28. Mai 2015 - Neue Ansätze für die Strategie der Datensicherheit

IT-Grundschutz: Was sind die Kronjuwelen im Datenschutz?

Auf dem 14. Deutschen IT-Sicherheitskongress wurde die geplante Modernisierung des IT-Grundschutzes vorgestellt. Zu dem neuen Ansatz gehört ein vereinfachtes Vorgehen bei der Bestimmung der Schutzmaßnahmen, was den Prozess insgesamt beschleunigen soll – wichtig auch für das Konzept der Datensicherheit.

neuer Ansatz beim IT-Grundschutz des BSI Das BSI will mit seinem neuen Vorgehen die Datensicherheit fördern (Bild: tonymelony / iStock / Thinkstock)

Neue Technologien, neue Formen der IT-Nutzung und immer neue Angriffsformen machen die Planung und Durchführung der Maßnahmen für die Datensicherheit nicht gerade einfacher. Was alles an IT-Sicherheitsmaßnahmen möglich ist, zeigt zum Beispiel ein Blick in den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Aktuell hat der IT-Grundschutz etwa 4500 Druckseiten zu bieten, ein schneller Blick wird also nicht reichen. Tatsächlich ist es sehr aufwändig, ein umfassendes Konzept für die IT-Sicherheitsmaßnahmen zu erstellen. Aber auch wenn man bekanntlich keine 100-prozentige IT-Sicherheit erreichen kann, muss man alle Maßnahmen ergreifen, die für den Schutzbedarf der Daten erforderlich sind und deren Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.

Zugang zur Datensicherheit muss einfacher werden

Der diesjährige IT-Sicherheitskongress des BSI in Bonn hat nicht nur die Komplexität der aktuellen Gefährdungslage dargestellt und diskutiert. Auch die Schwierigkeiten der Unternehmen bei der Risikoanalyse und Definition der Schutzmaßnahmen waren ein Thema. Viele Unternehmen sind mit der Konzeption ihrer Datensicherheit überfordert und brauchen deshalb lange, bis sie ein entsprechendes Konzept realisiert haben.

Das muss sich ändern, denn andernfalls kommt die Datensicherheit vielfach zu spät. Wie das Bundesamt für Sicherheit in der Informationstechnik erklärt, soll der IT-Grundschutz modernisiert werden, um einen leichteren Zugang zu den BSI-Empfehlungen bieten zu können. Auch das Vorgehensmodell an sich wird eine Vereinfachung erfahren, die auch für Sie als Datenschutzbeauftragten nützlich sein kann.

IT-Grundschutz betrachtet Einstieg ins Sicherheitskonzept neu

Die Vereinfachung, die einen schnelleren Einstieg in die Datensicherheit bieten soll, kann die übliche Risikoanalyse und die Definition aller notwendigen IT-Sicherheitsmaßnahmen nicht ersetzen, weder im IT-Grundschutz noch bei Ihrem Vorgehen als DSB, aber das soll auch gar nicht so sein. Stattdessen geht es um eine Hinführung zum Sicherheitskonzept in dieser Form:

  • IT-Sicherheitsmaßnahmen müssen stärker als bisher skaliert werden, zum Beispiel in Erstschutz, Basisschutz und Hochsicherheitsschutz.
  • Der Erstschutz hat das Ziel, in kurzer Zeit einen Mindestschutz zu erreichen. Wie Untersuchungen von IT-Sicherheitsforschern gezeigt haben, lassen sich bereits mit dem Erstschutz viele Risiken abwehren. Natürlich nicht die intelligenten, fortschrittlichen Attacken, aber einfache Attacken auf jeden Fall.
  • Der Basisschutz entspricht dann dem Stand der Technik und schützt die Daten mit normalem Schutzbedarf.
  • Der Hochsicherheitsschutz hingegen soll die besonders sensiblen Daten schützen. Wichtig an dem neuen Vorgehensmodell ist, dass Unternehmen nicht lange Zeiträume verstreichen lassen, bis eines Tages der Hochsicherheitsschutz definiert ist, sondern dass sie mit dem Erstschutz umgehend anfangen.

Der Blick auf die „Kronjuwelen“ und die Top-Risiken

Eine weitere Änderung im Vorgehen ist ebenso sinnvoll: Bisher hat der IT-Grundschutz des BSI

  • eine komplette Bestandaufnahme,
  • eine Risikoanalyse,
  • eine Schutzbedarfsfeststellung und
  • eine Konzepterstellung

vorgesehen. Dieser klassische Ansatz ist natürlich weiterhin gültig. Doch bereits ein Ansatz bestehend aus der Umsetzung der Erst- und Basisschutzmaßnahmen ohne vorherige Risikoanalyse und ohne ausgefeilte Ermittlung des Schutzbedarfs hilft weiter, so das BSI – nicht als dauerhafter Ersatz, aber als zeitnaher Einstieg.

Trotzdem sollten die größten Schwachstellen und die wichtigsten Daten im Fokus bleiben: Der sogenannte Kronjuwelen-Ansatz sieht vor, dass zum einen die Erstmaßnahmen umgesetzt werden, dies aber ergänzt wird durch den Schutz der besonders sensiblen Daten. Die Überlegung, welche Daten besonders wichtig und bedroht sind, sollte also in keinem Fall fehlen.

Die aktuelle Checkliste zum aktuellen Ansatz im IT-Grundschutz des Bundesamts hilft Ihnen dabei, die neuen Ideen bei der Konzeption der Datensicherheit auszuprobieren, um damit einen schnellen Erfolg zu erzielen. Parallel sollte dann der Aufbau des üblichen Datensicherheitskonzeptes stattfinden. Aber die oftmals lange Zeit bis zur Fertigstellung des vollständigen Konzepts lässt sich so überbrücken.


Download:


Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln