Was ist IT-Grundschutz?

Der IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Methode, um Sicherheitsmaßnahmen zu identifizieren und umzusetzen. So soll die unternehmenseigene Informationstechnik geschützt werden. Der IT-Grundschutz umfasst dabei die Vorgehensweise und die IT-Grundschutzkataloge, die mögliche Gefährdungen und Gegenmaßnahmen listen.

Im Gegensatz zur nativen ISO 27001, bei der die Risiken für die schützenswerten Assets selbstständig identifiziert werden müssen, geben die Grundschutzkataloge die typischen Gefährdungen für definierte Bausteine vor. So wird ein Gebäude immer Zugangsmöglichkeiten haben, die gesichert werden müssen. Ebenso wird ein IT-System immer ein oder mehrere User haben,  deren Rechte konfiguriert und gepflegt werden wollen.

Eine ergänzende Sicherheitsanalyse für Zielobjekte mit erhöhtem Schutzbedarf garantiert, dass auch Risiken Beachtung finden, die nicht in den Grundschutzkatalogen gelistet werden.

Der IT-Verbund

Die Zielobjekte, die man mittels IT-Grundschutz sichern möchte, bilden zusammen den IT-Verbund. Dieser IT-Verbund wird aus den Bausteinen der Grundschutzkataloge modelliert. Dabei wird jedes Zielobjekt aus verschiedenen Bausteinen zusammengesetzt. Ein Webserver besteht z.B. aus übergreifenden Aspekten, die für den gesamten IT-Verbund gelten, einem Baustein für das Gebäude oder Rechenzentrum, in dem dieser betrieben wird, der Netzanbindung sowie dem Betriebssystem und Webserverdienst, der darauf betrieben wird. Dabei muss dieses Beispiel nicht vollständig sein. Befindet sich auf dem Server z.B. noch eine Datenbank, dann wird der entsprechende Baustein ergänzt.

Dieser modulare Ansatz ermöglicht es, die Gegebenheiten leicht abzubilden und somit alle Gefährdungen und Maßnahmen pro Zielobjekt festzulegen. Die definierten Maßnahmen zielen dabei laut BSI auf ein mittleres, angemessenes und hinreichendes Schutzniveau. In der Praxis wird eher ein überdurchschnittliches Schutzniveau erreicht. Durch die systematische Betrachtung und die Vorgaben der Grundschutzkataloge wird vermieden, dass Gefährdungen übersehen und somit bei den risikominimierenden Maßnahmen nicht berücksichtigt werden.

IT-Grundschutz-Zertifizierung

Mit der Zertifizierung „ISO 27001 auf Basis von IT-Grundschutz“ steht eine offizielle Bestätigung des erreichten Schutzniveaus zur Verfügung. Das Zertifikat ermöglicht eine gute Vergleichbarkeit, da die vorgegebenen Maßnahmen für jede Zertifizierung dieselben sind. Während also eine native ISO-27001-Zertifizierung aussagt, dass sich in einem Unternehmen um die Informationssicherheit gekümmert wird, drückt eine „ISO 27001 auf Basis von IT-Grundschutz“-Zertifizierung  auch aus, welches Sicherheitsniveau mindestens erreicht wird.