahmen.

    Behörden und Unternehmen können ihr systematisches Vorgehen bei der Absicherung ihrer IT-Systeme gegen Gefährdungen der IT-Sicherheit mit Hilfe des ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz nachweisen.

  • Eine Information beschreibt einen Datensatz der zur Bearbeitung und/oder Wertschöpfung innerhalb eines Prozesses verwendet wird. Zwar richtet sich die Einrichtung eines ISMS vor allem auf den Schutz digitaler Datenübertragung, -speicherung und -verarbeitung, jedoch werden innerhalb der Interviews auch analoge Optionen wie Mündliches oder Papierform in Betracht gezogen, um einen umfassenden Überblick zu bekommen und mögliche Schwachstellen aufdecken zu können.

  • Informationen zu digitalisieren, macht die Arbeit mit ihnen schneller und einfacher. Allerdings bedeutet das auch neuen Gefährdungen ausgesetzt zu sein. Um Unternehmen und Behörden eine praktische Herangehensweise für einen mittleren Grundschutz mit einheitlichem nachvollziehbarem Standard an die Hand zu geben, wurde das BSI damit beauftragt den internationalen Standard ISO/IEC 27001 auszuarbeiten und zu erweitern. Außerdem sollen Unternehmen und Behörden zentral und zuverlässig über neue Gefährdungen und deren Lösungen informiert werden. Der Verlust, die Manipulation oder der Diebstahl von Informationen kann so schwerwiegend sein, dass auch für gesamtgesellschaftlich bedeutende Strukturen eine Gefahr für deren Existenz besteht. Diese Gefährdungen sichtbar und behandelbar zu machen, ist eine der Aufgaben des Bundesamtes für Informationssicherheit.

    • Ein Prozess ist eine Handlung, die zu einem Ergebnis führt. In der IT werden in einem Prozess immer Informationen gespeichert, weitergeleitet oder verarbeitet. Entsprechend werden diese auf Integrität, Vertraulichkeit und Verfügbarkeit geprüft.

  • Mit Vertraulichkeit bezeichnet man die Gewährleistung, dass lediglich die für einen Prozess vorgesehenen Akteure Zugriff auf bestimmte Informationen haben. Ist die Vertraulichkeit von Informationen gebrochen oder gefährdet, kann dies geschäftsbedrohende Ausmaße annehmen. Dies ist im Rahmen einer Schutzbedarfsfeststellung zu evaluieren.

  • Mit Verfügbarkeit ist die die ununterbrochene Abrufbarkeit von Informationen oder Prozesses gemeint, welcher zur Verarbeitung oder Speicherung von Informationen benötigt wird. Ein Bruch der Verfügbarkeit liegt vor, sobald zu einem gegebenen Zeitpunkt nicht mehr auf Prozesse oder Informationen zugegriffen werden kann. Je nach Dauer dieser Unterbrechung kann dies geschäftskritische Ausmaße annehmen. Dies ist im Rahmen einer Schutzbedarfsfeststellung zu evaluieren.

  • Integrität beschreibt die Unversehrtheit von Informationen durch Dritte oder Fehler. Ist die Integrität von Informationen gefährdet, kann dies unter Umständen Geschäftsbedrohende Ausmaße annehmen. Dies ist im Rahmen einer Schutzbedarfsfeststellung zu evaluieren.

  • In einer Schutzbedarfsfestellung wird der passende Schutzbedarf IT-Gütern zugewiesen. Dieser beinhaltet die Grundwerte Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit und wendet diese unter spezifischen Fragen nach verschiedenen Schadenszenarios ihrer Wirkungsstufe zu. Daraus ergibt sich entsprechend ein zusammengefasster Schutzbedarf für einen Geschäftsprozess.

  • Innerhalb des Grundschutzchecks wird ein Soll-Ist-Vergleich zwischen vom BSI vorgegebenen Anforderungen und deren Umsetzungsstatus für Bausteine des modellierten Geltungsbereichs durchgeführt. Es handelt sich zwar um eine Momentaufnahme, jedoch ist die Umsetzung ein Teil des Prozesses zur Einführung eines ISMS. Erst wenn alle Teilanforderungen bearbeitet und entweder umgesetzt oder (wenn möglich) als entbehrlich eingestuft wurden, kann der Prozess abgeschlossen werden.

  • Die Welt der IT ist einer steten Entwicklung unterzogen. Geschäftsprozesse ändern sich oder neue Angriffsvektoren können sich eröffnen. Ein ISMS ist daher nie für die Ewigkeit sondern muss einer regelmäßigen Evaluation unterzogen werden. Nach Abschluss eines Sicherheitskonzepts dürfen 2 Jahre vergehen, ehe dieses erneut evaluiert und auf Aktualität geprüft werden muss. Nach 3 Jahren nach ihrer letzten ISMS-Version sollte die Aktuelle Version ihres ISMS vorliegen.

    • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 19. Januar 2021 den Entwurf des neuen BSI-Standards 200-4 als Community Draft vorgestellt, dieser kann bis Ende Juni 2021 kommentiert werden. Der neue Standard beschreibt, wie ein Business Continuity Management (BCM) initiiert, betrieben und verbessert werden kann.

      Die erste sichtbare Änderung ist bereits im Titel erkennbar: der Begriff “Notfallmanagement” wird durch “Business Continuity Management” ersetzt. Das Business Continuity Management System (BCMS) bildet dabei ein eigenes Managementsystem, welches passend zum – aber auch losgelöst vom –  Informationssicherheitsmanagementsystem (ISMS) betrieben werden kann.

