IT-Grundschutz mit i-doit

IT-Sicherheit ist ein komplexes Thema, das nicht mehr nur große Konzerne betrifft. Jedes Unternehmen ist in der Verantwortung, das Niveau der Informationssicherheit mit den vorhandenen Ressourcen möglichst hoch zu halten. Das Spektrum der zu schützenden Assets ist jedoch in heutigen IT-Landschaften sehr breit. Von einzelnen Dateien über PCs und Laptops, Netzwerken bis hin zu Cloud-Diensten und Rechenzentren. 

Vergleichsweise wenige Unternehmen verfügen über die Expertise, alle relevanten Bereiche zu erkennen. Und ebenso wenige Unternehmen weisen die Ressourcen auf, um geeignete Maßnahmen zu deren Schutz zu ermitteln.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat darum die BSI-Standards und das IT-Grundschutz-Kompendium entwickelt. Mit diesen Leitfäden erhalten Unternehmen die Befähigung, das Thema Informationssicherheit von der Basis aus anzugehen und nachhaltig umzusetzen. Risiken, Gefährdungen und Anforderungen werden dort detailliert beschrieben.

Was sind die BSI-Standards?

Das BSI entwickelt fortlaufend Standards zum Umgang mit dem Thema Informationssicherheit. Sie enthalten Empfehlungen zu Prozessen, verschiedenen Methoden und Verfahren, um ein hohes Schutzniveau zu erreichen. Diese Standards beschreiben das Vorgehen in IT-Security Projekten und erläutern geeignete Maßnahmen zum Schutz der Unternehmens-IT.

Aktuell sind die BSI Standards 200-1 bis 200-4 gültig. Die alte 100er-Reihe wurde im Oktober 2017 durch die aktuelle 200er-Reihe ersetzt.

BSI Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)

Der BSI Standard 200-1 definiert die Anforderungen an ein Managementsystem für die Informationssicherheit (ISMS). Für den Aufbau eines ISMS ist

  • die Definition eines Sicherheitsprozesses
  • eine klare Struktur der Organisation
  • das Festlegen und Freigeben von Ressourcen sowie
  • eine Kombination verschiedener Managementprinzipien

notwendig. Im Unternehmen muss klar definiert werden, wie das Thema IT-Sicherheit angegangen und kontinuierlich weitergeführt wird.

Der Vorteil des Standards: Er ist kompatibel zur ISO 27001. Die Umsetzung Umsetzung des IT-Grundschutzes ermöglicht somit eine Zertifizierung nach ISO 27001.

BSI Standard 200-2: IT-Grundschutz-Methodik

Im BSI Standard 200-2 wird beschrieben, wie die Anforderungen an ein ISMS umgesetzt werden. Das betrifft

  • die Organisation und Dokumentation des Sicherheitsprozesses
  • die Erstellung und Umsetzung der Sicherheitskonzeption
  • die kontinuierliche Verbesserung der Informationssicherheit.

BSI Standard 200-3: Risikomanagement

Der BSI-Standard 200-3 setzt sich mit dem Risikomanagement innerhalb der Organisation auseinander. Hier werden alle elementaren und zusätzlichen Gefährdungen ausgiebig erläutert. Weiterhin finden sich hier Möglichkeiten zur Einstufung von Risiken und wie man ihnen begegnet. Für die Abwehr von Gefährdungen wird hier die Konsolidierung des Sicherheitskonzepts beschrieben.

BSI Standard 200-4: Business Continuity Management

Der BSI Standard 200-4 gibt eine fundierte Hilfestellung zum Notfallmanagement innerhalb der Organisation. Dieser praxisnahe Leitfaden zur Einrichtung eines BCMS (Business Continuity Management Systems) unterstützt Anwender beim Einstieg in die Thematik. Er zeigt zahlreiche Möglichkeiten auf, um Anforderungen zeitnah umzusetzen.

Das IT-Grundschutz-Kompendium

Das IT-Grundschutz-Kompendium bietet alle Bausteine, um die BSI Standards 200 – 1 bis 200 – 4 umzusetzen. So wird – bei korrekter Anwendung – ein hohes Niveau der Informationssicherheit erreicht.

