IT-Grundschutz ist ein Konzept zur Absicherung von IT-Systemen und -Infrastrukturen gegen vorhandenen Risiken. Das IT-Grundschutz-Kompendium wurde vom BSI entwickelt und ist in drei Bereiche aufgeteilt:
Die Basisabsicherung setzt die Mindestanforderungen durch den Einsatz von Firewall-Systemen und Zutrittskontrollen um. Sie richtet sich vor allem an kleine und mittelständische Unternehmen.
Die Kernabsicherung dient dem Schutz von unternehmenskritischen Daten, wie zum Beispiel Produktions-, Kunden- oder Finanzdaten. Diese ist geeignet für Unternehmen, die noch kein ganzheitliches Informationssicherheitsmanagementsystem integriert haben.
Darüber hinaus gibt es die Standardabsicherung, die auf ein höheres Sicherheitsniveau durch eine Absicherung der gesamten Sicherheitsarchitektur abzielt.
Im Allgemeinen setzt sich IT-Grundschutz aus den Folgenden Schritten zusammen:
Schutzziele bestimmen: In diesem Schritt werden die Schutzziele definiert, die für die Organisation wichtig sind. Hierzu zählen beispielsweise die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen.
Assets und Bedrohungen identifizieren: Es werden die Assets (Werte) identifiziert, die in der Organisation geschützt werden müssen, sowie die Bedrohungen, denen sie ausgesetzt sind. Hierzu gehören beispielsweise Daten, Systeme, Netzwerke und Anwendungen sowie Bedrohungen wie Hackerangriffe oder menschliches Fehlverhalten.
Risikoanalyse durchführen: In diesem Schritt werden die identifizierten Assets und Bedrohungen bewertet und das daraus resultierende Risiko für die Organisation ermittelt. Hierbei werden auch die Auswirkungen eines erfolgreichen Angriffs auf die Organisation berücksichtigt.
IT-Sicherheitsmaßnahmen zur Risikominimierung entwickeln: Auf Basis der Ergebnisse der Risikoanalyse werden geeignete Cyber-Sicherheitsmaßnahmen zur Risikominimierung entwickelt. Hierbei kann es sich beispielsweise um technische IT-Sicherheitsmaßnahmen wie Firewalls oder Verschlüsselung sowie organisatorische Maßnahmen wie Schulungen für Mitarbeiter oder Regelungen für den Umgang mit Daten handeln.
Maßnahmen implementieren und überprüfen: Die entwickelten IT-Sicherheitsmaßnahmen werden umgesetzt und regelmäßig überprüft, um sicherzustellen, dass sie weiterhin wirksam sind und den Schutz der Assets gewährleisten.
Das IT-Grundschutzverfahren ist ein iterativer Prozess, der regelmäßig durchlaufen werden sollte, um sicherzustellen, dass die IT-Sicherheit in der Organisation kontinuierlich verbessert wird. Es ist ein bewährtes Verfahren, das Organisationen jeder Größe und Branche bei der Verbesserung ihrer Cyber-Sicherheit unterstützt.
Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist einen Standard zur Informationssicherheit, welcher sich besonders in Unternehmen, die zur Kritischen Infrastruktur gehören sowie bei öffentlichen Stellen etabliert hat.
IT-Grundschutz ist ein Verfahren zur Verbesserung der IT-Sicherheit in Organisationen. Es besteht aus fünf Schritten: Schutzziele bestimmen, Assets und Bedrohungen identifizieren, Risikoanalyse durchführen, Maßnahmen entwickeln und implementieren sowie Maßnahmen überprüfen.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
IT-Grundschutz Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