      Ein ISMS ist also keine Voraussetzung, aber dennoch eine Unterstützung für ein BCM. Schnittstellen des BCM u.a. zum ISMS, Risiko- und Krisenmanagement wurden berücksichtigt, der Standard wurde an die Norm ISO 22301:2019 angepasst. Die Reihe der BSI-Standards 200-1 (ISMS),200-2 (IT-Grundschutz-Methodik), 200-3 (Risikomanagement) wird mit dem BSI-Standard 200-4 fortgesetzt, insbesondere bei den Schritten

      • Strukturanalyse
      • Schutzbedarfsfeststellung 
      • Risikoanalyse

      ergeben sich sinnvolle Synergien zwischen den BSI-Standards.

       

      Ähnlich zum BSI IT-Grundschutz gibt es mehrere Stufen, um einen einfachen und schnellen Einstieg zu ermöglichen und sich weiterzuentwickeln: Reaktiv-BCMS, Aufbau-BCMS und Standard-BCMS. Auch hier gilt, dass alle Empfehlungen des Standards im Kontext der jeweiligen Organisation betrachtet und angepasst werden müssen. Eine Zertifizierungsreife nach ISO 22301 ist jedoch erst mit einem vollständig eingeführten Standard-BCMS nach 200-4 gegeben, dabei gibt der BSI-Standard konkretere Empfehlungen als die ISO-Norm und liefert Wege zur Umsetzung

      Unterschieden wird grundsätzlich zwischen Notfallvorsorge- (präventiv) und Notfallbewältigungsprozessen (reaktiv), wobei die Notfallvorsorge (PDCA-Zyklus) dem Aufbau eines BCMS dient. Der Notfallbewältigungsprozess ist ereignisbezogen und ruht im Normalbetrieb, bis ein Schadensereignis mit Notfallpotenzial eintritt.

    • Der Vorschlag zu einer Zertifizierung erfolgt durch einen externen Auditor, welcher das installierte ISMS auf seinen Bestand gegenüber den BSI-Vorgaben überprüft. Dieses Audit wird auch durch die Überprüfung vor Ort geschehen. Die Zertifizierung erfolgt auf Basis des Vorschlags durch den Auditor.

  • Ein Auditor überprüft ein ISMS auf dessen vollständige Umsetzung und schlägt dieses dann dem BSI zur Zertifizierung vor. Der Auditor darf hier zwar eine Empfehlung aussprechen, er zertifiziert jedoch nicht selbst. Kommentare zum Umsetzungsstatus zur Begegnung mit elementaren Gefährdungen sollten daher stets gut begründet sein, um eine ggf. benötigte Zertifizierung nicht zu gefährden und dadurch zusätzliche Kosten zu verursachen.

  • Bei der Modellierung werden die in der Strukturanalyse erarbeiteten Infrastrukturen, Räume, Systeme, Netzwerke, Prozesse und Applikationen gruppiert und verknüpft. Außerdem werden mit ihnen die elementaren Gefährdungen nach Grundschutzkompendium vereinigt. Die Basis für einen Soll-Ist-Vergleich im Grundschutzcheck ist damit gelegt.

  • In der Strukturanalyse werden alle Infrastrukturen, Räume, Netzwerke, Server, Systeme, Applikationen und Prozesse gemäß Geltungsbereich aufgenommen. Unter eng begrenzten Bedingungen dürfen Komponenten auch gruppiert werden. Diese werden im Grundschutzcheck dann nicht jeweils einzeln geprüft sondern stichpunktartig.

  • Das BSI unterscheidet zum aktuellen Zeitpunkt 47 elementare Gefährdungen, welche für einzelne Bausteine eines modellierten Geltungsbereichs angewendet werden können. Damit wird ein Großteil der möglichen Gefährdungen für die Informationssicherheit abgedeckt. Die Zuordnung ermöglicht es sich ihrer bewusst zu werden und den Geltungsbereich eines ISMS dahingehend absichern zu können. Nicht immer sind alle Gefährdungen für einen Baustein von Bedeutung. Das IT-Grundschutzkompendium des BSI liefert unter anderem eine Zuordnung der jeweils relevanten Gefährdungen zu den einzelnen Bausteinen. Beispielhaft seien hier „Feuer“, „Ausspähen durch Dritte“ oder „Schadprogramme“ erwähnt.

  • Die Risikoeinschätzung vergegenwärtigt den Wert eines Bausteins durch eine Einordnung in seinen möglichen Schaden bei einem Ausfall und der möglichen Häufigkeit eines Vorfalls. Aus dieser Kreuzreferenz ergibt sich das erwartete Risiko eines Bausteins.

  • Mithilfe eines Informationssicherheitsmanagementsystems werden Regeln und Methoden definiert, um die Informationssicherheit innerhalb eines Unternehmens oder Organisation zu gewährleisten. Während die ISO/IEC27001 lediglich einen Überblick über zu erreichende Schutzniveaus liefert, bietet das BSI mit ihrem darauf basierenden IT-Grundschutz einen umfassenderen und detaillierteren Blick auf das Thema. Dabei werden Risiken konkret identifizierbar und beherrschbar dargestellt. Ein ISMS ist in regelmäßiger Evaluation und wird vom Informationssicherheitsbeauftragten auf dessen Umsetzungsstatus geprüft und aktuell gehalten.