Auf über 800 Seiten werden die Prozessbausteine, Gefährdungen und Anforderungen detailliert beschrieben.

It Grundschutz Kompendium

IT-Grundschutz – Das Schichtenmodell

Das Erreichen eines hohen Schutzniveaus nach IT-Grundschutz wird durch die Umsetzung verschiedener Schichten und Bausteine realisiert. Jeder Baustein steht für einen bestimmten Bereich der Organisation, in dem Sicherheitsmaßnahmen umgesetzt werden.

IT-Grundschutz Schichtenmodell

Ganz oben im Schichtenmodell steht das ISMS. Es überwacht durch die definierte Organisationsstruktur und den Sicherheitsprozess die anderen Prozess- und Systembausteine. Es ist somit die Basis für den IT-Grundschutz.

Darunter liegen die Prozessbausteine für ORP, CON und OPS.

  • ORP (Organisation und Personal): z.B. Sensibilisierung und Schulung zur Informationssicherheit, Berechtigungsmanagement, Einarbeitung neuer Mitarbeiter
  • CON (Kryptokonzepte und Datenschutz): z.B. Datensicherungskonzepte, Löschen und Vernichten, Software-Entwicklung
  • OPS (Sicherheitsaspekte betrieblicher Art im operativen Betrieb): z.B. Patch- und Änderungsmanagement, Fernwartung und Protokollierung

Eine Ebene tiefer finden sich die Systembausteine. Diese befassen sich mit eingesetzten Systemen, Kommunikationswegen und Infrastrukturen. Insgesamt gibt es 5 System-Bausteine für APP, SYS, IND, NET und INF.

  • APP (Anwendungen): z.B. Office Produkte, Webserver, Datenbanken, Verzeichnisdienste
  • SYS (IT-Systeme): z.B. Windows Server, Linux / Unix Server, Virtualisierungen, Clients
  • IND (Industrielle IT): z.B. Prozessleit- und Automatisierungstechnik, Sensoren, Maschinen
  • NET (Netze und Kommunikation): z.B. Router und Switche, Firewalls, WLAN und LAN Management
  • INF (Infrastruktur): z.B. Gebäude, Rechenzentren und Serverräume, Homeoffice- / Arbeitsplätze

Der letzte Baustein ist die Detektion und Reaktion (DER). Dieser kann sich auf alle anderen Bausteine erstrecken, da sowohl Systeme als auch Prozesse überwacht werden. Er bildet eigenständig die letzte Ebene.

Dieser Baustein ist z.B. für die Detektion von sicherheitsrelevanten Ereignissen, Audits und Revisionen sowie die Behandlung von Sicherheitsvorfällen zuständig.

Elementare Gefährdungen

In einem ganzen Kapitel widmet sich das IT-Grundschutz-Kompendium den elementaren Gefährdungen, die ein Risiko für Menschen, Systeme und die Organisation an sich darstellen. Durch die detaillierte Aufschlüsselung von Gefahren und deren mögliche Ursachen bekommen Anwender ein umfassenderes Verständnis.

Die Liste der Gefährdungen beginnt bei „einfachen“ Zwischenfällen, die sich negativ auf die Verfügbarkeit von Systemen auswirken (z. B. Feuer oder Wasserschäden). Komplexere Gefahren (z. B. elektromagnetische Störstrahlung) werden ebenfalls behandelt. Schließlich erwähnt das IT-Grundschutzkompendium auch nicht-technische Gefährdungen, die vor allem menschliche Faktoren berücksichtigen. Das beginnt bei einem Personalausfall und reicht bis zu Vorfällen der Nötigung oder Korruption.

Das i-doit pro Add-on VIVA2

Mit dem i-doit pro Add-on VIVA2 setzen Unternehmen und Organisationen den IT-Grundschutz direkt in i-doit um und dokumentieren diese Umsetzung. Die Risikoeinschätzung kann für jegliche Assets vorgenommen und geeignete Maßnahmen aus den Katalogen verknüpft werden.

Das macht den Aufbau eines ISMS nach den BSI-Standards 200-1 und 200-2 möglich, das nahtlos in die CMDB integriert ist. Alle Bausteine des IT-Grundschutz-Kompendium werden mit Assets aus der CMDB verknüpft und deren Umsetzung gesteuert. Durch die vordefinierten Reports kann der Umsetzungsgrad der Maßnahmen zu jeder Zeit überwacht werden. Die Dokumentation des Schutzbedarfs kann zudem visuell dargestellt werden.

Für Nutzer des i-doit pro Add-ons VIVA1 verfügt das VIVA2 Add-on ein Tool zur Migration der bestehenden Daten.

Import des gesamten IT-Grundschutz-Kompendium

Das IT-Grundschutz-Kompendium besteht aus zahlreichen Gefährdungen, Anforderungen und Maßnahmen zur Gefahrenabwehr. Das bedeutet, es enthält sämtliche Informationen, um ein hohes Sicherheitsniveau zu erreichen. Das gesamte IT-Grundschutz-Kompendium steht für Sie im Kundenportal zum Download bereit. Dieses importieren Sie mit einem Klick in die CMDB. Sie erhalten Zugriff auf sämtliche Anforderungen und Gefährdungen, um diese Ihren Assets zuzuordnen.

VIVA2 Add-on: IT-Grundschutzkompendium im Kundenportal

Das IT-Grundschutz-Kompendium steht im Kundenportal in verschiedenen Versionen zum Download bereit.

VIVA2 Add-on: Hochladen des IT-Grundschutzkompendiums in i-doit

Durch den Import des IT-Grundschutz-Kompendiums haben Sie Zugriff auf alle Gefährdungen und Anforderungen.

Auswahl der Prozessbausteine

Je nachdem welches Asset betrachtet wird, können verschiedene Prozessbausteine aus dem IT-Grundschutz-Kompendium hinzugefügt werden. Von Anwendungen (APP) über Systeme (SYS) bis hin zu Infrastruktur (INF) und Detektion (DER) sind alle Prozessbausteine auswählbar.

i-doit: Prozessbausteine IT-Grundschutz

Nach Auswahl eines Bausteins werden die zugehörigen Basis-, Standard-, und Anforderungen mit erhöhtem Schutzbedarf in der Kategorie “IT-Grundschutz-Check” automatisch geladen. Anhand dieser Übersicht kann nun die Umsetzung der Anforderungen geplant und gesteuert werden.

IT-Grundschutz Check

Sämtliche Anforderungen der ausgewählten Bausteine werden automatisch geladen.

Durch Bearbeitung der Anforderungen können nun Arbeitsschritte definiert und an verantwortliche Personen delegiert werden. Zusätzlich lassen sich die einmaligen und wiederkehrenden Aufwände erfassen.

Umsetzung der Anforderungen des IT-Grundschutz

Die Umsetzung der Maßnahmen kann direkt in den Anforderungen der Bausteine festgelegt werden.

Gefährdungen automatisch erkennen

Durch das Hinzufügen der Bausteine werden die Gefährdungen, die vom BSI festgelegt wurden, automatisch verknüpft. Verantwortliche und Fachpersonal bestimmen so genau, in welchem Bereich Sie zusätzliche Maßnahmen treffen, um ein höheres Schutzniveau zu erreichen. 

Übersicht über mögliche Gefährdungen in der CMDB

Neben den definierten Gefährdungen des IT-Grundschutz-Kompendium verfügen Sie mit dem VIVA2 Add-on auch über zahlreiche zusätzliche Gefährdungen mit Wissen aus der Praxis. Insgesamt enthält das VIVA2 Add-on knapp 600 Gefährdungen, die den Assets in der CMDB für die Risikoanalyse zugeordnet werden können.

Auswertung und kontinuierliche Verbesserung

Die eingepflegten Daten werten Sie in verschiedenen vordefinierten Berichten aus. Jeder Mitarbeiter kann eine Übersicht der ihm zugewiesenen Anforderungen auflisten, um diese im Blick zu haben. Anwendungen, die bisher nicht installiert oder Hardware, die noch keinem Standort zugewiesen wurde, lassen sich über die jeweiligen Reports auswerten. Fach- und Führungskräfte verfolgen so zu jeder Zeit den Fortschritt des Projekts.

i-doit Reports IT-Grunddschutz

Mit den mitgelieferten Reports behalten Sie den Fortschritt der Umsetzung stets im Blick.

Durch regelmäßige Auswertungen wird der Fortschritt der Umsetzung konstant überwacht. Dadurch werden zusätzlich notwendige Maßnahmen identifiziert, um das Schutzniveau weiter zu erhöhen. Sie erreichen eine kontinuierliche Verbesserung des Standards Ihrer Informationssicherheit.

Die Vorteile des i-doit VIVA2 Add-ons

Das VIVA2 Add-on ist die perfekte Ergänzung für Unternehmen, die ein insgesamt höheres Schutzniveau oder eine Zertifizierung ISO 27001 nach IT-Grundschutz anstreben. Durch die nahtlose Integration in die CMDB i-doit werden sämtliche Assets betrachtet und mit den Bausteinen aus dem IT-Grundschutz-Kompendium verknüpft.

Strukturierter Aufbau eines Informationssicherheitsstandards

Strukturierter Aufbau eines Informations-sicherheitsstandards

Risiken in der Infrastruktur werden deutlich reduziert

Informationsbasis für einmalige/wiederholte Aufwände

Kontinuierliche Verbesserung der Informationssicherheit und systematische Steigerung des IT-Sicherheitsniveaus

Kontinuierliche Verbesserung (KVP) der Informationssicherheit

Icon Verringern der Eintrittswahrscheinlichkeit

Verringerung von Risiken und deren Eintritts-wahrscheinlichkeit

Icon: Risiken automatisch erkennen

Risiken und Gefährdungen automatisch erkennen

Verbesserte Abstimmung zwischen IT-Abteilung, Fachbereichen, externen Dienstleistern und Mitarbeitern

Besseres Verständnis von IT- und Fach- und Führungskräften

Icon: Verfügbarkeit von Systemen

Verbesserung der Verfügbarkeit von Systemen und Diensten

Intensive Vorbereitung auf die Abwehr von Cyber-Angriffen

Cyber-Angriffen präventiv vorbeugen

Wettbewerbsvorteil durch Nachweis eines zertifizierten Standards der Informationssicherheit

Zertifizierter Standard bedeutet Wettbewerbs- vorteil

Verbesserte Abstimmung zwischen IT-Abteilung, Fachbereichen, externen Dienstleistern und Mitarbeitern

Zentrale Auswertung des Informations-sicherheitsstandards

Durch die automatische Zuteilung der Basis- und Standardanforderungen sowie der Anforderungen bei erhöhtem Schutzbedarf können Gefahren erkannt und Maßnahmen geplant und gesteuert werden. Durch die native Integration stehen Ihnen auch Kernfunktionen der CMDB zurVerfügung. Das betrifft das granulare Rechtesystem, Templates, Reporting, API und viele weitere Komfortfunktionen zur Datenpflege und Auswertung.

Das VIVA2 Add-on ist besonders für Unternehmen geeignet:

  • Die eine Analyse von Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität (VIVA) des IT-Verbunds und der Prozesse nach IT-Grundschutz 200-X vornehmen möchten.
  • Den Aufbau eines ISMS planen.
  • Eine Zertifizierung nach BSI IT-Grundschutz oder ISO27001 anstreben
Pattrick Bluhm

Der Autor:
Pattrick Bluhm ist ein zertifizierter IT-Projektmanager im Bereich ITSM, IT-Dokumentation und CMDB. Er konzipiert und realisiert Dokumentationsprojekte mit i-doit für mittelständische Unternehmen in der DACH-Region. Im Jahr 2020 veröffentlichte er das Buch "IT-Dokumentation - Projekte erfolgreich umsetzen".

Sollten Sie Fragen zu diesem Artikel haben, freuen wir uns auf Ihre Nachricht.
Unsere Experten stehen Ihnen jederzeit zur Verfügung.